Reality Winner e a era das ameaças internas

Promotores alegam que a veterana da Força Aérea dos Estados Unidos Reality Leah Winner, de 25 anos, imprimiu um documento ultrassecreto da NSA que detalhava a atual investigação dos ataques hackers russos nas últimas eleições americanas, que aconteceram em novembro, e enviou ao The Intercept. Isso levanta uma série de questões em relação à proteção de informações sensíveis das ameaças internas.

Winner foi presa na no início de junho de 2017, em sua casa na cidade de Augusta, na Geórgia, nos Estados Unidos. Na ocasião, o FBI disse em sua declaração que ela “admitiu que identificou e imprimiu intencionalmente o relatório sigiloso de inteligência, mantendo-o e enviando-o de Augusta, na Geórgia, para a imprensa, sabendo que não estava autorizada a receber ou possuir documentos”.

Primeiramente, devemos nos perguntar: Winner devia ter acesso a documentos relacionados à investigação? Havia algum processo na Pluribus para revisar periodicamente os controles de acesso e revogar acesso a documentos e e-mails dos quais os funcionários não precisam mais?

De acordo com a declaração, Winner era funcionária da Pluribus International Corporation desde fevereiro de 2017, mas havia ganhado autorização de segurança ultrassecreta em 2013. Apesar de seu acesso ser legítimo, não há indicação de que o documento vazado seja relevante para o seu trabalho. De fato, no depoimento, Winner admite que não tinha necessidade de conhecer essa informação.

A epidemia de acesso global

Isso leva a uma questão muito mais ampla sobre controle de acesso: todo funcionário ou contratado com autorização de alta segurança precisa ter acesso a tudo? Da mesma maneira, o CEO da empresa deve ter acesso a todos os arquivos sensíveis e e-mails da organização? A maioria dos especialistas em segurança argumenta que não. Certamente, isso viola a regra de privilégio mínimo.

Acessos em excesso estão ligados ao aumento dos riscos relacionados às ameaças internas, e o problema só está piorando. Em uma pesquisa recente do Instituto Ponemon, 62% dos usuários finais disseram que têm acesso a dados da empresa que provavelmente não deveriam ter, e 76% dos profissionais de TI disseram que já sofreram perda ou roubo de dados nos últimos dois anos.

A epidemia do acesso global pode resultar em mais problemas quando as contas são comprometidas. Mesmo que Winner não tivesse vazado o documento para a imprensa intencionalmente, se sua conta tivesse sido comprometida por um hacker, essa informação estaria vulnerável.

É preciso pensar ainda se a Pluribus tem uma visão clara de suas informações mais sensíveis. Muitas empresas perderam a noção de onde suas informações sensíveis estão localizadas, quem tem acesso a elas, e quem pode estar agindo mal em relação ao acesso – no Varonis Data Risk Report de 2017, descobrimos que 47% das empresas têm ao menos 1000 arquivos sensíveis abertos para todos os funcionários.

Saiba detectar ameaças internas combinando metadados

Além disso, parece ter havido uma falha na identificação de ameaças internas. Foi só quando a imprensa contatou uma agência de inteligência sem nome que os investigadores federais começaram sua auditoria para determinar quem tinha acesso ao documento vazado. Era consistente com o comportamento normal de Winner acessar arquivos relacionados à investigação dos ataques russos durante as eleições norte-americanas? Mesmo que ela tenha acesso legítimo, pode ter havido anomalias em seus padrões de acesso que poderiam ter soado um alarme de ameaça interna.

Talvez uma das mais interessantes facetas da história é o modo como o The Intercept acidentalmente expôs Winner ao postar uma cópia do documento vazado contendo metadados de rastreamento. Ou seja, Winner acessou os dados e os imprimiu. Os investigadores souberam que o documento era impresso por causa de micropontos invisíveis na página, que podiam levar a uma impressora e a uma data específicas. Isso reduziu a busca a apenas seis usuários, dos quais um deles tinha entrado em contato com o The Intercept por e-mail.

Foi uma combinação de diferentes tipos de metadados forenses que identificou Winner como a responsável pelo vazamento. A descoberta da impressora e da data não teria sido o suficiente sem ser correlacionada ao comportamento por e-mail, mas, juntando os dois, Winner foi conclusivamente identificada.

Quer se proteger das ameaças internas dentro da sua empresa, saiba como a Varonis pode ajudar.