Como detectar indicadores de ameaças internas

A cibersegurança é uma necessidade absoluta no mundo conectado de hoje, e as ameaças se multiplicaram com a recente expansão da força de trabalho remota. Hackers e cibercriminosos que conseguem acesso a ativos de TI podem prejudicar gravemente as operações, finanças, reputação e vantagem competitiva da sua organização. Naturalmente, os esforços de segurança da TI tendem a se concentrar no combate dessas ameaças externas. A principal prioridade é manter suas informações confidenciais do jeito que elas precisam estar: seguras.

Mas qual é o nível de segurança delas? As ameaças que vêm de dentro da organização podem causar o mesmo dano que os ciberataques externos, mas muitas vezes elas passam despercebidas. Reconhecer as possíveis ameaças internas e responder a elas precisam ser componentes essenciais da sua estratégia para proteger os sistemas de informação e os dados confidenciais que garantem a execução dos negócios.

Características das ameaças internas

As ameaças internas podem envolver qualquer pessoa de confiança que tenha conhecimento ou acesso aos ativos da organização. Os atores internos incluem funcionários (atuais e antigos), membros da organização, fabricantes, equipes de manutenção, empreiteiros e qualquer pessoa com acesso legítimo às instalações, equipamentos, dispositivos e redes de computador da empresa.

Definição de ameaça interna

Uma ameaça interna se refere à possibilidade de que uma pessoa tire proveito de uma posição de confiança por meio de uso indevido, roubo ou sabotagem de ativos importantes. Embora a infraestrutura, os profissionais e os equipamentos sejam possíveis alvos, o principal ativo que corre o risco de sofrer com ameaças internas é a informação. Informações proprietárias (como propriedade intelectual ou PI) e dados confidenciais são ativos que geram lucro. Por isso, as redes de TI e os bancos de dados que gerenciam informações são muito vulneráveis a ameaças internas.

Quando informações valiosas são comprometidas, isso pode causar danos extensos. Além de ser cara, a perda de confidencialidade, integridade e acessibilidade dos dados pode limitar a capacidade de operação da sua organização. Alguns ciberataques chegam até mesmo a ameaçar a segurança nacional ou prejudicar a saúde e a segurança pública.

Tipos de ameaças internas

As ameaças internas se encaixam em duas categorias:

1. Ameaças internas não intencionais são resultantes de complacência, negligência ou mau julgamento, e não de qualquer intenção de causar danos. Alguns exemplos são perder um dispositivo da empresa, ignorar notificações de atualização de segurança do computador, acessar ou discutir dados confidenciais em locais públicos e não verificar as identidades dos visitantes das instalações. Erros simples como clicar em um hiperlink desconhecido, deixar um documento confidencial em uma impressora ou enviar um e-mail para um endereço incorreto são ameaças acidentais que podem nem mesmo ser reconhecidas pela pessoa responsável por elas.
2. Ameaças internas maliciosas envolvem a intenção de causar danos. O ator interno pode ser uma pessoa que age sozinha ou com cúmplices. Em geral, sua motivação são ganhos financeiros ou retaliação por situações em que ela se sinta prejudicada. Outras situações de ameaças internas maliciosas podem envolver conluio. Nesse cenário, uma parte hostil externa, como uma rede de cibercriminosos ou um governo estrangeiro, recruta ou coage o ator interno. Os exemplos comuns envolvem a divulgação ou venda de propriedade intelectual ou de dados confidenciais. Outro caso é quando o ator interno de ameaças exclui, modifica ou corrompe os dados de uma organização intencionalmente ou fornece a terceiros não autorizados acesso às redes e sistemas de TI da empresa.

Ameaças externas

Os ciberataques que vêm de fora e são perpetrados por atores sem acesso direto aos recursos da sua organização não são considerados como ameaças internas. Em vez de utilizar usuários legítimos para burlar firewalls que protegem informações, os criminosos usam métodos de invasão que não exigem acesso autorizado. Embora não sejam categorizados como ameaças internas, os ciberataques externos podem ter como alvo atores internos desavisados que fornecem entrada não autorizada nas redes de dados da organização.

Cinco indicadores comuns de ameaças internas para acompanhar

Os sinais de alerta enviados pelo comportamento são os principais indicadores de possíveis ameaças internas. Os padrões de impressão digital e as observações dos colegas e associados podem fazer com que uma pessoa seja considerada como uma ameaça em potencial.

Indicadores de ameaça

As anomalias no comportamento digital podem indicar que uma pessoa talvez seja uma ameaça interna. Os cinco indicadores comuns que apontam esse risco à cibersegurança são:

• O uso de dispositivos eletrônicos pessoais não aprovados para os negócios da organização.
• Solicitações de autorização para acessar unidades, documentos e aplicações que não se encaixam nas necessidades dos negócios.
• O login ou acesso ao site em horários estranhos.
• Picos incomuns de tráfego que podem indicar o download ou transferência de dados.
• Padrão de acesso recente a documentos confidenciais ou proprietários.

Detecção de ameaças

Como as ameaças internas vêm de pessoas confiáveis, é notoriamente difícil detectar esses problemas. Os atores internos podem causar danos graves à sua organização porque eles têm acesso fácil e aprovado a ativos valiosos. Quanto mais cedo uma possível ameaça é identificada e investigada, maior é a probabilidade de que você evite um ataque e as consequências dele para sua organização. Quando os dados são comprometidos, os danos causados na organização podem ser irreparáveis. As perdas financeiras podem ser recuperadas em alguns casos, mas não sem um investimento significativo de tempo e esforço nos procedimentos legais. Alguns danos não podem ser quantificados ou consertados, como a perda de propriedade intelectual e de vantagem competitiva, além dos danos à reputação da empresa.

Possíveis ameaças internas

Comportamentos estranhos podem indicar uma possível ameaça interna. Os colaboradores, supervisores, colegas, subordinados e outros associados próximos são quem melhor conseguem perceber determinados padrões de comportamento em um pessoa com acesso autorizado aos ativos da organização. Os funcionários precisam estar cientes de que têm a responsabilidade de reportar comportamentos que podem indicar vulnerabilidades, incluindo:

• Violações da política da organização (viagens, relatórios de despesas, segurança e documentação)
• Conflitos e confrontos com colegas
• Absenteísmo, atrasos habituais, saídas antecipadas e horários imprevisíveis
• Falta de confiabilidade, não participação em reuniões e perda de prazos
• Desempenho prejudicado por fatores de estresse financeiro, legal, médico ou familiar
• Raiva por considerar ter pedido status profissional ou progressão na carreira

Como detectar ameaças internas

É essencial que sua organização tenha a capacidade de detectar a ameaça de um ator interno malicioso para proteger ativos valiosos contra perdas e comprometimentos. Você precisa de um conjunto bem elaborado de ferramentas e práticas para implementar uma estratégia bem-sucedida de proteção contra ameaças internas.

Como escolher ferramentas de detecção de ameaças internas

A tecnologia desempenha um papel fundamental em um estratégia para detectar sinais de alerta de ameaças internas. Com o uso da inteligência artificial (IA) e da análise de dados, essas ferramentas de software podem monitorar atividades, determinar padrões e fornecer alertas no caso de anomalias. Os exemplos incluem:

• Monitoramento de atividade do usuário (UAM, na sigla em inglês)
• Análise comportamental de usuário e entidade (UEBA, na sigla em inglês)
• Prevenção contra perda de dados (DLP, na sigla em inglês)
• Gerenciamento e correlação de eventos de segurança (SIEM, na sigla em inglês)

Mesmo que essas ferramentas sejam avançadas, você precisa fazer ajustes nelas para atender às suas metas específicas de detecção de ameaças. As necessidades da organização vão depender do seu setor, cultura, políticas internas e, claro, ativos importantes. Quando a ferramenta de detecção de ameaças não é escolhida com cautela nem ajustada de acordo com o ambiente específico, ela talvez não consiga diferenciar anomalias e atividades do sistema. As ameaças atuais podem passar despercebidas, e pode haver uma explosão de alertas falsos positivos. Em ambos os casos, a confiança organizacional no sistema de detecção fica prejudicada, e as ferramentas não fornecem a proteção necessária.

Práticas recomendadas de prevenção de ameaças internas

Como a TI afeta todas as partes de uma organização, a prevenção de ameaças internas é melhor abordada como parte do gerenciamento geral de riscos corporativos. As estratégias de prevenção devem ser adaptadas à sua situação específica, já que cada ecossistema de dados é único.

A primeira etapa essencial da prevenção é identificar e entender os principais ativos da entidade. Crie um banco de dados detalhado com todos os ativos de TI, incluindo informações sobre o tipo de ativo, classificação de risco e acesso dos usuários. Com esse processo, você tem um panorama completo da TI da sua organização e determina os tipos de ferramentas que deve empregar para monitorar esse ambiente.

Além disso, escolha ferramentas de análise que forneçam as métricas apropriadas, identifiquem padrões e detectem sinais de anomalia no seu ambiente de TI específico. Forneça acesso aos ativos para o menor número de pessoas necessárias para atender aos requisitos da empresa, use a autenticação multifatorial (MFA, na sigla em inglês) e restrinja as permissões administrativas com rigor. Revise as configurações e definições com frequência para garantir que elas sejam otimizadas à medida que seu inventário de ativos evolui.

As abordagens tecnológicas de prevenção de ameaças são apenas uma parte da solução, embora sejam necessárias. O envolvimento dos funcionários também é essencial para garantir o sucesso da sua estratégia de prevenção de ameaças. Deixe claro que a proteção dos ativos de TI é uma necessidade da empresa e oriente os funcionários quanto à responsabilidade deles na segurança dos dados. Módulos de treinamento ajudam os funcionários a reconhecerem possíveis ameaças internas e entenderem o procedimento adequado para reportar esses riscos.

Para incentivar o envolvimento ativo no monitoramento de ameaças, enfatize o compromisso com o respeito e a privacidade daqueles que relatam comportamentos relacionados. Use lembretes regulares na forma de atualizações de políticas, questionários e estudos de caso para reforçar a conscientização sobre ameaças internas e criar uma cultura que priorize a segurança.

Importância da detecção precoce

Quanto mais cedo a equipe detecta uma ameaça interna, maior é a chance de prevenir um ataque à cibersegurança e as consequências dele. Mesmo que o ataque ocorra, a detecção precoce ajuda a diminuir os danos. Se o ataque já estiver acontecendo, você poderá interromper o fluxo de saída dos dados, identificar as pessoas responsáveis, revogar as credenciais delas e iniciar de imediato a análise e remediação do evento.

Realização de uma avaliação de ameaça interna

Se você acredita que está enfrentando uma ameaça interna, entre em ação imediatamente para avaliar sua veracidade e possível risco para a organização.

Definição da avaliação de ameaça interna

Depois que uma possível ameaça interna é identificada por meio de ferramentas de análise ou por canais de denúncia, você precisa fazer uma avaliação para determinar se há risco real e decidir as próximas etapas. Qualquer atraso pode transformar prevenção em contenção de danos. Com a criação proativa de uma estratégia de avaliação de ameaças, você se prepara para lidar com a situação de forma eficiente e efetiva, diminuindo as chances de que a ameaça se materialize e cause graves danos.

Como realizar uma avaliação de ameaça interna

Para se preparar e responder rapidamente a possíveis indicadores de ameaça interna, crie uma equipe de gerenciamento de ameaças, incluindo representantes dos departamentos de segurança, TI, recursos humanos e jurídico. Quando uma possível ameaça é identificada, a equipe precisa coletar e analisar informações sobre os comportamentos do ator interno, possíveis intenções ou motivos e a capacidade dele de causar danos. Com base nessa análise, a equipe pode definir se uma preocupação é infundada. No caso de preocupações justificáveis, o nível de risco vai determinar se as ações adequadas envolvem o monitoramento mais cuidadoso dos funcionários ou intervenção imediata. É essencial priorizar as preocupações com legalidade e privacidade durante a avaliação de ameaças internas.

Solução de detecção com a CrowdStrike

A missão da CrowdStrike é fornecer os recursos necessários para gerenciar ameaças internas. Com nossas soluções baseadas em nuvem, você elabora estratégias robustas de prevenção e mitigação de acordo com o panorama de ativos de TI da sua organização.

A primeira etapa para proteger os ativos da organização é estabelecer um inventário. Para ajudar você a começar, a CrowdStrike criou o Asset Graph, que complementa a plataforma CrowdStrike Falcon®. Essa ferramenta ajuda a descobrir e catalogar todos os ativos de TI na organização, entender as relações entre eles e identificar possíveis vulnerabilidades. Com as opções de pesquisa e visualização, a equipe de segurança de TI pode extrair e avaliar os dados para atender às necessidades exclusivas da organização.

Depois de identificar os ativos que você precisa proteger, use uma das nossas ferramentas disponíveis para criar uma framework de detecção e mitigação de ameaças internas. Isso inclui nossos serviços de avaliação de risco técnico e de comprometimento, além do monitoramento de segurança de rede.

As informações são a essência da sua organização. Proteja todas elas contra ataques internos com a ajuda das soluções completas de segurança de informações da CrowdStrike.