Uma ameaça interna refere-se a um risco de segurança cibernética que se origina dentro de uma organização. Normalmente, ocorre quando um funcionário atual ou antigo, contratado, fornecedor ou parceiro com credenciais de usuário legítimas usa indevidamente seu acesso em detrimento das redes, dos sistemas e dos dados da organização. Uma ameaça interna pode ser executada de forma intencional ou não intencional. Independentemente da intenção, o resultado final é o comprometimento da confidencialidade, disponibilidade e/ou integridade dos sistemas e dados da empresa.
As ameaças internas são a causa da maioria das violações de dados. As estratégias, políticas, procedimentos e sistemas tradicionais de segurança cibernética geralmente se concentram em ameaças externas, deixando a organização vulnerável a ataques internos. Como o insider já tem autorização válida para dados e sistemas, é difícil para os profissionais e aplicativos de segurança distinguir entre atividades normais e prejudiciais.
Os insiders mal-intencionados têm uma vantagem distinta sobre outras categorias de atacantes mal-intencionados devido à sua familiaridade com os sistemas, processos, procedimentos, políticas e usuários da empresa. Eles estão bem cientes das versões do sistema e das vulnerabilidades existentes. Portanto, as organizações devem enfrentar as ameaças internas com pelo menos o mesmo rigor com que lidam com as ameaças externas.
Entenda a anatomia das ameaças internas. Aprenda com especialistas do setor e com seus colegas sobre como superar seus adversários com o programa de prevenção correto.
Saiba maisTambém chamado de turn-cloak, os principais objetivos das ameaças internas mal-intencionadas incluem espionagem, fraude, roubo de propriedade intelectual e sabotagem. Eles abusam intencionalmente de seu acesso privilegiado para roubar informações ou degradar sistemas por motivos financeiros, pessoais e/ou maliciosos. Os exemplos incluem um funcionário que vende dados confidenciais a um concorrente ou um ex-funcionário terceirizado insatisfeito que introduz um malware debilitante na rede da organização.
As ameaças internas maliciosas podem ser colaboradores ou lobos solitários.
Colaborador
Colaboradores são usuários autorizados que trabalham com um terceiro para prejudicar intencionalmente a organização. O terceiro pode ser um concorrente, um estado-nação, uma rede de crime organizado ou um indivíduo. A ação do colaborador levaria ao vazamento de informações confidenciais ou à interrupção das operações comerciais.
Lobo solitário
Os lobos solitários operam de forma totalmente independente e agem sem manipulação ou influência externa. Eles podem ser especialmente perigosos porque geralmente têm acesso privilegiado ao sistema, como os administradores de banco de dados.
Ameaças de segurança internas descuidadas ocorrem inadvertidamente. Elas geralmente são resultado de erro humano, julgamento inadequado, cumplicidade não intencional, conveniência, phishing (e outras táticas de engenharia social), malware e credenciais roubadas. O indivíduo envolvido expõe, sem saber, os sistemas da empresa a ataques externos.
Ameaças internas descuidadas podem ser peões ou patetas.
Peão
Os peões são usuários autorizados que foram manipulados para agir maliciosamente de forma não intencional, geralmente por meio de técnicas de engenharia social, como spear phishing. Esses atos não intencionais podem incluir o download de malware em seus computadores ou a divulgação de informações confidenciais a um impostor.
Goof
Os patetas realizam deliberadamente ações potencialmente prejudiciais, mas não têm intenção maliciosa. São usuários arrogantes, ignorantes e/ou incompetentes que não reconhecem a necessidade de seguir as políticas e os procedimentos de segurança. Um goof pode ser um usuário que armazena informações confidenciais de clientes em seu dispositivo pessoal, mesmo sabendo que isso é contra a política da organização.
Uma toupeira
Uma toupeira é uma pessoa de fora, mas que obteve acesso privilegiado aos sistemas da organização. Ele pode se passar por fornecedor, parceiro, prestador de serviços ou funcionário, obtendo, assim, autorização privilegiada para a qual não se qualificaria de outra forma.
A maioria das ferramentas de inteligência contra ameaças concentra-se na análise de dados de redes, computadores e aplicativos, dando pouca atenção às ações de pessoas autorizadas que poderiam usar indevidamente seu acesso privilegiado. Para uma defesa cibernética segura contra uma ameaça interna, é preciso ficar de olho em atividades comportamentais e digitais anômalas.
Indicadores comportamentais
Há alguns indicadores diferentes de uma ameaça interna que devem ser observados, incluindo:
Indicadores digitais
Você pode proteger os ativos digitais da sua organização contra uma ameaça interna. Veja como.
Proteger ativos críticos
Identifique os ativos físicos e lógicos essenciais de sua organização. Esses ativos incluem redes, sistemas, dados confidenciais (inclusive informações de clientes, detalhes de funcionários, esquemas e planos estratégicos detalhados), instalações e pessoas. Entenda cada ativo crítico, classifique os ativos em ordem de prioridade e determine o estado atual da proteção de cada ativo. Naturalmente, os ativos de maior prioridade devem receber o mais alto nível de proteção contra ameaças internas.
Crie uma linha de base do comportamento normal do usuário e do dispositivo
Há muitos sistemas de software diferentes que podem rastrear ameaças internas. Esses sistemas funcionam primeiro centralizando as informações sobre a atividade do usuário, extraindo-as dos registros de acesso, autenticação, alteração de conta, endpoint e rede privada virtual (VPN). Use esses dados para modelar e atribuir pontuações de risco ao comportamento do usuário vinculado a eventos específicos, como o download de dados confidenciais em mídia removível ou o login de um usuário em um local incomum. Crie uma linha de base de comportamento normal para cada usuário e dispositivo individual, bem como para a função e o cargo. Com essa linha de base, os desvios podem ser sinalizados e investigados.
Aumentar a visibilidade
É importante implementar ferramentas que monitorem continuamente a atividade do usuário, além de agregar e correlacionar informações de atividade de várias fontes. Você pode, por exemplo, usar soluções de decepção cibernética que estabeleçam armadilhas para atrair usuários internos mal-intencionados, rastrear suas ações e entender suas intenções. Essas informações seriam então inseridas em outras soluções de segurança empresarial para identificar ou impedir ataques atuais ou futuros.
Aplicar políticas
Defina, documente e divulgue as políticas de segurança da organização. Isso evita a ambiguidade e estabelece a base correta para a aplicação. Nenhum funcionário, prestador de serviços, fornecedor ou parceiro deve ter dúvidas sobre qual é o comportamento aceitável em relação à postura de segurança da organização. Eles devem reconhecer sua responsabilidade de não divulgar informações privilegiadas a pessoas não autorizadas.
Promover mudanças culturais
Embora a detecção de ameaças internas seja importante, é mais prudente e menos dispendioso dissuadir os usuários de um comportamento inadequado. A promoção de uma mudança cultural consciente da segurança e da transformação digital é fundamental nesse sentido. Instilar as crenças e atitudes corretas pode ajudar a combater a negligência e abordar as raízes do comportamento mal-intencionado. Os funcionários e outras partes interessadas devem participar regularmente de treinamentos de segurança e conscientização que os instruam sobre questões de segurança, que devem ser acompanhados pela medição e melhoria contínuas da satisfação dos funcionários para detectar sinais precoces de descontentamento.
Soluções de detecção de ameaças internas
As ameaças internas são mais difíceis de identificar e prevenir do que os ataques externos. Elas geralmente estão abaixo do radar das soluções convencionais de segurança cibernética, como firewalls, sistemas de detecção de intrusão e software antimalware. Se um invasor fizer login por meio de um ID de usuário, senha, endereço IP e dispositivo autorizados, é improvável que ele acione qualquer alarme de segurança. Para proteger efetivamente seus ativos digitais, você precisa de um software e de uma estratégia de detecção de ameaças internas que combine várias ferramentas para monitorar o comportamento interno e, ao mesmo tempo, minimizar o número de falsos positivos.
Detectar proativamente riscos internos, novos ataques e ameaças persistentes avançadas
Defenda-se com precisão, proteja-se com confiança
Veja como os ataques estão sendo realizados e quais são seus alvos