Guia completo sobre ameaças internas e prevenção em cibersegurança

Ninguém gosta de pensar que existem ameaças internas na sua empresa e que podem colocar a organização em risco de uma violação de dados ou ser o motivo de uma multa por não conformidade no valor de milhares de libras. No entanto, a ameaça interna é demasiado real. De acordo com vários relatórios, as ameaças internas estão por detrás de muitos dos problemas de segurança que enfrentamos atualmente. O “Cybersecurity Insiders Insider Threat Report“, por exemplo, concluiu que 68% das organizações acreditam que as ameaças internas estão a aumentar de frequência. Num inquérito da Egress, “2020 Insider Data Breach Survey“, quase todos os líderes de TI que responderam afirmaram que o risco de violação por parte de pessoas com informação privilegiada era uma “preocupação significativa”.

É frequente dizer-se na indústria da cibersegurança que as ameaças internas são as mais difíceis de combater; afinal, como é que uma ação maliciosa ou uma fuga acidental de dados pode ser detectada? Apresentamos-te o nosso guia sobre as ameaças internas e a forma de as evitar.

Tipos de ameaças internas

Uma pessoa com informação privilegiada é qualquer pessoa que trabalhe atualmente ou tenha trabalhado anteriormente para a sua organização. Esta definição abrange os empregados e os não empregados, como os contratantes. Os infiltrados também podem ser alargados a um associado comercial ou a uma empresa do seu ecossistema de fornecedores. Os trabalhadores remotos também contribuem para as preocupações de segurança interna de uma empresa, tendo um inquérito da IBM concluído que os problemas de segurança são exacerbados pelo facto de as empresas não garantirem a aplicação de políticas de segurança para o trabalho remoto.

O informador acidental

Um artigo do EC-Council afirma que 64% dos eventos de perda de dados são atribuíveis a pessoas com “boas intenções”, ou seja, acidentes acontecem. O termo genérico de ameaças internas acidentais abrange um vasto leque de possíveis “acidentes ou percalços”. Alguns destes percalços devem-se ao simples facto de não compreenderem os riscos de segurança quando executam uma tarefa; outros, como o phishing ou a engenharia social, devem-se ao facto de os indivíduos serem manipulados por forças externas. A má configuração dos sistemas de TI é outra área que é acidental, mas permite que forças externas explorem um sistema. O insider acidental resume-se frequentemente a quatro áreas problemáticas principais:

• O fator “oops”: Não compreenderes ou não teres conhecimento dos processos e riscos de segurança. O estudo da Egress concluiu que 31% das violações foram causadas pelo facto de um funcionário ter enviado informações por correio eletrónico para a pessoa errada
• Engano: Manipulação por forças externas, por exemplo, phishing. O estudo Egress concluiu que 41% dos dados acidentalmente divulgados se deveram a um e-mail de phishing.
• Má postura: Má postura de segurança por parte de uma empresa e falta de aplicação e educação sobre segurança
• Falta de competências em matéria de segurança: Configuração incorrecta dos sistemas devido a uma formação deficiente ou à falta de conhecimentos de segurança ao nível da administração informática

Insiders maliciosos

Os funcionários e não funcionários que pretendem propositadamente causar danos aos sistemas de TI ou roubar dados são designados por maliciosos. Ao contrário dos infiltrados acidentais, as ameaças internas maliciosas são normalmente motivadas por dinheiro ou vingança. Um relatório da Fortinet sobre ameaças internas revelou que 60% das empresas estavam preocupadas com a ameaça de uma violação de dados causada por uma ameaça interna maliciosa. O inquérito também analisou as motivações dos informadores maliciosos, sendo as três principais razões

1. Fraude (55%)
2. Dinheiro (49%)
3. Roubo de propriedade intelectual (44%)

Os infiltrados maliciosos são mesmo recrutados na dark web, tendo um relatório apontado um anúncio na dark web para um funcionário de um banco que actuasse como infiltrado malicioso, pagando 370.000 rublos (4.400 libras) por mês por uma hora de trabalho por dia.

Exemplos de ameaças internas

Independentemente de a violação de dados ou outro evento de segurança ser causado de forma maliciosa ou acidental, as repercussões são as mesmas. As violações de dados e outros problemas de segurança resultam em multas avultadas por incumprimento, na perda de confiança dos clientes na capacidade de uma organização para proteger informações sensíveis e até na diminuição do valor das acções da empresa. De seguida, apresentamos três exemplos de ataques internos que causaram danos à empresa:

O empregado descontente: Uma empresa envolvida na distribuição de equipamento de proteção (EPI) durante a pandemia de Covid-19 sofreu nas mãos de um empregado zangado. O antigo empregado, “Dobbins“, criou duas contas de utilizador falsas antes de perder o emprego. Uma vez despedido, Dobbins entrou no sistema usando as contas falsas. Depois, editou quase 12.000 registos, apagando mais de 2.000. Finalmente, desactivou as contas falsas. Ao fazer estas alterações, Dobbins perturbou seriamente a entrega de EPI aos prestadores de cuidados de saúde.

Intenção maliciosa de lucro: Um funcionário da BUPA causou uma violação que afectou 547 000 clientes, o que levou o ICO do Reino Unido a multar a Bupa em 175 000 libras. O funcionário utilizou o sistema CRM da empresa para enviar a si próprio os dados pessoais dos clientes da BUPA antes de tentar vender as contas comprometidas na dark web.

Os acidentes acontecem, mas muitas vezes são indesculpáveis: O “Independent Inquiry into Child Sex Abuse” (IICSA) foi alvo de escrutínio depois de um funcionário ter enviado uma mensagem eletrónica em massa a 90 possíveis vítimas de abuso sexual de crianças. O funcionário utilizou simplesmente o campo cc em vez do campo bcc para introduzir os endereços de correio eletrónico. O ICO do Reino Unido multou a IICSA em 200 000 libras ao abrigo da Lei de Proteção de Dados (DPA2018).

Formas de detetar e atenuar as ameaças internas na tua organização

Embora possa ser difícil detetar e prevenir ataques internos, existem formas de minimizar o seu impacto. Aqui estão cinco formas de ajudar a tua organização a controlar as ameaças internas:

Formação de sensibilização para a segurança

Como muitas ameaças internas são acidentais, a formação de sensibilização para a segurança pode desempenhar um papel importante na mitigação deste risco cibernético. A formação de sensibilização para a segurança deve abranger aspectos das ameaças internas acidentais, tais como

• Higiene da segurança: por exemplo, ensinar os empregados a estarem conscientes do envio de dados de uma forma segura.
• Phishing: assegurar que os empregados estão a par dos truques de correio eletrónico e de outros truques de phishing e que estão conscientes do roubo de credenciais através de sítios de phishing.
• Sensibilização para a conformidade: assegurar que os empregados estão conscientes do seu papel na garantia do cumprimento da regulamentação.

Confiança zero

Muitas ameaças internas são causadas pela utilização indevida ou abusiva de privilégios e por um controlo deficiente do acesso a dados sensíveis. A confiança zero baseia-se no princípio “nunca confies, verifica sempre”. Resume-se ao facto de os funcionários e/ou os dispositivos utilizados serem questionados quando tentam aceder a recursos.

Estes desafios reflectem a sensibilidade dos recursos, pelo que os dados ou aplicações mais sensíveis exigem mais garantias de que a pessoa que lhes acede é quem diz ser. Uma arquitetura de confiança zero é uma mistura de tecnologias adequadas e uma abordagem arquitetónica que ajuda a compartimentar áreas de uma rede. As tecnologias que suportam uma arquitetura de confiança zero incluem a Gestão de Informações e Eventos de Segurança (SIEM) e um Corretor de Segurança de Acesso à Nuvem (CASB).

Autenticação e autorização

O princípio de uma autenticação e autorização robustas baseia-se numa arquitetura de confiança zero. A autenticação e a autorização conscientes do contexto acrescentam uma camada importante de controlo ao acesso a dados sensíveis. A utilização de 2FA/MFA para aceder a aplicações empresariais, especialmente quando se trabalha remotamente, deve ser imposta. Juntamente com a monitorização, estes processos criam uma camada de segurança robusta.

Procura sinais de comportamento invulgar

As ameaças internas maliciosas podem ser difíceis de detetar, mas certas tecnologias de aprendizagem automática (ML) podem ajudar na deteção de ameaças e alertar a sua equipa de segurança para qualquer atividade invulgar. Uma delas é a monitorização dos empregados sob a forma de UEBA (Análise do Comportamento do Utilizador e da Entidade). A UEBA é utilizada para detetar comportamentos invulgares, utilizando o ML para detetar padrões de comportamento anómalos quando os seres humanos interagem com dispositivos e redes.

Anti-Phishing e Controlo de Spam

As tecnologias que impedem que os e-mails de phishing entrem nas caixas de entrada dos funcionários podem ajudar a evitar violações acidentais. As soluções podem ser utilizadas para impedir que os funcionários naveguem para URLs maliciosos. Estes serviços de software são normalmente fornecidos como plataformas baseadas na nuvem. A filtragem de correio eletrónico e a verificação de conteúdos de URL são úteis para fornecer uma rede de segurança para aumentar a formação de sensibilização para a segurança.

Os nossos funcionários são o nosso maior ativo e temos de nos certificar de que continuam a sê-lo, capacitando-os através da formação e protegendo-os a eles e à nossa empresa com o melhor que existe em termos de tecnologias de segurança.