0
0
Ameaças internas estão recebendo sua parte dos holofotes à medida que as empresas percebem cada vez mais que funcionários descontrolados podem causar tanto dano quanto atores externos. As empresas estão percebendo ainda que os privilegiados insiders são de particular preocupação. O quão privilegiados os direitos de acesso de um usuário são impactam o quão perigosos eles são, se suas ações são maliciosas ou negligentes.
Os incidentes envolvendo ameaças internas aumentaram 44% desde 2020, de acordo com o relatório Custo de Ameaças Internas do Instituto Ponemon de 2022. O custo médio por violação foi de US$ 15,38 milhões, com a maioria indo para conter o incidente.
Prevenir ameaças internas – especialmente aquelas que envolvem usuários privilegiados – é mais crítico do que nunca.
De olho nas ameaças internas
Com muitos funcionários de escritório trabalhando fora do perímetro tradicional e se adaptando a novos processos durante a pandemia COVID-19, as empresas começaram a prestar mais atenção aos riscos e ameaças internas. Compondo isso, um relatório de exposição de dados do Code42 de 2022 mostrou que 55% das empresas estão preocupadas que os funcionários sejam frouxos com novas práticas híbridas de cibersegurança.
Ficar de olho nos funcionários e monitorar seu comportamento era mais fácil quando eles estavam na rede corporativa e fisicamente em um escritório. Isso não é tão fácil com os funcionários em casa – especialmente se uma VPN corporativa ou outras salvaguardas não estão presentes.
A pandemia também inaugurou a “Grande Renúncia“, que viu milhões de americanos trocando ou deixando seus empregos. Isso agravou a ameaça interna representada pelos funcionários que partiram. De fato, uma pesquisa da Beyond Identity de 2022 constatou que 83% dos entrevistados continuaram acessando as contas de um empregador anterior. Dos que ainda tinham acesso, 56% disseram que o usaram para prejudicar seu antigo empregador; 25% disseram ter levado informações do cliente; e 24% disseram ter levado informações financeiras da empresa.
Nos últimos dois anos também houve uma série de fusões e aquisições, outra área madura para ataques internos e ameaças. “Muitas vezes é insider trading porque as pessoas têm acesso a informações que não deveriam ter durante esse período”, disse Jack Poller, analista do Enterprise Strategy Group (ESG), uma divisão da TechTarget.
O perigo de ataques privilegiados de insider
Sem surpresa, quanto mais acesso aos servidores da empresa e dados que um funcionário tem, maior o risco de uma ameaça interna. Um usuário privilegiado tem permissões com funções especializadas ou administrativas e muitas vezes pode acessar e/ou fazer alterações diretamente em sistemas sensíveis ou críticos.
Um problema aqui é que nem todos os usuários com acesso privilegiado devem tê-lo. Às vezes, usuários regulares recebem permissões adicionais para projetos de curto prazo que não são revogados após a conclusão do projeto. A TI também pode confirmar mal os perfis dos usuários, permitindo que usuários regulares acessem dados não relacionados, mas críticos aos negócios.
É importante notar também que nem todos os ataques privilegiados são maliciosos. A Pesquisa de Segurança Tecnológica de Negócios da Forrester Analytics de 2021 constatou que 65% dos incidentes internos foram negligentes. Esses incidentes não são ativamente maliciosos, mas deixam os dados de negócios expostos — por exemplo, um funcionário que salva ou usa indevidamente dados contra a política da empresa.
“Se você é um administrador de sys, você pode desligar as máquinas erradas ou destruir os VMs errados”, disse Poller. “Digamos que você estava no host 1 e pensou que estava no host 10. Então, você faz um desligamento de disco e acidentalmente exclui a infraestrutura de uma empresa inteira apenas estando na máquina errada e digitando a linha de comando errada.”
Uma das razões pelas quais ataques privilegiados de insider são muitas vezes perdidos é porque os insiders normalmente não têm que invadir sistemas da empresa para obter acesso a informações.
“Os fornecedores me disseram: ‘Podemos dizer quando [um invasor] está usando o Kali Linux ou disparando Metasploit‘”, etc.”, disse Jonathan Care, analista do Gartner. “Isso é ótimo, mas o informante privilegiado não precisa hackear ou elevar seus privilégios.”
Como prevenir ataques privilegiados de insider
Há várias maneiras de manter ameaças privilegiadas à distância. Em primeiro lugar, siga sempre o princípio do menor acesso privilegiado para reduzir ameaças. Limitar o acesso dos funcionários apenas aos aplicativos, dados e sistemas necessários para completar seu trabalho.
Audite todos os papéis no sistema de uma organização e seus privilégios. Em seguida, determine fluxos de trabalho adequados e crie uma linha de base de atividades para identificar melhor privilégios anômalos e usuários com direitos excessivos. Os cuidados sugeriam prestar atenção extra aos administradores de domínio, administradores de sys, usuários raiz e administradores de banco de dados. Também incluem cargos como administradores de faturamento, que muitas vezes têm o poder de criar novas entradas de folha de pagamento, faturas e fornecedores no sistema.
As empresas também devem implementar políticas e procedimentos em torno de privilégios, especialmente quando se trata de onboarding e offboarding. Se um funcionário deixar a empresa, por exemplo, imediatamente cortar direitos de acesso e garantir que ele não criou nenhuma nova conta de administração. Também faz com que seja uma política rever os privilégios dos funcionários depois que eles mudam de função. Definir e seguir políticas e procedimentos para garantir o tratamento uniforme dos funcionários. A inconsistência pode causar problemas, disse Joseph Blankenship, analista da Forrester Research. Não deixe um usuário sair com um aviso enquanto termina outro para a mesma coisa, disse ele.
Uma vez que as políticas e procedimentos estejam em vigor, considere uma plataforma de monitoramento de segurança que monitora como os funcionários usam dados e se suas ações violam as políticas. Comportamento da bandeira e determinar se um incidente foi um acidente ou o início de atividade maliciosa. Também investigar de uma perspectiva de comportamento do usuário, disse Blankenship. “Normalmente, um insider terá uma conta ou motivação que pode indicar que a pessoa é arriscada. Um dos maiores é se eles deram seu aviso prévio”, disse ele.
Se o monitoramento de segurança for implementado, informe os funcionários. Conscientizar os funcionários sobre o monitoramento muitas vezes é suficiente para deter ataques internos.
“Diga a todos: ‘Estamos usando essas ferramentas porque nos preocupamos com os dados de nossos clientes'”, disse Care. Mas não ligue o monitoramento de segurança ao monitoramento de produtividade. As equipes de segurança não devem ter essa tarefa, e isso pode arruinar a experiência e a confiança dos funcionários, monitorando demais e sendo intrusivas.
Por fim, educar os colaboradores sobre a importância das políticas e procedimentos. Realize treinamentos de conscientização sobre segurança ao longo do ano para garantir que os funcionários se lembrem — mas torná-los curtos, sessões “tamanho mordida”, disse Care, porque sessões de treinamento anual que cobrem tudo geralmente não são eficazes.
FONTE: TECHTARGET