A maioria das empresas se concentra em invasores externos na luta contra o cibercrime. Mas uma ameaça crescente também está à espreita dentro de suas próprias fileiras. Os especialistas em segurança de TI da FireEye Mandiant preveem que 33% de todos os incidentes de segurança em 2021 serão causados por ameaças internas. O que as empresas podem fazer para se proteger?
O acesso legítimo é o princípio e o fim de tudo - os funcionários o possuem e os invasores o desejam. De nada adianta a melhor trava de segurança na porta se o criminoso já estiver lá dentro. Todo fanático por crimes sabe disso. A situação é semelhante aos ataques cibernéticos que vêm de dentro das próprias fileiras da empresa. Eles são particularmente perigosos porque os perpetradores são pessoas em quem realmente confiamos. É ainda mais preocupante que o número de ameaças internas esteja aumentando significativamente. Em 2019 e 2020, as equipes da Mandiant viram mais casos do que nunca de infiltrados comprometendo sistemas críticos para os negócios, expondo dados confidenciais ou chantageando seus empregadores. Tais incidentes podem causar danos financeiros significativos e prejudicar a reputação.
Quem está por trás dos ataques internos
A maioria das ameaças internas pode ser rastreada até funcionários negligentes que não têm más intenções, mas fornecem aos hackers uma porta de entrada por descuido. No entanto, também existem ataques direcionados por pessoas de dentro. Assim como os ataques de atores externos, eles geralmente ocorrem por um longo período de tempo. Os atacantes geralmente tentam passar despercebidos e encobrir suas atividades. Em alguns casos, eles até usam as contas de outros funcionários para desviar a atenção de si mesmos.
Por trás dos ataques internos não está mais apenas o ex-funcionário descontente que quer se vingar de seu ex-empregador ou roubá-lo. Em essência, qualquer pessoa com acesso a redes, sistemas e dados representa um risco potencial. Pode ser seu próprio funcionário, bem como seu negócio ou parceiro da cadeia de suprimentos. Organizações com propriedade intelectual significativa ou empresas que se fundem, são adquiridas ou passam por mudanças e desafios significativos correm maior risco de se tornarem vítimas de pessoas mal-intencionadas.
Ao contrário do que se poderia esperar, os atores hoje muitas vezes não agem sozinhos, mas em grupos que incluem administradores de TI e membros da equipe de ameaças internas que impedem alertas e investigações. Membros parciais desse grupo estão fora das empresas, como organizações criminosas e até mesmo governamentais que realizam atividades técnicas para permitir o acesso e roubo de dados.
As quatro ameaças internas mais comuns
Os investigadores da Mandiant examinaram vários tipos de ataques internos na prática. Quatro tendências estão surgindo:
chantagem digital
O insider malicioso ameaça liberar dados roubados e pode fingir ser um hacker externo. O insider geralmente exige um resgate em uma moeda digital como o Bitcoin.
espionagem industrial
Nesse cenário, o insider mal-intencionado rouba propriedade intelectual e compartilha os dados com terceiros, incluindo agentes do governo, em troca de remuneração ou oportunidade de emprego.
Destruição de ativos
O insider mal-intencionado tenta interromper sistemas críticos para os negócios, causar uma falha operacional ou destruir estoques de dados importantes.
Perseguição
O insider mal-intencionado obtém acesso a dados confidenciais de funcionários ou contas de usuários de colegas para obter informações pessoais.
Quando se trata de tentativas de chantagem, as empresas estão sob enorme pressão: devem cumprir as exigências ou devem tentar identificar o insider o mais rápido possível? E se isso não acontecer a tempo? Compreender os cenários de ataque e rastrear os perpetradores é complexo. Os principais desafios para as equipes de segurança em uma tentativa de extorsão são: 1) determinar se os dados foram realmente roubados e 2) distinguir entre um incidente interno e um ataque de terceiros mal-intencionados. Isso requer uma combinação de perícia técnica, inteligência de ameaças e métodos investigativos tradicionais. Especialistas externos fornecem análises independentes e experiência significativa para isso.
Dessa forma, as empresas podem se proteger contra riscos internos
As organizações precisam combinar tecnologia e vigilância e educar seus funcionários sobre os perigos das ameaças internas por meio de treinamento regular para detectar com eficácia os ataques internos. Para evitar que as coisas aconteçam, as empresas devem estar cientes do perigo representado por ameaças internas e tomar as medidas de proteção apropriadas. Cinco dicas para minimizar os riscos:
- Invista em uma solução de prevenção de perda de dados de ameaças internas. Ele reconhece comportamento malicioso, dispara um alarme e pode bloquear ações, se necessário. A solução deve funcionar com e sem conexão com a Internet.
- Proteja todos os ambientes em suas redes com controles de acesso. Cada usuário, desenvolvedor e administrador deve receber apenas os direitos absolutamente necessários para seu trabalho diário. Limite ao mínimo o número de funcionários com permissão para criar novas contas em ambientes locais e na nuvem.
- Envie dados de log e agregação de eventos para um SIEM (Security Information and Event Management). Isso garante a autenticidade dos logs e impede que um invasor os exclua ou manipule.
- Implemente a segmentação de rede. Ao separar áreas de rede com controles de segurança, você impede que um invasor se espalhe sem restrições. Você também deve limitar o tráfego desnecessário entre ambientes altamente confidenciais e menos confiáveis. Todos os sistemas que não precisam necessariamente ser acessíveis ao público devem ser separados do acesso público.
- Garanta um desembarque seguro. Se um funcionário deixar a empresa, você deve bloquear imediatamente o acesso à rede dele. Todas as chaves SSH, arquivos PEM e senhas que a pessoa teve acesso devem ser alteradas para todos os ambientes. A autenticação multifator (MFA) também deve ser desativada imediatamente.
Avaliações periódicas são importantes
Para mitigar o risco de ameaças internas, as organizações precisam de processos de prevenção de perda de dados, funcionalidade SIEM, análise comportamental e uma equipe dedicada. As três áreas principais de pessoas, processos e ferramentas devem ser consideradas aqui. As investigações sobre ameaças internas devem ser baseadas em evidências que refutem a criação de perfis e resistam ao escrutínio legal. Os especialistas externos podem revisar os recursos existentes para maximizar o investimento, acelerar a criação de um novo programa de ameaças internas ou aprimorar um programa existente com base em anos de catalogação das melhores práticas em todo o setor. Como os requisitos podem mudar rapidamente, é importante realizar avaliações de segurança regularmente. Eles permitem descobrir vulnerabilidades e melhorar continuamente a postura de segurança. Dessa forma, as empresas recebem um roteiro individual para se protegerem de forma eficaz contra ataques internos e seus efeitos.
Mais em FireEye.com
Sobre a Trellix A Trellix é uma empresa global que está redefinindo o futuro da cibersegurança. A plataforma aberta e nativa de detecção e resposta estendida (XDR) da empresa ajuda as organizações que enfrentam as ameaças mais avançadas de hoje a ganhar a confiança de que suas operações estão protegidas e resilientes. Os especialistas em segurança da Trellix, juntamente com um amplo ecossistema de parceiros, aceleram a inovação tecnológica por meio de aprendizado de máquina e automação para oferecer suporte a mais de 40.000 clientes empresariais e governamentais.