Para una empresa se defienda efectivamente a si misma contra un ataque interno, en primera instancia se debe abandonar la noción sobre los ataques únicamente se originan desde el exterior. Los ataques actuales y más dañinos frecuentemente se originan desde el interior de la empresa, sin embargo, los controles para el acceso y políticas para la LAN interna, frecuentemente están muy por detrás de los controles fronterizos o en el borde, y de la política para el uso de Internet para los empleados de la empresa.

Más allá de reconocer la amenaza inmediata, quizás una de las defensas útiles es eliminar los hashes LM ya sea desde archivos SAM de los sistemas, como a nivel del dominio. Con los hashes LM presentes en las estaciones de trabajo locales, y contraseñas de administrador local compartido, un ataque como este puede realizarse muy rápidamente. Sin los hashes LM un ataque tomaría más tiempo, y los profesionales en pruebas de penetración deberán tomar más riesgos para alcanzar sus objetivos, incrementando las posibilidades de ser notados por alguien.

Adicionalmente a eliminar la utilización de los hashes LM, lo cual en las versiones más actuales del sistema Windows, no son utilizadas por defecto, a continuación se mencionan algunas maneras fundamentales para enfrentar los ataques internos.

• Deshabilitar o centralizar la gestión de los dispositivos USB
• Configurar la computadora para iniciar (boot) desde el disco duro
• Proteger el inicio de la computadora con contraseña (BIOS o CMOS)
• Limitar información descriptiva en las cuentas de usuario, nombres de computadora, y descripciones de las computadoras
• Desarrollar un sistema para la generación de contraseñas locales de Administrador, de tal manera cada uno sea única
• Regularmente buscar todos los sistemas sobre la red con una contraseña local en blanco
• Cualquier adición a los Administradores de Dominio, u otros grupos con altos privilegios, estos deben generar una notificación a otros Administradores.

Fuentes:

https://www.sans.org/reading-room/whitepapers/incident/protecting-inside...
https://www.information-age.com/manage-mitigate-insider-threats-123469477/