Entendendo as ameaças internas: o que são, alguns exemplos e medidas preventivas que você pode tomar
Uma grande porcentagem dos recursos de segurança cibernética é gasta na identificação e mitigação de ameaças externas. Mas um insider malicioso pode causar o mesmo dano, se não mais, à sua organização. Este artigo explica o que são ameaças internas, analisa exemplos de ameaças internas e discute maneiras de evitá-las.
Definição de ameaça interna
De acordo com o National Institute of Standards and Technology (NIST), uma ameaça interna pode ser definida como “uma entidade com acesso autorizado (ou seja, dentro do domínio de segurança) que tem o potencial de prejudicar um sistema de informação ou empresa por meio de destruição, divulgação,modificação de dados e/ou negação de serviço.” Esses insiders podem ser funcionários atuais ou ex-funcionários, consultores, fornecedores ou outros terceiros que tenham conhecimento ou acesso aos sistemas da organização.
Exemplos de ameaças internas
As ameaças internas são difíceis de detectar e, se não forem controladas, podem causar muitos danos. Aqui estão três exemplos em que insiders mal-intencionados causaram estragos nas organizações.
General Electrics e o roubo de propriedade intelectual
O FBI levou sete anos para descobrir a fraude de Jean Patrice Delia e seu sócio, Miguel Sernas, ex-funcionário da General Electrics (GE). Esses ex-usuários baixaram milhares de arquivos, incluindo o segredo comercial da GE para calibrar turbinas usadas em usinas de energia. Eles também convenceram o administrador de TI a conceder acesso privilegiado aos arquivos da GE.
Depois disso, eles começaram sua própria empresa usando a propriedade intelectual roubada e competiram com a GE na calibração de turbinas. Isso fez com que a GE perdesse muitos lances. Assim que a GE descobriu que seu concorrente de preço mais baixo era um ex-funcionário, eles alertaram o FBI. Delia e Sernas foram condenados em 2020 e condenados a pagar US$ 1,4 milhão em restituição à GE.
O problema aqui era que os sistemas de segurança cibernética da GE não acionaram um alerta quando os insiders baixaram vários arquivos grandes de uma só vez.
Violação de segurança custa US$ 150 milhões à Capital One
Um ex-engenheiro de software da Amazon Web Services (AWS), um aplicativo de software em nuvem usado pela Capital One, aproveitou uma vulnerabilidade para invadir contas e aplicativos de cartão de crédito de mais de um milhão de clientes da Capital One. Ela sabia como navegar na infraestrutura e descobriu um firewall de aplicativo da web mal configurado e o usou para consultar e obter as credenciais armazenadas em um bucket do AWS Simple Storage Service.
Curiosamente, descobriu-se que a perpetradora que executou o ataque divulgou seus métodos de hackers para colegas usando seu serviço de bate-papo. Ela também postou suas técnicas de ataque no GitHub com seu nome verdadeiro.
A Capital One informou que essa violação custou ao banco US$ 150 milhões.
Roubo de vários gigabytes de dados proprietários da Tesla
Em 2019, a Tesla entrou com uma ação contra Martin Tripp, que supostamente exportou vários gigabytes de dados, incluindo milhares de fotografias e vídeos dos sistemas de fabricação da Tesla.
Ele criou nomes de usuário falsos para fazer alterações diretas no código-fonte do Sistema de Fabricação da Tesla e também conseguiu exportar grandes quantidades de dados altamente confidenciais para terceiros anônimos.
Maneiras de evitar ameaças internas
Monitorar a atividade do usuário
O monitoramento da atividade do usuário ajuda bastante na prevenção de ataques internos. As soluções de análise comportamental de usuários e entidades ajudam a fazer isso monitorando continuamente as atividades de usuários e entidades, criando uma linha de base de comportamento típico para cada um e alertando imediatamente a equipe de segurança quando um usuário ou entidade executa qualquer atividade que se desvie da linha de base.
Monitorar de perto o comportamento dos funcionários pode ajudar a reconhecer qualquer comportamento ou atividade incomum. O uso de uma solução SIEM que monitora periodicamente o comportamento do usuário pode ajudá-lo, alertando instantaneamente quando grandes quantidades de arquivos estão sendo baixadas.
Controlar o acesso remoto de endpoints
Ao usar soluções shadow IT, os funcionários podem ter acesso a dados aos quais não deveriam ter acesso. Evite o shadow IT monitorando periodicamente o comportamento do usuário e controlando o acesso remoto aos funcionários. Sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusões (IPSs) ajudam você a conseguir isso. Certifique-se de que as contas de ex-funcionários sejam encerradas e que eles não tenham acesso remoto a nenhum dos sistemas da organização.
A implantação de uma solução SIEM com um IDS e IPS pode ajudar a evitar ataques, pois esses sistemas normalmente usam um banco de dados para reconhecimento de assinatura e podem ser programados para reconhecer ataques com base em anomalias comportamentais e de tráfego.
Fazer um treinamento de conscientização
A maioria das ameaças internas se deve à complacência e à falta de conscientização. Por exemplo, funcionários negligentes podem enviar um e-mail com informações confidenciais para a pessoa errada, enviar por e-mail dados da empresa para trabalhar no fim de semana ou ser vítima de um ataque de phishing. Realize programas de treinamento de conscientização periodicamente para garantir que os funcionários não se transformem sem querer em ameaças internas.
Confira o Log360, uma solução SIEM unificada com recursos integrados de DLP e CASB para investigar, detectar e responder a ameaças de segurança.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Harshni MV.