Ataques internos e ameaças internas na segurança cibernética explicados

As organizações normalmente concentram-se em ameaças cibernéticas de origem externa. Estas incluem anti-malware, firewalls externos, mitigação de ataques DDoS, prevenção de perda de dados externos, e a lista continua. Isso é óptimo, os ataques cibernéticos externos são muito comuns, por isso é vital proteger as suas redes contra acesso não autorizado e penetração maliciosa. A Internet e o acesso físico não autorizado às suas instalações serão sempre riscos e devem ser monitorizados e geridos. Mas é fácil perder de vista uma superfície de ataque cibernético frequentemente negligenciada, e essa é a que se encontra no interior. Os ciberataques internos são mais comuns do que muitas pessoas supõem, e ignorando que a realidade estaria em seu perigo. Eis porque deve estar preparado para as ameaças cibernéticas internas, e o que pode fazer quanto a isso.

O impacto e a importância dos ataques internos

As ameaças internas à sua rede envolvem tipicamente pessoas que trabalham como empregados ou empreiteiros da sua empresa. Elas pertencem às suas instalações e muitas vezes têm contas de utilizador nas suas redes. Eles sabem coisas sobre a sua organização que os estranhos normalmente não sabem – o nome do administrador da sua rede, que aplicações específicas utiliza, que tipo de configuração de rede tem, com que fornecedores trabalha. Os ciberataqueiros externos normalmente precisam de tirar impressões digitais da sua rede, pesquisar informação sobre a sua organização, engendrar socialmente dados sensíveis dos seus empregados, adquirir acesso malicioso a qualquer conta de utilizador, mesmo aqueles com menos privilégios. Assim, os atacantes internos já têm vantagens que os atacantes externos não têm.

Ainda, algumas ameaças internas não provêm de agentes maliciosos. Algumas ameaças internas são puramente acidentais. Talvez um empregado deixe acidentalmente uma unidade USB cheia de documentos sensíveis na casa de banho de um restaurante, ou clique num hiperlink malicioso que introduz malware da web na sua rede. De acordo com o estudo do Instituto Ponemon de Abril de 2018 “Cost of Insider Threats”, os incidentes com ameaças internas custaram às 159 organizações que pesquisaram uma média de 8,76 milhões de dólares num ano. As ameaças internas maliciosas são mais caras do que as ameaças internas acidentais. Os incidentes causados por funcionários ou contratantes negligentes custam uma média de $283.281 cada, enquanto que os roubos maliciosos de informação privilegiada custam uma média de $648.845 por incidente. Mas o resultado final é que todos estes incidentes são muito caros e devem ser evitados.

Comparar as ameaças e ataques cibernéticos internos vs. externos

Por isso, as ameaças internas podem ser muito mais perigosas do que as ameaças externas. No que diz respeito a atacantes maliciosos, os infiltrados já têm acesso autorizado aos seus edifícios e contas de utilizadores. Um atacante externo precisa de trabalhar para encontrar um vector de ataque externo nas suas redes e instalações físicas. Estes são passos dentro dos atacantes podem normalmente saltar. É muito mais fácil privilegiar a escalada de uma conta de utilizador que já tem do que invadir qualquer conta de utilizador em primeiro lugar. Um guarda de segurança examinará um indivíduo desconhecido, enquanto ele cumprimentará um funcionário conhecido.

p>O mesmo se aplica a incidentes acidentais. Não conheço nenhuma informação sensível sobre empresas para as quais nunca trabalhei. Um funcionário actual ou antigo funcionário irá, muitas vezes, e pode ser socialmente concebido a partir delas.

P>Por causa do acesso privilegiado que os funcionários de dentro já têm, podem ser muito mais difíceis de detectar e parar do que as ameaças de fora. Quando um empregado está a trabalhar com dados sensíveis, é muito difícil saber se está a fazer algo malicioso ou não. Se um informador interno se comportar de forma maliciosa dentro da sua rede, pode alegar que foi um erro honesto e, portanto, pode ser um desafio provar a sua culpa. As ameaças internas podem ser muito mais difíceis de conter do que as ameaças externas. De acordo com o estudo do Instituto Ponemon de 2018 “Cost of Insider Threats” (Custo das Ameaças Internas), levou uma média de 73 dias para conter os incidentes com informação privilegiada. Apenas 16% dos incidentes de informação privilegiada foram contidos em menos de 30 dias. Mesmo que uma ameaça à sua rede durasse 20 dias, imagine quanto dano poderia ser feito nesse tempo.

Lockheed Martin desenvolveu a estrutura Cyber Kill Chain como um modelo para identificar e prevenir a intrusão cibernética. É um excelente sistema, mas é melhor orientado para a determinação de ameaças externas. Felizmente, adaptámos uma forma de implementar a Cyber Kill Chain a partir da perspectiva das ameaças internas. Veja!

Indicadores de ameaças internas a ter em conta

Porque as ameaças internas podem ser muito mais difíceis de detectar e conter, é crucial saber quais os indicadores a ter em conta.

Os empregados insatisfeitos tornam-se, por vezes, mal intencionados.

Os mais perigosos são aqueles que receberam notificações de rescisão. Podem decidir que não têm nada a perder porque já não estão preocupados em ser despedidos. Dependendo da natureza da sua organização e do trabalho que faz, pode ser uma boa ideia deixarem de trabalhar para a sua empresa no momento em que souberem que foram despedidos. Faça com que lhe dêem quaisquer chaves físicas que possam ter e desactive de imediato as suas contas de utilizador. Em última análise, pode custar à sua organização menos dinheiro dar ao seu empregado despedido a indemnização por cessação de funções do que pagar-lhe para trabalhar mais algumas semanas. Mas se tiverem de trabalhar durante algum tempo depois de terem sido despedidos, vigie-os com especial cuidado.

Os funcionários despedidos que não estejam definidos para serem despedidos também podem representar uma ameaça. Entre os sinais de empregados descontentes que podem tornar-se funcionários maliciosos incluem-se aqueles que têm conflitos frequentes com supervisores e colegas de trabalho, e aqueles que demonstram um desempenho decrescente e um atraso geral. As visitas a websites com listagens de empregos são outra indicação clara de um empregado descontente.

Interessantemente, outro tipo de indicação de um empregado ou de um empreiteiro que possa ser um informador malicioso é quando parecem anormalmente entusiasmados com o seu trabalho. Podem ser voluntários para mais trabalho ou tarefas adicionais, não porque querem um aumento, mas porque querem expandir o seu acesso a dados sensíveis. Sim, eu trabalho no helpdesk, mas tenho muita experiência na gestão de redes! Posso substituir o administrador da rede quando eles estão a tirar férias!

As viagens frequentes a outras cidades ou países podem ser um sinal de espionagem industrial. Podem estar a partilhar informação sensível e exclusiva com outra empresa.

Outro grande indicador de actores com ameaças internas são os empregados ou o pessoal que tiveram mudanças significativas e inexplicáveis nas suas circunstâncias financeiras. Porque é que aquele empregado que ganha $40.000 por ano a conduzir um Bentley de repente? Ou os indicadores podem ser muito mais subtis do que isso. Seja como for, o dinheiro extra pode vir da espionagem industrial, da criptomina de malware, ou do roubo de dinheiro de contas empresariais.

Ataques internos na nuvem

Mais e mais organizações implementaram redes de nuvem. Podem ser mais baratas de operar e permitem a expansão da sua rede sem ter de adquirir instalações maiores, além de serem muito mais escaláveis do que as redes no local. Mas as redes de nuvens colocam desafios únicos a ameaças internas.

De acordo com o lançamento da Primavera Threatbusters: Bitglass’ 2019 Insider Threat Report, 41% dos inquiridos afirmam que os activos migrados para a nuvem não são monitorizados em busca de actividade anómala. Isto torna os ataques de dentro da nuvem mais difíceis de detectar. A sua organização normalmente não tem acesso físico às suas redes na nuvem e pode levar algum tempo a familiarizar-se mais com a implementação dos controlos de segurança do seu fornecedor da nuvem. Assim, é fácil compreender porquê.

O seu ambiente de nuvem interage com todas as suas infra-estruturas e aplicações, por isso é muito importante estar atento a quaisquer ameaças internas que possam existir.

A fim de ajudar a prevenir ameaças internas à sua nuvem, precisa de se certificar de que está devidamente configurado para uma segurança óptima. Zonas de aterragem seguras por defeito podem impedir a abertura de novas superfícies de ataque em ambientes de desenvolvimento, encenação e produção. Deve também implementar uma gestão de acesso de identidade que seja bem adaptada à nuvem. O princípio do privilégio mínimo também pode ser tão útil para proteger as redes de nuvens como para as redes no local. Nenhum utilizador deve ter mais privilégios do que aqueles de que necessita absolutamente para fazer o seu trabalho.

Conclusão: Não subestime a importância das ameaças internas

É evidente que as ameaças e ataques internos são um problema significativo para as redes da sua organização, independentemente da sua indústria ou configurações de rede. Uma formação adequada e frequente é a chave para mitigar as ameaças internas. As pessoas da sua empresa devem conhecer as indicações de ameaças internas e estar atentas a elas. A fim de ajudar a prevenir ameaças acidentais, os utilizadores devem ser treinados para serem reforçados contra a engenharia social, e para serem extra cuidadosos com a forma como lidam com dados sensíveis. As pessoas aprendem melhor quando a formação é frequente e consistente. Assim, as sessões de formação devem ter lugar pelo menos duas ou três vezes por ano, e não apenas uma vez.

Sensibilização e vigilância são da maior importância. As organizações subestimam frequentemente o risco de ameaças internas. Conhecimento é poder!