0
0
O modelo de trabalho híbrido ou totalmente remoto em mudança trouxe inúmeras vulnerabilidades de segurança cibernética, pois as empresas têm menos informações sobre a maneira como os funcionários estão trabalhando remotamente em um mundo pós-pandemia. Por mais que os recursos humanos e a TI possam alertar os funcionários para usar apenas os dispositivos da empresa, evitar dados privados trocados em telefones celulares e evitar o uso de credenciais corporativas para negócios pessoais (pense em sites de comércio eletrônico, jogos ou namoro), é impossível proteger totalmente contra vulnerabilidades cibernéticas causadas por atividades não monitoradas de funcionários.
Exacerbando esse problema existente está o surgimento de agentes de ameaças como o Lapsus$, um grupo de extorsão de dados relativamente novo que exemplifica os crescentes desafios à frente. Lapsus$ obtém acesso ilícito a organizações usando técnicas avançadas de engenharia social, bem como subornar ou enganar diretamente funcionários e parceiros de suas vítimas. A Lapsus$ concentra seus esforços na coleta de conhecimento altamente detalhado de suas vítimas ou de quaisquer parceiros terceirizados que trabalhem para eles em áreas como suporte ao cliente ou serviços de help desk de TI. O grupo anunciou repetidamente sua intenção de comprar acesso a dados, credenciais ou qualquer informação valiosa sobre suas vítimas e, ao contrário de outros agentes de ransomware, nem mesmo implanta ransomware. O modelo — como muitas análises indicam — emprega um modelo puro de extorsão e destruição com vítimas já incluindo o Ministério da Saúde brasileiro , Microsoft , Nvidia e Samsung .
Quando se trata de segurança cibernética, os funcionários são um curinga, pois o erro humano ou a intenção maliciosa nunca podem ser totalmente eliminados. O ” 2022 Cost of Insider Threats: Global Report ” do Ponemon Institute revela que os incidentes de ameaças internas aumentaram 44% nos últimos dois anos, com custos por incidente acima de um terço em US $ 15,38 milhões. Esses incidentes são um resultado combinado de negligência do funcionário, intenção criminosa e roubo de credenciais do usuário.
Ameaças internas aumentando
As ameaças internas estão, sem dúvida, em ascensão, mas estão longe de ser a causa mais comum de violações de dados. O relatório “Custo de uma violação de dados ” de 2022 da IBM, bem como a pesquisa ” Pulse Survey Insights ” da Constella Intelligence, comprovam que o phishing ainda é a principal causa de violações de dados no ano passado – no entanto, a recente pesquisa da Constella com 100 executivos revelou que o mais temido a ameaça cibernética dos líderes de segurança cibernética é o insider malicioso, embora os insiders maliciosos tenham sido responsáveis por cerca de 10% dos ataques mais prejudiciais que as organizações pesquisadas enfrentaram no ano passado.
Um insider malicioso é um funcionário que rouba informações ou faz vista grossa para incentivos financeiros ou pessoais, em muitos casos comprometendo credenciais internas para seu próprio benefício ilegal. Exemplos desses indivíduos incluem funcionários antigos ou atuais descontentes que vendem conhecimento interno ou acesso a terceiros para obter ganhos financeiros. Embora seja praticamente impossível se proteger contra todas as ameaças internas maliciosas , o monitoramento básico da atividade, a limitação do acesso à propriedade intelectual e uma cultura saudável reduzem as chances de um funcionário optar por roubar ou vender informações ou acesso para ganho pessoal, mas vamos ser claro: não é suficiente.
Efeitos de insiders maliciosos
Quase 80% dos entrevistados na pesquisa da Constella disseram que monitoram ameaças internas. Então, por que os executivos têm tanto medo de insiders maliciosos? O dinheiro está sendo gasto em um vetor de ataque menos provável? Os recursos estão sendo mal otimizados devido à paranóia?
A presença de insiders maliciosos destaca três insights importantes:
Reputações não podem ser facilmente reparadas: reputações danificadas podem ser o verdadeiro custo de um ataque cibernético, já que quase 60% das empresas afetadas por uma violação de dados provavelmente fecharão os negócios devido às consequências e custos de danos à reputação. A reconstrução da reputação de uma organização ou a perda de propriedade intelectual para os concorrentes são ameaças genuínas à continuidade dos negócios.
Funcionários insatisfeitos sinalizam um problema maior: com novos padrões morais, éticos e pessoais que regem o domínio do trabalho, os empregadores estão sob pressão para garantir que seus funcionários se sintam apoiados por uma cultura empresarial bem alinhada e responsiva. A perspectiva de funcionários insatisfeitos em meio a debates públicos cada vez mais polarizados nos quais as empresas são solicitadas a tomar partido aumenta a probabilidade de descontentamento. E um funcionário que busca retaliação pode ser incentivado a agir em uma ameaça interna maliciosa.
Se esse informante denunciasse a empresa ou compartilhasse publicamente por que roubou dados de seu empregador, o público e a mídia podem ser alertados para uma pergunta maior: por que esse funcionário ficou descontente? Os líderes da empresa não conseguiram reforçar uma cultura positiva? Ocorreu algo antiético? Seja qual for o motivo, a presença de um insider malicioso sinaliza para pessoas de fora que essas podem ser perguntas que valem a pena fazer, mostrando a relação bidirecional entre os riscos cibernéticos gerados por insiders e a reputação corporativa.
Se insiders mal-intencionados puderem acessar dados confidenciais, os hackers também poderão encontrá-los: para a maioria das empresas, é impossível restringir totalmente o acesso de funcionários a dados confidenciais, pois muitos exigem esse acesso para desempenhar suas funções. No entanto, a forma como os dados são acessados, transferidos, compartilhados e excluídos pode indicar vulnerabilidades que potenciais invasores mal-intencionados e agentes de ameaças externas podem descobrir. As organizações precisam manter uma defesa cibernética e física robusta e atualizada contra “rachaduras” na infraestrutura que podem tornar as informações mais disponíveis.
O que podemos fazer?
A resposta não é simples, mas as soluções para mitigar o impacto de atividades internas maliciosas andam de mãos dadas com a manutenção de uma forte defesa cibernética. Rastrear a segurança em torno de dados confidenciais — como se um funcionário fizer download de arquivos em um disco rígido externo — não é mais suficiente. O cenário de segurança cibernética é muito imprevisível, os agentes de ameaças são muito sofisticados e o monitoramento de todas as ameaças é um empreendimento muito complexo para fornecer uma solução à prova de balas.
No entanto, além de tomar medidas razoáveis para proteger e monitorar os sistemasPara salvar uma empresa de um funcionário insatisfeito ou de um agente de ameaças que obtém acesso à sua organização, há mais coisas que podem e devem ser feitas. As organizações precisam expandir o escopo do monitoramento para uma análise ativa, em tempo real e escalável que inclua funcionários e parceiros. Isso ocorre porque as lacunas e vulnerabilidades de não fazer isso em tempo real, entre todos os funcionários ou parceiros, e usar fontes de dados externas atualizadas juntamente com dados históricos, as chances de ser vítima de uma ameaça interna permanecem tremendamente altas. Há uma resposta comum para as preocupações legítimas sobre insiders maliciosos: o monitoramento de ameaças internas pode e deve ser aprimorado, realizado em tempo real e realizado em escala, não de forma reativa ou apenas para um punhado de funcionários ou partes interessadas em posições privilegiadas ou confidenciais .
FONTE: DARK READING