Tópicos técnicos

O que é um Insider Threat?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

Uma ameaça interna refere-se a um risco de segurança cibernética que se origina dentro de uma organização. Normalmente, ocorre quando um funcionário atual ou antigo, contratado, fornecedor ou parceiro com credenciais de usuário legítimas usa indevidamente seu acesso em detrimento das redes, dos sistemas e dos dados da organização. Uma ameaça interna pode ser executada de forma intencional ou não intencional. Independentemente da intenção, o resultado final é o comprometimento da confidencialidade, disponibilidade e/ou integridade dos sistemas e dados da empresa.

As ameaças internas são a causa da maioria das violações de dados. As estratégias, políticas, procedimentos e sistemas tradicionais de segurança cibernética geralmente se concentram em ameaças externas, deixando a organização vulnerável a ataques internos. Como o insider já tem autorização válida para dados e sistemas, é difícil para os profissionais e aplicativos de segurança distinguir entre atividades normais e prejudiciais.

Os insiders mal-intencionados têm uma vantagem distinta sobre outras categorias de atacantes mal-intencionados devido à sua familiaridade com os sistemas, processos, procedimentos, políticas e usuários da empresa. Eles estão bem cientes das versões do sistema e das vulnerabilidades existentes. Portanto, as organizações devem enfrentar as ameaças internas com pelo menos o mesmo rigor com que lidam com as ameaças externas.

Práticas recomendadas de prevenção comprovada contra ameaças internas

Entenda a anatomia das ameaças internas. Aprenda com especialistas do setor e com seus colegas sobre como superar seus adversários com o programa de prevenção correto.

Saiba mais

Tipos de ameaças internas

Ameaças internas maliciosas

Também chamado de turn-cloak, os principais objetivos das ameaças internas mal-intencionadas incluem espionagem, fraude, roubo de propriedade intelectual e sabotagem. Eles abusam intencionalmente de seu acesso privilegiado para roubar informações ou degradar sistemas por motivos financeiros, pessoais e/ou maliciosos. Os exemplos incluem um funcionário que vende dados confidenciais a um concorrente ou um ex-funcionário terceirizado insatisfeito que introduz um malware debilitante na rede da organização.

As ameaças internas maliciosas podem ser colaboradores ou lobos solitários.

Colaborador

Colaboradores são usuários autorizados que trabalham com um terceiro para prejudicar intencionalmente a organização. O terceiro pode ser um concorrente, um estado-nação, uma rede de crime organizado ou um indivíduo. A ação do colaborador levaria ao vazamento de informações confidenciais ou à interrupção das operações comerciais.

Lobo solitário

Os lobos solitários operam de forma totalmente independente e agem sem manipulação ou influência externa. Eles podem ser especialmente perigosos porque geralmente têm acesso privilegiado ao sistema, como os administradores de banco de dados.

Ameaças internas descuidadas

Ameaças de segurança internas descuidadas ocorrem inadvertidamente. Elas geralmente são resultado de erro humano, julgamento inadequado, cumplicidade não intencional, conveniência, phishing (e outras táticas de engenharia social), malware e credenciais roubadas. O indivíduo envolvido expõe, sem saber, os sistemas da empresa a ataques externos.

Ameaças internas descuidadas podem ser peões ou patetas.

Peão

Os peões são usuários autorizados que foram manipulados para agir maliciosamente de forma não intencional, geralmente por meio de técnicas de engenharia social, como spear phishing. Esses atos não intencionais podem incluir o download de malware em seus computadores ou a divulgação de informações confidenciais a um impostor.

Goof

Os patetas realizam deliberadamente ações potencialmente prejudiciais, mas não têm intenção maliciosa. São usuários arrogantes, ignorantes e/ou incompetentes que não reconhecem a necessidade de seguir as políticas e os procedimentos de segurança. Um goof pode ser um usuário que armazena informações confidenciais de clientes em seu dispositivo pessoal, mesmo sabendo que isso é contra a política da organização.

Uma toupeira

Uma toupeira é uma pessoa de fora, mas que obteve acesso privilegiado aos sistemas da organização. Ele pode se passar por fornecedor, parceiro, prestador de serviços ou funcionário, obtendo, assim, autorização privilegiada para a qual não se qualificaria de outra forma.

Como detectar um insider Threat

A maioria das ferramentas de inteligência contra ameaças concentra-se na análise de dados de redes, computadores e aplicativos, dando pouca atenção às ações de pessoas autorizadas que poderiam usar indevidamente seu acesso privilegiado. Para uma defesa cibernética segura contra uma ameaça interna, é preciso ficar de olho em atividades comportamentais e digitais anômalas.

Indicadores comportamentais

Há alguns indicadores diferentes de uma ameaça interna que devem ser observados, incluindo:

  • Um funcionário, prestador de serviços, fornecedor ou parceiro insatisfeito ou descontente.
  • Tentativas de burlar a segurança.
  • Trabalhar regularmente fora do horário comercial.
  • Demonstra ressentimento em relação aos colegas de trabalho.
  • Violação rotineira das políticas organizacionais.
  • Contemplar a demissão ou discutir novas oportunidades.

Indicadores digitais

  • Fazer login em aplicativos e redes empresariais em horários incomuns. Por exemplo, um funcionário que, sem ser solicitado, se conecta à rede às 3h da manhã pode ser motivo de preocupação.
  • Aumento no volume do tráfego de rede. Se alguém estiver tentando copiar grandes quantidades de dados pela rede, você verá picos incomuns no tráfego de rede.
  • Acessar recursos que normalmente não acessam ou que não têm permissão para acessar.
  • Acesso a dados que não são relevantes para sua função.
  • Repetidas solicitações de acesso a recursos do sistema que não são relevantes para sua função de trabalho.
  • Uso de dispositivos não autorizados, como unidades USB.
  • Rastreamento de rede e busca deliberada de informações confidenciais.
  • Enviar informações confidenciais por e-mail para fora da organização.

Como se proteger contra ataques internos

Você pode proteger os ativos digitais da sua organização contra uma ameaça interna. Veja como.

Proteger ativos críticos

Identifique os ativos físicos e lógicos essenciais de sua organização. Esses ativos incluem redes, sistemas, dados confidenciais (inclusive informações de clientes, detalhes de funcionários, esquemas e planos estratégicos detalhados), instalações e pessoas. Entenda cada ativo crítico, classifique os ativos em ordem de prioridade e determine o estado atual da proteção de cada ativo. Naturalmente, os ativos de maior prioridade devem receber o mais alto nível de proteção contra ameaças internas.

Crie uma linha de base do comportamento normal do usuário e do dispositivo

Há muitos sistemas de software diferentes que podem rastrear ameaças internas. Esses sistemas funcionam primeiro centralizando as informações sobre a atividade do usuário, extraindo-as dos registros de acesso, autenticação, alteração de conta, endpoint e rede privada virtual (VPN). Use esses dados para modelar e atribuir pontuações de risco ao comportamento do usuário vinculado a eventos específicos, como o download de dados confidenciais em mídia removível ou o login de um usuário em um local incomum. Crie uma linha de base de comportamento normal para cada usuário e dispositivo individual, bem como para a função e o cargo. Com essa linha de base, os desvios podem ser sinalizados e investigados.

Aumentar a visibilidade

É importante implementar ferramentas que monitorem continuamente a atividade do usuário, além de agregar e correlacionar informações de atividade de várias fontes. Você pode, por exemplo, usar soluções de decepção cibernética que estabeleçam armadilhas para atrair usuários internos mal-intencionados, rastrear suas ações e entender suas intenções. Essas informações seriam então inseridas em outras soluções de segurança empresarial para identificar ou impedir ataques atuais ou futuros.

Aplicar políticas

Defina, documente e divulgue as políticas de segurança da organização. Isso evita a ambiguidade e estabelece a base correta para a aplicação. Nenhum funcionário, prestador de serviços, fornecedor ou parceiro deve ter dúvidas sobre qual é o comportamento aceitável em relação à postura de segurança da organização. Eles devem reconhecer sua responsabilidade de não divulgar informações privilegiadas a pessoas não autorizadas.

Promover mudanças culturais

Embora a detecção de ameaças internas seja importante, é mais prudente e menos dispendioso dissuadir os usuários de um comportamento inadequado. A promoção de uma mudança cultural consciente da segurança e da transformação digital é fundamental nesse sentido. Instilar as crenças e atitudes corretas pode ajudar a combater a negligência e abordar as raízes do comportamento mal-intencionado. Os funcionários e outras partes interessadas devem participar regularmente de treinamentos de segurança e conscientização que os instruam sobre questões de segurança, que devem ser acompanhados pela medição e melhoria contínuas da satisfação dos funcionários para detectar sinais precoces de descontentamento.

Soluções de detecção de ameaças internas

As ameaças internas são mais difíceis de identificar e prevenir do que os ataques externos. Elas geralmente estão abaixo do radar das soluções convencionais de segurança cibernética, como firewalls, sistemas de detecção de intrusão e software antimalware. Se um invasor fizer login por meio de um ID de usuário, senha, endereço IP e dispositivo autorizados, é improvável que ele acione qualquer alarme de segurança. Para proteger efetivamente seus ativos digitais, você precisa de um software e de uma estratégia de detecção de ameaças internas que combine várias ferramentas para monitorar o comportamento interno e, ao mesmo tempo, minimizar o número de falsos positivos.

Informações privilegiadas Threat

Comece hoje mesmo.

Saiba mais

Notas de rodapé