Ameaça interna: conheça os diferentes tipos e proteja-se

Ameaças internas

Uma ameaça interna é um risco de segurança que se origina na empresa alvo. Isso não significa que o ator seja um funcionário. Eles podem ser consultores, ex-funcionários, parceiros de negócios ou membros do conselho. De acordo com o estudo 2019 Verizon Data Risk Report, 34% das violações de dados envolvem atores internos e 17% de todos os arquivos confidenciais estavam acessíveis a todos os funcionários.

Então o que esses números dizem? Os insiders têm os recursos, motivações e privilégios necessários para roubarem dados importantes – o que torna um trabalho do CISO identificar e construir uma defesa contra todos esses vetores de ataque.

Qualquer pessoa que tenha conhecimento interno e/ou acesso a dados confidenciais da empresa, TI ou recursos de rede é uma ameaça interna em potencial.

Tipos de ameaças internas

Para proteger sua empresa contra ameaças internas é importante entender como são essas ameaças.

Uma ocorre quando um funcionário ou terceirizado abusa de suas credenciais para ter acesso a informações confidenciais.  Gregory Chung, engenheiro da Boeing é um dos casos mais famosos. Chung foi condenado por usar sua autorização de segurança para contrabandear segredos comerciais da empresa para a China em troca de uma pequena fortuna.

O outro caso ocorre quando um funcionário, não intencionalmente, comete um  erro que é explorado por um hacker ou que leva à perda ou comprometimento de dados. Seja um laptop perdido, enviando um documento confidencial por engano para a pessoa errado ou executando uma macro maliciosa do Word, ele é um participante não intencional de um incidente de segurança.

Como detectar uma ameaça interna

Existe comportamentos comuns que sugerem uma ameaça interna ativa – seja digitalmente ou pessoalmente. Alguns indicadores podem ajudar a detectar uma ameaça interna.

Sinais de alertas digitais:

  • Download ou acesso a quantidades substanciais de dados
  • Acessara dados confidenciais não associados à função de trabalho
  • Acessar a dados que estão fora do perfil comportamental
  • Fazer várias solicitações de acesso a recursos não associados à função de trabalho
  • Usar dispositivos de armazenamento não autorizados, por exemplo, unidades USB
  • Rastrear a rede em busca de dados confidenciais
  • Armazenar dados, cópia de arquivos de pastas confidenciais
  • Enviar dados confidenciais por e-mail para fora da empresa

Sinais de alerta comportamentais:

  • Tentar ignorar a segurança
  • Frequentar o escritório fora do horário comercial ou normal para sua função
  • Exibir comportamento que demonstre descontentamento com os colegas de trabalho
  • Violar políticas corporativas
  • Discutir sobre demissão ou novas oportunidades

Embora os avisos comportamentais possam ser uma indicação de possíveis problemas, a análise forense e análise digital são as formas mais eficientes de detectar ameaças internas. A análise de comportamento do usuário (UBA) e a análise de segurança ajudam a detectar possíveis ameaças internas, analisando e alertando quando um usuário se comporta de forma suspeita ou fora de seu comportamento típico.

Exemplos de ameaças internas

Aqui alguns exemplos recentes de ameaças internas.

  • Tesla: Um funcionário sabotou os sistemas e enviou dados de proprietários a terceiros
  • Facebook: Um engenheiro de segurança abusou de seu acesso a mulheres que sofreram perseguição
  • Coca-Cola: Um usuário malicioso roubou um disco rígido cheio  de dados pessoais
  • Suntrust Bank: Um insider malicioso roubou dados pessoais, incluindo informações de conta, de 1,5 milhões de clientes e os forneceu a uma organização criminosa.

Combate a ameaças internas

Como as pessoas já estão dentro da empresa, não é possível confiar nos métodos tradicionais de segurança de perímetro para proteger a empresa. Além disso, como é um insider, quem é o principal responsável por lidar com a situação? É TI ou RH? É um questão legal? Ou são todos eles e a equipe de CISO? A criação e a socialização de uma política para agir sobre possíveis ameaças internas precisam vir do topo da empresa.

A chave para explicar e remediar as ameaças internas é ter a abordagem correta – e as soluções certas para detectar e proteger contra essas ameaças.

Plano de defesa e resposta a ameaças internas

  • Monitore arquivos, e-mails e atividades em suas principais fontes de dados
  • Identifique e descubra onde estão seus dados confidenciais
  • Determine quem tem acesso a esses dados e quem deve ter acesso a eles
  • Implemente e mantenha um modelo de privilégios mínimos
  • Elimine o grupo de acesso global
  • Encarregue os proprietários de dados de gerenciar permissões para seus dados e expire o acesso temporário rapidamente
  • Aplique análises de segurança para alertar sobre comportamentos anormais, incluindo:

  • – Tentativas de acessar dados confidenciais que não fazem parte da função normal de trabalho
    – Tentativas de obter permissões de acesso a dados confidenciais fora dos processos normais
    – Maior atividade em pastas de arquivos confidenciais
    – Tentar alterar os logs do sistema ou excluir grandes volumes de dados
    – Enviar grandes quantidades de dados por e-mail para fora da empresa, fora da função normal de trabalho
  • Socialize e treine os funcionários para dotar uma mentalidade de segurança de dados

É igualmente importante ter um plano de resposta para responder a uma possível violação de dados:

  • Identifique a ameaça e tome medidas
    – Desabilitar e/ou desconectar o usuário quando a atividade ou o comportamento suspeito for detectado
    – Determinar quais usuários e arquivos foram afetados
  • Verificar a precisão (e gravidade) da ameaça e alertar as equipes apropriadas (Jurídico, RH, TI, CISO)
  • Remediar:
    – Restaurar dados excluídos, se necessário
    – Remover quaisquer direitos de acesso adicionais usados pelo insider
    – Analisar e remover qualquer malwear usado duranto o ataque
    – Reativar qualquer medida de segurança contornada
  • Investigar e executar análise forense relacionada ao incidente de segurança
  • Avisar agências reguladoras e de conformidade com alertas

O segredo para se defender contra ameaças internas é monitorar seus dados, coletar informações e acionar alertas sobre comportamento anormal. Entre em contato com nossos especialistas e saiba como a Varonis pode ajudar sua empresa a evitar as ameaças internas