Ameaças internas: o que você precisa saber para lidar com elas
07 ago 2019Ameaças comuns de segurança variam de ameaças internas a ameaças avançadas, e podem trazer muitos prejuízos para uma organização, a menos que sua equipe de segurança interna esteja ciente e pronta para responder.
Entenda o que é uma Insider threat e como isso pode afetar sua empresa.
Insider threats
Insider threats são as ameaças relacionadas às pessoas que têm acesso aos dados críticos ou plataformas privadas de uma empresa, como funcionários, ex-funcionários, parceiros de negócios ou prestadores de serviços.
Um estudo produzido pela CSO junto com o Serviço Secreto Americano, mostrou que 29% dos ataques causados por Insiders (pessoal interno) resultaram em prejuízos maiores do que os danos causados por hackers mal-intencionados.
O relatório revelou também que 47% dos incidentes são desencadeados por colaboradores inocentes, que caíram em golpes de cibercriminosos para roubo de dados, como o do tipo phishing.
Como identificar esses potenciais de risco?
Incidentes internos têm alto custo para as empresas, decorrente da dificuldade em identificar um possível comportamento negligente ou mal-intencionado. Essa ameaças podem permanecer ocultas por anos, é preciso estar atento às ações de alguns grupos com potencial de ameaça.
Funcionários e ex-funcionários
Colaboradores que se sentem desvalorizados, insatisfeitos com o salário ou alguma promoção, se tornam um forte potencial de risco dentro das empresas. Eles podem sabotar as operações de negócios ou até mesmo agir como espiões para empresas concorrentes, acessando dados sigilosos como lançamentos de produtos ou campanhas de marketing.
Esse tipo de ação é muito difícil de detectar, já que o objetivo de um espião é estar fora do radar. Para identificar, é necessário um sistema avançado de segurança de dados e proteções endpoint.
Colaboradores privilegiados
Um relatório publicado pela MediaPro em 2018, mostrou que profissionais em níveis gerenciais ou superiores apresentaram comportamento de maior risco para as empresas, quando comparados a outros níveis hierárquicos.
Por muitas vezes serem convencidos de que possuem direitos sobre certos dados, eles tendem a ignorar as políticas de segurança. Por estarem muitas vezes ligados ao C-Level, sentem que as regras não se aplicam a eles, e não acreditam que suas ações possam causar algum dano à empresa.
O mau uso dos dados por parte desses usuários, com ou sem intenção, causa grande impacto. Mais ainda: esses profissionais são alvos mais frequentes de ações maliciosas direcionadas.
Terceiros
Neste grupo estão os parceiros de negócios, fornecedores e até empregados em regime remoto. Eles têm acesso à rede da empresa, e muitas vezes suas máquinas não estão protegidas dentro do controle de segurança.
Os contratos de serviço devem estabelecer os deveres e responsabilidades ao se fazer o uso dos dados da empresa. E em caso de empregados em trabalho remoto, é necessário estabelecer controles de acesso, como duplo fator de autenticação (2FA).
Os descuidados
As ameaças internas desencadeiam, muitas vezes, de ações negligentes por parte de colaboradores distraídos. O funcionário distraído nem sempre é um agente mal-intencionado, mas ele comete erros relacionados à segurança que podem comprometer a empresa.
Esse perfil normalmente tem conhecimento das políticas de segurança da organização, mas de forma desatenta envia por e-mail informações pessoais, dados de clientes ou compartilha suas informações de login e senha com outras pessoas, permitindo o acesso de terceiros à rede da empresa.
Esse tipo de funcionário acha que nada vai acontecer se as regras se “adaptarem” ao que ele precisa naquele momento para concluir uma atividade, por exemplo.O mais corriqueiro é a distração ao clicar em links de phishing em e-mails e páginas falsas.
O relatório do MediaPro mostrou também que em relação a identificação de e-mail de phishing, 14% dos respondentes não conseguem identificar mensagens maliciosas.
A maior dificuldade é que esse tipo de ameaça é muito difícil de controlar. Como elas não são intencionais, existe um grande esforço da equipe de segurança em fazer a previsão.
Prevenindo ameaças internas
Algumas medidas podem ser tomadas para reduzir os riscos internos e preparar sua equipe de segurança para lidar com fraude, roubo ou vazamento de dados, otimizando também o tempo da equipe de TI.
Proteção para contas de e-mail
As ferramentas tradicionais de proteção de e-mails ajudam com alguns aspectos da segurança, mas o e-mail continua seguindo como uma das principais fontes de ataques e necessita de um cuidado maior.
Hoje, as ameaças acontecem de forma segmentada, com alvos bem definidos, e sem disparos em massa. Para detê-las, você precisa de uma defesa que interrompa ataques avançados de malware, identificando e bloqueando fraudes por e-mail, como URLs e anexos maliciosos, evitando que tais ameaças cheguem às caixas de e-mail dos colaboradores.
Algumas tecnologias são importantes aliadas para a proteção de dados em e-mail, como o Data Loss Prevention (DLP). O DLP é utilizado para garantir que dados confidenciais não sejam acessados, perdidos, roubados ou vazados na web.
A criptografia também é muito importante nessa empreitada.
Quando estamos usando serviços de webmail, conseguimos ver que existe uma criptografia aplicada, através do protocolo SSL. Mesmo assim, existem algumas brechas nessa proteção, e assim surge a necessidade de uma tecnologia mais robusta.
A criptografia ponta a ponta permite que apenas o remetente e o destinatário leiam as mensagens de e-mail. Os dados são criptografados no sistema do remetente e somente o destinatário poderá descriptografá-lo. Ela impede que qualquer intermediário leia as informações do usuário, garantindo uma privacidade de dados muito maior que os protocolos SSL/TLS ou STARTTLS, evitando a perda de dados.
Gestão de Identidades e Acessos
Fazer a Gestão de Identidades e Acessos assegura que sejam estabelecidas as regras de privilégios.
As organizações precisam estabelecer políticas privacidade e segurança, que definam como cada usuário deve fazer o uso de privilégios, avaliando se é realmente necessário que determinado colaborador tenha tantos acessos.
Limitar o acesso dos funcionários somente aos recursos que precisam para realizar o seu trabalho. Criar acessos temporários para freelancers, que expiram em datas específicas de acordo com o fim do contrato. Isso se aplica aos demais contratados.
Monitoramento de Ativos de Software e Segurança
Soluções de monitoramento podem ajudar bastante na detecção das ameaças internas.
Hoje, muitas soluções de segurança possuem funcionalidades de segurança de perímetro, que apoiam a gestão da segurança impedindo o acesso físico de pessoas não autorizadas a determinados ambientes, mantendo um sistema de controle de acessos.
O monitoramento de ativos de software também pode ser um aliado nesse momento. Ao realizar o monitoramento de máquinas e aplicações, é possível observar comportamentos estranhos que podem indicar uma tentativa de invasão, como um número alto de requisições na rede, ou um volume de tráfego fora do normal.
Essa medida ajuda no monitoramento de entradas e saídas de dados.
Educar colaboradores
O estudo do MediaPro revelou ainda que em relação a Malwares, cerca de 20% dos entrevistados não conseguiram identificar pelo menos 1 dos 4 principais sinais de um computador infectado.
As ameaças internas não surgem apenas com ações maliciosas. Nem toda ação ruim é intencional, com o objetivo de prejudicar a empresa, muitas vezes o funcionário é descuidado ou distraído.
As empresas precisam educar os colaboradores sobre a política de segurança da organização, incorporando informações sobre conscientização não intencional e maliciosa de ameaças internas em treinamentos regulares de segurança.
Os funcionários precisam estar cientes da responsabilidade de proteger os dados da empresa, cumprindo as exigências da Lei Geral de Proteção de Dados (LGPD). Aqueles que agem de forma negligente, mesmo com o conhecimento da política de segurança, devem receber um reforço no treinamento.