Riscos de ameaças internas e como detectá-las através da monitorização dos funcionários

Ao contrário das ameaças externas, como os hackers que invadem a empresa a partir do exterior, as ameaças internas são colocadas por indivíduos dentro da sua organização. Podem ser os seus empregados, gestores, parceiros ou contratantes - qualquer pessoa com acesso legítimo a dados, sistemas e instalações confidenciais e que utilize esse acesso de forma a prejudicar a sua empresa.

As ameaças internas apresentam-se de muitas formas, cada uma exigindo métodos de deteção ligeiramente diferentes. Podemos classificá-las, em termos gerais, em infiltrados maliciosos, infiltrados negligentes e infiltrados comprometidos.

Quando pensamos em ameaças internas, este tipo vem-nos normalmente à cabeça. Os infiltrados mal-intencionados infligem intencionalmente danos por vingança após terem sido preteridos numa promoção ou enfrentarem uma ação disciplinar, por razões ideológicas ou mesmo por diversão. No entanto, a maioria absoluta dos incidentes com infiltrados maliciosos - 89% - é motivada por ganhos financeiros pessoais. Os insiders podem:

• Roubar dados sensíveis de clientes, segredos comerciais ou informações financeiras para vender a concorrentes ou para ganho pessoal.

• Sabotar a empresa eliminando ficheiros críticos, perturbando os sistemas ou instalando malware.

• Manipular registos financeiros, criar contas fraudulentas ou desviar fundos para enriquecimento pessoal.

• Roubar desenhos, fórmulas ou outra propriedade intelectual para vender a concorrentes ou iniciar o seu próprio negócio.

Os infiltrados maliciosos não são superagentes disfarçados. Podem ser o administrador de sistemas descontente que, sentindo-se desvalorizado, elimina bases de dados críticas de clientes antes de deixar a empresa. Ou um representante de vendas que exporta sistematicamente dados para os vender aos concorrentes para cobrir as facturas acumuladas. Os insiders mal-intencionados são funcionários comuns que prejudicam deliberadamente a organização. No entanto, são responsáveis por 25% dos incidentes de ameaças internas.

Nem todos os insiders são movidos pela malícia. Os funcionários negligentes não querem prejudicar a organização deliberadamente, mas os seus erros não intencionais e comportamentos descuidados podem causar tantos danos como as acções maliciosas. Uns espantosos 88% de todos os incidentes de violação de dados são causados ou agravados significativamente por erros dos funcionários. Muitas vezes, as pessoas internas negligentes não têm consciência ou formação para reconhecer a ameaça ou são simplesmente imprudentes. As suas acções seguintes podem conduzir a graves violações da segurança:

• clica em ligações de mensagens de correio eletrónico de phishing, descarregando, sem saber, malware para os dispositivos da empresa;

• utilizar palavras-passe fáceis de adivinhar ou reutilizar palavras-passe em várias contas;

• armazenar dados sensíveis em locais não seguros;

• partilhar informações confidenciais através de canais não encriptados;

• contornar protocolos de segurança estabelecidos, desativar software de segurança ou ignorar políticas de segurança por conveniência ou falta de compreensão;

• envio de informações sensíveis para o destinatário errado por engano;

• divulgação ou publicação não intencional de informações pessoais e outros erros humanos.

Um exemplo de um informador negligente pode ser um empregado de contas a pagar que recebe uma mensagem de correio eletrónico aparentemente legítima. O e-mail pede para atualizar os dados bancários de um fornecedor. O funcionário não verifica cuidadosamente o e-mail do remetente, clica na ligação, introduz as credenciais numa página de início de sessão falsa e, sem saber, concede aos piratas informáticos acesso ao sistema financeiro da empresa.

Como resultado de negligência, a conta de um funcionário pode ser comprometida por agentes externos. O ladrão de credenciais adquire as credenciais de início de sessão legítimas de um funcionário através de phishing, malware ou outros métodos. O atacante actua então como esse funcionário, roubando dados confidenciais ou envolvendo-se noutras actividades maliciosas. O roubo de credenciais é a causa de 20% dos incidentes de ameaças internas.

Então, como é que detectamos e prevenimos as ameaças internas? Como já foi referido, os métodos de segurança tradicionais são eficazes contra ataques externos, mas muitas vezes não detectam os perigos internos. É aqui que entra em jogo a monitorização dos funcionários.

Se a monitorização dos funcionários for implementada de forma estratégica e ética, permite que as organizações vejam os processos de trabalho, o comportamento e as comunicações dos funcionários. Desta forma, os especialistas em segurança podem identificar comportamentos anómalos, violações de políticas e sinais de intenções maliciosas que, de outra forma, poderiam passar despercebidos.

Vamos explorar as principais funcionalidades de monitorização de funcionários para deteção de ameaças internas e a forma como podem revelar agentes maliciosos.

A Prevenção de Perda de Dados (DLP) é um conjunto sofisticado de funcionalidades para proteger informações sensíveis contra acesso ou transmissão não autorizados. Detecta e ajuda a gerir potenciais violações de dados, exfiltração, utilização indevida e exposição acidental.

Os sistemas DLP identificam informações sensíveis dentro da organização e actuam como uma sentinela digital. Acompanham o movimento de informações confidenciais, assinalam tentativas não autorizadas de transferência, cópia para dispositivos externos ou armazenamento na nuvem, ou impressão. Os sistemas DLP também possuem mecanismos de alerta para notificar os especialistas de segurança e os gestores sobre o incidente.

O rastreio meticuloso de dados sensíveis permite que as soluções DLP detectem ameaças internas maliciosas e negligentes.

As ferramentas de Análise do Comportamento do Utilizador e da Entidade (UEBA) utilizam técnicas de análise avançadas, incluindo IA e aprendizagem automática, para detetar comportamentos anómalos e potenciais ameaças à segurança na rede de uma organização. Em primeiro lugar, a UEBA analisa a atividade dos utilizadores (funcionários, clientes e contratantes) e das entidades (aplicações, dispositivos e servidores) para estabelecer padrões de base de atividade normal. Depois disso, o sistema monitoriza continuamente o comportamento dos utilizadores e das entidades e compara-o com as linhas de base estabelecidas. Se detetar quaisquer desvios da norma, assinala-os como potenciais ameaças à segurança. A cada anomalia é atribuída uma pontuação de risco, que aumenta com o aumento do comportamento suspeito. Quando as pontuações de risco excedem os limites predefinidos, o sistema alerta o especialista em segurança ou o gestor para investigação e potencial ação.

A UEBA é extremamente eficaz contra ameaças internas, contas comprometidas e outros métodos de ataque que podem contornar as ferramentas de segurança tradicionais. A sua eficácia reside na sua capacidade de detetar ameaças que não correspondem a padrões de ataque predefinidos. Ao mesmo tempo, o UEBA apresenta uma taxa mais baixa de falsos positivos, uma vez que compreende os padrões de comportamento normais.

O acompanhamento da atividade dos funcionários durante o dia de trabalho revela quais os sites e aplicações que utilizam. Desta forma, as organizações podem detetar o acesso a sites não autorizados ou de alto risco ou tempo excessivo em sites não relacionados com o trabalho (o que pode ser um sinal de desinteresse ou planeamento malicioso em alguns casos). O rastreio de aplicações também pode revelar instalações de software não autorizadas que possam representar riscos de segurança.

Em casos de violações de dados, a monitorização da atividade ajuda a encontrar o responsável pelo incidente e a fornecer as provas necessárias. Um dos nossos clientes partilhou recentemente a sua história sobre como o CleverControl os ajudou a revelar um informador que vendia os seus dados à concorrência. Pode ler sobre este caso ameaça interna caso mais no nosso blogue.

A monitorização da comunicação fornece informações sobre o conteúdo e os padrões das comunicações dos funcionários. O sistema monitoriza continuamente vários canais de comunicação, incluindo correio eletrónico, videoconferência, partilha de ficheiros, ferramentas de colaboração e plataformas de mensagens instantâneas. Os algoritmos avançados e a IA analisam os padrões e o conteúdo das comunicações e procuram sinais de aviso nos dados recolhidos. Estes sinais podem ser linguagem suspeita ou palavras-chave relacionadas com fugas de dados, sabotagem ou conluio. Quando o sistema detecta actividades suspeitas, desencadeia uma resposta automática ou notifica o especialista em segurança para uma ação imediata.

A monitorização da comunicação aumenta significativamente a capacidade da empresa para resistir a ameaças internas; no entanto, deve ser implementada de forma responsável.

As ameaças internas continuam a ser uma preocupação significativa para todas as organizações de todas as dimensões. Podem assumir várias formas, desde intenções maliciosas a simples negligência e descuido. As ameaças internas são tão perigosas porque são cometidas por funcionários de confiança a partir do perímetro de segurança e, por isso, são muito mais difíceis de detetar e prevenir. A monitorização dos funcionários é uma boa solução para detetar e prevenir os riscos internos. A sua funcionalidade de DLP, UEBA, comunicação e monitorização de actividades é o conjunto de ferramentas necessário para qualquer organização que pretenda detetar e prevenir atempadamente as violações de segurança.