Com cada dia que passa, nos tornamos mais dependentes de aplicativos e dispositivos para gerenciar nossas vidas, tanto dentro quanto fora do trabalho.
Por causa disso, os dados estão em toda parte, e há muitas brechas pelas quais eles podem vazar, e qualquer um pode usá-los indevidamente. Somos condicionados a pensar que vazamentos de dados vêm de estranhos invadindo nossos sistemas, mas nem sempre é o caso.
Às vezes, os ataques cibernéticos mais maliciosos aos nossos dados vêm de dentro, na forma de uma ameaça interna. As empresas usam ferramentas como software de gerenciamento de informações e eventos de segurança (SIEM) para monitorar a atividade do usuário e ferramentas de autenticação multifator para fortalecer a segurança das contas e prevenir ataques internos.
O que é uma ameaça interna?
Uma ameaça interna é uma violação de segurança que se origina dentro de uma organização, como através de funcionários que têm informações internas sobre práticas de segurança, dados e sistemas de computador.
Esse tipo de ataque não precisa necessariamente ser de um funcionário ou acionista atual. Pode vir de um ex-funcionário, membro do conselho ou qualquer pessoa que teve acesso a informações confidenciais e privadas de uma organização.
Ameaças internas ocorrem quando alguém próximo a uma organização tem acesso autorizado e o usa indevidamente para impactar negativamente informações ou sistemas críticos.
Tipos de ameaças internas
Existem três tipos principais a serem observados quando se trata de ameaças internas.
Maliciosa
Uma ameaça interna maliciosa vem de alguém que está deliberadamente tentando sabotar uma organização. Os objetivos são tipicamente espionagem, fraude e roubo de propriedade intelectual.
Um exemplo disso seria um funcionário descontente com a intenção de roubar informações após pedir demissão ou ser demitido. Há também um tipo de ameaça interna chamada Bomba Lógica. Isso acontece quando ex-funcionários instalam software malicioso em sistemas de computador.
Inadvertida
Uma ameaça interna inadvertida vem de erro humano ou julgamento inadequado. Isso inclui qualquer coisa, desde abrir um e-mail de phishing, acionando malware, engajando-se em TI Sombra e ajudando involuntariamente o ator da ameaça.
Em 2020, um estudo conduzido pela Verizon descobriu que 2% dos funcionários alvo de uma campanha de phishing clicam em links maliciosos.
Infiltrado
Um infiltrado é um estranho que tem acesso à rede de uma organização. Isso pode ser qualquer pessoa de fora da organização se passando por um funcionário, contratado ou parceiro.
Algumas empresas utilizam autenticação multifator para restringir infiltrados até certo ponto, protegendo contas de usuário.
Quer aprender mais sobre Software de Inteligência de Ameaças? Explore os produtos de Inteligência de Ameaças.
Como detectar ameaças internas
Ameaças internas são mais desafiadoras de identificar e bloquear do que outros ataques. Mesmo se você estiver usando software de Gerenciamento de Informações e Eventos de Segurança (SIEM), um ex-funcionário usando seu login para invadir seu sistema não levantará os mesmos alarmes que um hacker de alto nível assumindo sua rede.
A melhor maneira de parar ameaças internas é monitorar continuamente toda a atividade do usuário e agir quando incidentes acontecerem. Você pode implementar software de inteligência de ameaças que usa ferramentas e métodos de última geração para identificar ameaças cibernéticas.
Quais são alguns indicadores potenciais de ameaças internas?
É essencial estar ciente dos sinais de alerta de uma potencial ameaça interna.
- Roubo e corrupção: Fique atento para ver se a atividade do usuário dos seus funcionários se desvia do normal. Talvez eles tenham acessado uma conta pela primeira vez em um tempo ou de um novo local.
- Erros prejudiciais: Isso é quando seus funcionários estão agindo de forma descuidada. Envolve qualquer coisa, desde usuários abrindo contas pessoais em servidores empresariais, compartilhando credenciais para uma VPN e verificando e-mails usando um provedor de terceiros.
- Novas aberturas para estranhos: Estes são sinais de que um cibercriminoso já infiltrou uma organização. Fique atento a um número aumentado de transferências de dados, uma quantidade maior do que o esperado de logins, tentativas de mudar privilégios e credenciais em uma conta existente ou abrir muitas novas contas.
Como prevenir ameaças internas
As organizações podem definir políticas e procedimentos para mitigar ameaças internas e controlar danos se um incidente infeliz ocorrer. Abaixo estão algumas melhores práticas para ajudá-lo a se proteger de ameaças internas.
Documente e aplique políticas e controles
Crie políticas sobre como os funcionários interagem com o ambiente de TI de uma organização e as aplique.
Abaixo estão algumas políticas padrão que as empresas devem estabelecer.
- Regulamentos de proteção de dados
- Política de acesso de terceiros
- Política de gerenciamento de senhas
- Política de monitoramento de usuários
- Política de gerenciamento de contas
- Política de resposta a incidentes
Certifique-se de que seu departamento jurídico verifique essas políticas e que o sucesso dos funcionários ou o departamento de TI as comunique efetivamente a todos na organização.
Realize uma avaliação de risco em toda a organização
Uma avaliação de risco em toda a organização ajudará você a identificar ativos críticos, vulnerabilidades e riscos associados. Você pode priorizar medidas de mitigação e fortalecer sua infraestrutura de TI contra qualquer ataque cibernético ou ameaça interna com base na natureza dos riscos.
Você pode usar software de gerenciamento de risco de TI para proteger dados empresariais contra todos os riscos associados a software e hardware.
Implemente práticas rigorosas de gerenciamento de contas e acesso
Os usuários devem ser desafiados a provar suas identidades não apenas inserindo senhas, mas de várias outras maneiras. Você pode adotar software de autenticação multifator para configurar mais desafios. Esses softwares exigiriam que os usuários autenticem através de múltiplos mecanismos, como autenticação biométrica ou inserindo senhas de uso único (OTP) para provar sua identidade.
Encontre atores de risco e responda prontamente a atividades suspeitas
Mantenha uma vigilância próxima sobre os sistemas de segurança e responda a qualquer atividade suspeita de acordo com seu plano de resposta a incidentes. É essencial monitorar e controlar o acesso remoto aos sistemas e garantir que você receba alertas através de múltiplos canais sempre que qualquer atividade suspeita for detectada.
Considere usar software de análise de comportamento de usuários e entidades (UEBA) para identificar padrões, monitorar comportamentos de usuários ou máquinas e notificar partes interessadas em caso de qualquer atividade anormal.
Exemplos reais de ameaças internas
Para todos os entusiastas de crimes reais por aí, vamos dar uma olhada em alguns exemplos de ameaças internas e nas empresas que pagaram o preço.
General Electric: funcionário rouba dados valiosos e segredos comerciais
Em julho de 2020, surgiram detalhes de um trabalho interno de oito anos na General Electric (GE). O golpe viu o funcionário Jean Patrice Delia roubar dados proprietários valiosos e segredos comerciais para usar essas informações para iniciar uma empresa rival.
Após ter acesso aos arquivos que havia solicitado a um administrador de TI, Delia enviou por e-mail cálculos comercialmente sensíveis para seu co-conspirador. Após se declarar culpado das acusações, Delia enfrentou até 87 meses de prisão.
Cisco: ex-funcionário sabota dados de usuários
Sudhish Kasaba Ramesh, de San Jose, Califórnia, recebeu dois anos de prisão por implantar malware que deletou mais de 16.000 contas de usuários nos sistemas da Cisco e causou um dano de $2,4 milhões. O incidente destaca a necessidade de proteger dados de ameaças internas e externas.
Serve como um lembrete de que não são apenas seus funcionários atuais que representam uma potencial ameaça interna, mas também seus ex-funcionários.
Anthem: infiltração de dados de funcionários
Entre 2014-2015, a Anthem experimentou uma violação de dados na forma de roubo interno, onde atacantes roubaram dados pessoais de mais de 18.000 membros do Medicare. Não foi até abril de 2017 - quase três anos depois - que o fornecedor de serviços de coordenação de seguro Medicare.
O empregador por trás dessa ameaça interna havia enviado por e-mail um arquivo contendo números de ID do Medicare, números de Seguro Social, números de ID do Plano de Saúde, nomes de membros e mais para seu endereço de e-mail.
Target: ameaça de credenciais de terceiros
Em 2013, a Target passou por uma violação de dados de cartão de crédito altamente divulgada devido a um fornecedor terceirizado que levou as credenciais de sistemas críticos fora de um caso de uso apropriado. Essas informações tornaram possível para hackers infiltrarem os sistemas de pagamento da Target, obterem acesso ao banco de dados de clientes e instalarem malware.
Fazer isso permitiu que eles roubassem informações dos clientes da Target, incluindo nomes, números de telefone, endereços de e-mail e detalhes de cartões de pagamento.
RSA: funcionários caindo em um ataque de phishing
Em março de 2011, a RSA foi vítima de uma ameaça interna quando funcionários clicaram em um ataque de phishing direcionado, levando a 40 milhões de registros de funcionários comprometidos.
Os dois grupos de hackers por trás desse ataque lançaram o golpe de phishing fingindo ser colegas de trabalho e contatos confiáveis dentro da organização. A RSA é o braço de segurança da EMC, e esse ataque mostrou que ninguém, nem mesmo um fornecedor de segurança, está seguro de uma violação de dados interna.
Rockwell e Boeing: empregaram um espião
Pensa que espiões são apenas para dramas de TV e filmes de Hollywood? Pense novamente.
Espiões vêm em todas as formas e tamanhos; neste caso, eles vêm na forma de Greg Chung, que espionou para a China enquanto Rockwell e Boeing o empregavam. Entre 1979 e 2006, Chung roubou centenas de caixas de documentos sobre planos para expedições militares e espaciais dos EUA.
Essa ameaça interna patrocinada por um estado-nação é uma das maneiras pelas quais outros países podem obter acesso a segredos valiosos e altamente classificados e propriedade intelectual.
Proteja-se de dentro para fora
Com ameaças internas representando um risco financeiro tão grande, é mais importante do que nunca fazer uso de treinamento de conscientização e ser capaz de identificar os sinais de uma ameaça interna antes que ela aconteça. Nunca pare de monitorar a atividade do usuário, pois a causa raiz de todas as ameaças internas aos seus sistemas são as pessoas que os utilizam.
Interessado em aprender mais sobre as ameaças por aí? Confira como identificar os diferentes tipos de spyware.
Mara Calvello
Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.
