Uma abordagem prática de software para ameaças internas

análise de comportamento do usuário

O roubo de dados internos apresenta diversos desafios para a segurança tradicional de TI. Os “insiders” são funcionários que têm direito de estar na rede, diferentemente dos hackers, por isso, medidas de segurança de perímetro padrão não funcionam. Mas há uma forma de sair desse pesadelo interno.

Uma solução baseada a análise do comportamento do usuário  (UBA) é a chave para prevenir ou mitigar completamente as ameaças interna. O segredo do UBA é sua capacidade de aprender com históricos de log e eventos – como aplicativos ativados, arquivos acessados, logins – quando os comportamentos online dos funcionários são normais e quando caem na zona de perigo. 

Infelizmente, a ameaça interna faz um caminho mais sinuoso que o trilhado pelos hackers externos. Funcionários têm acesso a dados importantes como parte de seu trabalho e embora o UBA possa identifcar tentativas incomuns de acesso, mesmo entre funcionários, as empresas precisam adotar uma abordagem multacetada para esse tipo de roubo. Isso pode incluir a criação e comunicação de políticas de privacidade dos funcionários, além de detectar e trabalhar com funcionários descontentes para impedir que se tornem ameaças. 

Quem são os funcionários que cometem roubos cibernéticos? 

Estudos sobre os motivos que levam os funcionários a cometerem roubos cibernéticos mostram três motivações principais: roubo por ganho financeiro, roubo por vantagem comercial e sabotagem de TI.

Roubar dinheiro é o motivo mais óbvio para o roubo de informações privilegiadas. É provável que esse tipo de fraude seja feito por funcionários não técnicos de nível inferior, geralmente em cooperação com pessoas de fora. Eram funcionários, normalmente, com problemas financeiros que usavam seu nível de autorização para modificar históricos de crédito, ajusta benefíciuos ou criar credenciais de login falsas – tudo mediante propina. Esse tipo de roubo pode não ganhar muito destaque, mas especialistas em segurança dizem que 5% das empresas perdem dinheiro com fraudes devido ao acesso não autorizado aos seus sistemas. 

Se olharmos além do roubo de informações priivilegiadas para obter ganhos financeiros, começaremos a ver um tipo diferente de informação privilegiada. Quem sabota a TI e a propriedade intelectual ou efetua o roubo de IP são funcionários que conseguiram acesso às credenciais de outro funcionário ou já têm acesso a recursos confidenciais. Esses roubos podem levar a grandes ações judiciais com potencial para prejuízos enormes –  por exemplo, o processo do Google contra o Uber por roubo de IP. 

Sinais de alerta precoce 

Por que os “insiders” praticam crimes? Especialistas observam que geralmente há um evento desencadeador: uma demissão, ou disputa com o empragador, rebaixamento ou insatisfação com um aumento salarial.  Em outras palavras, frequentemente há fortes elementos psicológicos envolvidos.

Como funcionários, é claro, os profissionais não precisam de software ou ferramentas externas ou malware especial para obter sucesso. Por isso, fica ainda mais difícil de serem detectados. No entanto, eles exibem atividades precursoras que envolvem a execucação de uma avaliação do roubo – isso pode envolver a exploração e diretórios de pesquisa, verificação de permissões e cópia seletiva de código ou outro conteúdo confidencial.  

Essas atividades parecem ser uma maneira do funcionário testar se a empresa está monitorando e, curiosamente, se estão preocupados com esse tipo de acesso. Se ninguém falar nada, não há problema em copiar todo o sistema em uma unidade USB. 

É importante que esses funcionários saibam que estão sendo observados e empresas inteligentes, informam todos os funcionários sobre suas políticas internas de privacidade. 

Análise de comportamento do usuário 

A tecnologia UBA procura por padrões que indiquem comportamentos incomuns ou anômalos. À medida que o funcionário procura por arquivos em preparação para o ataque, geralmente em áreas que não acessa normalmente, o UBA nota esse novo padrão e emite um alerta para a equipe de segurança apropriada.

Para que o UBA funcione é necessário um registro ou histórico de atividades e eventos online – logs do sistema ou de eventos, acesso a arquivos e atividades de rede. Os algoritmos do UBA aprendem com esses conjuntos de dados para que possam entender o que é o uso normal. Então, quando um funcionário se tornar uma ameaça, o UBA pode detectar. 

Um bom monitoramento proativo de arquivos e redes, com a emissão de alertas quando os primeiros sinais de problemas comportamentais surgirem é a melhor estratégia.  Além disso, deve haver programas contínuos de treinamento em conscientização sobre segurança em toda a empresa. Há evidências que os “insiders” ao saberem das políticas de segurança e que podem ser monitorados, desistem de seus planos. O envio de uma notificação ao funcionário, por exemplo, no momento em que uma atividade incomum foi detectada, lembrando sobre as poíticas de segurança, pode evitar problemas graves. 

O diferencial do UBA , em comparação com outros métodos, está na sua capacidade de aprender com os padrões históricos. O UBA pode analisar um histórico de atividades é especialmente adequado para detectar roubo de informações privilegiadas por IP. E se o UBA não impedir o ataque, lembre-se de que seus logs de auditoria e outros resultados de monitoramento podem ser muito úteis em processos para provar que o roubo ocorreu. 

Para prevenir vazamentos de dados em tempo real, a Varonis conta com diversos modelos de ameaças UBA. Analise, detecte e previa violações com uma análise profunda do comportamento do usuário. O Varonis DatAlert descrobre problemas de segurança rapidaente. Solicite um teste grátis.