Por Devin Partida
Se você já trabalhou em um departamento de TI, sabe como um simples clique errado pode resultar em violações de dados e comprometimento de sistemas. Esforços preventivos são essenciais, já que não há uma maneira confiável de eliminar completamente as ameaças internas. Será que controles de acesso robustos podem proteger sua organização?
O impacto das ameaças internas nas organizações
As ameaças internas são um perigo proeminente independentemente da indústria em que você está. Na verdade, 98% das organizações nos EUA relatam estar um pouco até extremamente vulneráveis a elas. Esse número revela quantas não estão confiantes em seus dissuasores existentes, destacando a importância dos esforços preventivos.
Mesmo que você não acredite que alguém em seu local de trabalho causaria danos intencionalmente, você ainda deve estar atento — ameaças internas nem sempre são maliciosas. Funcionários negligentes são responsáveis por 60% das violações de dados, o que significa que o descuido é um motivador mais comum.
Infelizmente, o fato de a negligência ser o principal motivador dos ataques de ameaças internas não é algo bom — isso significa que um único clique errado poderia colocar toda a sua organização em risco. Controles de acesso robustos estão entre as melhores soluções para essa situação, já que podem impedir que funcionários descuidados vazem dados ou aumentem inadvertidamente as permissões de um atacante.
Mecanismos de controle de acesso são cruciais para a mitigação de ameaças
A principal maneira pela qual mecanismos de controle de acesso robustos são cruciais para lidar com ameaças internas é através da mitigação de acesso não autorizado. Funcionários, agindo negligente ou maliciosamente, não poderão causar danos à sua organização quando suas permissões os limitarem a recuperar ou editar sistemas de armazenamento de dados sensíveis.
Não importa quanto tempo você tenha passado no departamento de TI, você sabe o quão irresponsáveis alguns funcionários podem ser ao lidar com dados sensíveis, propriedade intelectual ou detalhes identificáveis. Mecanismos de controle de acesso mantêm os ativos de informação fora do alcance da maioria das pessoas em sua organização, protegendo-os de serem adulterados ou exfiltrados.
Se um atacante entrar com sucesso nos sistemas ou rede de sua organização, mecanismos de controle de acesso robustos restringem seu movimento lateral. Como eles não são funcionários autorizados, não recebem permissões significativas. Isso minimiza o dano que podem causar e impede que comprometam mais alguma coisa.
Mesmo se um atacante tiver um dos dispositivos perdidos ou roubados de um colega seu, os controles de acesso os bloqueiam de fazer algo significativo. Medidas de autenticação os impedem de acessar os sistemas de sua organização e exfiltrar dados sensíveis. Também os impede de aumentar suas permissões, minimizando seu impacto.
Com mecanismos de controle de acesso robustos, você pode identificar rapidamente indicadores de comprometimento (IOCs) para interromper ameaças antes que se tornem um problema. Por exemplo, identificar logins simultâneos em uma única conta de usuário significa que um atacante está usando credenciais legítimas, indicando um ataque de força bruta, phishing ou keylogging.
Quais sistemas de controle de acesso você deve implementar?
Embora as ameaças internas representem um problema independentemente de sua indústria ou tamanho de organização, você pode encontrar maneiras de impedi-las de causar danos. Você deve considerar a implementação de sistemas de controle de acesso para detectar e dissuadir ações não autorizadas, mitigando violações de dados e comprometimento de sistemas.
Um sistema padrão a ser considerado é o princípio do menor privilégio, pois ele protege sua organização fornecendo aos funcionários apenas as permissões mínimas necessárias para realizarem seus trabalhos. Você pode redirecionar seus recursos para alvos de alto valor com acesso mais amplo.
Você também deve considerar a implementação de monitoramento de log em tempo real para identificar e eliminar ameaças assim que elas aparecem. Essa abordagem fornece detalhes sobre cada solicitação que um usuário faz — como sua origem e destino, por exemplo — para uma detecção aprimorada de IOCs.
Independentemente da combinação de sistemas de controle de acesso que você implementar, certifique-se de aproveitar os procedimentos de manutenção de permissões. Quando você limpa contas de usuário inativas, impede que atacantes entrem silenciosamente nos sistemas de sua organização sem serem percebidos. Além disso, você os impede de usar uma conta de teste não restrita para aumentar suas permissões.
A importância da integração de análises de comportamento do usuário
À medida que o valor dos dados aumenta, as ameaças internas aumentam em frequência. Na verdade, sete em cada 10 organizações acreditam que esses ataques estão se tornando mais comuns. Embora impedir consistentemente essas ameaças pareça adequado para você, não é suficiente. Você deve identificar e eliminar a fonte se quiser uma solução mais permanente.
Logs por si só não podem fornecer insights sobre quem realmente é a ameaça interna. Se você quiser detalhes, as análises de comportamento são uma das melhores ferramentas. Usá-las para aprimorar seus mecanismos de controle de acesso o ajudará a identificar e responder a atividades suspeitas de maneira mais eficaz.
Quando você integra análises de comportamento às ferramentas de controle de acesso, pode comparar os logs de suas ações a incidentes anteriores de segurança cibernética. Em outras palavras, você pode identificar o objetivo da ameaça interna, aprimorando sua resposta a incidentes.
As análises de comportamento podem revelar quando contas de usuário estão comprometidas, mesmo quando a atividade parece legítima à primeira vista. Essa abordagem o ajuda a sinalizar padrões de atividade anormal ocultos que não se alinham com as ações usuais de uma pessoa ou dispositivo. A partir daí, você pode determinar se estão agindo maliciosamente ou com negligência. De qualquer forma, você elimina a fonte da ameaça.
Acelerar sua identificação de ameaças e tempo de resposta melhora os resultados de seu negócio e minimiza as perdas de sua organização. Quando você implementa sistemas de controle de acesso robustos, sua chance de impedir violações de dados e mitigar comprometimentos de sistemas aumenta.
Eliminar ameaças internas com controles de acesso robustos
Como as ameaças internas provavelmente continuarão sendo um problema independentemente dos novos protocolos de contratação ou campanhas de conscientização sobre segurança online, é de seu interesse ser proativo e aproveitar os controles de acesso. Você pode detectar e impedir IOCs antes que causem danos, protegendo sua organização contra violações de dados, tomadas de conta de usuário e comprometimentos de sistemas.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.