Globalmente, 67% das empresas experimentam entre 21 a 40 incidentes internos por ano, de acordo com o relatório The Cost of Insider Threats 2022 do Ponemon Institute. O mesmo relatório revela que a frequência e o custo dos ataques internos aumentaram significativamente nos últimos dois anos. Ameaças internas são um dos ataques mais difíceis de prever e prevenir, devido à dificuldade em identificá-los.
O entendimento geral de um insider é um funcionário com acesso potencial a dados confidenciais. Mas ele é mais do que apenas um funcionário, o que nos faz reconsiderar: quem é um insider?
Quem é um insider?
Com base na combinação de cenários e várias definições disponíveis, uma entidade pode ser considerada uma pessoa de dentro da empresa se:
- Eles estão direta ou indiretamente associados à organização.
-
Eles têm acesso regular a informações confidenciais pertencentes ou controladas pela organização.
-
Eles inadvertidamente expõem dados devido a negligência ou falta de conhecimento de segurança.
As partes interessadas que agem com a intenção maliciosa de roubar dados são chamadas de agentes de ameaças internas.
Para simplificar, “usuários” na seção a seguir refere-se não apenas aos funcionários, mas a todas as partes interessadas, como parceiros, que têm acesso aos dados organizacionais. Em termos gerais, os insiders podem ser de dois tipos:
Insiders inadvertidos: Este grupo envolve todos os usuários que, por desconhecimento ou descuido com os procedimentos da empresa, acabam expondo dados organizacionais. Isso pode significar a perda de unidades USB contendo dados oficiais ou funcionários que não seguem as regras de segurança de senha.
Agentes de ameaças internas: Este grupo inclui todos os usuários com incentivo monetário ou pessoal para expor dados organizacionais. Por exemplo, isso pode incluir ex-funcionários insatisfeitos, funcionários atuais que podem obter melhores oportunidades profissionais negociando dados internos e parceiros que podem obter melhores negócios com base nestes dados.
Por que é difícil detectar ameaças internas?
Insiders geralmente são entidades confiáveis com funções organizacionais específicas. Você não seria capaz de prever ataques de uma ameaça inexistente, isto é, até que eles aconteçam. Isso por si só torna extremamente difícil de prever. Acrescente os usuários inadvertidos que podem não saber que expuseram dados organizacionais e a dificuldade aumenta de forma múltipla. Funcionários ou contratados negligentes foram a causa de 56% das ameaças internas, observa o relatório Ponemon ”Insider Threat 2022”. Para identificar a origem de uma ameaça, os especialistas em segurança de TI precisam monitorar vazamentos inadvertidos e identificar explorações intencionais de brechas de segurança. Semelhante ao combate a incêndios enquanto tenta encontrar a origem do incêndio, isso nos leva à questão mais importante.
Como você reduz as ameaças internas?
Para combater as complicadas ameaças internas, é melhor organizar os esforços de acordo com as linhas de definição internas. Com isso, quero dizer criar estratégias de detecção e resposta a ameaças para o maior número possível de cenários. Uma combinação de auditoria de atividade do usuário; proteção de dados em uso, em trânsito e em repouso; campanhas de sensibilização das partes interessadas; e controles de segurança adequados para dispositivos de armazenamento de dados são algumas das abordagens. Várias ferramentas internas de detecção de ameaças estão disponíveis para iniciar o monitoramento de atividade de dados e usuários nas organizações.
Um plano aproximado para começar a prevenção de ameaças internas é fornecido abaixo. Observe que ideias de ferramentas e processos para ajudar com as sugestões estão listadas na linha seguinte. Esta não é a recomendação de um especialista em segurança, mas aprendizados derivados de estudos contínuos de ameaças internas.
|
Controle de detecção e prevenção |
Insiders inadvertidos |
Atores de ameaças internas |
Insiders coniventes (entidades externas e internas se uniram) |
Usuários de terceiros |
|
Aplicar programas de conscientização e estabelecer verificações. |
Familiarize os funcionários com o que constitui a exposição de dados confidenciais.
Enfatize que conversas envolvendo informações pessoais ou competitivas são prejudiciais.
|
Monitore logins incomuns e atividades de arquivos de usuários com acesso a dados confidenciais. |
Examine e correlacione padrões entre eventos de arquivos suspeitos e logins. |
Realizar programas de conscientização periódicos e verificações para garantir que os fornecedores cumpram os procedimentos e regras organizacionais. |
|
Ferramentas e processos |
Simulações de phishing e malware, programas de treinamento baseados no GDPR, HIPAA ou outros mandatos e política BYOD. |
Ferramentas de monitoramento de atividade do usuário em tempo real , ferramentas de modificação de arquivos e rastreamento de acesso , gerenciamento de permissões de arquivos e software de gerenciamento de identidade para logins seguros.
|
Ferramenta de auditoria de diretório ativo , ferramenta de auditoria de USB e monitoramento de acesso a arquivos para detectar transferências de arquivos não autorizadas. |
Programas de treinamento de parceiros sobre dados confidenciais, mandatos de dados e consequências de uma violação. Regulação estrita de acesso, permitindo permissões de dados somente quando necessário e por um período de tempo limitado. |
|
Implemente medidas sólidas de identidade e segurança de credenciais. |
Certifique-se de que todos os funcionários sigam as medidas atualizadas de autenticação e autorização. |
Seja seletivo ao fornecer acesso e revise privilégios indevidos para todos os usuários. |
Implemente um modelo de confiança zero para tratar todos os usuários, sejam funcionários ou parceiros, como entidades não confiáveis. |
Institua o gerenciamento de identidade de parceiros e identifique o pessoal-chave que precisa de dados. Revise e resolva as mudanças de função e os requisitos periodicamente. |
|
Ferramentas e processos |
E-mails periódicos, alertas para novas fontes ou horários incomuns de logins, autenticação multifator (MFA). |
Monitorando o cenário de permissões de arquivo e revogando permissões não exigidas por funções de usuário. |
Padrões e diretrizes da indústria, digamos, pelo regulamento NIST 800 207 ou ZTX da Forresters . |
MFA, processo claro para solicitações de recursos, processo de triagem de fornecedores com maior relevância para incidentes anteriores de segurança cibernética ou controles implementados. |
|
Fortalecer os controles de segurança da infraestrutura. |
Aumente os bloqueios físicos e a autorização em escritórios e armazenamentos físicos de dados. |
Como não é possível identificar intenções maliciosas, é melhor restringir o acesso a servidores físicos e lojas de escritório. |
Dispositivos ou redes de manipulação de pessoal não devem fazer exceções, mesmo para seus pares mais próximos. Instale câmeras em áreas para monitorar entrada e saída como um dos controles físicos. |
Valide os requisitos de terceiros e faça o acompanhamento com a revogação do acesso após a satisfação da necessidade. |
|
Ferramentas e processos |
Recompense os funcionários que aderirem aos protocolos de segurança. |
Implante controles de acesso baseados em função, revise o pessoal que lida com dados pessoais. |
Defina uma responsabilidade clara para os usuários que têm acesso a dados confidenciais. Restrinja as conversas oficiais a reuniões oficiais. |
Verifique os requisitos de terceiros e defina um processo de avaliação e aprovação para solicitações de dados. |
|
Realizar análises forenses de eventos passados. |
Examine as ações anteriores do usuário que levaram ao incidente, mantendo uma trilha de auditoria. |
Mantenha e analise incidentes anteriores para chegar a um padrão recorrente. |
Investigue máquinas, dispositivos de armazenamento e outros canais oficiais usados por pessoas de dentro para vazar dados e correlacionar com a configuração atual do usuário. |
Examine as relações com fornecedores e incidentes anteriores que possam estar vinculados a fornecedores ou outras afiliadas de negócios. |
|
Ferramentas e processos |
Empregue ferramentas de monitoramento de alterações do AD que oferecem o benefício de preservar as trilhas de auditoria. |
Inicie a análise de memória, forense de sistema de arquivos e forense de rede para entender como um ataque foi lançado sem ser detectado. |
Realize análises de rede e examine os canais de comunicação para detectar transferências de dados não autorizadas e protegê-los o suficiente. |
Documente todas as violações de terceiros e bloqueie fornecedores não compatíveis. Use essas informações para avaliar fornecedores. |
Em todo o mundo, 57% dos profissionais de TI usam a análise de comportamento de usuários e entidades (UEBA) para reduzir ameaças internas. O UEBA é uma versão atualizada da tecnologia de análise de comportamento do usuário (UBA) que ajuda a detectar atividades incomuns do usuário, alertando imediatamente os administradores de TI sobre possíveis ameaças internas. Ambas as tecnologias são amplamente utilizadas para detectar atividades organizacionais incomuns e capturar ataques com antecedência. Em todo o mundo, 57% dos profissionais de TI usam a análise de comportamento de usuários e entidades (UEBA) para reduzir ameaças internas. O UEBA é uma versão atualizada da tecnologia de análise de comportamento do usuário (UBA) que ajuda a detectar atividades incomuns do usuário, alertando imediatamente os administradores de TI sobre possíveis ameaças internas. Ambas as tecnologias são amplamente utilizadas para detectar atividades organizacionais incomuns e capturar ataques com antecedência.
Insights orientados por UBA para ajudá-lo a detectar ameaças internas a tempo
O ManageEngine ADAudit Plus fornece um conjunto de ferramentas de auditoria AD com relatórios em tempo real e alertas de ameaças responsivos. Além do monitoramento essencial de alterações do AD, você pode implantar:
- Análise orientada por UBA para capturar instantaneamente atividades anômalas do usuário
-
Monitoramento de alterações em tempo real para identificar alterações questionáveis do AD, digamos, na criação ou nas permissões do usuário
-
Auditoria de logon para investigar vários logons de usuários com falha
-
Monitoramento de arquivo para observar alterações de arquivo
-
Armazenamento removível e auditoria de cópia de arquivos para rastrear transferências de arquivos não autorizadas
-
Monitoramento de logon remoto para examinar logins remotos incomuns de contas de usuários privilegiados
Experimente todos esses recursos e aproveite os relatórios prontos para uso para garantir a conformidade com o GDPR, HIPAA e outros mandatos usando nossa avaliação gratuita totalmente funcional.
Baixe o teste gratuito de 30 dias
Texto traduzido no site global, original de Deepshika Kailash
