O que é uma ameaça interna? As ameaças internas são utilizadores com acesso legítimo aos bens da empresa que utilizam esse acesso, seja de forma maliciosa ou não intencional, para causar danos ao negócio. As ameaças internas não são necessariamente empregados actuais, podem também ser antigos empregados, contratantes ou parceiros que têm acesso aos sistemas ou dados de uma organização.
Com as ameaças internas representando o vector principal para 60% das violações de dados, as organizações precisam de escrutinar as ameaças que entram pela sua porta todos os dias com tanto rigor como mostram ao proteger o perímetro de atacantes externos.
Por que são as ameaças internas tão perigosas?
Num relatório SANS de 2019 sobre ameaças avançadas, os profissionais de segurança identificaram grandes lacunas na defesa das ameaças internas impulsionadas por uma falta de visibilidade numa linha de base de comportamento normal dos utilizadores, bem como a gestão de contas de utilizadores privilegiados, que representam um alvo mais atractivo para casos de phishing ou compromisso de credenciais.
Detectar as ameaças internas não é tarefa fácil para as equipas de segurança. O informador interno já tem acesso legítimo à informação e bens da organização e distinguir entre a actividade normal de um utilizador e a actividade potencialmente maliciosa é um desafio. Os infiltrados normalmente sabem onde os dados sensíveis vivem dentro da organização e têm frequentemente níveis elevados de acesso.
Como resultado, uma violação de dados causada por um infiltrado é significativamente mais cara para as organizações do que uma causada por um atacante externo. No estudo do Instituto Ponemon de 2018 sobre o custo das ameaças internas, os investigadores observaram que o custo médio anual de uma ameaça interna era de 8,76 milhões de dólares, enquanto o custo médio de uma violação de dados durante o mesmo período era de 3,86 milhões de dólares.
Saiba mais sobre a detecção de ameaças internas
4 Tipos de Ameaças Internas
Embora o termo ameaça interna tenha sido de certa forma cooptado para descrever um comportamento estritamente malicioso, existe um espectro definido de ameaças internas. Nem todos os insiders são iguais e variam muito na motivação, consciência, nível de acesso e intenção.
Com cada tipo de ameaça insider, existem diferentes controlos técnicos e não técnicos que as organizações podem adoptar para reforçar a detecção e prevenção. Gartner classifica as ameaças internas em quatro categorias: peão, pateta, colaborador e lobo solitário.
Peão
Peões são empregados que são manipulados para realizar actividades maliciosas, muitas vezes involuntariamente, através de phishing de lança ou engenharia social. Quer seja um empregado involuntário a descarregar malware para a sua estação de trabalho ou um utilizador a revelar credenciais a um terceiro fingindo ser um empregado do help desk, este vector é um dos alvos mais amplos para os atacantes que procuram causar danos à organização.
Um exemplo envolveu a Ubiquiti Networks, que foi vítima de um ataque de spear-phishing em que e-mails de executivos de topo instruíam os empregados a transferir $40 milhões para a conta bancária de uma subsidiária. Os funcionários desconheciam na altura que os e-mails eram falsificados e que a conta bancária era controlada por fraudadores.
Goof
Goofs não agem com intenção maliciosa, mas tomam deliberadamente e potencialmente acções prejudiciais. Os goofs são utilizadores ignorantes ou arrogantes que acreditam estar isentos de políticas de segurança, seja por conveniência ou por incompetência. Noventa e cinco por cento das organizações têm empregados que tentam activamente contornar os controlos de segurança e quase 90 por cento dos incidentes internos são causados por goofs. Um exemplo de goof pode ser um utilizador que armazena informação pessoalmente identificável (PII) não encriptada numa conta de armazenamento em nuvem para fácil acesso nos seus dispositivos, apesar de saber que é contra a política de segurança.
Collaborator
Collaborator são utilizadores que cooperam com terceiros, muitas vezes concorrentes e estados nacionais, para usar o seu acesso de uma forma que intencionalmente cause danos à organização. Os colaboradores utilizam normalmente o seu acesso para roubar propriedade intelectual e informações de clientes ou para causar perturbações nas operações comerciais normais.
Um exemplo de colaborador é Greg Chung, um cidadão chinês e antigo funcionário da Boeing que acumulou documentos relacionados com o programa de vaivém espacial para os enviar de volta para a China. A espionagem empresarial é também predominante com os colaboradores, como no caso de Uber e Waymo. Uber contratou um engenheiro Waymo que estava na posse de tecnologia confidencial e proprietária de auto-condução automóvel e alegadamente utilizou-a no seu projecto de auto-condução automóvel.
Lobo solitário
Lobos solitários são inteiramente independentes e agem maliciosamente sem influência ou manipulação externa. Os lobos solitários são especialmente perigosos quando têm elevados níveis de privilégios, tais como administradores de sistemas ou administradores de BD. Um exemplo clássico de um lobo solitário é Edward Snowden, que usou o seu acesso a sistemas classificados para divulgar informações relacionadas com a ciberespionagem na NSA.
Como combater as ameaças internas: Criação de um Plano de Detecção
Para detectar eficazmente as ameaças internas, as organizações devem primeiro colmatar lacunas de visibilidade agregando dados de segurança numa solução de monitorização centralizada, quer seja uma plataforma de gestão de informações e eventos de segurança (SIEM) ou uma solução autónoma de análise de comportamento de utilizadores e entidades (UEBA). Muitas equipas começam com os registos de acesso, autenticação e mudança de conta e depois alargam o âmbito a fontes de dados adicionais, tais como rede privada virtual (VPN) e registos de endpoints, à medida que os casos de utilização de ameaças internas amadurecem.
Após a informação ter sido centralizada, o comportamento do utilizador pode ser modelado e ser-lhe atribuída uma pontuação de risco ligada a eventos de risco específicos, tais como alterações geográficas do utilizador ou descarregamento para meios amovíveis. Com dados históricos suficientes, pode ser criada uma linha de base de comportamento normal para cada utilizador individual. Esta linha de base indica o estado normal de funcionamento de um utilizador ou máquina, para que os desvios nesta actividade possam ser assinalados como anormais. Os desvios devem ser rastreados não só para um utilizador específico mas também comparados com outros utilizadores no mesmo local, com o mesmo título ou função de trabalho.
Anomalias comportamentais ajudam as equipas de segurança a identificar quando um utilizador se tornou um informador malicioso ou se as suas credenciais foram comprometidas por um atacante externo. A atribuição de pontuações de risco também dá às equipas do centro de operações de segurança (SOC) a capacidade de monitorizar o risco em toda a empresa, quer se esteja a criar listas de observação ou a destacar os utilizadores de maior risco na sua organização. Ao adoptar uma visão centrada no utilizador, as equipas de segurança podem detectar rapidamente a actividade de ameaças internas e gerir o risco do utilizador a partir de um local centralizado, em vez de separar manualmente pontos de dados díspares que individualmente podem não mostrar o quadro completo.
Fechando o Circuito com Remediação
Como mencionado, as contas privilegiadas representam alvos de alto valor para os internautas. É importante que as organizações adoptem uma solução de gestão de acesso privilegiado (PAM) e introduzam dados sobre o acesso a contas privilegiadas a partir dessa solução no seu SIEM. A análise comportamental do utilizador pode detectar coisas tais como tentativas de login anormais, ou múltiplas tentativas de senha falhadas e gerar um alerta quando apropriado para o analista validar.
Após validação, um incidente de ameaça interna pode ser criado num sistema integrado de Orquestração, Automação e Resposta de Segurança (SOAR), onde o livro de jogo pode especificar que remediação é necessária. A potencial remediação poderia incluir desafiar o infiltrado com AMF, ou revogar o acesso, qualquer um dos quais pode ser feito automaticamente na solução IAM.
Existem vários tipos de ameaças internas que as organizações devem estar cientes e cada uma apresenta sintomas diferentes para as equipas de segurança diagnosticarem. Ao compreender as motivações dos atacantes, as equipas de segurança podem ser mais proactivas na sua abordagem à defesa das ameaças internas.
Saiba mais sobre a protecção da sua organização com gestão de acesso privilegiado (PAM)
Este blog foi recentemente actualizado em reacção ao “ataque coordenado de engenharia social” de Julho de 2020 contra o Twitter para incluir informação sobre prevenção e remediação na sequência de ameaças internas.