Diferença entre ameaças internas e externas para um banco de dados de TI

A vasta quantidade de dados armazenados em um banco de dados o torna um ponto crítico de defesa para qualquer empresa - e um alvo valioso para os malfeitores eletrônicos. Embora as ameaças externas sejam sempre uma prioridade na segurança de dados, uma ameaça potencialmente mais perigosa e insidiosa está sempre presente: um ataque de dentro. Aprender as diferenças entre um ataque interno e um externo pode ajudá-lo a proteger melhor seu banco de dados contra ataques de todos os lados.

Invasores vs. Sabotadores

A diferença fundamental entre uma ameaça externa e interna é a identidade do invasor. Uma maneira simplificada de ver isso é analisar invasores versus sabotadores. Ameaças externas, ou invasores, atuam de fora da empresa e devem superar suas defesas externas para acessar seu banco de dados. Ameaças internas, ou sabotadores, atuam dentro da empresa e podem, portanto, contornar as defesas externas. Como membros confiáveis ​​da empresa, eles já têm muito mais acesso do que qualquer ameaça externa.

Intenção de Ameaça

As intenções por trás de uma ameaça ao banco de dados é outra questão importante. Ameaças externas são quase sempre maliciosas, com roubo de dados, vandalismo e interrupção de serviços, todos os objetivos possíveis. Ameaças internas podem ser igualmente cruéis e também podem incluir chantagem ou outras atividades ilícitas. Ameaças internas, no entanto, nem sempre são maliciosas. Às vezes, a ameaça não é uma pessoa, mas políticas e medidas de segurança interna inadequadas que causam violações inesperadas ou não intencionais do banco de dados ou expõem fraquezas a invasores externos caso eles violem ou contornem as medidas de segurança externas.

Acesso Disponível

Ameaças externas são limitadas ao acesso que podem obter de fora da rede de dados de sua empresa. Eles devem ignorar ou desativar as defesas externas com êxito antes de poderem fazer login na rede e acessar quais dados estão disponíveis para contas não privilegiadas. Ameaças internas têm níveis variáveis ​​de acesso com base no nível de privilégio, mas geralmente têm acesso a recursos básicos de rede por meio de informações de login legítimas. Usuários mais privilegiados também podem ter acesso direto ao banco de dados e outros recursos de TI, bem como informações potencialmente confidenciais.

Componentes internos de ataques externos

Muitos ataques externos possuem um componente interno que facilita o acesso ou a realização de suas próprias operações ilícitas. Embora em alguns casos este seja um sabotador real, muitos outros componentes internos de ataque externo incluem cavalos de Tróia, keyloggers e outros softwares maliciosos que criam canais abertos para invasores ou permitem que eles usem informações de login legítimas para obter acesso não autorizado.

Engenharia social

A engenharia social, ou a manipulação de pessoal para criar ou revelar fragilidades de segurança, atua como uma ameaça externa e interna. Os engenheiros sociais atacam as vítimas involuntárias com golpes, incluindo ligar e fingir ser o suporte técnico para obter informações confidenciais ou instalar software malicioso e deixar a mídia física com aparência oficial carregada com malware para que as vítimas desavisadas possam encontrar. Os engenheiros sociais podem até se aproveitar da cortesia comum, seguindo pessoal desavisado até áreas restritas e fingindo ter perdido seu token de validação ou cartão de identificação. A única maneira de realmente atenuar os ataques de engenheiros sociais é treinar rigorosamente os funcionários sobre a confidencialidade da senha e os protocolos de segurança e aplicar esses protocolos.

Precauções e contramedidas

Ameaças puramente externas são cobertas principalmente por forte firewall e proteção IPS no perímetro da rede. A tarefa mais difícil é a segurança interna, que geralmente requer mudanças consideráveis ​​de política. Isso inclui alterar as políticas de senha para aumentar a força da senha e monitorar todo o acesso ao banco de dados, especialmente por usuários em execução em locais anormais, como aplicativos fora da rede. A segurança interna deve ser direcionada de cima para baixo, com medidas de segurança no caso de usuários de todos os níveis de privilégio, uma vez que os sabotadores podem vir de qualquer nível da organização.