El problema principal es que estas herramientas inducen comportamientos sospechosos (actividad de red sospechosa, archivos sospechosos, comportamiento de proceso sospechoso, etc.). Desde una perspectiva de monitoreo de red, ¿cómo detectaría de manera confiable un atacante real si su actividad es simplemente una mezcla de ruido de fondo de comportamiento sospechoso "normal" que afecta a su red y sistemas?
Aún es posible proporcionar la herramienta adecuada para que las personas adecuadas puedan hacer su trabajo, pero esto requiere una definición clara de las herramientas involucradas, las personas y el trabajo para que todos puedan ponerse de acuerdo sobre cuál es un comportamiento normal y esperado.
Esto se llama una política.
Por lo tanto, dicha política cubriría dominios como:
-
Las herramientas : ¿Realmente necesitas permitir que tu desarrollador y arquitecto descarguen algo desde cualquier lugar desde Internet? Ciertamente no. Puede constituir una lista de software de seguridad aprobado descargado de una fuente confiable, cuya autenticidad se ha verificado cuidadosamente y se ha puesto a disposición interna de las personas que realmente los necesitan.
-
La gente : en lugar de abrir agujeros en el proxy corporativo, tener un conjunto específico de herramientas compartidas internamente desde una única ubicación puede permitir un mayor control sobre el acceso a estas herramientas. La política puede describir el proceso que se debe seguir cuando alguien quiere acceder a este repositorio: con quién debe comunicarse, qué información debe proporcionar, qué motivo se considera legítimo.
-
El trabajo : ¿Sus desarrolladores y arquitectos autorizados realmente necesitan la capacidad de escanear o piratear algo en cualquier lugar y en cualquier momento? Aquí otra vez, ciertamente no. Por lo tanto, podrá decidir desde y contra qué máquinas pueden ocurrir los escenarios de ataque, incluso puede planificar algún tipo de red limitada dedicada a tal uso para garantizar que la red externa y el sistema no se vean afectados.