Zagrożenia wewnętrzne pokazane w tabeli dotyczą ataków zamierzonych, jednak z dużym prawdopodobieństwem można założyć, że lwia część incydentów wewnętrznych jest niezamierzona.

Na coraz bardziej zagrażającą bezpieczeństwu nieewidencjonowaną infrastrukturę składają się produkty i usługi zakupywane przez użytkowników - prywatnie lub na poziomie jednostki biznesowej. Obejmują one technologie służące do osiągania zasobów korporacyjnych, takie jak:

• Usługi sieciowe (szerokopasmowe, bezprzewodowe itp.).
• Wyposażenie sieciowe (modemy szerokopasmowe, rutery, zapory ogniowe, punkty dostępu bezprzewodowego).
• Systemy (desktopy, laptopy, PDA, inteligentne telefony).
• Oprogramowanie (aplikacyjne, ochronne, gry, synchronizujące, bezprzewodowe, messagingu i współdzielenia plików).

Ponieważ użytkownicy korporacyjni często kupują takie produkty i usługi z własnej inicjatywy, nie podlegają one kontroli IT. Są więc bardziej podatne na skażenia szkodliwym kodem, służącym do nieautoryzowanego dostępu, instalowania programów wywiadowczych, a nawet oprogramowania "zombie", służącego do wyprowadzania ataków DDoS na inne sieci.

Urządzenia klienckie stają się ostatnio coraz częściej celem ataków, które nie mają intencji niszczenia jego samego. Można natomiast zaobserwować wykorzystywanie klienta jako agenta transferu zagrożeń do sieci przedsiębiorstwa.

Problem skutecznego wykorzystywania zabezpieczeń

Ochrona ciągle jest jedną z najważniejszych technologii w dużych przedsiębiorstwach. Duże pieniądze wydawane na bezpieczeństwo korporacyjnych systemów informatycznych stawiają przed środkami ochrony wymóg maksymalnej efektywności. Jednak w wielu przypadkach problemem jest brak wiedzy o tym, czy zdalni użytkownicy uruchamiają na swoich punktach końcowych planowane rozwiązania ochronne.

Biorąc pod uwagę duże koszty licencji i implementacji aplikacji związanych z bezpieczeństwem punktów końcowych oraz koszty skutków ataków, naturalna jest potrzeba większej efektywności istniejących inwestycji. Oznacza to konieczność dysponowania mechanizmami zapewniającymi, że użytkownik zdalny ma zainstalowane i pracujące poprawne aplikacje ochronne, jego oprogramowanie antywirusowe jest uaktualniane regularnie, osobista zapora ogniowa pracuje, a aktualne łatki systemowe są zainstalowane.

Powodzenie masowych ataków, jakie miały miejsce w ostatnim czasie, nie jest wyłącznie zasługą najbardziej rozpowszechnionych systemów operacyjnych (Microsoft Windows) i dobrze znanych nieszczelności. Dzieje się też tak dlatego, iż pecet jest komputerem osobistym, co oznacza, że jego administrowanie jest często pod kontrolą właściciela. PC może być zarządzany w ramach przedsiębiorstwa, ale zarządzanie to często jest niespójne w ramach domen funkcjonalności i struktury organizacyjnej. Ma to istotne znaczenie, ponieważ wiele ataków może być powstrzymywanych przez połączenie technik już dostępnych. Problemy ze stosowaniem istniejących technologii zabezpieczeń są następujące:

• Ochrona antywirusowa jest w zasadzie środkiem reaktywnym, ale rozprzestrzenianie nowo powstałych zagrożeń może być powstrzymane tak szybko, jak tylko dostawcy rozpowszechnią nowe sygnatury. Często nowe sygnatury pojawiają się w kilka godzin po wykryciu nowego zagrożenia. Ponadto wiele aplikacji antywirusowych może rozpoznawać zagrożenia metodami heurystycznymi. Jednak sygnatury często nie są uaktualniane właściwie, a używanie ochrony antywirusowej jest zaniedbywane całkowicie przez użytkowników punktów końcowych.
• Hostowe czy osobiste zapory ogniowe oraz systemy zapobiegające włamaniom są zdolne do filtrowania lub modyfikowania komunikacji sieciowej z platformą punktu końcowego, ale taka ochrona często jest niewłaściwie wdrażana i konfigurowana i z tego powodu mało użyteczna.
• Zaniedbywanie uaktualnień oprogramowania odgrywa kluczową rolę w wielu nowych atakach, pomimo dostępności narzędzi do łatania oprogramowania i zarządzania konfiguracją. I tak Microsoft często udostępnia łatki oprogramowania dla luk dużo wcześniej, zanim pojawią się ataki szerzej wykorzystujące te luki.
• W wielu sieciach funkcjonuje zarządzanie dostępnością, wolumenem ruchu i poziomem usług, ale używanie tych instrumentów do wykrywania i eliminowania incydentów związanych z bezpieczeństwem jest ciągle jeszcze niedostateczne.

Istotna jest świadomość tego, że granice zaufanych sieci rozciągają się poza zapory ogniowe. Punkty końcowe mogą znaleźć się daleko poza przedsiębiorstwem, np. użytkownicy VPN, którzy mogą łączyć się z siecią przedsiębiorstwa z domu czy w podróży. Jeżeli punkt końcowy VPN operuje w trybie rozdzielonego tunelu - z jednym interfejsem do VPN i drugim do sieci publicznej - ciężar ochrony bezpiecznej sieci przedsiębiorstwa spada przede wszystkim na sam punkt końcowy. Ryzyko zwiększa się, gdy taki punkt znajduje się w sieci bezprzewodowej, gdzie kontrola dostępu może być niespójna czy nawet nieobecna, a poszerzająca się klasa nowych urządzeń jest coraz powszechniej używana.

Do sieci chronionej mogą podłączać się także partnerzy biznesowi, którzy też muszą być świadomi zagrożeń wnoszonych do obcych sieci. Przedsiębiorstwa często ograniczają się do kontroli własnych systemów, jednak użytkownicy często przenoszą osobiste urządzenia do innych sieci zaufanych bądź łączą się zdalnie z systemów domowych. Tutaj granica pomiędzy perymetrem ochronnym przedsiębiorstwa a światem zewnętrznym jest zatarta. Dodanie do tej mieszanki messagingu bezpośredniego i aplikacji peer-to-peer jeszcze bardziej komplikuje pojęcie perymetru bezpieczeństwa.

Użytkownicy są zazwyczaj angażowani, częściowo lub całkowicie, w utrzymanie i ochronę punktów końcowych, ale nie zawsze wiedzą, jak to robić lub nie przestrzegają procedur. Przy założeniu, że istnieją odpowiednie narzędzia dostępne dla użytkownika i dobrze określona polityka podporządkowania, można założyć, iż użytkownicy sami właściwie zabezpieczą się przed ryzykiem. Zgodność ze spójną, kompletną polityką ochrony powinna rozwiązywać większość spraw. Jednak pomimo dobrej woli stosowania zasad polityki bezpieczeństwa, niezbędna jest architektura wymuszająca stosowanie takiej polityki.