L'unica prova affidabile di una persona interna che attacca i tuoi sistemi è se li prendi con le dita sulla tastiera.
Le persone spesso sospettano gli addetti ai lavori perché hanno speso una quantità straordinaria di denaro per costruire difese estremamente sofisticate, e semplicemente non riescono a immaginare un hacker che sia in grado di navigare tra di loro. Hanno processi di rilascio grandiosi che assicurano che solo il codice che è passato attraverso il QA sarà rilasciato in produzione. Hanno firewall che bloccano gli attaccanti, scanner NDIS alla ricerca di attacchi, strumenti anti-virus su tutti gli endpoint e strumenti DLP per controllare le attività di estrazione dei dati. Hanno tutti i processi, le migliori pratiche, i progetti, i piani, i fogli di calcolo, i controlli e gli elenchi di controllo infiniti.
Nel frattempo, l'hacker non sa nulla di queste cose. Semplicemente sfruttano un buco e intensificano i loro privilegi; quindi spostati lateralmente sulla rete utilizzando credenziali rubate che appaiono come qualsiasi altro utente legittimo. Alla fine trovano la loro strada verso una macchina che contiene informazioni preziose. Utilizzano strumenti personalizzati e modificati che non attivano gli scanner AV o NDIS o utilizzano gli strumenti del sistema operativo già presenti sulle macchine della vittima. Una volta individuati i dati che stanno cercando, codificano i loro beni rubati per evitare strumenti DLP, mimetizzarli per renderlo simile al traffico ordinario e inviarlo.
Quando hai investito così tanto nella costruzione di un sistema di sicurezza che sembra formidabile, è difficile credere che l'aggressore possa essere tutt'altro che un insider. Invece di saltare all'ipotesi che sia un lavoro interno, è tuo dovere continuare a scavare finché non trovi il percorso reale.
Le tue migliori scommesse stanno andando alla ricerca attraverso server di registrazione indipendenti, quelli in cui l'attaccante potrebbe non aver avuto accesso per corrompere i log. Una volta identificate le credenziali, rintracciare le macchine in cui sono state utilizzate tali credenziali, cercando le prove dell'attacco. Anche i registri di router, NDIS o firewall saranno utili.