Identificando, desmistificando e combatendo os principais indicadores de ameaças internas
Com o aumento dos ataques cibernéticos de indivíduos ou grupos mal-intencionados que tentam explorar vulnerabilidades corporativas e informações confidenciais, as organizações tendem a ignorar outra grande ameaça: seus funcionários.
Este artigo oferece respostas para perguntas como quais são alguns indicadores potenciais de ameaças internas, por que é importante identificar indicadores potenciais de ameaças internas e quais são as maneiras de combatê-los para manter a postura de segurança cibernética da sua organização.
O que são ameaças internas?
Ao contrário da crença popular, as ameaças internas não se limitam às ameaças que surgem no perímetro imediato de uma organização. Além dos funcionários atuais, essas ameaças podem ser lançadas por ex-funcionários, fornecedores terceirizados, consultores ou outros que tenham profundo conhecimento dos sistemas da organização.
O motivo por trás dos ataques internos pode diferir em cada caso; motivos potenciais incluem vingança, ganho financeiro e espionagem, e os perpetradores podem, é claro, não ter nenhum motivo, mas realizar o ataque por acidente. Embora seja incrivelmente assustador pensar em funcionários atuais ou antigos como potenciais fontes maliciosas, as ameaças internas estão se tornando cada vez mais comuns e nunca devem ser negligenciadas.
Indicadores comuns para identificar ameças internas
A detecção de indicadores de ameaças internas pode ajudar bastante a impedir esses ataques. A seguir estão alguns indicadores-chave de um ataque interno.
Logins incomuns
Fique atento a todos os funcionários que trabalham normalmente das nove às cinco, mas começam a fazer login em horários estranhos. Eles podem tentar trabalhar fora do horário normal de seu grupo sem qualquer motivo real para fazê-lo.
Solicitações de acesso estranhas
Procure por invasores maliciosos tentando acessar arquivos ou sistemas não autorizados dos quais eles geralmente não precisam para suas tarefas diárias. Os funcionários que tentam acessar informações que não estão relacionadas à sua função de trabalho geralmente são um sinal precoce de um ataque interno.
Escalonamento de privilégios
Um agente de ameaça iminente pode tentar aumentar seus privilégios para obter mais acesso a informações confidenciais que, se vazadas, podem ser prejudiciais à organização. Às vezes, um administrador confiável com maior acesso aos sistemas pode conceder permissões a funcionários que não deveriam tê-las.
Uso de armazenamento de mídia proibido
Na tentativa de roubar dados confidenciais, funcionários com acesso direto a sistemas dentro da rede podem fazê-lo com a ajuda de unidades externas, discos, etc. Isso também pode ser na forma de e-mails injustificados para destinatários fora da organização. Sua equipe de TI deve acompanhar quais dados são baixados ou copiados da infraestrutura local ou na nuvem da sua organização. Se arquivos grandes estão sendo copiados de locais estranhos que não podem ser explicados, provavelmente algo está errado.
Demissão repentina
Agentes internos que tentam sabotar a organização podem fazê-lo enquanto decidem sair. Eles não têm muito a perder, pois estão deixando a empresa. Olhe para a atividade deles nos últimos 90 dias e descubra se eles fizeram algo errado.
Resolvendo as ameaças internas
As ameaças internas podem estar aumentando, mas com uma estratégia adequada, é fácil frustrá-las. Ao praticar regularmente as dicas a seguir, sua organização pode ficar um passo à frente de possíveis ameaças.
-
Implante uma solução de gerenciamento de eventos e informações de segurança (SIEM) que fornece detalhes granulares sobre os internos na rede da sua organização.
-
Realize uma avaliação interna de ameaças em sua organização e determine o que você precisa proteger.
-
Considere avaliar uma solução de gerenciamento de acesso de privilégios (PAM) que o ajude a rastrear facilmente qualquer escalonamento de privilégios.
- Eduque os funcionários regularmente com programas de conscientização sobre como os ataques internos acidentais podem custar à organização.
- Nunca seja complacente.Esteja sempre vigilante porque as ameaças internas surgem quando você menos espera.
Confira o Log360, uma solução SIEM abrangente que ajuda você a evitar ataques internos.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Harshni MV.