0
0
Os gastos com segurança continuam a se concentrar em ameaças externas, apesar das ameaças muitas vezes vindas de dentro da organização. Um relatório recente da Imperva (da Forrester Research) constatou que apenas 18% priorizaram gastos em um programa de ameaças internas (ITP) dedicado, em comparação com 25% focado em inteligência de ameaças externas.
E não é apenas o funcionário com rancor que você precisa se preocupar – a maioria dos incidentes internos não são maliciosos por natureza. Em seu Relatório Global de Custo de Ameaças Internas de 2022, o Proofpoint e o Ponemon Institute encontraram comportamento descuidado ou negligente responsável por 56% de todos os incidentes e estes também tendem a ser os mais caros, com a operação média de limpeza custando US$ 6,6 milhões.
Correções com falha
Parte do problema está na percepção: o relatório Forrester encontrou quase um terço dos questionados que não consideravam os funcionários como uma ameaça. Mas também é notoriamente difícil prevenir esses tipos de incidentes porque você está essencialmente procurando controlar o acesso legítimo aos dados. Mitigar essas ameaças não se trata apenas de aumentar a segurança, mas de detectar potenciais indicadores de compromisso (IoC) no comportamento do usuário e, por isso, a maioria das empresas depende de treinamento de funcionários para resolver o problema. No entanto, como os números acima revelam, o treinamento sozinho é muitas vezes insuficiente.
O mesmo relatório da Forrester descobriu que, enquanto 65% usam treinamento de funcionários para garantir o cumprimento das políticas de proteção de dados, 55% disseram que seus usuários encontraram maneiras de contornar essas mesmas políticas. Outros disseram que confiam em soluções pontuais para prevenir incidentes, com 43% usando a prevenção de perda de dados (DLP) para bloquear ações e 29% de monitoramento via SIEM (embora os dados ainda possam ser exfiltrados sem detecção por esses sistemas). O problema é que a segurança da rede e o monitoramento dos funcionários não levam em conta os fatores de estresse que podem pressionar os funcionários engenhosos a recorrer ao uso de soluções alternativas.
Embora a prevenção seja sempre melhor do que a cura, a abordagem atual para ameaças internas é muito pesada em sua abordagem. Consequentemente, não há foco suficiente no que fazer se uma ameaça interna, maliciosa ou não, for realizada. Assim, enquanto os controles de treinamento e segurança de rede têm sua parte a desempenhar, ambos precisam fazer parte de algo muito mais amplo: o ITP.
Um ITP alinha políticas, procedimentos e processos em diferentes departamentos de negócios para lidar com ameaças internas. É amplamente considerado como fundamental para a mitigação de ameaças internas, mas apenas 28% dos entrevistados por Forrester afirmam ter um no lugar. A razão para isso é que muitas organizações acham assustador criar um. Além de colocar as pessoas a bordo e políticas, a empresa precisará fazer o inventário de seus dados e localizar fontes de dados, determinar como monitorará comportamentos, adaptará o programa de treinamento e realizará investigações, bem como como o próprio ITP será avaliado regularmente.
Começando
Para começar, um gerente e um grupo de trabalho dedicado são necessários para ajudar a orientar o ITP. Os membros precisarão ter funções e responsabilidades claras e concordar com um código de ética definido e/ou assinar um NDA. Isso porque existem muitas leis relacionadas à privacidade e monitoramento dos funcionários, bem como considerações legais e preocupações que devem ser contabilizadas na redação e execução da política. O primeiro trabalho do grupo de trabalho será criar um plano de operações e montar uma versão de alto nível da política de ameaças internas.
Em seguida, eles precisarão considerar como fazer o inventário e acessar fontes de dados internas e externas e para isso o grupo de trabalho precisará se familiarizar com o tratamento de registros e usar procedimentos específicos para determinados conjuntos de dados. Uma vez criados os processos e procedimentos necessários para coletar, integrar e analisar os dados, os dados devem ser marcados de acordo com seu uso e, portanto, podem estar relacionados a uma investigação de privacidade. (Curiosamente, quase 58% dos incidentes que impactam dados confidenciais são causados por ameaças internas, de acordo com Forrester.)
Considere se você usará a tecnologia para monitorar dispositivos de usuário final, logins, etc. e documentar isso através de contratos de reconhecimento de segurança de sistemas de informação assinados. Os potenciais indicadores de compromisso (IoCs) podem incluir adulteração de banco de dados, compartilhamento inadequado de informações confidenciais da empresa, exclusão de arquivos ou visualização de conteúdo inadequado. Quando tais comportamentos vêm à tona, a discrição é crítica, e qualquer investigação precisa ser impermeável e defensável, pois pode resultar em um caso legal.
Perícia digital para defensibilidade
A forma como a empresa responde e investiga incidentes também deve ser detalhada no ITP. Considere se a investigação será interna e em que ponto você precisará envolver agentes externos e quem precisará ser notificado. Onde serão mantidos os dados da investigação? Por quanto tempo a informação será mantida? Embora seja importante reter informações relevantes, você não quer cair na armadilha de manter mais do que o necessário, pois isso eleva o risco, o que significa que o ITP também deve se sobrepor a uma política de minimização de dados.
Ferramentas forenses digitais devem ser usadas para fazer valer o ITP. Você precisará decidir como gerenciar proativamente ameaças internas e se essas ferramentas serão usadas apenas após a análise ou secretamente. Por exemplo, algumas empresas com ativos de alto valor realizarão uma varredura para estabelecer se os dados foram exfiltrados quando um funcionário deixa a organização. Você também deve garantir que essas ferramentas sejam capazes de atingir remotamente pontos finais e fontes de nuvem, mesmo quando elas não estão conectadas e devem ser agnósticas para que você possa capturar dados em Macs, bem como PCs.
A perícia digital garante que a empresa possa capturar e investigar rapidamente qualquer incidência de irregularidades. Por exemplo, ele pode determinar a data, hora e caminho usados para exfiltrar dados da propriedade de informações corporativas para qualquer dispositivo, ponto final, serviço de armazenamento on-line, como Google Drive ou Dropbox, ou até mesmo publicação em uma plataforma de mídia social. Uma vez que os dados foram rastreados, é possível reduzir os suspeitos prováveis até que a equipe tenha provas indiscutíveis.
Tanto a forma como a investigação é feita quanto as evidências em si devem ser irrepreendementais e legalmente defensáveis, porque tais incidentes podem levar à demissão ou mesmo à acusação. Se contestado em um tribunal legal, o negócio precisaria então provar a devida diligência, então deve haver um processo forense sólido e repetível e uma cadeia de custódia adequada quando se trata de salvaguardar o manuseio das provas.
Mantendo os funcionários de lado
A entrada de funcionários também é essencial para o sucesso. A política deve comunicar os riscos de compromisso em termos de privacidade, repercussões financeiras e até físicas de uma violação para que a força de trabalho esteja ciente dos riscos envolvidos. Mas também deve haver processos em andamento para permitir que os usuários denunciem IoCs comportamentais. As orientações devem estipular como e quando as IoCs devem ser relatadas através de canais específicos, ou seja, através de uma linha telefônica de gorjeta, e-mail, DropBox, etc. A conclusão do treinamento de conscientização também deve ser documentada.
O ITP precisará ser colocado à prova, mas de preferência não com um incidente real. Em vez disso, uma avaliação de risco de ameaças internas deve ser executada para identificar lacunas nos controles de segurança e processos de negócios ou para avaliar a facilidade com que os dados podem ser exfiltrados e quão bem os processos forenses digitais foram executados. Considere como você pode trazer o gerenciamento de ameaças internas para outras políticas de segurança, como aquelas que cobrem BYOD, e garantir que parceiros de negócios confiáveis e subcontratados também sejam submetidos a avaliações de risco de ameaças internas.
Finalmente, tenha em mente que a estratégia precisará se adaptar e mudar à medida que novos processos forem colocados on-line e as fontes de dados forem adicionadas. A chave para isso é manter um inventário de dados preciso e garantir que suas ferramentas forenses digitais ofereçam uma gama suficiente para lidar com novas tecnologias e/ou caminhos de exfiltração, mas você também pode fazer benchmark do seu programa em relação a outras empresas do seu setor.
O objetivo de implementar um programa de ameaças internas é garantir que não apenas a empresa, seus dados ou seus processos estejam protegidos contra danos, mas também de seus funcionários. O monitoramento secreto dos fluxos de trabalho pode permitir que os IoCs sejam sinalizados com mais precisão, ajudando a evitar a escalada de incidentes. Mas quando o impensável acontece, e um funcionário desavisado expõe dados confidenciais, ter processos robustos defensáveis em vigor que já documentaram o incidente tornam muito mais fácil realizar uma investigação forense digital e levar qualquer caso legal que resulte em uma conclusão rápida.
FONTE: HELPNET SECURITY