Imagine-se em uma sala de jantar na companhia de colegas e amigos apreciando uma refeição. De repente, as luzes piscam e os pertences de todos somem misteriosamente. Os únicos suspeitos são os que estão no ambiente, inclusive você. Mas, como encontrar o culpado?

Por mais que a introdução deste texto pareça um pouco dramática e que o enredo retirado de um livro da Agatha Christie ou de um conto de Sherlock Holmes, a sensação de ter uma ameaça dentro da empresa é muito parecida. Um ataque interno acontece quando menos se espera, todos os envolvidos naquele ambiente comprometido passam de inocentes colaboradores a suspeitos em instantes, e identificar o culpado é uma tarefa difícil. 

Essas ameaças internas podem ser representadas por empregados descuidados ou inexperientes, empregados descontentes, terceiros, parceiros e espiões infiltrados ou qualquer componente interno que explore, ou tenha a intenção de explorar seu acesso legítimo aos ativos, com a intenção de fazer algo não autorizado. 

Segundo um estudo realizado pela Verizon (2019), 57% dos vazamentos de informações envolvem ameaças internas, e 15% dos vazamentos são consequências do mau uso de privilégios.  

Como nos casos de detetives, em que um ladrão ou um vizinho que não vive dentro da casa são os primeiros suspeitos dos crimes, muitas empresas focam em ameaças externas à organização, como hackers e malwares, enquanto um funcionário desonesto pode estar trabalhando no meio dos outros há um bom tempo sem ser identificado, roubando informações e prejudicando os negócios. 

Por possuir acesso legítimo e muitas vezes uma permissão irrestrita, esses agentes internos, com intenções maliciosas ou não, conseguem provocar incidentes dentro da organização sem chamar atenção, já que de certa forma têm a confiança dos demais enquanto realizam seu trabalho. 

Divulgar informações sensíveis, facilitar o acesso de terceiros e quebrar um equipamento vital para o sistema são alguns dos incidentes que estes maus colaboradores podem praticar.  Lembrando que agentes internos, imaturos e com falta de conhecimento sobre a empresa e seus processos também são ameaças internas, pois podem causar erros ao deletar informações importantes ou fazer download de arquivos infectados, por exemplo, por puro despreparo. 

Quem são os suspeitos?

Essas ameaças internas podem vir de empregados registrados, contratados e até mesmo de parceiros ou terceiros que têm acesso ao sistema: 

  • Empregados registrados: estão acima de qualquer suspeita, são considerados parte da organização, são os últimos a serem considerados suspeitos. 
  • Contratados: as habilidades dos contratados são subestimadas e podem tirar vantagem do acesso que possuem.  
  • Parceiros e terceiros: estão sempre sob contratos, e por conta disso, lhes são atribuídos acessos com altos privilégios, o contrato oferece uma falsa segurança para a empresa. 

Ex-funcionários também são uma ameaça. De acordo com a Deloitte (2016)  59% dos empregados que deixam uma empresa voluntária ou involuntariamente levam dados consigo.

Mas quais são as motivações?

Na maior parte dos casos, o que motiva esses agentes internos maliciosos a provocarem um incidente são questões financeiras, ideológicas, bem como o desejo de reconhecimento, lealdade à família, amigos ou país, e até por vingança. A Verizon (2019), em sua pesquisa inclui à lista as motivações por diversão, medo e conveniência. 

Independentemente das motivações, os agentes internos maliciosos procuram provocar vazamento de dados confidenciais e corromper processos, já que são os eventos que mais podem prejudicar a organização (CNPI, 2013). Este fato é claramente sustentado por casos que se tornaram públicos na mídia, por exemplo: 

  1. Caso Edward Snowden: Snowden vazou quase dois milhões de arquivos da NSA em 2013.
  2. Ricky Mitchell: após descobrir que seria demitido, reiniciou os servidores da empresa EnerVest para as configurações de fábrica interrompendo as operações por um mês.
  3. Zhangyi Liu: programador chinês que trabalhava por contrato para Litton/PRC Inc. que acessou dados confidenciais da Air Force. O contratado copiou senhas de credenciais que possuíam permissão de criar, alterar e deletar qualquer arquivo da rede, e as postou na Internet. 
  4. Christopher Grupe: após ser demitido do Canadian Pacific Railway acessou o sistema novamente para deletar arquivos e mudar senhas, impedindo que administradores se autenticassem.
  5. Paige Thompson: ex-engenheira de software da Amazon Web Service, acessou informações dos cartões de crédito de mais de 100 milhões de clientes da empresa Capital One. A configuração do ambiente em nuvem da Amazon era insegura. Paige tinha conhecimento dessa má configuração e abusou dos seus privilégios para acessar os dados e compartilhar os métodos em chats online. 

Impedir que um agente interno roube informações, pode ser mais difícil do que impedir um agente externo de ter acesso aos ativos, pois agentes internos têm acesso aos endpoints e à rede sem qualquer resistência, e são os componentes que correspondem respectivamente aos meios usados para realizar ataques a uma organização. 

Outros ativos usados para causar incidentes internamente são os dispositivos BYOD, que hoje são cada vez mais aceitos dentro das empresas, mesmo que seu uso, em muitos casos, não seja controlado. 

Através destes ativos, os atacantes alcançam os seus verdadeiros alvos – os bancos de dados e file servers, já que estes são os mantedores das informações mais valiosas tanto para atacantes internos quanto externos, tais como: dados de clientes, dados financeiros, propriedade intelectual e dados de contas privilegiadas, como credencias e senhas. 

Esse tipo de ataque aumenta devido à insuficiência das estratégias ou soluções para proteger os dados, além da falta de treinamento, expertise dos funcionários e consciência em relação aos riscos por parte do nível administrativo da organização. 

O que fazer para evitar?

Com certeza, este tipo de ataque é o mais difícil de ser previsto e evitado. Trata-se de agentes maliciosos que podem estar trabalhando ao seu lado neste momento. 

Algumas medidas podem ser tomadas para dificultar que um novo ataque interno aconteça:

  • Verificar background dos funcionários antes da contratação 
  • Implicar férias obrigatórias e Job Rotation. 
  • Monitorar o comportamento dos empregados.
  • Educar e treinar os empregados. 
  • Controlar o acesso de terceiros. 
  • Incentivar os empregados a notificarem, se perceberem, atividades anormais e comportamentos estranhos por parte de seus colegas. 

Em outro estudo realizado pelo Haystax (2017) para as organizações, 60% dos usuários de TI privilegiados/administradores representam o maior risco. Eles possuem grandes permissões dentro do sistema para executar infinitos comandos e visualizar um grande volume de informações.

Usuários privilegiados são como mordomos em histórias de suspense, são aqueles que têm acesso a vários cômodos da casa, sem restrição, executam tarefas importantes e são de extrema confiança aos membros da casa, por isso não é tão surpreendente quando é revelado que são os verdadeiros culpados. 

Mesmo com o risco que este tipo de usuário representa, eles são necessários para o sistema. Então, como controlá-los? 

Privileged Access Management – ou simplesmente PAM -,  a tecnologia e os processos que controlam os acessos privilegiados, armazenam todos os registros de acesso para fins de auditoria e analisa em tempo real as ações tomadas pelos usuários, gerando alerta sobre atividades incomuns. Utilizar este tipo de tecnologia pode tornar a identificação e a mitigação dos ataques internos muito mais rápida e eficiente. 

O senhasegura é uma solução PAM, que possui controles de acesso granulares, gerenciamento de credenciais, registros detalhados de logs e gravação de sessão, e a capacidade de analisar o comportamento de usuários. Solicite uma demonstração agora e descubra, na prática, os benefícios do senhasegura para limitar os danos causados por ameaças internas.