Ameaças internas são ameaças de cibersegurança que têm origem em usuários autorizados, funcionários, contratados, parceiros de negócios, que usam intencionalmente ou acidentalmente seu acesso legítimo de maneira inadequada, ou têm suas contas sequestradas por cibercriminosos.
Embora as ameaças externas sejam mais comuns e atraiam mais atenção nos noticiários de ciberataques, as ameaças internas, sejam maliciosas ou resultado de negligência, podem ser mais caras e perigosas. Segundo o Relatório do Custo das Violações de Dados da IBM de 2023, as violações de dados provocadas por agentes internos maliciosos foram as mais onerosas, com uma média de US$ 4,90 milhões, o que representa um aumento de 9,5% em relação ao custo médio de US$ 4,45 milhões de uma violação de dados comum.E um relatório recente da Verizon revelou que, enquanto uma ameaça externa média compromete cerca de 200 milhões de registros, incidentes envolvendo um ator interno resultaram na exposição de 1 bilhão de registros ou mais.1
Veja como o IBM Security® QRadar® SIEM identifica e investiga comportamentos anômalos.
Agentes internos maliciosos geralmente são funcionários atuais insatisfeitos, ou ex-funcionários insatisfeitos cujas credenciais de acesso não foram retiradas, que usam seu acesso de maneira intencional para vingança, ganho financeiro ou ambos. Alguns agentes internos maliciosos “trabalham” para alguém mal-intencionado, como um hacker, concorrente ou ator de um estado-nação, para interromper as operações comerciais (instalar malware ou adulterar arquivos ou aplicativos) ou para vazar informações de clientes, propriedade intelectual, segredos comerciais ou outros dados confidenciais.
Alguns ataques recentes de agentes internos maliciosos
No início da pandemia de COVID-19, um ex-funcionário insatisfeito de uma empresa de embalagens médicas usou uma conta de administrador previamente criada para configurar uma nova conta de usuário falsa, e depois alterou milhares de arquivos de forma atrasar ou interromper o envio de equipamentos de proteção individual para hospitais e prestadores de serviços de saúde (link externo ao site ibm.com).
Em 2022, um funcionário do Twitter foi preso por enviar informações privadas de usuários do Twitter a autoridades do Reino da Arábia Saudita e à família real saudita em troca de subornos (link externo ao site ibm.com ). De acordo com o Departamento de Justiça dos EUA, o funcionário “... agiu em segredo como agente de um governo estrangeiro visando vozes dissidentes”.
Agentes internos negligentes não têm intenção maliciosa, mas criam ameaças à segurança por meio de ignorância ou descuidado — por exemplo, cair em um ataque de phishing, ignorar os controles de segurança para economizar tempo, perder um laptop que um criminoso cibernético pode usar para acessar a rede da organização ou enviar por e-mail os arquivos errados (por exemplo, arquivos que contêm informações confidenciais) para indivíduos fora da organização.
Entre as empresas pesquisadas no Ponemon Cost of Insider Threats Global Report de 2022, a maioria das ameaças internas — 56% — resultou de agentes internos despreocupadas ou negligentes.2
Agentes internos comprometido são usuários legítimos cujas credenciais foram roubadas por agentes de ameaças externos. As ameaças lançadas por meio de insiders comprometidos são as ameaças internas mais caras, custando às vítimas, em média, USD 804.997 para serem corrigidas, de acordo com o relatório da Ponemon.3
Frequentemente, pessoas internas comprometidas são o resultado de comportamento de agentes internos negligentes. Por exemplo, em 2021, um golpista usou uma tática de engenharia social — especificamente uma chamada telefônica de phishing de voz (vishing) — para obter credenciais de acesso aos sistemas de suporte ao cliente na plataforma de comércio Robinhood. Mais de 5 milhões de endereços de e-mail de clientes e 2 milhões de nomes de clientes foram roubados no ataque (o link reside fora do ibm.com).
Como as ameaças internas são executadas em parte ou integralmente por usuários totalmente credenciados — e às vezes por usuários privilegiados — pode ser especialmente difícil separar indicadores ou comportamentos de ameaças internas despreocupados ou maliciosos de ações e comportamentos regulares do usuário. De acordo com um estudo, leva, em média, 85 dias para as equipes de segurança detectarem e contiverem uma ameaça de insider4, mas algumas ameaças de insider não foram detectadas há anos (o link reside fora de ibm.com).
Para detectar, conter e prevenir melhor ameaças internas, as equipes de segurança contam com uma combinação de práticas e tecnologias.
Treinar continuamente todos os usuários autorizados sobre a política de segurança (por exemplo, higiene de senha, manuseio adequado de dados confidenciais, relatórios de dispositivos perdidos) e conscientização de segurança (por exemplo, como reconhecer um golpe de phishing, como encaminhar adequadamente solicitações de acesso ao sistema ou dados confidenciais) pode ajudar a reduzir o risco de ameaças de agentes internos negligentes. O treinamento também pode atenuar o impacto geral das ameaças. Por exemplo, de acordo com o relatório do custo das violações de dados de 2023, o custo médio de uma violação de dados em empresas com treinamento de funcionários foi US$ 232.867 a menos, ou 5,2% a menos, do que o custo médio geral de uma violação.
O gerenciamento de identidade e acesso (IAM) concentra-se em administrar identidades de usuários, autenticação e permissões de acesso de forma a garantir que os usuários e dispositivos corretos possam acessar os recursos corretos no momento adequado. (O gerenciamento de acesso privilegiado, uma subdisciplina do IAM, concentra-se no controle mais refinado dos privilégios de acesso concedidos a usuários, aplicativos, contas administrativas e dispositivos).
Uma função fundamental do IAM na prevenção de ataques internos é a gestão do ciclo de vida das identidades.Limitar as permissões de um funcionário descontente que está saindo ou desativar imediatamente as contas de usuários que deixaram a empresa são exemplos de ações de gerenciamento do ciclo de vida da identidade que podem reduzir o risco de ameaças internas.
A análise de comportamento do usuário (UBA) aplica análise avançada de dados e inteligência artificial (IA) para modelar os comportamentos de usuários e detectar anomalias que podem indicar ameaças cibernéticas emergentes ou em curso, incluindo possíveis ameaças internas.(Uma tecnologia intimamente relacionada, análise de comportamento do usuário e da entidade ou UEBA, expande essas capacidades para detectar comportamentos anormais em sensores de IoT e outros dispositivos de endpoint.)
O UBA é frequentemente usado em conjunto com o gerenciamento de eventos e informações de segurança (SIEM), que coleta e correlaciona dados relacionados à segurança de todas as partes da empresa.
Segurança ofensiva (ou OffSec) usa táticas adversarias, as mesmas táticas que os más atores usam em ataques do mundo real, para fortalecer a segurança de rede em vez de comprometê-la. A segurança ofensiva geralmente é realizada por hackers éticos, profissionais de segurança cibernética que usam habilidades de hacking para identificar e solucionar não apenas falhas nos sistemas de TI, mas também riscos de segurança e vulnerabilidades na forma como os usuários respondem aos ataques.
Medidas de segurança ofensiva que podem reforçar os programas de ameaças internas incluem simulações de phishing e equipamento vermelho, em que uma equipe de hackers éticos lança um ataque cibernético simulado orientado a objetivos na organização.
Ameaças internas podem ser difíceis de detectar, a maioria dos casos passa despercebida por meses ou anos. Proteja sua organização contra ameaças maliciosas ou não intencionais de pessoas com acesso à sua rede.
Ofereça aos analistas de segurança as ferramentas necessárias para melhorar significativamente as taxas de detecção e acelerar o tempo de detecção e investigação de ameaças. Os dados de eventos normalizados do QRadar SIEM permitem que os analistas usem consultas simples para encontrar atividades de ataque relacionadas em fontes de dados diferentes.
Proteja ativos críticos e gerencie o ciclo de vida completo das ameaças com uma abordagem inteligente e unificada de gerenciamento de ameaças que ajuda a detectar ameaças avançadas, responder rapidamente com precisão e se recuperar de interrupções.
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
O SIEM (gestão de informações e eventos de segurança) é um software que ajuda as organizações a reconhecer e abordar possíveis ameaças e vulnerabilidades de segurança antes que possam interromper as operações de negócios.
Conheça a ameaça para vencê-la — obtenha insights acionáveis que ajudam você a entender como os agentes de ameaças estão realizando ataques e como proteger proativamente sua organização.
Entenda seu cenário de segurança cibernética e priorize iniciativas junto com arquitetos e consultores de segurança sênior da IBM em uma sessão design thinking de três horas, virtual ou presencial, sem custo
O gerenciamento de ameaças é um processo usado por profissionais de segurança cibernética para prevenir ataques cibernéticos, detectar ameaças cibernéticas e responder a incidentes de segurança.
Leia as últimas tendências em ameaças internas e técnicas de prevenção na Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.
Notas de rodapé
1 Relatório de Investigações de Violação de Dados da Verizon 2023 (link reside fora de ibm.com)
2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (para ponto de prova; o link reside fora de ibm.com)