O que são ameaças internas?

Agentes internos maliciosos geralmente são funcionários atuais insatisfeitos ou ex-funcionários insatisfeitos cujas credenciais de acesso não foram retiradas, que usam seu acesso de maneira intencional por vingança, ganho financeiro ou ambos. Alguns agentes internos maliciosos “trabalham” para terceiros mal-intencionados, como um hacker, concorrente ou agente de estado-nação, para interromper as operações comerciais (plantar malware ou adulterar arquivos ou aplicações) ou para vazar informações de clientes, propriedade intelectual, segredos comerciais ou outros dados confidenciais.

Alguns ataques recentes de agentes internos maliciosos

• No início da pandemia de COVID-19, um ex-funcionário insatisfeito de uma empresa de embalagens médicas usou uma conta de administrador criada anteriormente para configurar uma nova conta de usuário falsa e depois alterou milhares de arquivos de forma atrasar ou interromper o envio de equipamentos de proteção individual para hospitais e prestadores de serviços de saúde (link externo ao site ibm.com).
   

• Em 2022, um funcionário do X foi preso por enviar informações privadas de usuários do X para funcionários do Reino da Arábia Saudita e da família real saudita em troca de suborno (link externo ao site ibm.com). De acordo com o Departamento de Justiça dos EUA, o funcionário “... agiu em segredo como agente de um governo estrangeiro visando vozes dissidentes”. 

Agentes internos negligentes não têm intenção maliciosa, mas criam ameaças à segurança por meio de ignorância ou descuido, por exemplo, cair em um ataque de phishing, ignorar os controles de segurança para economizar tempo, perder um notebook que um criminoso cibernético pode usar para acessar a rede da organização ou enviar por e-mail os arquivos errados (como arquivos que contêm informações confidenciais) para indivíduos fora da organização.

Entre as empresas pesquisadas no Ponemon Cost of Insider Threats Global Report de 2022, a maioria das ameaças de agentes internos resultou de descuido ou agentes internos negligentes.²

Agentes internos comprometidos são usuários legítimos cujas credenciais foram roubadas por agentes de ameaças externos. As ameaças lançadas por meio de agentes internos comprometidos são as ameaças internas mais caras, cuja correção custa às vítimas, em média, US$ 804.997, de acordo com o relatório da Ponemon.³

Agentes internos comprometidos costumam ser resultado de comportamento de agentes internos negligentes. Por exemplo, em 2021, um golpista usou uma tática de engenharia social (especificamente uma chamada telefônica de phishing de voz, ou vishing) para conseguir as credenciais de acesso aos sistemas de atendimento ao cliente na plataforma de comércio Robinhood. Mais de 5 milhões de endereços de e-mail de clientes e 2 milhões de nomes de clientes foram roubados no ataque (link externo ao site ibm.com).

Como as ameaças internas são executadas em parte ou integralmente por usuários totalmente credenciados e às vezes por usuários privilegiados, pode ser especialmente difícil separar indicadores ou comportamentos de ameaças de agentes internos descuidados ou maliciosos de ações e comportamentos de usuários comuns. De acordo com um estudo, as equipes de segurança levam em média 85 dias para detectar e conter uma ameaça interna ⁴, mas algumas ameaças internas permanecem indetectadas por anos (link externo ao site ibm.com).

Para detectar, conter e prevenir melhor ameaças internas, as equipes de segurança contam com uma combinação de práticas e tecnologias.

Treinar continuamente todos os usuários autorizados sobre a política de segurança (como higiene de senhas, manuseio adequado de dados sensíveis e relato de dispositivos perdidos) e conscientização de segurança (como reconhecer um golpe de phishing, como encaminhar corretamente solicitações de acesso a sistemas ou dados sensíveis) pode ajudar a reduzir o risco de ameaças internas por negligência. O treinamento também pode reduzir o impacto geral das ameaças. Por exemplo, segundo o relatório do custo das violações de dados, o custo médio de uma violação de dados em empresas que fornecem treinamento aos funcionários foi USD 285,629 menor do que em empresas que não oferecem treinamento.

O gerenciamento de acesso e identidade (IAM) concentra-se em gerenciar identidades de usuários, autenticação e permissões de acesso de forma a garantir que os usuários e dispositivos corretos possam acessar os recursos corretos no momento adequado. O gerenciamento de acesso privilegiado, uma subdisciplina do IAM, concentra-se no controle mais refinado dos privilégios de acesso concedidos a usuários, aplicações, contas administrativas e dispositivos.

Uma função fundamental do IAM na prevenção de ataques internos é a gestão do ciclo de vida das identidades.Limitar as permissões de um funcionário descontente que está saindo ou desativar imediatamente as contas de usuários que deixaram a empresa são exemplos de ações de gerenciamento do ciclo de vida da identidade que podem reduzir o risco de ameaças internas.

A análise de comportamento do usuário (UBA) aplica análise avançada de dados e inteligência artificial (IA) para modelar os comportamentos de usuários e detectar anomalias que podem indicar ameaças cibernéticas emergentes ou em curso, incluindo possíveis ameaças internas. Uma tecnologia intimamente relacionada, a análise de comportamento de usuários e entidades, ou UEBA, expande essas capacidades para detectar comportamentos anormais em sensores de IoT e outros dispositivos de endpoint.

O UBA costuma ser usado em conjunto com o gerenciamento de informações e eventos de segurança (SIEM), que coleta, correlaciona e analisa dados relacionados à segurança de todas as partes da empresa.

A segurança ofensiva (ou OffSec) usa táticas adversárias, as mesmas táticas que os agentes mal-intencionados usam em ataques reais para fortalecer a segurança da rede em vez de comprometê-la. A segurança ofensiva geralmente é realizada por hackers éticos, profissionais de cibersegurança que usam habilidades de hacking para detectar e corrigir não apenas falhas nos sistemas de TI, mas também riscos de segurança e vulnerabilidades na forma como os usuários respondem aos ataques.

Medidas de segurança ofensiva que podem fortalecer os programas de ameaças internas incluem simulações de phishing e red teaming, em que uma equipe de hackers éticos inicia um ataque cibernético simulado orientado a objetivos na organização.