La única evidencia confiable de que una persona interna está atacando tus sistemas es si los atrapas con sus dedos en el teclado.
Las personas a menudo sospechan que hay información privilegiada porque han gastado una cantidad extraordinaria de dinero en la construcción de defensas extremadamente sofisticadas, y simplemente no pueden imaginar a un hacker capaz de navegar por ellas. Tienen procesos de publicación grandiosos que aseguran que solo el código que ha pasado a través de QA se lanzará a producción. Tienen firewalls que bloquean a los atacantes, analizadores NDIS que buscan ataques, herramientas antivirus en todos los puntos finales y herramientas DLP para observar las actividades de exfiltración de datos. Tienen todos los procesos, mejores prácticas, proyectos, planes, hojas de cálculo, auditorías y listas de verificación infinitas.
Mientras tanto, el hacker no sabe nada de esto. Simplemente explotan un agujero y escalan sus privilegios; luego muévase lateralmente por la red usando credenciales robadas que aparecen como cualquier otro usuario legítimo. Eventualmente, encuentran su camino hacia una máquina que contiene información valiosa. O bien usan herramientas personalizadas y modificadas que no activan los escáneres AV o NDIS, o usan las propias herramientas del sistema operativo ya presentes en las máquinas de la víctima. Una vez que encuentran los datos que están buscando, codifican sus productos robados para evitar las herramientas DLP, lo camuflan para que se vea como el tráfico normal y lo envían.
Cuando has invertido tanto en la construcción de un sistema de seguridad que parece formidable, es difícil creer que el atacante pueda ser cualquier cosa menos un interno. En lugar de saltar a la suposición de que es un trabajo interno, es tu deber seguir cavando hasta que encuentres el rastro real.
Sus mejores apuestas serán buscar a través de servidores de registro independientes, donde el atacante puede no haber tenido acceso para corromper los registros. Una vez que haya identificado las credenciales, regrese a las máquinas donde se usaron esas credenciales, en busca de la evidencia del ataque. Los registros de enrutador, NDIS o firewall también serán útiles.