Tópicos técnicos

O que é uma ameaça interna?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

Uma ameaça interna refere-se a um risco de segurança cibernética que se origina dentro de uma organização. Normalmente, ocorre quando um funcionário atual ou antigo, contratado, fornecedor ou parceiro com credenciais de usuário legítimas usa indevidamente seu acesso em detrimento das redes, dos sistemas e dos dados da organização. Uma ameaça interna pode ser executada de forma intencional ou não intencional. Independentemente da intenção, o resultado final é o comprometimento da confidencialidade, disponibilidade e/ou integridade dos sistemas e dados da empresa.

As ameaças internas são a causa da maioria das violações de dados. As estratégias, políticas, procedimentos e sistemas tradicionais de segurança cibernética geralmente se concentram em ameaças externas, deixando a organização vulnerável a ataques internos. Como o insider já tem autorização válida para dados e sistemas, é difícil para os profissionais e aplicativos de segurança distinguir entre atividades normais e prejudiciais.

Os insiders mal-intencionados têm uma vantagem distinta sobre outras categorias de atacantes mal-intencionados devido à sua familiaridade com os sistemas, processos, procedimentos, políticas e usuários da empresa. Eles estão bem cientes das versões do sistema e das vulnerabilidades existentes. Portanto, as organizações devem enfrentar as ameaças internas com pelo menos o mesmo rigor com que lidam com as ameaças externas.

Práticas recomendadas de prevenção comprovada contra ameaças internas

Entenda a anatomia das ameaças internas. Aprenda com especialistas do setor e com seus colegas sobre como superar seus adversários com o programa de prevenção correto.

Saiba mais

Tipos de ameaças internas

Ameaças internas maliciosas

Também chamado de turn-cloak, os principais objetivos das ameaças internas mal-intencionadas incluem espionagem, fraude, roubo de propriedade intelectual e sabotagem. Eles abusam intencionalmente de seu acesso privilegiado para roubar informações ou degradar sistemas por motivos financeiros, pessoais e/ou maliciosos. Os exemplos incluem um funcionário que vende dados confidenciais a um concorrente ou um ex-funcionário terceirizado insatisfeito que introduz um malware debilitante na rede da organização.

As ameaças internas maliciosas podem ser colaboradores ou lobos solitários.

Colaborador

Colaboradores são usuários autorizados que trabalham com um terceiro para prejudicar intencionalmente a organização. O terceiro pode ser um concorrente, um estado-nação, uma rede de crime organizado ou um indivíduo. A ação do colaborador levaria ao vazamento de informações confidenciais ou à interrupção das operações comerciais.

Lobo solitário

Os lobos solitários operam de forma totalmente independente e agem sem manipulação ou influência externa. Eles podem ser especialmente perigosos porque geralmente têm acesso privilegiado ao sistema, como os administradores de banco de dados.

Ameaças internas descuidadas

Ameaças de segurança internas descuidadas ocorrem inadvertidamente. Elas geralmente são resultado de erro humano, julgamento inadequado, cumplicidade não intencional, conveniência, phishing (e outras táticas de engenharia social), malware e credenciais roubadas. O indivíduo envolvido expõe, sem saber, os sistemas da empresa a ataques externos.

Ameaças internas descuidadas podem ser peões ou patetas.

Peão

Os peões são usuários autorizados que foram manipulados para agir maliciosamente de forma não intencional, geralmente por meio de técnicas de engenharia social, como spear phishing. Esses atos não intencionais podem incluir o download de malware em seus computadores ou a divulgação de informações confidenciais a um impostor.

Goof

Os patetas realizam deliberadamente ações potencialmente prejudiciais, mas não têm intenção maliciosa. São usuários arrogantes, ignorantes e/ou incompetentes que não reconhecem a necessidade de seguir as políticas e os procedimentos de segurança. Um goof pode ser um usuário que armazena informações confidenciais de clientes em seu dispositivo pessoal, mesmo sabendo que isso é contra a política da organização.

Uma toupeira

Uma toupeira é uma pessoa de fora, mas que obteve acesso privilegiado aos sistemas da organização. Ele pode se passar por fornecedor, parceiro, prestador de serviços ou funcionário, obtendo, assim, autorização privilegiada para a qual não se qualificaria de outra forma.

Como detectar uma ameaça interna

A maioria das ferramentas de inteligência contra ameaças concentra-se na análise de dados de redes, computadores e aplicativos, dando pouca atenção às ações de pessoas autorizadas que poderiam usar indevidamente seu acesso privilegiado. Para uma defesa cibernética segura contra uma ameaça interna, é preciso ficar de olho em atividades comportamentais e digitais anômalas.

Indicadores comportamentais

Há alguns indicadores diferentes de uma ameaça interna que devem ser observados, incluindo:

Um funcionário, prestador de serviços, fornecedor ou parceiro insatisfeito ou descontente.
Tentativas de burlar a segurança.
Trabalhar regularmente fora do horário comercial.
Demonstra ressentimento em relação aos colegas de trabalho.
Violação rotineira das políticas organizacionais.
Contemplar a demissão ou discutir novas oportunidades.

Indicadores digitais

Fazer login em aplicativos e redes empresariais em horários incomuns. Por exemplo, um funcionário que, sem ser solicitado, se conecta à rede às 3h da manhã pode ser motivo de preocupação.
Aumento no volume do tráfego de rede. Se alguém estiver tentando copiar grandes quantidades de dados pela rede, você verá picos incomuns no tráfego de rede.
Acessar recursos que normalmente não acessam ou que não têm permissão para acessar.
Acesso a dados que não são relevantes para sua função.
Repetidas solicitações de acesso a recursos do sistema que não são relevantes para sua função de trabalho.
Uso de dispositivos não autorizados, como unidades USB.
Rastreamento de rede e busca deliberada de informações confidenciais.
Enviar informações confidenciais por e-mail para fora da organização.

Como se proteger contra ataques internos

Você pode proteger os ativos digitais da sua organização contra uma ameaça interna. Veja como.

Proteger ativos críticos

Identifique os ativos físicos e lógicos essenciais de sua organização. Esses ativos incluem redes, sistemas, dados confidenciais (inclusive informações de clientes, detalhes de funcionários, esquemas e planos estratégicos detalhados), instalações e pessoas. Entenda cada ativo crítico, classifique os ativos em ordem de prioridade e determine o estado atual da proteção de cada ativo. Naturalmente, os ativos de maior prioridade devem receber o mais alto nível de proteção contra ameaças internas.

Crie uma linha de base do comportamento normal do usuário e do dispositivo

Há muitos sistemas de software diferentes que podem rastrear ameaças internas. Esses sistemas funcionam primeiro centralizando as informações sobre a atividade do usuário, extraindo-as dos registros de acesso, autenticação, alteração de conta, endpoint e rede privada virtual (VPN). Use esses dados para modelar e atribuir pontuações de risco ao comportamento do usuário vinculado a eventos específicos, como o download de dados confidenciais em mídia removível ou o login de um usuário em um local incomum. Crie uma linha de base de comportamento normal para cada usuário e dispositivo individual, bem como para a função e o cargo. Com essa linha de base, os desvios podem ser sinalizados e investigados.

Aumentar a visibilidade

É importante implementar ferramentas que monitorem continuamente a atividade do usuário, além de agregar e correlacionar informações de atividade de várias fontes. Você pode, por exemplo, usar soluções de decepção cibernética que estabeleçam armadilhas para atrair usuários internos mal-intencionados, rastrear suas ações e entender suas intenções. Essas informações seriam então inseridas em outras soluções de segurança empresarial para identificar ou impedir ataques atuais ou futuros.

Aplicar políticas

Defina, documente e divulgue as políticas de segurança da organização. Isso evita a ambiguidade e estabelece a base correta para a aplicação. Nenhum funcionário, prestador de serviços, fornecedor ou parceiro deve ter dúvidas sobre qual é o comportamento aceitável em relação à postura de segurança da organização. Eles devem reconhecer sua responsabilidade de não divulgar informações privilegiadas a pessoas não autorizadas.

Promover mudanças culturais

Embora a detecção de ameaças internas seja importante, é mais prudente e menos dispendioso dissuadir os usuários de um comportamento inadequado. A promoção de uma mudança cultural consciente da segurança e da transformação digital é fundamental nesse sentido. Instilar as crenças e atitudes corretas pode ajudar a combater a negligência e abordar as raízes do comportamento mal-intencionado. Os funcionários e outras partes interessadas devem participar regularmente de treinamentos de segurança e conscientização que os instruam sobre questões de segurança, que devem ser acompanhados pela medição e melhoria contínuas da satisfação dos funcionários para detectar sinais precoces de descontentamento.

Soluções de detecção de ameaças internas

As ameaças internas são mais difíceis de identificar e prevenir do que os ataques externos. Elas geralmente estão abaixo do radar das soluções convencionais de segurança cibernética, como firewalls, sistemas de detecção de intrusão e software antimalware. Se um invasor fizer login por meio de um ID de usuário, senha, endereço IP e dispositivo autorizados, é improvável que ele acione qualquer alarme de segurança. Para proteger efetivamente seus ativos digitais, você precisa de um software e de uma estratégia de detecção de ameaças internas que combine várias ferramentas para monitorar o comportamento interno e, ao mesmo tempo, minimizar o número de falsos positivos.

Ameaça interna

Comece hoje mesmo.

Saiba mais

Recursos

OpenText™ Segurança cibernética no LinkedIn

Centro de prevenção de ameaças internas

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Pesquisa

Business Network CloudBusiness Network Cloud

Integração da cadeia de suprimentosIntegração da cadeia de suprimentos

Serviços de integração B2BServiços de integração B2B

Colaboração do ecossistemaColaboração do ecossistema

Rede de negócios Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integrações de negóciosIntegrações de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automação de processosAutomação de processos

Governança da informaçãoGovernança da informação

Conteúdo Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e proteção de dadosPrivacidade e proteção de dados

Investigações e perícias digitaisInvestigações e perícias digitais

Inteligência sobre ameaçasInteligência sobre ameaças

Detecção e resposta a ameaçasDetecção e resposta a ameaças

Segurança cibernética Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Functional TestingFunctional Testing

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Web e experiências de marcaWeb e experiências de marca

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Experiência Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de serviçosGerenciamento de serviços

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

AutomaçãoAutomação

Gerenciamento de redeGerenciamento de rede

Operações de TI Aviator

OpenText ThrustOpenText Thrust

Developer Cloud documentação técnicaDeveloper Cloud documentação técnica

Aviator Thrust

PortfolioPortfolio

Proteção de dados e backup de endpointsProteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvelGerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipeTrabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Informações reimaginadasInformações reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

BlogsBlogs

EventosEventos

ComunidadesComunidades

Histórias de clientesHistórias de clientes

OpenText NavigatorOpenText Navigator

Em destaque

Analytics Cloud

Analytics Database

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Business Network Cloud

Integração da cadeia de suprimentos

Serviços de integração B2B

Colaboração do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integrações de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automação de processos

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Identity and Access Management

Privacidade e proteção de dados

Investigações e perícias digitais

Inteligência sobre ameaças

Detecção e resposta a ameaças

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Functional Testing

Engenharia de desempenho

Experience Cloud

Web e experiências de marca

Mensagens

Jornada do cliente e dados

Media Management

Contact Center Analytics

IT Operations Cloud

Gerenciamento de serviços

FinOps

AIOps e observabilidade

Automação

Gerenciamento de rede

OpenText Thrust

Developer Cloud documentação técnica

Portfolio

Proteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Informações reimaginadas

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navigator