Como mitigar ameaças internas

Olhar para as ameaças que estão dentro dos muros da sua empresa é tão importante quanto olhar para fora.

Segundo um estudo conduzido pela Crowd Research Partners [1], as insider threats (ameaças internas) representam uma grande preocupação para os gestores de segurança da informação. 90% das empresas se sentem vulneráveis a ameaças geradas dentro de seu próprio ambiente.

Segundo o estudo, os principais fatores que habilitam ameaças internas são:

O que são insider threats?

As ameaças internas estão associadas a pessoas que têm acesso a informações confidenciais ou a plataformas privadas de uma organização, como funcionários, ex-funcionários, parceiros de negócios ou provedores de serviços. Qualquer indivíduo que, a qualquer época, no presente ou passado, tenha tido acesso a informações e sistemas privados pode representar uma vulnerabilidade em potencial.

No entanto, nem todos os riscos ligados a pessoas são promovidos de forma premeditada ou são frutos de fraudes, sabotagem ou espionagem industrial. Frequentemente, hábitos pouco seguros ou falta de informação sobre as boas práticas de segurança podem causar um número significativo de brechas.

Um usuário pode digitar um endereço de e-mail incorretamente ao encaminhar informações confidenciais; clicar em links ou abrir arquivos em e-mails de spear phishing; ainda há os casos de navegação por websites suspeitos que forçam o download de aplicações indesejadas, como spyware, ou que promovem mineração de criptomoeda.

É difícil identificar ameaças internas

Incidentes de segurança envolvendo insiders (pessoal interno) têm alto custo para as empresas, em geral pela dificuldade de rastrear um potencial comportamento negligente ou ação propositadamente maliciosa. Segundo o Ponemon Institute [2], casos de más práticas de segurança podem custar mais de US$ 280 mil. Já nos casos de roubo de credenciais ou vazamento criminoso, o custo por incidente pode chegar a US$ 650 mil. Estes custos estão associados às ações de monitoramento, investigação, resposta ao incidente, análise e remediação.

Frequentemente, os custos relativos às ameaças internas são altos porque não estão previstos pela maioria das empresas. Além disso, dois fatores em especial tornam ainda mais complexa a análise desses casos. Em primeiro lugar, é difícil distinguir entre a ação negligente e a ação maliciosa. Além disso, as ameaças internas podem permanecer ocultas por anos (e quanto mais tempo leva para identificar uma ação maliciosa, maior seu custo).

Quem são os principais responsáveis?

Como ressaltado acima, qualquer pessoa que tenha relacionamento privilegiado com uma empresa e acesso a informações ou plataformas privadas, pode representar uma ameaça. No entanto, é importante estar sempre atento para a ação de três grupos:

Funcionários e ex-funcionários

Qualquer colaborador pode coletar informações durante seu contrato com a empresa. Por isso, é importante monitorar de forma constante todas as suas ações. Muitos produtos de segurança permitem controlar a cópia ou o compartilhamento de informações, seja por configurações que bloqueiam portas ou por meio de filtros de conteúdo.

Usuários privilegiados

Os executivos de média gerência representam as duas faces da mesma moeda. Por um lado, têm privilégios de acesso a informações estratégicas. Por outro, o mal-uso de dados por parte destes usuários, com ou sem intenção, tem grande impacto. Por fim, eles são frequentemente alvo de ações maliciosas direcionadas.

Por isso, é importante construir uma política de segurança muito clara e que seja capaz de definir como cada usuário deve fazer uso de seus privilégios, se tais privilégios são indispensáveis e, ao mesmo tempo, definir como monitorar os usuários.

Terceiros

Considere parceiros de negócios, fornecedores e até empregados em regime remoto como potenciais ameaças. Eles têm acesso a informações da empresa e, muitas vezes, seus dispositivos não estão protegidos pelos controles de segurança do perímetro.

No caso de terceiros, os contratos de serviço devem estabelecer deveres e responsabilidades relativas ao uso das informações; no caso de funcionários remotos, é crucial estabelecer controles de acesso a plataformas (como 2 fatores de autenticação), além de implantar segurança nos dispositivos locais.

4 formas de combater as ameaças internas

Proteção multicamada para as contas de e-mail

No ambiente corporativo, o e-mail mantém uma função fundamental para a comunicação de negócios e o registro de informações. Por isso, muitos golpes de engenharia social são promovidos por este meio.

Para assegurar que nenhuma informação vaze, é importante monitorar o seu servidor de e-mail com controles dedicados. Vale sublinhar duas tecnologias fundamentais para proteger contas de e-mail: Data Loss Prevention (DLP), que identifica informações sensíveis e estabelece ações de acordo com as regras de segurança; e Criptografia, que codifica as informações armazenadas ou em trânsito.

Detecção ativa contra intrusos

A ação de um sistema de prevenção contra intrusos (IPS) é relevante para estabelecer a detecção ativa de ações suspeitas em seu ambiente, em especial caso seus usuários sejam enganados em esquemas de engenharia social e sejam contaminados por malware. Segundo o estudo da Crowd Research Partners, 63% das empresas pesquisadas consideram esse tipo de controle eficiente para gerenciar riscos internos [1].

Gerenciamento de acessos e conteúdo

Assim como os sistemas contra intrusão, a adoção de controles de detecção ativa é crucial para evitar incidentes internos. Quando alinhados com a sua política de segurança, estas tecnologias serão responsáveis por estabelecer e assegurar as regras de privilégios, monitorar o fluxo de entrada e saída de informações de acordo com filtros de conteúdo, tipos e tamanhos de arquivos etc.

Registro de atividades do usuário      

Um dos grandes desafios de qualquer empresa será comprovar que as atividades de um usuário interno são criminosas. Uma forma de endereçar esse problema é a adoção de uma tecnologia para o gerenciamento de logs, que permite manter o registro de atividades de cada usuário.

Não importa o segmento, toda empresa está sujeita ao perigo das ameaças internas. Por isso, para promover mais segurança para seu ambiente, as organizações não podem apenas observar o cenário de ameaças externas, mas devem entender com detalhe quais são seus desafios internos. De modo geral, os mesmos produtos de segurança poderão ser configurados para prevenir tanto ameaças internas como externas. Se uma empresa tem a preocupação com a proteção de suas informações confidenciais, então não pode negligenciar a adoção de medidas de proteção abrangentes, pois os custos podem ser mais altos do que o esperado.

[1] Insider Threat Report: 2018

[2] 2018 Cost of Insider Threats: Global

Sugestões de leitura