Ameaças internas são mais do que apenas funcionários mal-intencionados

Ameaças internas são mais do que apenas funcionários mal-intencionados. Os humanos são imprevisíveis e podem cometer erros que podem resultar em um incidente de segurança.

As empresas estão justificadamente preocupadas com ataques de forasteiros não autorizados, mas não devem ignorar a ameaça interna.

As ameaças internas (Insider Threats) referem-se a qualquer atividade em que os funcionários expõem a rede a algum grau de risco que não existia originalmente, diz Toby Lewis, chefe de análise de ameaças da Darktrace. Em outras palavras, é a própria equipe da organização que está corroendo a camada de segurança da organização.

A imagem comum da ameaça interna é a de uma pessoa tentando deliberadamente burlar os mecanismos de segurança, como um funcionário irritado que foi demitido ou um trabalhador insatisfeito tentando causar algum dano à empresa. Mas focar apenas nesses tipos de cenários coloca a organização em risco porque as equipes de segurança podem não perceber outras pessoas que não perceberam as consequências de ações aparentemente pequenas.

Por exemplo, um funcionário que está tentando realizar uma tarefa como parte de seu trabalho diário pode ter que lidar com um processo que, para ele, parece complicado ou burocrático. Quando descobrem um atalho, não estão deliberadamente tentando quebrar as regras para lucrar pessoalmente com a atividade. Mas eles também não estão pensando no fato de que pode haver uma razão pela qual o processo foi criado dessa maneira específica.

Eles inventaram seu próprio processo“, diz Lewis. “Ao fazer isso, eles podem não perceber quais são as implicações de segurança de seguir esse caminho ou que esse pequeno atalho que acabaram de inventar pode ser bastante arriscado.

Errar é humano

Outro tipo de ameaça interna é o erro do usuário. Alguém esqueceu de fazer alguma coisa ou fez alguma coisa mesmo tendo sido treinado para não fazer. Quando aqueles que cometem erros têm nomes de usuário e senhas válidos e podem acessar sistemas e aplicativos ricos em dados, as equipes de segurança precisam reconhecer que esses erros podem levar a incidentes de segurança, diz Lewis.

Se sua última linha de defesa é esperar que alguém não clique em um link ou abra um anexo, então você fez muitas coisas erradas até aquele ponto”, diz Lewis.

O treinamento não cobre todas as bases. Mas alguém cometer um erro não significa que houve uma falha no treinamento. Algumas pessoas irão absorver o material de treinamento mais completamente do que outras.

Você terá um espectro de indivíduos que participaram do treinamento“, diz Lewis. “Alguns vão entender, e alguns vão falar da boca para fora e marcar as caixas apenas para passar no teste para que possam continuar com a próxima parte do dia. E outros não terão ideia do que estão fazendo e apenas clicarão aleatoriamente botões.

As pessoas às vezes esquecem o que aprenderam. Por exemplo, os pais podem estar mais inclinados a clicar em algo que possa fazer referência a seus filhos. Ou se uma pessoa tem uma paixão específica, uma mensagem que faça referência a esse tópico pode induzir essa pessoa a fazer algo inseguro.

Sempre haverá algo que, quando acontecer, você esquecerá todas as regras e treinamentos”, diz Lewis.

Períodos de “Grandes Demissões” também pode levantar algumas questões. Se as pessoas estão deixando a organização, elas podem ficar mais relaxadas em relação à segurança porque suas prioridades mudaram.

A segurança da empresa em que trabalham não importa mais porque eles pensam: ‘Não estarei aqui em duas semanas’“, diz Lewis. Ou eles podem considerar levar informações da empresa – o que pode significar apenas sua lista de contatos de e-mail ou arquivos em que trabalharam – com eles na saída.

O Zero Trust elimina o risco interno

Quando se tratava de segurança de rede e perímetro, as pessoas fora da rede eram consideradas inerentemente ruins, enquanto as internas eram boas. No entanto, essa regra é quebrada quando um estranho obtém credenciais roubadas para acessar recursos internos ou ignora os controles de segurança e compromete um sistema para obter uma posição na rede.

Eles estão usando as informações de uma boa pessoa para acessar a rede, mas têm uma motivação ruim“, diz Lewis. “Eles são bons? Eles são ruins? Como você diferencia?

A confiança zero (Zero Trust) trata todas as conexões e ações como suspeitas. Existem sinais a serem verificados, como o dispositivo que está sendo usado, a hora do dia e a ordem dos aplicativos que estão sendo acessados. Se o usuário estiver se desviando do esperado, isso aciona uma investigação, mesmo que a atividade seja originada de dentro do ambiente.

Eles precisam provar quem são. Eles precisam provar que estão vindo de um dispositivo seguro. E eles precisam provar que têm boas intenções“, diz Lewis.

Em uma organização de confiança zero, seria mais difícil para os internos agirem mal, observa Lewis. Ao gerenciar a identidade, as equipes de segurança entendem quem são os usuários e determinam como é o “normal”. Dessa forma, eles podem avaliar o nível de risco de cada pessoa e ter uma noção de quando pedir mais informações.

A outra parte é a segmentação de rede. Se a rede tiver sido dividida em diferentes compartimentos, os usuários terão que se autenticar cada vez que cruzarem para uma nova área. Diferentes partes da rede podem ser esculpidas com base no risco e onde os dados confidenciais são armazenados.

Cada parte de sua rede deve estar atrás de seu próprio conjunto de portas trancadas“, diz Lewis. “Você só pode cruzar essa barreira se for uma pessoa de confiança.

As pessoas são imprevisíveis e a segurança não deve depender de saber exatamente o que elas vão fazer. As equipes de segurança devem implementar controles técnicos para detectar todos os momentos em que o funcionário age contrariamente ao seu treinamento. A tecnologia pode minimizar o impacto potencial de um erro ou bloquear uma ação problemática em potencial.

Sempre que possível, a tecnologia deve assumir o fardo“, diz Lewis.

Fonte: Darkreading

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Ameaças internas são mais do que apenas funcionários mal-intencionados – Neotel Segurança Digital

Deixe sua opinião!