0
0
Ao longo do Mês Nacional de Conscientização sobre Ameaças Internas, não faltaram pensamentos e ideias sobre como gerenciar e mitigar o risco interno que vem com ter humanos como parte do ecossistema. É verdade, o humano é tanto a força quanto a fraqueza. Eles são chamados a mitigar o risco e melhorar as ações do funcionário malévolo ou descuidado. Onde a discussão tem sido escassa é como a identidade da máquina/dispositivo desempenha um papel no gerenciamento de riscos internos.
“Precisa haver mais aplicação da estrutura de ameaças internas em dispositivos no mesmo nível que fazemos com humanos”, diz Rajan Koo, diretor de clientes da DTEX Systems.
Yash Prakash, diretor de estratégia da Saviynt, observa: “As ameaças internas estão cada vez mais introduzindo riscos às organizações, principalmente à medida que as identidades internas cresceram nos últimos anos para incluir identidades humanas e identidades de máquinas (ou seja, APIs, bots, contas de fornecedores, etc.). Ao fortalecer o programa de identidade de uma organização, as empresas podem mitigar de forma mais eficaz esse risco e reduzir o impacto de insiders maliciosos, detectando fraudes desde o início e impedindo a exfiltração de dados críticos.”
Bot como usuário privilegiado
Ao detalhar ainda mais como o engajamento homem-máquina pode ser aproveitado de maneira deletério, Prakash fornece o exemplo do departamento financeiro, responsável pela aprovação e pagamento de vouchers. O gerente tem um script em vigor que automatiza o processo de aprovação, para os mais rotineiros e, assim, libera tempo para o gerente se concentrar no mais complexo. Do ponto de vista da eficiência, é uma vitória de vários níveis. Do ponto de vista do risco cibernético, o bot de software – automação de processos robóticos (RPA) – agora é um usuário privilegiado dentro do processo financeiro e apresenta novos riscos.
A introdução do RPA, com acesso privilegiado, dentro do fluxo de trabalho acarreta riscos. O bot precisa ser credenciado para executar o processo de negócios necessário – acesse o sistema, verifique, analise e processe. Essas credenciais são codificadas no processo e raramente, ou nunca, atualizadas.
Depois, temos funcionários que criam seus próprios bots, existentes nos processos do CISO, da mesma forma que os funcionários evoluem seus processos de TI paralelos. Eles estão simplesmente tentando concluir seu trabalho para seu vice-presidente, ou no exemplo que Koo fornece abaixo, estavam tentando enganar a empresa quanto à sua dedicação ao seu trabalho.
Koo relata como em uma de suas investigações eles se depararam com um funcionário cujo acesso à rede se assemelhava a uma onda senoidal – login 0700, aplicativos acessados, abertos e fechados, acesso a aplicativos de atualização na hora do almoço e, em seguida, fecham aplicativos e logoff às 1800. Onze horas por dia, todos controlados por um roteiro criado pelo funcionário para dar a aparência de trabalhar naqueles dias em que o funcionário desejava jogar hooky.
Em um caso separado, Koo relatou como o comportamento não humano ou de script/bot estava exfiltrando o CFO das apresentações financeiras da empresa. Quando a poeira baixou, foi confirmado que o CFO havia sido vítima de um ataque de phishing direcionado e suas credenciais haviam sido comprometidas. O compromisso abriu ao adversário as permissões concedidas ao CFO para incluir os muitos bots RPA. Curiosamente, o adversário neste caso não usou nenhum malware complexo. Eles usaram aplicativos comerciais prontos para uso de baixo perfil para FTP as informações acessíveis através da instância do CFO.
É necessária uma melhor visibilidade
A pergunta óbvia para os CISOs é: “Que nível de visibilidade a equipe infosec tem sobre os bots RPA dentro de sua rede e quais são os processos em torno de seus cuidados para garantir que, se comprometidas, as credenciais não possam ser usadas para elevar privilégios além do que foi pretendido?”
Além dos bots RPA está a necessidade, na medida do possível, de remover as instâncias “para sempre” de credenciais dentro dos dispositivos dentro dos ecossistemas e, em todos os casos, garantir que um processo de autenticação ocorra antes que scripts, máquinas ou outras formas de automação sejam acionadas.
Em suma, Koo tem o direito: Deve ser dada igual atenção aos dispositivos e processos, como é dada ao indivíduo ao abordar a estratégia de gerenciamento de riscos internos.
FONTE: CSO ONLINE