O bom funcionamento das empresas modernas de hoje depende de um grande número de funcionários. Mas isso implica que as informações organizacionais confidenciais estão sempre acessíveis a centenas ou milhares de funcionários, fornecedores, parceiros ou contratados atuais ou antigos. “Ameaça interna” é como os profissionais de segurança cibernética se referem a isso. Essas pessoas são internas porque têm acesso permitido a informações, dados ou recursos que podem ser compartilhados ou utilizados para prejudicar a organização. Todo o tópico de ameaças internas na segurança cibernética será abordado neste ensaio, incluindo o que são, como identificá-los, por que são programas perigosos e como evitá-los.
O que são ameaças internas na segurança cibernética?
Uma pessoa que trabalha para sua empresa que compromete a disponibilidade, confidencialidade ou integridade de informações críticas é considerada uma ameaça interna. Eles podem conseguir isso divulgando involuntariamente informações privadas, caindo em uma farsa, invadindo propriedades, perdendo equipamentos da empresa ou interrompendo sistemas propositalmente.
Uma possível ameaça interna é alguém que tem acesso a dados ou recursos confidenciais. Incluídos nisso estão o pessoal, subcontratados e parceiros. Se ex-trabalhadores continuarem a ter acesso a informações confidenciais após deixarem a empresa, eles podem representar uma ameaça interna.
Tipos de ameaças internas
As ameaças internas à segurança cibernética podem ser classificadas como agentes mal-intencionados ou pessoal negligente. Nesta parte, discutimos como eles diferem uns dos outros e por que representam uma ameaça.
#1. Internos maliciosos
Um insider malicioso é alguém que propositalmente obtém informações confidenciais ou prejudica uma empresa. Eles costumam fazer isso para obter benefícios financeiros, seja utilizando os dados roubados para cometer fraudes ou vendendo-os a terceiros, como uma empresa rival ou uma gangue de hackers.
A retaliação é outra força motriz por trás de pessoas mal-intencionadas. Isso ocorre com mais frequência com indivíduos recentemente demitidos que guardam ressentimento em relação à empresa anterior. É provável que o indivíduo cause problemas se ainda tiver acesso a sistemas importantes, seja porque a chave de seu prédio ainda está em sua posse ou porque suas credenciais de login no local de trabalho ainda são válidas.
A vingança também pode inspirar os trabalhadores atuais. Isso geralmente ocorre quando eles se sentem desvalorizados ou foram preteridos em uma promoção. Eles podem interromper as operações ou roubar dados confidenciais usando seu acesso aos sistemas da empresa.
#2. insiders negligentes
Erros de funcionários, como perder um dispositivo de trabalho ou cair em um golpe de phishing, podem resultar em riscos internos negligentes. Esses episódios podem ser divididos em duas subcategorias. Primeiro, alguns trabalhadores usam o bom senso, mas violam as leis de segurança de dados devido a circunstâncias atenuantes. Por exemplo, eles podem ter errado por estarem sobrecarregados ou distraídos.
Ao contrário, alguns internos negligentes constantemente infringem a lei e mostram pouco interesse em programas de conscientização da equipe. Eles freqüentemente usam o argumento de que as políticas e processos da organização são excessivamente burocráticos ou muito inconvenientes para defender seu comportamento.
Eles podem até citar a ausência de violação de dados como suporte para suas reivindicações. Nesse caso, uma violação de dados quase certamente acontecerá em algum momento e é mais provável devido à sorte do que ao julgamento.
Quão comuns são as ameaças internas?
Ameaças internas são uma preocupação constante para a segurança cibernética. No Relatório de ameaças internas de 2021 da Cybersecurity Insiders, quase todas as empresas (98%) afirmaram que se sentiram expostas a ataques internos.
Embora essas ocorrências sejam frequentes, é difícil interpretá-las. Em muitos casos, a fonte exata da violação de dados é desconhecida e é difícil estimar o dano. De acordo com um estudo da Cybersecurity Insiders, apenas 51% das empresas conseguiram identificar ameaças internas, ou só conseguiram depois que os dados foram comprometidos.
Enquanto isso, 89% dos entrevistados disseram que não achavam que sua capacidade de monitorar, detectar e responder a ameaças internas era eficaz e 82% disseram que era difícil avaliar o verdadeiro custo de um ataque.
Como detectar ameaças internas
A melhor maneira de detectar riscos internos, esteja você procurando conduta maliciosa ou negligente, é ficar atento a comportamentos incomuns de funcionários.
Um funcionário pode se comportar de forma menos profissional pessoalmente e por escrito se parecer infeliz no trabalho, por exemplo. Eles também podem produzir um trabalho menos que estelar e exibir outros atos de desobediência, como chegar atrasado ou sair cedo para o trabalho.
Trabalhar em horários estranhos às vezes pode ser um sinal de suspeita. Um funcionário pode estar fazendo algo que não quer que sua empresa saiba se entrar em seus sistemas no meio da noite.
Semelhante ao último exemplo, se houver muito tráfego, isso pode significar que um funcionário está copiando dados privados para um disco rígido pessoal para que possam utilizá-los de forma fraudulenta.
No entanto, o uso que o funcionário faz de recursos de que normalmente não precisaria para seu trabalho é o que é mais esclarecedor. Isso implica que eles estão usando as informações para fins impróprios, como fraude, ou compartilhando-as com terceiros.
Como prevenir ameaças internas
Você pode defender os ativos digitais de sua empresa contra perigos internos. Como? Leia.
#1. Proteger ativos importantes
Determine os ativos lógicos e físicos mais importantes para sua empresa. Estes consistem em redes, sistemas, informações privadas (como dados de clientes, informações de funcionários, esquemas e planos de negócios complexos), ativos físicos e pessoal. Determine o estado atual da proteção de cada ativo, classifique os ativos em ordem de importância e compreenda cada ativo principal. Naturalmente, o nível máximo de proteção contra ameaças internas deve ser fornecido para os ativos de maior prioridade.
#2. Estabeleça uma média da atividade normal do usuário e do dispositivo.
O software de rastreamento de ameaças internas vem em uma variedade de formas. Esses sistemas funcionam coletando inicialmente dados de acesso, autenticação, alterações de conta, endpoint e registros de rede privada virtual (VPN) para centralizar as informações de atividade do usuário. Utilize essas informações para modelar o comportamento do usuário associado a eventos específicos, como o download de informações privadas em mídia portátil ou o local de login incomum de um usuário, e dê pontuações de risco a esse comportamento.
#3. Maior conscientização
Mais de um terço dos entrevistados em uma pesquisa SANS de 2019 sobre ameaças avançadas reconheceram não ter visibilidade do uso indevido de informações privilegiadas. A implantação de ferramentas que rastreiam continuamente o comportamento do usuário, bem como a compilação e correlação de dados de atividades de várias fontes, é crucial. Por exemplo, você pode empregar ferramentas de fraude cibernética que montam armadilhas para atrair pessoas internas nefastas, monitorar seu comportamento e deduzir suas motivações. Para reconhecer ou prevenir ataques existentes ou futuros, esses dados seriam posteriormente fornecidos para outras soluções de segurança de negócios.
#4. Aplicar políticas
As políticas de segurança da organização devem ser definidas, documentadas e compartilhadas. Também cria o quadro adequado para a aplicação, evitando a incerteza. Nenhum funcionário, contratado, fornecedor ou parceiro deve ter dúvidas sobre qual conduta é apropriada para a política de segurança de sua empresa. Devem estar cientes de sua obrigação de abster-se de compartilhar informações privilegiadas com pessoas não autorizadas.
#5. Incentivar mudanças culturais
Embora a identificação de riscos internos seja crucial, é mais sensato e menos dispendioso desencorajar os usuários de conduta imprópria. O objetivo a esse respeito é incentivar uma mudança cultural em direção à conscientização sobre segurança e transformação digital. Incutir os valores adequados pode ajudar a prevenir o descuido e lidar com as causas do comportamento prejudicial. A satisfação dos funcionários deve ser continuamente medida e melhorada para detectar sinais precoces de descontentamento. Funcionários e outras partes interessadas devem participar frequentemente de programas de treinamento e conscientização de segurança que os informem sobre questões de segurança.
Programa de ameaças internas
Um método testado e comprovado para identificar sinais de alerta antecipados de ameaças internas, prevenir ameaças internas ou minimizar seus efeitos é desenvolver um programa de ameaças internas eficaz e consistente. De acordo com a Publicação Especial 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST), um programa de ameaças internas é “um grupo coordenado de recursos sob gerenciamento centralizado que é organizado para detectar e impedir a divulgação não autorizada de informações confidenciais”. Frequentemente, é referido como um “programa de gerenciamento de ameaças internas” ou “estrutura”.
Um programa de ameaças internas geralmente consiste em etapas para identificar riscos internos, resolvê-los, mitigar seus efeitos e aumentar a conscientização sobre ameaças internas dentro de uma organização. Mas primeiro, vamos ver por que vale a pena investir seu tempo e dinheiro em tal programa antes de nos aprofundarmos mais nos componentes de um programa de ameaças internas e nas práticas recomendadas para implementá-lo.
Etapas para criar um programa eficiente de ameaças internas
Desenvolvemos esta lista de verificação de 10 etapas para ajudá-lo a aproveitar ao máximo seu programa de ameaças internas. Aqui estão 10 métodos que você pode adotar para proteger sua empresa contra ameaças internas.
#1. Prepare-se para criar um programa para combater os riscos internos.
Construir um programa de ameaças internas com sucesso requer preparação, o que também economizará muito tempo e trabalho a longo prazo. Reúna o máximo de dados possível sobre medidas atuais de segurança cibernética, padrões de conformidade e partes interessadas durante esta etapa e decida quais resultados deseja que o programa forneça.
#2. Faça uma análise de risco.
A base de um programa de ameaças internas é definir quais ativos você considera confidenciais. Esses ativos, como informações de clientes e funcionários, segredos comerciais tecnológicos, propriedade intelectual, protótipos etc., podem ser tangíveis e intangíveis. A melhor maneira de encontrar tais ativos e perigos potenciais para eles é conduzir uma avaliação de risco de ameaça externa ou interna.
#3. Determine quanto financiamento é necessário para desenvolver o programa.
Leva tempo e esforço para criar um programa de ameaças internas bem-sucedido. Antes de começar, é crucial perceber que a implementação desse tipo de programa requer mais do que apenas um departamento de segurança cibernética.
#4. Obter o apoio da alta administração.
Nesta fase, você pode usar os dados adquiridos nas etapas anteriores para obter o apoio das principais partes interessadas para colocar o programa em ação. O CEO, o CFO, o CISO e o CHRO estão frequentemente na lista de partes interessadas importantes.
#5. Reúna uma equipe para responder a ameaças internas
Uma equipe de trabalhadores encarregada de todas as fases do gerenciamento de ameaças, desde a detecção até a remediação, é conhecida como “equipe de resposta a ameaças internas”. Ao contrário da crença popular, essa equipe não deve ser composta apenas por profissionais de TI.
#6. Determine as melhores maneiras de detectar ameaças internas.
O aspecto mais crucial de sua defesa contra ameaças internas é a identificação precoce, pois permite uma ação rápida e reduz o custo de reparo. É por isso que o software para conformidade com PCI DSS, HIPAA e NIST 800-171 frequentemente inclui um componente de detecção de ameaças.
#7. Crie planos de reação a incidentes.
Sua equipe de resposta deve praticar cenários típicos de ataque interno para responder rapidamente a um perigo que foi reconhecido. O aspecto mais crucial de uma estratégia de resposta a ameaças internas é que ela deve ser prática e simples de executar.
#8. Planejar a investigação e remediação de incidentes.
Planeje seu processo para analisar problemas de segurança cibernética, bem como possíveis medidas corretivas para mitigar os riscos internos.
#9. Informe sua equipe.
Os tópicos de um curso de treinamento variam dependendo das ameaças de segurança, recursos e métodos empregados por uma determinada empresa. A avaliação do sucesso do treinamento de conscientização de ameaças internas é a última etapa. Você pode fazer isso conduzindo entrevistas com funcionários, criando testes ou simulando um ataque interno para observar como os membros de sua equipe reagem.
#10. Revise seu programa regularmente.
Fazer um programa de ameaças internas é um processo contínuo. Para que seu programa seja eficaz, as ameaças internas devem mudar e se tornar mais sofisticadas e perigosas.
Por que as ameaças internas são tão perigosas
Foram encontradas grandes lacunas na defesa contra ameaças internas, de acordo com um relatório da SANS sobre ameaças avançadas. Essas lacunas são causadas pela falta de dados básicos sobre a conduta normal do usuário, bem como pelo gerenciamento inadequado do controle de acesso de contas de usuários privilegiados, que são os principais alvos de força bruta e ataques de engenharia social, como phishing.
As melhores equipes de segurança ainda têm dificuldade em identificar ameaças internas. Por definição, os insiders têm acesso legal aos ativos e informações da empresa. É difícil dizer a diferença entre atividade legítima e comportamento prejudicial.
O gerenciamento de acesso baseado em funções é um controle inadequado, pois os internos frequentemente sabem onde os dados confidenciais são mantidos e podem ter demandas legítimas de acesso, o que agrava o problema.
Portanto, uma violação de dados causada por informações internas é substancialmente mais cara do que uma causada por agentes de ameaças externas. Os pesquisadores descobriram que o custo médio por registro para um ataque malicioso ou criminoso foi de US$ 166, em comparação com US$ 132 para bugs do sistema e US$ 133 para erros humanos, no relatório Cost of a Data Breach Report de 2019 do Ponemon Institute.
Você pode entender por que criar um programa de ameaças internas é um investimento inteligente quando considera que as ameaças internas são responsáveis por cerca de um terço das violações de dados (Verizon) e 60% dos ataques cibernéticos (IBM).
Soluções de detecção de ameaças internas
Como estão ocultas de soluções de segurança típicas, como firewalls e sistemas de detecção de intrusão, que se concentram em ameaças externas, as ameaças internas podem ser mais difíceis de detectar ou prevenir do que os ataques externos. As medidas de segurança em vigor não poderiam perceber o comportamento incomum se um invasor tirasse proveito de um login autorizado. Além disso, se os internos mal-intencionados estiverem familiarizados com os protocolos de segurança de uma organização, eles poderão evitar a detecção mais prontamente.
Em vez de confiar em uma única solução, você deve diversificar sua estratégia de detecção de ameaças internas para proteger todos os seus ativos. Um sistema eficiente de detecção de ameaças internas integra vários métodos não apenas para monitorar a atividade interna, mas também para eliminar falsos positivos de um grande número de avisos.
Aplicativos para aprendizado de máquina (ML) podem ser usados para avaliar o fluxo de dados e classificar os alertas mais importantes. Para ajudar a identificar, analisar e notificar a equipe de segurança sobre possíveis riscos internos, você pode empregar tecnologias forenses e analíticas digitais, como User and Event Behavior Analytics (UEBA).
Embora o monitoramento da atividade do banco de dados possa ajudar a detectar infrações de política, a análise do comportamento do usuário pode criar uma linha de base para atividades típicas de acesso a dados.
Qual é a ameaça interna mais comum?
As ameaças internas mais comuns
- Acesso Privilegiado Excessivo
- Abuso de privilégio
- Injeção de SQL
- Trilha de Auditoria Fraca
- Inconsistências de banco de dados
- Ataques de phishing
Quais são as três principais motivações para ameaças internas?
- Mal-intencionado: buscar ganhos financeiros ou buscar retribuição por uma ofensa
- Negligente: Descuidado ou ignorante
- Compromisso: Desconhecem o perigo que representam
Quais são as 3 fases de uma ameaça interna?
As principais etapas para mitigar ameaças internas são definir, detectar, identificar, avaliar e gerenciar.
Quais são os 5 principais indicadores de um ator de ameaça interna?
- Tipos de ameaças internas
- Treinamento inadequado
- Processos ineficazes.
- Insatisfação no trabalho.
- Dificuldades financeiras.
Quais são os três principais tipos de ameaças?
Ameaças naturais (como terremotos), ameaças de segurança física (como falta de energia destruindo equipamentos) e ameaças humanas (como atacantes blackhat que podem ser internos ou externos) são as três categorias mais amplas.
O que não é considerado uma ameaça interna?
Um ataque não é considerado uma ameaça interna se vier de uma fonte externa não confiável e não identificada. Para identificar quaisquer hábitos anormais de tráfego, monitoramento avançado e sistemas de registro são necessários para proteção contra ataques internos.
Artigos Relacionados
- INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS: Significado, Ferramentas, Analista e Salário
- INFORMAÇÕES PRIVILEGIADAS: Significado, Exemplos e Ações
- Programas e ideias de fidelidade do cliente (+programas mais bem avaliados em 2023)
- O que é contabilidade forense: visão geral e como funciona
Referências
