As ameaças internas são insidiosas e notoriamente difíceis de detectar e prevenir. Uma das razões para isto é que está a lidar com colegas, não com "hackers encapuçados". Mas as ameaças internas nem sempre são maliciosas; as internas acidentais são tanto uma ameaça à segurança de dados como os empregados maliciosos que pretendem causar danos.
Os consultores de risco, Kroll, produzem relatórios regulares sobre o estado da segurança: por exemplo, o relatório de Kroll Q3 2022 Threat Landscape, viu o pico das ameaças internas ao mais alto nível; o relatório descobriu que quase 35% de todos os incidentes de acesso não autorizado tinham ameaças internas no núcleo.
As ameaças internas são controláveis mas requerem um espectro de estratégias de gestão; aqui estão alguns exemplos de ameaças internas com cinco estratégias que pode utilizar para mitigar estas ameaças.
Como mencionado, as ameaças internas nem sempre provêm de ataques maliciosos à segurança; os acidentes e a negligência desempenham um papel significativo nos incidentes de segurança. Além disso, as pessoas por detrás das ameaças internas também variam e incluem funcionários, fornecedores, consultores e freelancers.
Aqui estão alguns exemplos do tipo de ameaças internas que causam danos corporativos:
Exemplos de ameaças Internas
Empregados insatisfeitos
As pessoas que saem de uma organização só o podem estar a fazer por vezes de forma feliz. Os empregados com um osso a escolher com uma empresa podem causar danos ao expor dados ou ao roubar informações proprietárias e confidenciais. Um relatório recente da pesquisa da Unidade 42 descobriu que 75% dos incidentes de segurança que trataram poderiam ser rastreados até empregados descontentes. No entanto, nem todos os relatos concordam. Muitos estudos concluem que os infiltrados acidentais ou negligentes são igualmente perigosos.
Negligência e acidentes
Estar consciente da segurança é algo que deve ser instilado como uma segunda resposta da natureza. A alternativa é que os funcionários internos se esqueçam de verificar duas vezes as rotinas importantes; por exemplo, um funcionário negligente pode enviar dados sensíveis por e-mail para a pessoa errada ou deixar documentos sensíveis numa impressora. Os dispositivos de trabalho não encriptados são outra área que pode deixar os dados em risco. Se um empregado viaja regularmente, o risco de deixar um telefone ou portátil num comboio ou num aeroporto aumenta. Se esse dispositivo cair em mãos erradas, todos os dados e o acesso a aplicações empresariais estão em risco.
Maliciosos
Os empregados descontentes são uma forma de empregado que se aproveita de deixar uma empresa para cometer um acto prejudicial. Contudo, alguns empregados são propositadamente maliciosos, procurando oportunidades para roubar dados e vender segredos empresariais. O recrutamento de infiltrados para realizar actividades maliciosas não é novidade; a espionagem industrial é tão antiga como a indústria.
Contudo, o recrutamento moderno de empregados por cibercriminosos é agora digital. Os cibercriminosos tentarão frequentemente contactar um empregado específico, como aqueles com acesso privilegiado à rede, ou utilizar ferramentas como as redes sociais ou os fóruns em linha (incluindo a teia escura) para se ligarem a iniciados; ao potencial recruta serão oferecidas grandes somas de dinheiro para os ajudar a instalar o serviço de resgate ou a roubar dados.
O trabalho de dentro
Algumas pessoas consideram as práticas de segurança inconvenientes para si próprias. Se assim for, provavelmente desrespeitarão as políticas de segurança e encontrarão soluções que lhes permitam continuar a praticar comportamentos de segurança deficientes. O resultado é o mesmo, dados de exposição ou credenciais de acesso mal utilizadas, muitas vezes partilhados com colegas de trabalho por conveniência. Um estudo de 2022 mostrou que 62% dos empregados partilhavam palavras-passe através de texto ou correio electrónico.
Pessoas de dentro da cadeia de fornecimento
Cadeias de fornecimento, vendedores, consultores, e outros podem estar fora da folha de pagamentos. Contudo, continuam a ser uma ameaça interna, uma vez que muitas vezes têm acesso a aplicações empresariais e a informação sensível: os ataques de phishing de lanças são frequentemente dirigidos ao pessoal da cadeia de abastecimento por esta mesma razão. Além disso, muitos ciberataques infames têm sido rastreados até um fornecedor. Um exemplo é o ataque à cadeia de fornecimento da General Electric (GE); em 2020, os cibercriminosos obtiveram acesso não autorizado a uma conta de correio electrónico numa empresa parceira da GE; a conta expôs informações sensíveis sobre funcionários da GE.
Cinco Estratégias para Mitigar as Ameaças do Insider
Qualquer que seja a origem de uma ameaça privilegiada, existem formas de prevenir ameaças privilegiadas:
Criar uma cultura onde a segurança é importante
Uma cultura de segurança é aquela em que a segurança se torna uma parte profundamente enraizada da vida laboral. Se se conseguir uma cultura de segurança, esta minimizará os riscos associados a pessoas com informação privilegiada acidental ou negligente. Uma cultura de segurança muda os maus comportamentos de segurança, capacitando os funcionários com os conhecimentos necessários para lidar com os riscos de segurança, em vez de depender apenas da sua equipa de segurança. Uma consciência de segurança eficaz consiste em colocar as pessoas no centro da manutenção de um ambiente seguro; em vez de atribuir culpas, uma cultura de segurança eficaz capacitará e permitirá aos funcionários e poderá mesmo ajudá-los a identificar e lidar com funcionários mal intencionados.
Construa confiança com a sua base mais ampla de empregados e não empregados
Mudar o comportamento de segurança das pessoas que não podem ser incomodadas com a segurança, uma vez que a vêem interferir com o seu trabalho, é um desafio. Para ajudar a mitigar os riscos de segurança, uma organização deve trabalhar para construir uma relação de trabalho de confiança com empregados, fornecedores, e outros. Por exemplo, a formação de sensibilização para a segurança deve ser concebida para criar relações que façam sincronia com o formando, utilizando conteúdos que se concentrem em papéis e riscos específicos. Além disso, o fornecimento de ferramentas de segurança bem concebidas, baseadas numa excelente experiência do utilizador e de simples utilização, ajudará a impedir que os empregados e outros procurem soluções de trabalho.
Realizar regularmente formação de sensibilização para a segurança
As pessoas tendem a esquecer a formação, a menos que esta seja realizada regularmente. Um estudo USENIX sobre o impacto da formação regular na eficácia da Formação de Sensibilização para a Segurança concluiu que a formação inicial dos funcionários durou cerca de quatro meses; ao fim de seis meses, os funcionários não conseguiram detectar e-mails de phishing. A formação em segurança da informação pode muitas vezes ajudar a detectar ameaças internas antes que estas causem danos reais.
Ter um processo robusto para deixar os empregados
Os funcionários maliciosos, incluindo os que deixam a organização, são difíceis de manusear. Uma das formas mais eficazes de incluir estes empregados nas suas estratégias para mitigar as ameaças internas é ter processos robustos que garantam aos empregados que saem o acesso às suas contas rapidamente removidas.
Ferramentas para a mitigação de funcionários maliciosos
Os empregados maliciosos cobrirão activamente os seus rastos, o que pode ser um desafio para detectar. Utilizarão ferramentas e processos que implementem uma abordagem de "confiança zero" na segurança; estes processos utilizarão o princípio do privilégio mínimo para controlar o acesso a dados sensíveis e à rede corporativa. Ferramentas de segurança como as soluções de Prevenção de Perda de Dados (DLP) podem ajudar a mitigar as ameaças maliciosas e acidentais de informação privilegiada.
Lembre-se da sua cadeia de abastecimento mais ampla
Lembre-se dos seus fornecedores, empreiteiros, e outros terceiros ao realizar formação de sensibilização para a segurança e ao implementar ferramentas de segurança de confiança zero. Certifique-se de que a sua base de utilizadores mais ampla compreende o seu papel na segurança e privacidade; aplique formação de segurança baseada em funções e simulações de phishing que ensinem os fornecedores e consultores a detectar o phishing de lança e a engenharia social dirigida aos seus empregados.
A atenuação das ameaças internas é um desafio à medida que as ameaças assumem muitas formas, desde acidentais a maliciosas; detectar e prevenir este espectro de ataques requer uma combinação de medidas humanas e tecnológicas. Estas soluções incluem treino de consciência de segurança centrado no ser humano, simulações de phishing baseadas em papéis, processos de segurança robustos, e soluções de segurança como a confiança zero. Contudo, quando utilizada como uma abordagem de 360 graus à ameaça interna, esta combinação de medidas e tecnologia centrada no ser humano é uma forma poderosa de mitigar estas ameaças insidiosas.
