NOTÍCIAS

VULNERABILIDADES INTERNAS – INSIDER THREAT

BRAVUS CONSULTORIA

VULNERABILIDADES INTERNAS – INSIDER THREAT

Sua empresa está preparada para lidar com essa questão?

As empresas/corporações enfrentam diariamente riscos relacionados à segurança cibernética, tais como ataques de ransomware que exigem o pagamento de resgaste para decriptografar arquivos e supostamente não divulgá-los em redes sociais; vazamentos de dados provocados por diversas razões entre elas para denigrir a imagem de uma corporação; ataques cibernéticos contra infraestruturas críticas a fim de causar interrupção ou sabotagem em operações; ataques de negação de serviço e violações de dados para extração de informações sigilosas, cuja ação pode estar associada à prática de espionagem cibernética para a obtenção fraudulenta de segredos industriais.

Embora não seja uma norma padronizada, a utilização do termo “ameaça”, quando nos atemos a uma análise SWOT ou tratamos de riscos aos negócios, se refere a algum tipo de interferência negativa que se encontra fora do sistema da empresa, ou seja, exógeno, e sobre o qual temos limitadas capacidades de interferência direta para extinguir tal ameaça, caracterizada por ações de algum tipo de ator adversário.

O termo “vulnerabilidade”, no mesmo contexto de estudo sobre riscos, às vezes confundido com fraquezas ou fragilidades, se refere a fatores que se encontram dentro do nosso sistema de atuação direta, por exemplo o ambiente corporativo sobre o qual há capacidades de investimentos em tecnologias e treinamentos de pessoas, justamente para superação dessas vulnerabilidades, que são, normalmente, identificadas em uma das fases de uma boa Análise de Risco.

É possível afirmar que as organizações, em geral, enfatizam as ameaças externas enquanto minimizam ou negligenciam as vulnerabilidades internas.

Essas “vulnerabilidades internas” são também chamadas na literatura internacional como INSIDER THREAT, cujo assunto/termo vem ganhando notoriedade, e podem ser descritas, embora não haja ainda uma definição concreta do termo na literatura brasileira corrente, como:

  • Um indivíduo que tem vínculo empregatício com uma empresa e que possui acesso a ativos digitais (desktop, laptop, tablet ou dispositivo móvel), bem como acesso a informações que são classificadas como sigilosas e são de propriedade da empresa;
  • Um indivíduo que trabalha para uma empresa que presta serviços de maneira terceirizada, ou que faz parte da cadeia logística de suprimentos e que possui acesso a informações sigilosas e/ou sistemas da empresa contratante; e
  • Um ex-funcionário de uma organização que de alguma maneira manteve suas credenciais de acesso aos sistemas corporativos e com isto reteve seu acesso a informações da antiga empresa.

À guisa de nota, na literatura internacional encontram-se também algumas variantes na definição do termo insider threat, além das três apresentadas acima. Uma delas seria: – “Ladrão de Credenciais”, ou seja, aquela pessoa, de dentro ou de fora da organização, que tendo acesso indevido a sistemas corporativos utiliza-se dessa oportunidade para vender tais credenciais de acesso de funcionários da corporação para grupos de cyber criminosos.

Uma característica relevante do conceito de insider threat é que a situação de incidente cibernético pode ser fruto da ação de um funcionário que age de forma apenas negligente ou acidental e que não foi devidamente treinado e, assim, ao acessar, indevidamente, por exemplo, um link malicioso derivado de um phishing acaba por dar início à abertura de uma “porta” de acesso a um cyber criminoso, sem intenção.

A outra característica advém de uma pessoa verdadeiramente mal-intencionada que atua de forma premeditada e antiética, ou até mesmo ilegalmente mancomunada com cyber criminosos, a fim de facilitar algum tipo de incidente cibernético ou, de alguma maneira, auferir lucro com informações sigilosas.

De acordo com o relatório do Instituto PONEMON 2022 Cost of Insider Threats Global Report [disponível em: https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats], verificam-se números que chamam a atenção para a questão, em especial as quantias em dólar pagas pelas vítimas para remediar tais incidentes:

  • De um total de 6.083 incidentes estudados no relatório, durante os anos de 2021 e 2022, e diretamente relacionados a insider threat, a negligência mostrou-se como sendo a causa primária na maioria dos incidentes em um total de 3.807 ataques, o que corresponde a 56% da amostra, custando em média a quantia de US$ 484.931 por incidente.
  • Insiders mal-intencionados causaram 26% dos ataques analisados, ou seja, 1.749 incidentes, ao custo médio por incidente de US$ 648.062.
  • Do total de casos, 18% estiverem relacionados com ladrões de credenciais, ao custo médio de remediação em US$804,997 por incidente, tornando-se, portanto, o incidente mais custoso para reparação. (tradução livre)

Tomando-se como referência o artigo 10 Unusual Insider Threat Behavioral Indicators, publicado em 10/05/2023, no site Security Boulervard [disponível em https://securityboulevard.com/2023/05/10-unusual-insider-threat-behavioral-indicators/], verificam-se dez comportamentos suspeitos de funcionários que os gestores de segurança, nas mais diversas diferentes organizações, devem prestar atenção em relação ao assunto, a fim de identificar sinais de alertas para essas vulnerabilidades internas, assim sintetizados:

  • Acesso a dados confidenciais fora do horário normal de trabalho;
  • Cópia/transferência frequente de dados/arquivos para dispositivos externos ou outras pastas do sistema;
  • Transferência de grandes quantidades de dados usando arquivo zip, dispositivo USB ou upload na nuvem;
  • Acesso a dados/arquivos que não são necessários à realização do trabalho;
  • Uso de aplicativos ou softwares não autorizados;
  • Alterações nas configurações de segurança dos dispositivos de trabalho sem autorização;
  • Acesso não autorizado a servidores ou a sistemas ou a ambientes físicos restritos;
  • Grande número de tentativas de login com falha de autenticação da senha;
  • Compartilhamento de senhas ou credenciais; e
  • Exclusão ou modificação de relatórios que contenham informações como logs de acesso. (tradução livre)

Acrescenta-se ainda outros indicativos que podem servir de alerta: a solicitação de criação de novas contas de usuário sem justificativa plausível; requisição de acesso a documentos relacionados a um projeto de outro setor; uso de aplicativos no ambiente de trabalho sem autorização; renomeação de arquivos ou pastas; impressão de grandes quantidades de documentos; solicitação para aumento das permissões de acesso aos sistemas; e recebimento de e-mail de origem suspeita e não condizente com o ambiente de trabalho.

Enfrentamento do problema

BRAVUS CONSULTORIA relaciona algumas medidas que se prestam a apoiar as empresas para lidarem com a questão e assim mitigarem os riscos associados.

1. Adoção de uma estratégia de ZERO TRUST

A estratégia de “confiança zero” baseia-se no princípio de “nunca confiar e verificar continuamente”. Neste contexto de insider threat, essa estratégia de segurança de rede e dados tem como filosofia o pensamento de que nenhuma pessoa ou dispositivo, dentro ou fora da rede de uma organização, deve receber acesso para se conectar aos sistemas de trabalho a menos que seja explicitamente necessário e, tão importante quanto, ter a identidade do usuário sempre confirmada.

Em função dos riscos associados a ação de um insider threat é recomendável que as organizações considerem a possibilidade de ocorrência de vazamento de dados e de violações de dados [veja a diferença conceitual entre estas duas ações no artigo da BRAVUS CONSULTORIA intitulado PROTEÇÃO DO CONHECIMENTO SENSÍVEL – VAZAMENTO OU VIOLAÇÃO DE DADOS, disponível em https://bravusconsultoria.com.br/protecao-do-conhecimento-sensivel-vazamento-ou-violacao-de-dados/ ].

Se as identidades e credenciais de funcionários e parceiros forem continuamente verificadas antes que o acesso a servidores e sistemas de arquivos de dados seja concedido, os incidentes provocados por insider threats podem ser melhor monitorados e haverá a chance de antecipação às tentativas de acessos indevidos e não autorizados.

Em suma, essa estratégia obriga que qualquer pessoa, dentro ou fora da organização, se identifique para fazer o acesso, assim como é normal que funcionários tenham que se identificar com um crachá ou por biometria toda a vez que passam por uma catraca de controle de acesso na portaria de suas empresas.

Essa estratégia de segurança teve seu reforço em especial por conta dos reflexos da pandemia de Covid-19 que obrigou muitas empresas a adotarem o home office como opção de trabalho híbrido, o que deu origem também ao conceito de work from anywhere. Além disso, mesmo antes da pandemia, por conta do conceito de co-working e espaços abertos de trabalho, havia também o conceito de bring your on device, ou seja, trabalhe com seu próprio computador, em rápidas palavras.

Esse conjunto de fatores fez com que durante a pandemia aumentassem os casos de ataques ransomware e de incidentes cibernéticos associados a insider threat, sendo que o Instituto PONEMON, em seu relatório, aponta que a quantidade de casos e os custos de remediação praticamente dobraram nos anos de 2020 e 2021.

Todavia, um aspecto deve ser considerado ao implementar a estratégia de ZERO TRUST, qual seja, o de evitar criar um ambiente tóxico de trabalho por conta do possível clima de desconfiança generalizado. Disto resulta, portanto, a necessidade de um trabalho consistente de informação, conscientização e treinamentos de colaboradores.

2. Realização de investimentos em tecnologia

A tecnologia pode desempenhar um papel preponderante na mitigação de vulnerabilidades internas. Cita-se aqui, além de outras, duas tecnologias que auxiliam na questão: – User Entity and Behavior Analytics (UEBA), cuja tradução se refere à Análise do Comportamento do Usuário e Entidade e Data Loss Prevention (DLP), cuja tradução é prevenção contra a perda de dados.

UEBA é uma solução que se concentra em monitorar e analisar o comportamento do usuário dentro de uma organização para identificar atividades maliciosas ou não autorizadas. A ferramenta UEBA usa algoritmos de aprendizado de máquina para analisar dados de várias fontes e, em seguida, utiliza esses resultados para criar modelos e padrões de comportamento normal do usuário, que podem ser empregados com o propósito de identificar anomalias e atividades maliciosas.

Colaboradores com privilégios de acesso a sistemas tornam-se a categoria mais visada para a ocorrência de incidentes com insiders threats dentro de uma organização devido ao seu nível elevado de acesso a informações confidenciais. Todavia, isto não significa que funcionários com menos privilégio de acesso não possam, por negligência, ser vítimas de ataque phishing, ou, por má-fé, introduzir via USB um malware nos sistemas da empresa [vide exemplo que merece destaque sobre a tentativa de um outsider em cooptar um insider na empresa TESLA, cujo caso foi descoberto pelo FBI em 2020].

A ferramenta DLP é uma solução que ajuda a detectar e prevenir a perda, vazamento e uso indevido dos dados de uma organização. DLP apoia as organizações ao sinalizar quando um funcionário tenta exfiltrar informações confidenciais em unidades USB ou em plataformas de armazenamento baseadas em nuvem. As soluções DLP tendem a funcionar com melhor performance em organizações que já tenham políticas de classificação de informações sigilosas implementadas.

Não por acaso, no artigo Cybercrime groups offer six-figure salaries, bonuses, paid time off to attract talent on dark web, a BRAVUS CONSULTORIA em sua publicação sobre o assunto chama de “paradoxo da segurança” a questão de que, na dark web, criminosos oferecem salários atrativos para que especialistas com talentos em cyber segurança trabalhem em prol do crime cibernético. [disponível em https://www.linkedin.com/posts/bravus-consultoria_cybercrime-groups-offer-six-figure-salaries-activity-7028376571409219584-PC9y?utm_source=share&utm_medium=member_desktop ].

  3. Adoção de cultura focada em cibersegurança

Melhorar a cultura e os hábitos de segurança de uma organização depende do estabelecimento de um bom programa de conscientização em segurança, que deve incluir:

  • Adesão da alta administração e das lideranças da corporação para a implementação de programas de segurança, o que a BRAVUS CONSULTORIA reputa como fundamental e essencial a participação, apoio e exemplo dos CEOs;
  • Adoção de um sistema holístico de aprendizagem e treinamento em segurança cibernética;
  • Implementação de campanhas regulares de simulação de ataques phishing para identificar funcionários que possam ser suscetíveis a essa tática e esquema, ou outras técnicas de engenharia social para roubo de credenciais;
  • Envolvimento de todos os setores da organização, em especial do Recursos Humanos (RH); que, por suas atividades, tem mais facilidades para conviver com os colaboradores e trocar expectativas e anseios;
  • Caso sejam estabelecidas penalidades por descumprimento dos princípios do programa de treinamento e conscientização, tais medidas devem ser claramente comunicadas às partes interessadas.
  • Definir métricas para medir o progresso do programa;
  • Implementar uma política de classificação das informações de acordo com o grau de sigilo atribuído e de credenciamento dos funcionários conforme seus níveis de acesso a informações e locais sigilosos;
  • Implementação do conceito de need to know, que significa ‘necessidade de conhecer’, o que leva os funcionários a respeitarem a compartimentação de informações sigilosas e, assim, evitar melindres; e
  • Implementação de um Plano de Resposta a incidentes cibernéticos.

Conclusão

O assunto não se encerra nestas poucas linhas. É razoável afirmar que funcionários ao saírem de suas empresas, caso estejam insatisfeitos e se sintam injustiçados, acabem por levar consigo dados e informações confidenciais, o que representa ainda outra faceta do tema insider threat.

Segundo o relatório da empresa de segurança cibernética Cyberhaven, um estudo identificou que funcionários em situação de desligamento têm 69% mais chances de coletar dados antes de pedir demissão e levá-los consigo para uso em novos ambientes de trabalho [disponível em https://www.bloomberg.com/news/articles/2023-01-18/data-theft-by-workers-looms-over-2023-tech-layoffs?leadSource=uverify%20wall ].

Primeiro, as empresas necessitam se conscientizar da possibilidade de existência deste tipo de vulnerabilidade no seio de suas equipes e assim planejar e agir preventivamente, tanto nos quesitos técnicos quanto na conscientização de sua força de trabalho.

Ao pensar no tripé Tecnologias, Processos e Pessoas, todos são fatores relevantes e fundamentais para o sucesso em práticas de segurança para as corporações; entretanto, apenas pessoas têm sentimentos.

Compartilhe!

LinkedIn
WhatsApp

Notícias Recentes

Contatos

Redes Sociais

Entre em contato

Protegido por reCAPTCHA. Política de Privacidade e Termos de Serviço se aplicam.

Bravus Consultoria

©

2024 -

TODOS OS DIREITOS RESERVADOS - BRAVUS CONSULTORIA LTDA