Como funcionam as ameaças internas

O que é ameaça interna?

Uma ameaça interna é um risco de cibersegurança que vem de dentro da organização. Em geral, ela é proveniente de um funcionário atual ou antigo e de outra pessoa que tem acesso direto à rede da empresa, dados confidenciais e propriedade intelectual (PI), além de conhecer os processos corporativos, políticas organizacionais e outras informações que ajudam na realização desse tipo de ataque.

Normalmente, quando o ataque é malicioso por natureza, o ator interno tem motivações financeiras para liderar tais esforços ou participar deles. Esses ataques costumam envolver o roubo de dados, propriedade intelectual e segredos comerciais que podem ser vendidos na dark web e a coleta de informações em nome de terceiros maliciosos.

Definição de ator interno

O ator interno pode ser qualquer pessoa que tenha bastante conhecimento sobre os negócios e como eles funcionam. O mais comum é que sejam funcionários atuais ou antigos, embora subcontratados, profissionais autônomos, fabricantes, parceiros e até mesmo prestadores de serviços possam ser atores internos se tiverem acesso à rede e aos sistemas da organização ou conhecimento sobre eles.

Por que as ameaças internas são difíceis de detectar?

Hoje em dia, as ameaças internas são difíceis de combater e ainda mais difíceis de detectar, mesmo quando são maliciosas ou resultantes de negligência. Na verdade, o Ponemon Institute avalia que o tempo médio necessário para conter um incidente de ameaça interna é de 77 dias, com o custo médio de US$ 7,12 milhões em 30 dias.

Há duas razões principais que explicam por que é difícil detectar um ataque interno:

1. A maioria das ferramentas e soluções de segurança se concentra na identificação e prevenção de ameaças externas. Além disso, elas não são criadas para detectar comportamentos suspeitos de usuários legítimos.
2. Muitos atores internos estão familiarizados com os procedimentos, políticas de segurança e configurações de rede da organização. Além disso, eles sabem quais são as vulnerabilidades, defasagens e outros pontos fracos que podem ser explorados.

Considerando o alto custo da contenção de ameaças internas, além dos danos à reputação que elas podem causar, as empresas precisam desenvolver um programa robusto voltado às ameaças internas, criado especificamente para lidar com esse risco grave.

Tipos de ameaças internas

Em geral, as ameaças internas se encaixam em duas categorias principais:

1. Ameaça interna maliciosa
2. Ameaça interna negligente

Ameaças internas maliciosas

Uma ameaça interna maliciosa é um evento planejado, que costuma envolver um funcionário atual ou antigo que esteja descontente ou comprometido. Essa pessoa ataca a empresa para conseguir ganhos financeiros ou como uma forma de vingança. Esse tipo de incidente geralmente está ligado a atividades criminosas e ilícitas mais amplas, como fraude, espionagem e roubo de dados e propriedade intelectual. Um ator interno malicioso pode trabalhar sozinho ou com um cibercriminoso, grupo de ciberterroristas, agência governamental estrangeira ou outra entidade hostil.

As ameaças internas maliciosas geralmente envolvem:

• O compartilhamento, venda, modificação ou exclusão de dados confidenciais ou informações sigilosas
• O uso indevido do acesso ao sistema ou de credenciais de login
• Alterações no ambiente de TI para permitir que outros entrem ou permaneçam escondidos

Ameaças internas negligentes

Uma ameaça interna negligente ocorre devido a erro humano, descuido ou manipulação. Como essas ameaças não envolvem a má-fé das pessoas, praticamente todo mundo pode ser um ator interno negligente ao compartilhar dados confidenciais sem querer, usar senhas fracas, perder um dispositivo, deixar de proteger um endpoint ou ser vítima de um ataque de engenharia social.

Em geral, os incidentes internos negligentes fazem parte de um ciberataque maior, que pode envolver malware, ransomware ou outros vetores.

Indicadores técnicos de ameaças internas

As aplicações de segurança tradicionais não detectam corretamente as ameaças internas maliciosas. Isso acontece em partes porque elas não foram criadas para essa finalidade. Em muitos casos, as aplicações são calibradas de acordo com regras e limites, tendo como base a correspondência de padrões. Essas proteções podem ser burladas por quem tem muito conhecimento sobre os procedimentos, políticas e configurações de segurança da empresa.

Um sistema moderno de detecção de ameaças internas incorpora a inteligência artificial (IA) e a análise para estabelecer uma linha de base referente à atividade de todos os usuários e dispositivos, extraindo diferentes dados em toda a empresa. As soluções mais robustas usam esses dados para atribuir classificações de risco personalizadas a cada usuário e dispositivo. Isso fornece mais contexto para a equipe de cibersegurança à medida que ela analisa os alertas no sistema. O sistema de detecção de ameaças internas possibilita a identificação proativa das atividades anômalas que podem indicar as atividades ilícitas de um ator interno.

As anomalias podem incluir:

• Acessar a rede, os sistemas e os ativos em horários incomuns, o que pode indicar uso indevido de ativos ou que as credenciais de um usuário foram comprometidas.
• Enfrentar picos inesperados e inexplicáveis no tráfego de rede, que podem ser um sinal de que um usuário está baixando ou copiando dados.
• Solicitar acesso a aplicações, dados ou documentos que não sejam necessários para uma determinada função.
• Acessar uma determinada combinação de documentos ou dados que, em conjunto, podem indicar atividade maliciosa.
• Usar dispositivos pessoais como laptops, celulares e drives USB sem aprovação da TI.

Além das anomalias de comportamento, as organizações também podem monitorar indicadores de rede, que são possíveis sinais de ameaças internas ou outro tipo de ciberataque. Os indicadores de ameaças internas podem incluir:

• A presença de backdoors na rede, o que pode possibilitar o acesso remoto de usuários não autorizados.
• Hardware ou downloads de software que não foram aprovados, instalados ou monitorados pela TI ou pela equipe de segurança, o que pode colocar o dispositivo em risco.
• Desativação manual das ferramentas e configurações de segurança.

Quem é alvo de ameaças internas?

Por definição, qualquer organização com um “ator interno” pode ser vítima de uma ameaça interna. A maioria das ferramentas e soluções de cibersegurança costuma se concentrar em ameaças provenientes de fora da organização, e os atores internos podem estar familiarizados com as vulnerabilidades do sistema e os procedimentos de segurança corporativa. Por isso, é mais difícil proteger a empresa de uma ameaça interna do que de outros tipos de ataque.

Em específico, as organizações que têm grandes quantidades de dados de clientes, propriedade intelectual ou segredos comerciais podem ser o principal alvo de roubo e comprometimento de dados provenientes de uma ameaça interna. Ao mesmo tempo, algumas ameaças internas (principalmente aquelas que envolvem a colaboração de atores externos) estão ligadas à espionagem e outras práticas de coleta de informações que são usadas por países, governos estrangeiros e terceiros para prejudicar a vítima, extorquir a empresa ou causar danos à reputação dela.

Alguns setores que são mais suscetíveis a ameaças internas incluem:

• Organizações de serviços financeiros, como bancos, cooperativas de crédito, emissores de cartões de crédito e credoras
• Seguradoras
• Provedores de telecomunicações
• Provedoras de energia e serviços públicos
• Empresas de fabricação
• Empresas farmacêuticas
• Hospitais e instituições de saúde
• Agências governamentais e funcionários de alto escalão

É importante observar o seguinte: além do custo real do comprometimento de dados causado por uma ameaça interna, esse tipo de evento também envolve multas e outras penalidades que são aplicadas por agências governamentais e outros grupos de fiscalização. Por isso, as empresas precisam adotar as medidas suficientes para proteger os dados do consumidores, funcionários ou pacientes.

Como impedir e interromper ameaças internas?

Como as soluções de segurança tradicionais normalmente não monitoram as ações internas, as organizações precisam tomar medidas especiais para se protegerem desse risco.

Proteção contra ameaças internas negligentes

No nível empresarial, a proteção contra ataques internos negligentes é semelhante às medidas de defesa contra malware, ransomware e outras ciberameaças. Siga estas práticas recomendadas para manter a segurança das suas operações:

1. Treine todos os funcionários sobre as práticas recomendadas de cibersegurança.

Os funcionários estão na linha de frente da segurança. É essencial que eles adotem boas práticas de higiene em todos os dispositivos, como usar senhas fortes, acessar apenas redes Wi-Fi seguras e sempre prestar atenção nos ataques de phishing. Ofereça treinamentos completos e frequentes para conscientizar os funcionários sobre a segurança. Assim, você garante que eles entendam o cenário de ameaças em transformação e adotem as medidas necessárias para proteger a si mesmos e à empresa contra ameaças internas e outros riscos cibernéticos.

2. Atualize e corrija o sistema operacional e outros softwares.

Os hackers estão sempre buscando entradas e backdoors para explorar. Com a atualização cautelosa dos seus sistemas, você diminui a exposição a vulnerabilidades conhecidas.

3. Sempre monitore o ambiente em busca de atividades maliciosas e indicadores de ataque (IOAs).

Use um sistema de detecção e resposta de endpoint (EDR) para monitorar todos os endpoints. Assim, você captura eventos brutos para encontrar automaticamente as atividades maliciosas não identificadas por métodos de prevenção.

4. Integre a inteligência de ameaças à sua estratégia de segurança.

Monitore seus sistemas em tempo real e fique por dentro da inteligência de ameaças mais recente para melhorar a segurança da rede e detectar ataques rapidamente. Assim, você define a melhor maneira de responder e evitar que eles se espalhem.

Prevenção de ameaças internas maliciosas

A CrowdStrike avalia que 80% de todos os ataques usam identidades comprometidas. Por isso, uma das medidas mais importantes que as organizações podem tomar para se proteger contra ataques internos maliciosos é melhorar a segurança de identidade.

Como a segurança de identidade ajuda a prevenir ameaças internas

A segurança de identidade é uma solução completa que garante a segurança de todos os tipos de identidade na empresa: humanos e máquinas, ambientes híbridos e no local, além de níveis de privilégio comuns e altos. O objetivo da solução é detectar e prevenir ataques baseados em identidade, em especial quando os adversários (incluindo atores internos) conseguem violar as medidas de segurança de endpoint.

Todas as contas podem receber privilégios e acabar fornecendo uma rota para ataques digitais de adversários, sejam elas de administradores de TI, funcionários, trabalhadores remotos e até mesmo clientes. É por isso que as organizações precisam ter a capacidade de autenticar todas as identidades e autorizar cada solicitação para garantir a segurança e evitar uma grande variedade de ameaças digitais, como ameaças internas, ransomware e ataques à cadeia de suprimento.

As principais etapas para melhorar a segurança de identidade incluem:

1. Proteger o Active Directory (AD)

Tenha visibilidade completa e em tempo real sobre o AD (no local e na nuvem) e identifique administradores shadow, contas obsoletas, credenciais compartilhadas e outros caminhos de ataque ao AD.

Reforce a segurança do AD e reduza os riscos monitorando o tráfego de autenticação e o comportamento do usuário. Além disso, aplique políticas de segurança para detectar anomalias com proatividade.

Monitore de maneira contínua os pontos fracos de credenciais, desvios de acesso e comprometimentos de senhas com classificações dinâmicas de risco para cada conta de serviço e de usuário.

2. Ampliar a segurança da autenticação multifatorial (MFA)

Proteja endpoints não gerenciados com o acesso condicional baseado em risco e incorpore a proteção da MFA a aplicações e ferramentas legadas a análise proprietária dos comportamentos do usuário e do tráfego de autenticação.

Aplique políticas consistentes baseadas em risco para bloquear, permitir, auditar ou intensificar a autenticação automaticamente em cada identidade.

3. Criar uma linha de base para a atividade do usuário

Centralize a atividade e o comportamento dos usuários em todos os logs de dados relevantes, incluindo acesso, autenticação e endpoint.

Use esses dados para criar uma linha de base referente à atividade de cada usuário, grupo de usuários, função, cargo e dispositivo. Ela poderá ajudar a identificar atividades incomuns ou suspeitas.

Atribua uma classificação de risco personalizada a cada usuário e endpoint para fornecer mais contexto à equipe de cibersegurança.

4. Aproveitar a análise de comportamentos e a IA para identificar ameaças

Aproveite as ferramentas de análise e alimentadas por IA para monitorar o comportamento dos usuários e dispositivos em tempo real.

Compare os alertas com a classificação de risco para fornecer mais contexto sobre o evento e priorizar o trabalho de resposta.

Como eliminar as ameaças internas com a plataforma CrowdStrike Falcon®

A plataforma CrowdStrike® Falcon oferece segurança e visibilidade contínuas e em tempo real para todos os usuários na organização e seus ativos. Ao contrário das outras soluções no mercado, a CrowdStrike ajuda os clientes a estabelecerem uma estratégia de segurança abrangente, incluindo a integração do gerenciamento de identidade e acesso (IAM), princípios Zero Trust e higiene do AD. Nossos diferenciais incluem: integração do IAM, segurança robusta do AD, conformidade Zero Trust com o NIST, avaliação de riscos e uma plataforma voltada a APIs de código aberto.

Para obter mais informações sobre como a CrowdStrike ajuda a proteger as organizações contra ameaças internas, solicite uma demonstração das capacidades oferecidas pelo CrowdStrike Falcon® Next-Gen Identity Security.