A continuación se presentan cinco escenarios básicos que las organizaciones deben monitorear para identificar cuándo las credenciales internas confiables pueden haberse visto comprometidas:

Las horas de trabajo no solo son un indicador sólido de la eficiencia de un empleado, sino también de que sus credenciales están en riesgo. Con el tiempo, los empleados tienden a adoptar una rutina de horas de trabajo constante. Esto puede manifestarse tanto en las horas específicas en las que los trabajadores llegan y se marchan, como en la duración de las sesiones de trabajo matutinas, los comportamientos de los “lunes deprimentes”, los días festivos, etc. Utilizando un patrón de comportamiento de referencia, la identificación de cambios sutiles en las horas de trabajo puede ser la clave para determinar si una credencial está en riesgo.

Cuando se ve que un empleado accede a bases de datos internas desde dos continentes diferentes en un período de tiempo muy breve, se tiene otro indicador sólido de que una credencial está comprometida. Identificar la ubicación de un usuario basándose en datos de red puede ser muy poco confiable. Las ubicaciones geográficas obtenidas de múltiples fuentes de datos y que representan varios tipos de interacciones pueden generar una alta tasa de falsos positivos. Esto requiere que los motores de creación de perfiles sean selectivos y confiables en los datos que tienen en cuenta.

¿Por qué alguien que está actualmente en la oficina se conectaría a otro activo interno mediante un protocolo o aplicación remotos? Obviamente, no hay necesidad de esto ya que todos los activos permitidos deberían ser accesibles desde la estación doméstica original de un empleado. Es por eso que el escenario 3 plantea la pregunta: "¿Por qué usarías esa conexión remota de todos modos?" Esto es extremadamente importante ya que los protocolos remotos a menudo son utilizados por un atacante externo que busca manipular datos desde una ubicación distante, o por un infiltrado de confianza como una forma de enmascarar una acción que no quiere que quede registrada en su propia credencial de confianza.

El uso poco frecuente de herramientas organizativas y recursos dedicados a cada departamento es otra excelente manera de detectar cuándo se está abusando de las credenciales de confianza de un empleado. Identificar a un usuario que utiliza un recurso compartido de archivos o un CRM al que sus colegas no suelen acceder podría ayudar a detectar si él mismo, o alguien que utiliza sus propios derechos, está intentando acceder a un recurso confidencial de la empresa.

Los protocolos de restablecimiento de contraseñas varían de un servicio a otro, pero hasta cierto punto brindan una oportunidad única para que un atacante tome el control de una credencial de confianza no utilizada. Por ejemplo, una cuenta que se usa de manera rutinaria para realizar procesos automatizados debe cambiar su contraseña. Un atacante, con algún tipo de acceso interno, puede atacar esta cuenta y usar la política de contraseña obligatoria para forzar un cambio de contraseña y secuestrar esta cuenta para sus propios fines. Ahora, en manos de un atacante malintencionado, esta cuenta podría enmascarar cualquier acción futura.