Cada vez mais as organizações estão encontrando soluções para enfrentar as ameaças externas à segurança. Mas será que estão preparadas para enfrentar as ameaças que surgem de dentro da organização? Administradores de TI e analistas de segurança são os que geralmente monitoram as atividades dos funcionários, mas e se eles se tornarem uma ameaça para a organização? Continue lendo para saber mais sobre ameaças internas.
Um agente interno (ou, em inglês, insider) é uma pessoa que é uma identidade reconhecida dentro de uma organização. Agentes internos podem ser funcionários, fornecedores, contratados ou parceiros atuais ou antigos que tenham acesso autorizado aos ativos confidenciais da organização, como registros financeiros. Contadores, desenvolvedores de software, administradores de TI e analistas são alguns exemplos de agentes internos.
As ameaças internas se originam de funcionários ou usuários de uma rede que, de maneira intencional ou não, exploram vulnerabilidades, expõem dados confidenciais ou fazem algo como baixar acidentalmente software maliciosos, resultando em um ataque. Por exemplo: um contador que vaza os registros financeiros de sua organização é um caso de ameaça interna.
As ameaças internas são uma preocupação crescente para muitas organizações. O Relatório de Investigações de Violação de Dados da Verizon 2021 sugere que, no ano de 2021, agentes internos foram responsáveis por cerca de 22% dos incidentes de segurança.
Agentes internos maliciosos são aqueles que se envolvem intencionalmente em atividades maliciosas. Eles têm uma vantagem sobre os invasores externos, pois estão familiarizados com a rede corporativa, seus protocolos de segurança, processos e podem possuir as credenciais privilegiadas necessárias para realizar o ataque.
Você sabia?
De acordo com os serviços secretos russos, funcionários do principal laboratório de pesquisa nuclear da Rússia foram presos em 2018 por suspeita de explorar um poderoso supercomputador para mineração de bitcoin.
Agentes internos negligentes são aqueles que expõem dados involuntariamente ou exploram uma vulnerabilidade. Ou seja, são funcionários que são descuidados e muitas vezes desconhecem os vários riscos de segurança que suas ações representam. Eles não têm nenhum motivo para prejudicar a organização, mas suas ações colocam a organização em risco mesmo assim. Incidentes de segurança devido a agentes negligentes são um dos tipos mais comuns de ameaças internas.
Agentes internos comprometidos são os usuários cujas contas são tomadas por adversários externos. Isso geralmente ocorre quando os funcionários são vítimas de golpes de phishing ou ataques de comprometimento de e-mail comercial (BEC), ou quando baixam malware sem saber. Os invasores também podem usar credenciais vazadas para comprometer uma conta e se passar por funcionário.
Você sabia?
Em 2020, funcionários do Twitter foram contatados por um grupo de hackers que fingiam ser administradores de TI do Twitter. Eles convenceram alguns funcionários a revelar as senhas de suas contas durante essas ligações. Isso levou a uma queda de 4% no preço das ações do Twitter.
Os usuários que não fazem parte da folha de pagamento da organização, mas têm certos privilégios para acessar a rede da empresa, são chamados de agentes internos terceirizados. Eles incluem fornecedores, contratados e parceiros de negócios que têm acesso à rede da organização. Muitas vezes, os administradores de TI não monitoram essas atividades de usuários de terceiros. É por isso que os invasores muitas vezes visam esses usuários para lançar ataques.
Você sabia?
Em 2020, pelo menos 10 universidades no Reino Unido, EUA e Canadá tiveram dados de estudantes roubados depois que hackers atacaram um provedor de computação em nuvem terceirizado.
Agentes internos em concluio são aqueles que trabalham com agentes externos de ameaças maliciosas para se infiltrar na segurança e na privacidade de uma organização. Esses agentes são raros, mas a possibilidade de agentes de ameaças unirem forças com funcionários de uma organização pela dark web é significativamente perigosa.
Shadow TI é o uso de aplicativos, hardware e serviços de terceiros por funcionários sem a aprovação do administrador de TI. Os funcionários se envolvem em shadow TI porque isso melhora sua produtividade. Já os adversários aproveitam o shadow TI para se esconder na rede por longos períodos e realizar ataques persistentes.
A engenharia social desempenha um papel imperativo nos ataques BEC. Esse ataque envolve enganar alguém dentro da empresa para cometer um erro de segurança, fazer um pagamento fraudulento ou divulgar informações críticas. Embora a engenharia social seja teoricamente uma ameaça externa, ela só é eficaz se um agente interno puder ser persuadido a fornecer informações. Os agentes de ameaças usam termos como imediato e urgente em suas linhas de assunto de e-mail com o objetivo de provocar uma resposta do funcionário.
Os dados confidenciais podem ser compartilhados publicamente por funcionários com partes, entidades e usuários não autorizados. Isso pode ser feito até involuntariamente pelos funcionários. Por exemplo: dois funcionários podem compartilhar arquivos entre si em uma conexão Wi-Fi pública, que não é monitorada pelo administrador de TI e pode estar sujeita a ameaças externas de segurança.
Em alguns casos, depois que os funcionários se desconectam do dia, eles levam seus dispositivos de escritório, como seus laptops, para casa. Como esses dispositivos não estão nas instalações da empresa, eles se tornam vulneráveis a roubos durante um arrombamento doméstico. Em 2006, um analista de dados levou para casa um disco rígido que armazenava os dados pessoais de 26,5 milhões de veteranos militares dos EUA. Mais tarde, foi roubado em um assalto à residência e o FBI afirmou que o analista de dados não estava autorizado a levar o disco rígido para casa.
A maioria dos problemas acima acontecem devido a erro humano. As organizações muitas vezes acham desafiador prevenir o erro humano, uma vez que as ações rotuladas como "erro humano" geralmente são simplesmente o resultado do comportamento humano normal. Ainda assim, as organizações precisam se concentrar em minimizar os erros humanos dos funcionários. Se esse erro ocorrer, a organização deve estar preparada e equipada com ferramentas de segurança adequadas para executar prontamente ações para impedir qualquer dano adicional.
Educar e treinar os funcionários pode desempenhar um papel imperativo na prevenção de agentes internos comprometidos e negligentes. As organizações devem garantir que os funcionários estejam cientes dos riscos de segurança que suas ações representam e como elas podem ser gerenciadas com segurança. O treinamento de segurança cibernética deve ser realizado regularmente. As organizações podem realizar testes desinformados enviando e-mails de phishing para testar os funcionários, e os funcionários que falharem no teste podem ser treinados adequadamente. Os funcionários também devem ser treinados para reconhecer e relatar qualquer atividade suspeita entre seus colegas para seus gerentes ou administradores de TI.
As organizações precisam adotar Zero Trust e MFA para garantir que os usuários tenham o acesso certo aos recursos certos no momento certo. Outra parte importante da prevenção de ameaças internas é documentar as políticas organizacionais. Procedimentos para prevenir e detectar condutas prejudiciais juntamente com protocolos de resposta a incidentes devem ser incluídos na política. Todo colaborador deve estar ciente dos protocolos de segurança e compreender seus direitos de propriedade intelectual (IP) para que o conteúdo privilegiado por eles desenvolvido não seja exposto ou compartilhado.
Alguns dos ativos críticos da organização incluirão detalhes financeiros, registros legais e propriedade intelectual, como esquemas, software proprietário e dados de clientes. Os administradores de TI devem identificar quem tem acesso ao inventário da organização. Essas informações auxiliam em um diagnóstico mais abrangente da vulnerabilidade dos ativos e quais ações precisam ser tomadas.
A análise de comportamento de usuários e entidades (UEBA) usa aprendizado de máquina, modelos estatísticos e algoritmos para monitorar e analisar qualquer atividade suspeita de usuários e dispositivos na rede. Os funcionários têm sua própria rotina de trabalho exclusiva, que é usada como base para seu comportamento. Qualquer coisa que se desvie desse comportamento normal é considerada uma anomalia e o administrador de TI é alertado. Como as soluções UEBA usam aprendizado profundo e outros métodos analíticos para realizar ações automatizadas, todo o processo é fácil.
O combate a ameaças internas é complicado, pois qualquer pessoa dentro da organização pode se tornar um agente de ameaças. A detecção de ameaças internas pode ser um desafio porque a detecção se concentra mais na proatividade do que na capacidade de resposta. É como prever o futuro e tomar as devidas precauções. Requer muito esforço para garantir constantemente que essas ameaças não estejam escondidas ao virar da esquina.
As organizações precisam de um mecanismo robusto de inteligência de ameaças que as capacite a tomar ações decisivas para prevenir e prevenir ataques cibernéticos. É aqui que a UEBA pode ajudar. Com as soluções UEBA, a caça a ameaças ocorre automaticamente e informa os administradores de TI se os funcionários estiverem envolvidos em atividades maliciosas. A implementação de uma solução UEBA pode reforçar a infraestrutura de segurança cibernética de uma organização, ajudando os administradores a detectar, investigar e corrigir proativamente logins maliciosos, movimentos laterais, abuso de privilégios, violações de dados e malware.