O que são ameaças internas e como você pode atenuá-las?

Views: 158
0 0
Read Time:8 Minute, 18 Second

A maioria das organizações se preocupa com violações de dados causadas por cibercriminosos. No entanto, atores maliciosos internos, atores maliciosos disfarçando-se como insiders, e ameaças internas acidentais são muitas vezes negligenciados. De fato, de acordo com o relatório “The State of Cloud-Native Security” de Palo Alto de 2020, 9,7% dos entrevistados disseram que ameaças internas eram a principal ameaça à segurança na nuvem. Para promover uma postura mais robusta de segurança na nuvem, entender o que são ameaças internas e como você pode atenuá-las é mais importante do que nunca.

O que são ameaças internas?

Uma ameaça interna é um risco à segurança dentro de uma organização, como funcionários atuais ou ex-funcionários, diretores, consultores, parceiros de negócios ou o Conselho de Administração. Igualmente importante, ataques de roubo de credenciais também podem cair sob o guarda-chuva de ameaças internas porque atores externos maliciosos usam as mesmas credenciais de login que usuários internos legítimos.

Ao contrário das infraestruturas tradicionais de TI que estão atrás do firewall de rede de uma empresa, os serviços baseados em nuvem dependem de login do usuário e credenciais para conceder acesso. As mesmas qualidades que tornam a nuvem útil para uma força de trabalho remota ou híbrida aumentam a superfície de ataque. De acordo com a Pesquisa de Participantes do Black Hat USA 2020,11% dos líderes de segurança disseram que o roubo de dados ou sabotagem por pessoas mal-intencionadas era uma de suas preocupações mais significativas na época e 10% o viam como uma de suas maiores ameaças para o futuro. À medida que os Conselhos de Administração movem seus dados para a nuvem, o IAM (Identity and Access Management, gerenciamentode identidade e acesso), também chamado de “Perímetro de Identidade”, torna-se mais crítico. O IAM é o processo de garantir que a pessoa certa tenha acesso certo aos recursos certos no momento certo pela razão certa.

Quais são os tipos de ameaças internas?

Nem todas as ameaças internas são criadas igualmente. Alguns são propositais, enquanto outros são acidentes. Compreendê-los é uma maneira de começar a mitigar o risco. Em seu Guia de Mercado para soluções de gerenciamento de risco insider 2020,a empresa de analistas Gartner descreve três ameaças internas primárias.

Usuário malicioso

Um usuário mal-intencionado estabelece uma missão específica para sabotar a organização ou roubar dados por razões pessoais ou ganhos financeiros. Esse tipo de usuário pode ser alguém que pega informações do cliente e tenta iniciar um negócio concorrente.

Careless user

Usuários descuidados não pretendem causar danos à empresa, mas têm acesso a dados sensíveis ou proprietários que eles acidentalmente expõem. Esse tipo de usuário descuidado pode confirmar mal um recurso na nuvem deixando informações expostas à internet pública. Outro exemplo seria uma enfermeira que lê o registro do paciente de alguém que ele conhece e compartilha um diagnóstico com amigos.

Credenciais comprometidas

Credenciais comprometidas são quando o login e senha de alguém se tornam conhecidos por alguém fora da organização, explorando esse conhecimento para roubar dados e/ou sabotar a empresa. Muitas vezes, isso ocorre porque alguém usa uma senha fraca que os cibercriminosos podem usar em combinação com seu endereço de e-mail para obter acesso a seus sistemas, redes e aplicativos.

Por que ameaças internas são um problema?

Ameaças internas representam vários riscos porque são difíceis de detectar. No entanto, eles também representam vários outros riscos para o seu negócio também.

Incapacidade de detectar

Problematicamente, ameaças internas são notoriamente difíceis de localizar. Os infiltrados não acionam alertas de segurança tradicionais, porque eles já têm acesso. Suas ferramentas de segurança que monitoram o tráfego suspeito não notam nada anormal.

Roubo de dados

O Gartner define o roubo de dados como a exfiltração ou visualização não autorizada de dados. Como uma atividade de ameaça, pode ser dividida em dois tipos diferentes.

Violações de privacidade

Embora a segurança cibernética geralmente se concentre em ameaças externas aos recursos digitais de uma organização, a privacidade incorpora o acesso interno do usuário a dados confidenciais. Ter muito acesso à informação, ou ter privilégios em excesso, é uma possível violação de privacidade, embora todos sejam membros da mesma organização.

Uma das primeiras multas do Regulamento Geral de Proteção de Dados (GDPR) em 2019 foi aplicada contra um Hospital Português. Uma das violações citadas foi permitir “acesso indiscriminado a um número excessivo de usuários”. Por exemplo, um médico e uma pessoa que tira uma amostra de sangue precisam de informações diferentes para ajudar um paciente. O médico precisa saber tudo sobre o paciente, incluindo histórico médico, medicamentos e hábitos pessoais, como fumar. O técnico de laboratório que tira a amostra de sangue não precisa saber de tudo isso. Se o técnico de laboratório tiver muito acesso ao ePHI (Electronic Protected Health Information, informações de saúde protegidas)eletrônicas, uma violação de privacidade pode existir.

Fraude privilegiada

Fraude interna é quando alguém com acesso autorizado aos sistemas, redes e aplicativos de uma organização usa propositalmente o acesso para roubar dados ou dinheiro. Um excelente exemplo disso seria alguém que pode criar contas de fornecedores e pagar suas contas em seu aplicativo ERP (Enterprise Resource Planning, planejamento de recursos corporativos). A pessoa poderia criar um fornecedor falso, atribuir pagamentos a uma conta que possui e pagar a fatura para si mesma.

Sabotagem do sistema

De acordo com o Gartner, a sabotagem do sistema são atividades que afetam a integridade e a disponibilidade de dados, como malware, ransomware, bloqueios de contas e exclusão de dados. Muitas vezes, esses problemas surgem de usuários descuidados que clicam em um link em um e-mail de phishing ou vão para um site malicioso.

Maneiras de detectar e mitigar ameaças internas

Detectar ameaças internas é um desafio porque, na maioria das vezes, o indivíduo pode acessar seus sistemas e redes. No entanto, as organizações podem colocar alguns controles no lugar para detectar e mitigar riscos.

Crie uma política de senha forte

O primeiro passo para mitigar a ameaça interna de credenciais roubadas é definir uma forte política de senha. Uma vez que os cibercriminosos sabem como acessar bancos de dados contendo listas de senhas fracas, garantir que seus funcionários não usem essas é importante. Todas as senhas devem ser únicas, conter letras maiúsculas e minúsculas, ter números e incluir caracteres especiais.

Além disso, se você quiser ter certeza de que seus funcionários usem uma senha exclusiva para cada login que eles criam, você deve considerar fornecer uma ferramenta de gerenciamento de senhas.

Aplicar autenticação multifatorial

A autenticação de vários fatores significa que quando os usuários fazem login em seus sistemas, redes e aplicativos, eles precisam usar dois ou mais dos seguintes:

  • Algo que eles sabem (uma senha)
  • Algo que eles têm (um token ou smartphone)
  • Algo que eles são (biometria como uma impressão digital ou identificação facial)

Quanto mais requisitos de autenticação você tiver, mais segura será sua organização. Cibercriminosos podem ser capazes de adivinhar uma senha fraca. Eles podem até ser capazes de interceptar uma mensagem de texto usada para autenticação multifatorial. No entanto, eles não serão facilmente capazes de gerenciar os três ao mesmo tempo.

Limitar o acesso do usuário de acordo com o princípio do menor privilégio

O princípio do menor privilégio significa limitar o acesso dos usuários o mais precisamente possível, enquanto ainda cumprem suas funções de trabalho. Muitas vezes, o IAM é difícil em ecossistemas híbridos e multi-nuvem porque as organizações a bordo de tantas aplicações que perdem o controle de quem tem o acesso. Estabelecer e impor controles que limitem o acesso do usuário aos recursos e dentro dos aplicativos pode mitigar o uso indevido do excesso de acesso.

Estabelecer e impor a segregação de deveres (SoD)

Segregação de deveres é quando você tem várias pessoas se engajando em diferentes partes de uma tarefa maior para evitar um conflito de interesses. Por exemplo, para evitar que alguém crie um fornecedor fraudulento vinculado a uma conta bancária que possui e pague contas a essa conta, você separa as funções de criação de conta de fornecedor e pagamento. Aplicando o princípio de menor privilégio a isso, você limita o acesso a cada um desses indivíduos para acessar os recursos no aplicativo ERP (Enterprise Resource Planning, planejamento de recursos corporativos) para que eles possam completar suas funções de trabalho, mas não acessar as outras áreas de conflito.

Crie um programa de gerenciamento de acesso privilegiado robusto

O acesso privilegiado é o tipo de acesso mais arriscado porque dá aos usuários a capacidade de alterar dados e configurações além de um usuário padrão. Esse acesso pode ser humano ou máquina, incluindo administradores de rede e contas de serviço. Como esses privilégios têm tanto acesso, os cibercriminosos procuram ter acesso a essas contas por meio de roubo de credenciais ou senhas fracas. Muitas contas administrativas para dispositivos e software têm senhas padrão fáceis de adivinhar, certificando-se de alterar essas senhas e monitorar usuários privilegiados para comportamentos anormais.

Redes de segmentos

Embora os controles IAM atuem como um controle primário, você também pode usar a segmentação lógica da rede para impedir que as pessoas acessem dados confidenciais. Por exemplo, como parte do segmentação de sua rede, você pode consolidar tipos de informações semelhantes a uma rede e controlar quem acessa essa rede com base em uma base de necessidade de uso. Isso não só atenua insiders maliciosos, mas também pode impedir que atores externos mal-intencionados aproveitem credenciais roubadas de se mover lateralmente dentro de sua rede se eles ganharem acesso.

SecurityScorecard: visibilidade contínua

A plataforma de classificação de segurança do SecurityScorecard monitora em dez categorias de risco, incluindo vazamentos de informações e risco de engenharia social, para ajudar a mitigar potenciais riscos de roubo de credenciais. Nossa plataforma fornece uma escala de classificação A-F fácil de ler, dando-lhe visibilidade de uma olhada em sua postura de segurança.

FONTE: SECURITY SCORECARD

Previous post Japão investiga ciberataques supostamente com origem na China
Next post A guerra contra fraudes digitais exige aliança entre o CFO e o CISO

Deixe um comentário