Uma ameaça interna é um risco de segurança que se origina na empresa alvo. Isso não significa que o ator seja um funcionário. Eles podem ser consultores, ex-funcionários, parceiros de negócios ou membros do conselho. De acordo com o estudo 2019 Verizon Data Risk Report, 34% das violações de dados envolvem atores internos e 17% de todos os arquivos confidenciais estavam acessíveis a todos os funcionários.
Então o que esses números dizem? Os insiders têm os recursos, motivações e privilégios necessários para roubarem dados importantes – o que torna um trabalho do CISO identificar e construir uma defesa contra todos esses vetores de ataque.
Qualquer pessoa que tenha conhecimento interno e/ou acesso a dados confidenciais da empresa, TI ou recursos de rede é uma ameaça interna em potencial.
Tipos de ameaças internas
Para proteger sua empresa contra ameaças internas é importante entender como são essas ameaças.
Uma ocorre quando um funcionário ou terceirizado abusa de suas credenciais para ter acesso a informações confidenciais. Gregory Chung, engenheiro da Boeing é um dos casos mais famosos. Chung foi condenado por usar sua autorização de segurança para contrabandear segredos comerciais da empresa para a China em troca de uma pequena fortuna.
O outro caso ocorre quando um funcionário, não intencionalmente, comete um erro que é explorado por um hacker ou que leva à perda ou comprometimento de dados. Seja um laptop perdido, enviando um documento confidencial por engano para a pessoa errado ou executando uma macro maliciosa do Word, ele é um participante não intencional de um incidente de segurança.
Como detectar uma ameaça interna
Existe comportamentos comuns que sugerem uma ameaça interna ativa – seja digitalmente ou pessoalmente. Alguns indicadores podem ajudar a detectar uma ameaça interna.
Sinais de alertas digitais:
- Download ou acesso a quantidades substanciais de dados
- Acessara dados confidenciais não associados à função de trabalho
- Acessar a dados que estão fora do perfil comportamental
- Fazer várias solicitações de acesso a recursos não associados à função de trabalho
- Usar dispositivos de armazenamento não autorizados, por exemplo, unidades USB
- Rastrear a rede em busca de dados confidenciais
- Armazenar dados, cópia de arquivos de pastas confidenciais
- Enviar dados confidenciais por e-mail para fora da empresa
Sinais de alerta comportamentais:
- Tentar ignorar a segurança
- Frequentar o escritório fora do horário comercial ou normal para sua função
- Exibir comportamento que demonstre descontentamento com os colegas de trabalho
- Violar políticas corporativas
- Discutir sobre demissão ou novas oportunidades
Embora os avisos comportamentais possam ser uma indicação de possíveis problemas, a análise forense e análise digital são as formas mais eficientes de detectar ameaças internas. A análise de comportamento do usuário (UBA) e a análise de segurança ajudam a detectar possíveis ameaças internas, analisando e alertando quando um usuário se comporta de forma suspeita ou fora de seu comportamento típico.
Exemplos de ameaças internas
Aqui alguns exemplos recentes de ameaças internas.
- Tesla: Um funcionário sabotou os sistemas e enviou dados de proprietários a terceiros
- Facebook: Um engenheiro de segurança abusou de seu acesso a mulheres que sofreram perseguição
- Coca-Cola: Um usuário malicioso roubou um disco rígido cheio de dados pessoais
- Suntrust Bank: Um insider malicioso roubou dados pessoais, incluindo informações de conta, de 1,5 milhões de clientes e os forneceu a uma organização criminosa.
Combate a ameaças internas
Como as pessoas já estão dentro da empresa, não é possível confiar nos métodos tradicionais de segurança de perímetro para proteger a empresa. Além disso, como é um insider, quem é o principal responsável por lidar com a situação? É TI ou RH? É um questão legal? Ou são todos eles e a equipe de CISO? A criação e a socialização de uma política para agir sobre possíveis ameaças internas precisam vir do topo da empresa.
A chave para explicar e remediar as ameaças internas é ter a abordagem correta – e as soluções certas para detectar e proteger contra essas ameaças.
Plano de defesa e resposta a ameaças internas
- Monitore arquivos, e-mails e atividades em suas principais fontes de dados
- Identifique e descubra onde estão seus dados confidenciais
- Determine quem tem acesso a esses dados e quem deve ter acesso a eles
- Implemente e mantenha um modelo de privilégios mínimos
- Elimine o grupo de acesso global
- Encarregue os proprietários de dados de gerenciar permissões para seus dados e expire o acesso temporário rapidamente
- Aplique análises de segurança para alertar sobre comportamentos anormais, incluindo:
– Tentativas de acessar dados confidenciais que não fazem parte da função normal de trabalho
– Tentativas de obter permissões de acesso a dados confidenciais fora dos processos normais
– Maior atividade em pastas de arquivos confidenciais
– Tentar alterar os logs do sistema ou excluir grandes volumes de dados
– Enviar grandes quantidades de dados por e-mail para fora da empresa, fora da função normal de trabalho- Socialize e treine os funcionários para dotar uma mentalidade de segurança de dados
É igualmente importante ter um plano de resposta para responder a uma possível violação de dados:
- Identifique a ameaça e tome medidas
– Desabilitar e/ou desconectar o usuário quando a atividade ou o comportamento suspeito for detectado
– Determinar quais usuários e arquivos foram afetados
- Verificar a precisão (e gravidade) da ameaça e alertar as equipes apropriadas (Jurídico, RH, TI, CISO)
- Remediar:
– Restaurar dados excluídos, se necessário
– Remover quaisquer direitos de acesso adicionais usados pelo insider
– Analisar e remover qualquer malwear usado duranto o ataque
– Reativar qualquer medida de segurança contornada
- Investigar e executar análise forense relacionada ao incidente de segurança
- Avisar agências reguladoras e de conformidade com alertas
O segredo para se defender contra ameaças internas é monitorar seus dados, coletar informações e acionar alertas sobre comportamento anormal. Entre em contato com nossos especialistas e saiba como a Varonis pode ajudar sua empresa a evitar as ameaças internas