Ameaças internas: o perigo de dentro

17. agosto 2021
| Sem comentários
Ameaças internas: o perigo de dentro

Compartilhar postagem

A maioria das empresas se concentra em invasores externos na luta contra o cibercrime. Mas uma ameaça crescente também está à espreita dentro de suas próprias fileiras. Os especialistas em segurança de TI da FireEye Mandiant preveem que 33% de todos os incidentes de segurança em 2021 serão causados ​​por ameaças internas. O que as empresas podem fazer para se proteger?

O acesso legítimo é o princípio e o fim de tudo - os funcionários o possuem e os invasores o desejam. De nada adianta a melhor trava de segurança na porta se o criminoso já estiver lá dentro. Todo fanático por crimes sabe disso. A situação é semelhante aos ataques cibernéticos que vêm de dentro das próprias fileiras da empresa. Eles são particularmente perigosos porque os perpetradores são pessoas em quem realmente confiamos. É ainda mais preocupante que o número de ameaças internas esteja aumentando significativamente. Em 2019 e 2020, as equipes da Mandiant viram mais casos do que nunca de infiltrados comprometendo sistemas críticos para os negócios, expondo dados confidenciais ou chantageando seus empregadores. Tais incidentes podem causar danos financeiros significativos e prejudicar a reputação.

Quem está por trás dos ataques internos

A maioria das ameaças internas pode ser rastreada até funcionários negligentes que não têm más intenções, mas fornecem aos hackers uma porta de entrada por descuido. No entanto, também existem ataques direcionados por pessoas de dentro. Assim como os ataques de atores externos, eles geralmente ocorrem por um longo período de tempo. Os atacantes geralmente tentam passar despercebidos e encobrir suas atividades. Em alguns casos, eles até usam as contas de outros funcionários para desviar a atenção de si mesmos.

Por trás dos ataques internos não está mais apenas o ex-funcionário descontente que quer se vingar de seu ex-empregador ou roubá-lo. Em essência, qualquer pessoa com acesso a redes, sistemas e dados representa um risco potencial. Pode ser seu próprio funcionário, bem como seu negócio ou parceiro da cadeia de suprimentos. Organizações com propriedade intelectual significativa ou empresas que se fundem, são adquiridas ou passam por mudanças e desafios significativos correm maior risco de se tornarem vítimas de pessoas mal-intencionadas.

Ao contrário do que se poderia esperar, os atores hoje muitas vezes não agem sozinhos, mas em grupos que incluem administradores de TI e membros da equipe de ameaças internas que impedem alertas e investigações. Membros parciais desse grupo estão fora das empresas, como organizações criminosas e até mesmo governamentais que realizam atividades técnicas para permitir o acesso e roubo de dados.

As quatro ameaças internas mais comuns

Os investigadores da Mandiant examinaram vários tipos de ataques internos na prática. Quatro tendências estão surgindo:

chantagem digital

O insider malicioso ameaça liberar dados roubados e pode fingir ser um hacker externo. O insider geralmente exige um resgate em uma moeda digital como o Bitcoin.

espionagem industrial

Nesse cenário, o insider mal-intencionado rouba propriedade intelectual e compartilha os dados com terceiros, incluindo agentes do governo, em troca de remuneração ou oportunidade de emprego.

Destruição de ativos

O insider mal-intencionado tenta interromper sistemas críticos para os negócios, causar uma falha operacional ou destruir estoques de dados importantes.

Perseguição

Jon Ford, diretor administrativo de serviços governamentais globais e soluções de segurança contra ameaças internas da Mandiant (Imagem: FireEye).

O insider mal-intencionado obtém acesso a dados confidenciais de funcionários ou contas de usuários de colegas para obter informações pessoais.

Quando se trata de tentativas de chantagem, as empresas estão sob enorme pressão: devem cumprir as exigências ou devem tentar identificar o insider o mais rápido possível? E se isso não acontecer a tempo? Compreender os cenários de ataque e rastrear os perpetradores é complexo. Os principais desafios para as equipes de segurança em uma tentativa de extorsão são: 1) determinar se os dados foram realmente roubados e 2) distinguir entre um incidente interno e um ataque de terceiros mal-intencionados. Isso requer uma combinação de perícia técnica, inteligência de ameaças e métodos investigativos tradicionais. Especialistas externos fornecem análises independentes e experiência significativa para isso.

Dessa forma, as empresas podem se proteger contra riscos internos

As organizações precisam combinar tecnologia e vigilância e educar seus funcionários sobre os perigos das ameaças internas por meio de treinamento regular para detectar com eficácia os ataques internos. Para evitar que as coisas aconteçam, as empresas devem estar cientes do perigo representado por ameaças internas e tomar as medidas de proteção apropriadas. Cinco dicas para minimizar os riscos:

  • Invista em uma solução de prevenção de perda de dados de ameaças internas. Ele reconhece comportamento malicioso, dispara um alarme e pode bloquear ações, se necessário. A solução deve funcionar com e sem conexão com a Internet.
  • Proteja todos os ambientes em suas redes com controles de acesso. Cada usuário, desenvolvedor e administrador deve receber apenas os direitos absolutamente necessários para seu trabalho diário. Limite ao mínimo o número de funcionários com permissão para criar novas contas em ambientes locais e na nuvem.
  • Envie dados de log e agregação de eventos para um SIEM (Security Information and Event Management). Isso garante a autenticidade dos logs e impede que um invasor os exclua ou manipule.
  • Implemente a segmentação de rede. Ao separar áreas de rede com controles de segurança, você impede que um invasor se espalhe sem restrições. Você também deve limitar o tráfego desnecessário entre ambientes altamente confidenciais e menos confiáveis. Todos os sistemas que não precisam necessariamente ser acessíveis ao público devem ser separados do acesso público.
  • Garanta um desembarque seguro. Se um funcionário deixar a empresa, você deve bloquear imediatamente o acesso à rede dele. Todas as chaves SSH, arquivos PEM e senhas que a pessoa teve acesso devem ser alteradas para todos os ambientes. A autenticação multifator (MFA) também deve ser desativada imediatamente.

Avaliações periódicas são importantes

Para mitigar o risco de ameaças internas, as organizações precisam de processos de prevenção de perda de dados, funcionalidade SIEM, análise comportamental e uma equipe dedicada. As três áreas principais de pessoas, processos e ferramentas devem ser consideradas aqui. As investigações sobre ameaças internas devem ser baseadas em evidências que refutem a criação de perfis e resistam ao escrutínio legal. Os especialistas externos podem revisar os recursos existentes para maximizar o investimento, acelerar a criação de um novo programa de ameaças internas ou aprimorar um programa existente com base em anos de catalogação das melhores práticas em todo o setor. Como os requisitos podem mudar rapidamente, é importante realizar avaliações de segurança regularmente. Eles permitem descobrir vulnerabilidades e melhorar continuamente a postura de segurança. Dessa forma, as empresas recebem um roteiro individual para se protegerem de forma eficaz contra ataques internos e seus efeitos.

Mais em FireEye.com

 

Sobre a Trellix

A Trellix é uma empresa global que está redefinindo o futuro da cibersegurança. A plataforma aberta e nativa de detecção e resposta estendida (XDR) da empresa ajuda as organizações que enfrentam as ameaças mais avançadas de hoje a ganhar a confiança de que suas operações estão protegidas e resilientes. Os especialistas em segurança da Trellix, juntamente com um amplo ecossistema de parceiros, aceleram a inovação tecnológica por meio de aprendizado de máquina e automação para oferecer suporte a mais de 40.000 clientes empresariais e governamentais.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

mensagens de relações públicas
, , , ,