好色先生TV

Tópicos técnicos

O que é um Insider Threat?

Ilustra??o de itens de TI com foco em um ponto de interroga??o

Vis?o geral

Uma amea?a interna refere-se a um risco de seguran?a cibernética que se origina dentro de uma organiza??o. Normalmente, ocorre quando um funcionário atual ou antigo, contratado, fornecedor ou parceiro com credenciais de usuário legítimas usa indevidamente seu acesso em detrimento das redes, dos sistemas e dos dados da organiza??o. Uma amea?a interna pode ser executada de forma intencional ou n?o intencional. Independentemente da inten??o, o resultado final é o comprometimento da confidencialidade, disponibilidade e/ou integridade dos sistemas e dados da empresa.

As amea?as internas s?o a causa da maioria das viola??es de dados. As estratégias, políticas, procedimentos e sistemas tradicionais de seguran?a cibernética geralmente se concentram em amea?as externas, deixando a organiza??o vulnerável a ataques internos. Como o insider já tem autoriza??o válida para dados e sistemas, é difícil para os profissionais e aplicativos de seguran?a distinguir entre atividades normais e prejudiciais.

Os insiders mal-intencionados têm uma vantagem distinta sobre outras categorias de atacantes mal-intencionados devido à sua familiaridade com os sistemas, processos, procedimentos, políticas e usuários da empresa. Eles est?o bem cientes das vers?es do sistema e das vulnerabilidades existentes. Portanto, as organiza??es devem enfrentar as amea?as internas com pelo menos o mesmo rigor com que lidam com as amea?as externas.

Práticas recomendadas de preven??o comprovada contra amea?as internas

Entenda a anatomia das amea?as internas. Aprenda com especialistas do setor e com seus colegas sobre como superar seus adversários com o programa de preven??o correto.

Tipos de amea?as internas

Amea?as internas maliciosas

Também chamado de turn-cloak, os principais objetivos das amea?as internas mal-intencionadas incluem espionagem, fraude, roubo de propriedade intelectual e sabotagem. Eles abusam intencionalmente de seu acesso privilegiado para roubar informa??es ou degradar sistemas por motivos financeiros, pessoais e/ou maliciosos. Os exemplos incluem um funcionário que vende dados confidenciais a um concorrente ou um ex-funcionário terceirizado insatisfeito que introduz um malware debilitante na rede da organiza??o.

As amea?as internas maliciosas podem ser colaboradores ou lobos solitários.

Colaborador

Colaboradores s?o usuários autorizados que trabalham com um terceiro para prejudicar intencionalmente a organiza??o. O terceiro pode ser um concorrente, um estado-na??o, uma rede de crime organizado ou um indivíduo. A a??o do colaborador levaria ao vazamento de informa??es confidenciais ou à interrup??o das opera??es comerciais.

Lobo solitário

Os lobos solitários operam de forma totalmente independente e agem sem manipula??o ou influência externa. Eles podem ser especialmente perigosos porque geralmente têm acesso privilegiado ao sistema, como os administradores de banco de dados.

Amea?as internas descuidadas

Amea?as de seguran?a internas descuidadas ocorrem inadvertidamente. Elas geralmente s?o resultado de erro humano, julgamento inadequado, cumplicidade n?o intencional, conveniência, phishing (e outras táticas de engenharia social), malware e credenciais roubadas. O indivíduo envolvido exp?e, sem saber, os sistemas da empresa a ataques externos.

Amea?as internas descuidadas podem ser pe?es ou patetas.

Pe?o

Os pe?es s?o usuários autorizados que foram manipulados para agir maliciosamente de forma n?o intencional, geralmente por meio de técnicas de engenharia social, como spear phishing. Esses atos n?o intencionais podem incluir o download de malware em seus computadores ou a divulga??o de informa??es confidenciais a um impostor.

Goof

Os patetas realizam deliberadamente a??es potencialmente prejudiciais, mas n?o têm inten??o maliciosa. S?o usuários arrogantes, ignorantes e/ou incompetentes que n?o reconhecem a necessidade de seguir as políticas e os procedimentos de seguran?a. Um goof pode ser um usuário que armazena informa??es confidenciais de clientes em seu dispositivo pessoal, mesmo sabendo que isso é contra a política da organiza??o.

Uma toupeira

Uma toupeira é uma pessoa de fora, mas que obteve acesso privilegiado aos sistemas da organiza??o. Ele pode se passar por fornecedor, parceiro, prestador de servi?os ou funcionário, obtendo, assim, autoriza??o privilegiada para a qual n?o se qualificaria de outra forma.

Como detectar um insider Threat

A maioria das ferramentas de inteligência contra amea?as concentra-se na análise de dados de redes, computadores e aplicativos, dando pouca aten??o às a??es de pessoas autorizadas que poderiam usar indevidamente seu acesso privilegiado. Para uma defesa cibernética segura contra uma amea?a interna, é preciso ficar de olho em atividades comportamentais e digitais an?malas.

Indicadores comportamentais

Há alguns indicadores diferentes de uma amea?a interna que devem ser observados, incluindo:

  • Um funcionário, prestador de servi?os, fornecedor ou parceiro insatisfeito ou descontente.
  • Tentativas de burlar a seguran?a.
  • Trabalhar regularmente fora do horário comercial.
  • Demonstra ressentimento em rela??o aos colegas de trabalho.
  • Viola??o rotineira das políticas organizacionais.
  • Contemplar a demiss?o ou discutir novas oportunidades.

Indicadores digitais

  • Fazer login em aplicativos e redes empresariais em horários incomuns. Por exemplo, um funcionário que, sem ser solicitado, se conecta à rede às 3h da manh? pode ser motivo de preocupa??o.
  • Aumento no volume do tráfego de rede. Se alguém estiver tentando copiar grandes quantidades de dados pela rede, você verá picos incomuns no tráfego de rede.
  • Acessar recursos que normalmente n?o acessam ou que n?o têm permiss?o para acessar.
  • Acesso a dados que n?o s?o relevantes para sua fun??o.
  • Repetidas solicita??es de acesso a recursos do sistema que n?o s?o relevantes para sua fun??o de trabalho.
  • Uso de dispositivos n?o autorizados, como unidades USB.
  • Rastreamento de rede e busca deliberada de informa??es confidenciais.
  • Enviar informa??es confidenciais por e-mail para fora da organiza??o.

Como se proteger contra ataques internos

Você pode proteger os ativos digitais da sua organiza??o contra uma amea?a interna. Veja como.

Proteger ativos críticos

Identifique os ativos físicos e lógicos essenciais de sua organiza??o. Esses ativos incluem redes, sistemas, dados confidenciais (inclusive informa??es de clientes, detalhes de funcionários, esquemas e planos estratégicos detalhados), instala??es e pessoas. Entenda cada ativo crítico, classifique os ativos em ordem de prioridade e determine o estado atual da prote??o de cada ativo. Naturalmente, os ativos de maior prioridade devem receber o mais alto nível de prote??o contra amea?as internas.

Crie uma linha de base do comportamento normal do usuário e do dispositivo

Há muitos sistemas de software diferentes que podem rastrear amea?as internas. Esses sistemas funcionam primeiro centralizando as informa??es sobre a atividade do usuário, extraindo-as dos registros de acesso, autentica??o, altera??o de conta, endpoint e rede privada virtual (VPN). Use esses dados para modelar e atribuir pontua??es de risco ao comportamento do usuário vinculado a eventos específicos, como o download de dados confidenciais em mídia removível ou o login de um usuário em um local incomum. Crie uma linha de base de comportamento normal para cada usuário e dispositivo individual, bem como para a fun??o e o cargo. Com essa linha de base, os desvios podem ser sinalizados e investigados.

Aumentar a visibilidade

? importante implementar ferramentas que monitorem continuamente a atividade do usuário, além de agregar e correlacionar informa??es de atividade de várias fontes. Você pode, por exemplo, usar solu??es de decep??o cibernética que estabele?am armadilhas para atrair usuários internos mal-intencionados, rastrear suas a??es e entender suas inten??es. Essas informa??es seriam ent?o inseridas em outras solu??es de seguran?a empresarial para identificar ou impedir ataques atuais ou futuros.

Aplicar políticas

Defina, documente e divulgue as políticas de seguran?a da organiza??o. Isso evita a ambiguidade e estabelece a base correta para a aplica??o. Nenhum funcionário, prestador de servi?os, fornecedor ou parceiro deve ter dúvidas sobre qual é o comportamento aceitável em rela??o à postura de seguran?a da organiza??o. Eles devem reconhecer sua responsabilidade de n?o divulgar informa??es privilegiadas a pessoas n?o autorizadas.

Promover mudan?as culturais

Embora a detec??o de amea?as internas seja importante, é mais prudente e menos dispendioso dissuadir os usuários de um comportamento inadequado. A promo??o de uma mudan?a cultural consciente da seguran?a e da transforma??o digital é fundamental nesse sentido. Instilar as cren?as e atitudes corretas pode ajudar a combater a negligência e abordar as raízes do comportamento mal-intencionado. Os funcionários e outras partes interessadas devem participar regularmente de treinamentos de seguran?a e conscientiza??o que os instruam sobre quest?es de seguran?a, que devem ser acompanhados pela medi??o e melhoria contínuas da satisfa??o dos funcionários para detectar sinais precoces de descontentamento.

Solu??es de detec??o de amea?as internas

As amea?as internas s?o mais difíceis de identificar e prevenir do que os ataques externos. Elas geralmente est?o abaixo do radar das solu??es convencionais de seguran?a cibernética, como firewalls, sistemas de detec??o de intrus?o e software antimalware. Se um invasor fizer login por meio de um ID de usuário, senha, endere?o IP e dispositivo autorizados, é improvável que ele acione qualquer alarme de seguran?a. Para proteger efetivamente seus ativos digitais, você precisa de um software e de uma estratégia de detec??o de amea?as internas que combine várias ferramentas para monitorar o comportamento interno e, ao mesmo tempo, minimizar o número de falsos positivos.

Informa??es privilegiadas Threat

Comece hoje mesmo.

Saiba mais

Recursos

Notas de rodapé