Cibersegurança: O custo de ameaças internas de uma empresa

A mentalidade no mundo da cibersegurança vem mudando com a migração dos modelos baseados em confiança (Trust, but verify) para aqueles baseados em confiança zero (ou Zero Trust).  Esta mudança é baseada, principalmente, na tendência de aumento de incidentes de ameaças internas.

É uma tendência que deixa claro que as estratégias baseadas em perímetro não mais eficazes para proteger o ambiente de agentes maliciosos. Isto ocorre porque as ameaças cibernéticas não estão mais localizadas apenas fora das organizações, onde podem ser mitigadas através de soluções de segurança tradicionais, como firewalls, antivírus e VPNs, é possível encontrar ameaças internas. 

Nesses modelos, com a autenticação dos usuários no ambiente, acreditava-se que não haveria abuso de privilégios para obtenção indevida de dados nos sistemas corporativos. Assim, os modelos que abordam o conceito de perímetro de segurança – onde tudo o que está dentro desse perímetro é considerado confiável, enquanto  usuários e dispositivos fora do perímetro são considerados como não confiáveis – deixam as redes de computadores abertas para que os chamados insider threats possam abusar do privilégio concedido para acessar sistemas computacionais e obter, indevidamente, informações sensíveis.

Com a transformação digital – acelerada pela pandemia de Covid-19 – através de novas tecnologias e formas de trabalho, com a migração para o trabalho remoto, a adoção em massa de soluções em Cloud, além dos dispositivos móveis e o BYOD (Bring Your Own Device), houve uma mudança no tradicional perímetro da cibersegurança. Desta forma, as abordagens baseadas em confiança zero vêm ganhando tração no mercado. A Forrester (através do Zero Trust), o Google (com o BeyondCorp) e o Gartner (com o CARTA) são alguns exemplos de organizações que desenvolveram seus próprios modelos baseados em confiança zero.

Considerando esse novo contexto de multiplicação de ameaças internas, o Ponemon Institute e a IBM lançaram mais uma edição do relatório Cost of Insider Breach. No documento há uma série de dados para um melhor entendimento dos líderes de cibersegurança em relação aos custos indiretos resultados de ameaças internas de uma empresa. A pesquisa envolveu o estudo de mais de 4.700 incidentes de segurança em 204 organizações pesquisadas.

Inicialmente, o relatório define a ocorrência dos insider threats como: 

• Fornecedores ou funcionários negligentes ou inadvertidos (neste caso, envolve negligência e falta de treinamento).
• Insiders criminosos ou maliciosos (a mais perigosa, pois o funcionário está motivado por ganhos financeiros, espionagem ou vingança).
• Ladrões de credenciais (quando o insider utiliza credenciais privilegiadas para perpetrar o ataque cibernético).

Mas, o que são credenciais privilegiadas, e por que sua devida proteção é essencial para garantir a segurança nas organizações? 

Por meio das credenciais privilegiadas ou administrativas, é possível realizar mudanças significativas em sistemas críticos; possibilita modificar uma série de configurações entre  outras contas de usuário ou proteções de segurança. Quando utilizadas de forma maliciosa, indevida, essas credenciais podem causar um impacto considerável.

Uma das conclusões da Ponemon e da IBM  é que o número de incidentes associados a ameaças internas vem aumentando desde 2016, quando o primeiro relatório foi lançado. E não apenas a quantidade dos incidentes vem aumentando, o relatório indica que o tipo de ataque mais custoso financeiramente para as organizações com mais de 500 funcionários envolve o roubo de credenciais. Neste tipo de ataque, o custo de cada incidente aumentou de USD 493 mil para USD 871 mil, em 2019. Este número é quase o dobro do custo de um incidente envolvendo funcionários ou fornecedores negligentes, enquanto a média dos incidentes é de aproximadamente USD 756 mil. 

Nestes custos de incidentes estão envolvidos os seguintes aspectos:

• Roubo ou perda de dados críticos ou propriedade intelectual.
• Impactos associados à indisponibilidade na produtividade organizacional.
• Danos a dispositivos e outros ativos.
• Custo de detecção e remediação de sistemas e processos de negócio-chave.
• Impacto legal e regulatório, como as legislações de proteção de dados (GDPR e LGPD).
• Perda de confiança das partes interessadas.
• Deterioração de marca e reputação.

Além disto, o número de incidentes no período pesquisado mais que triplicou em comparação a 2016, quando os estudos foram iniciados. Naquela época, a frequência de incidentes em cada organização aumentou de 1 para 3,2. Outros achados do estudo indicam que 63% dos incidentes estão relacionados à negligência, e que 23% estão associados a insiders criminosos. Vale lembrar que uma das formas de mitigar os riscos associados a ameaças internas é limitar os danos causados por ações maliciosas através de credenciais privilegiadas. Para proteger as credenciais privilegiadas no ambiente organizacional, evitar perda de confiança e receita e, assim, garantir a continuidade dos negócios, uma solução de Gestão de Acesso Privilegiado (Privileged Access Management ou PAM) é uma solução a ser considerada pelos líderes de cibersegurança da empresa.

Uma solução PAM permite às organizações de todos os tipos e tamanhos organizar e definir parâmetros para controlar os acessos privilegiados em todo o ambiente. Não por acaso, o Gartner considerou por dois anos seguidos a Gestão de Acesso Privilegiado como o projeto mais importante para a área de Segurança da Informação. Além disto, o CIS Controls possui como um dos controles básicos aqueles ligados ao uso controlado de privilégios administrativos.

Algumas das funcionalidades oferecidas por uma solução de PAM como o senhasegura, para a mitigação de riscos associados a ameaças internas, incluem:

• Granularidade de permissões através de grupos de acesso, desta maneira, é possível assegurar que apenas os usuários autorizados podem acessar contas privilegiadas).
• Estabelecer responsabilidade rigorosa sobre a utilização de contas privilegiadas, através do rastreamento de quem acessou, quais contas e quais atividades foram realizadas é possível obter total visibilidade das ações no ambiente.
• Detectar de forma rápida e receber alertas de qualquer atividade anormal que possa significar ameaças internas em andamento. O senhasegura oferece dashboards e relatórios gerenciais completos para reduzir o tempo de detecção e remediação de incidentes associados a credenciais privilegiadas.

O gerenciamento adequado de ações realizadas com credenciais privilegiadas através de uma solução de PAM permite proteger a infraestrutura de qualquer tentativa de ações por meio de insider threats, tais como roubo ou modificações indevidas no ambiente. 

A facilidade de uso e implantação da solução senhasegura, além dos controles de acesso granulares, gerenciamento de credenciais, registros detalhados de logs e gravação de sessão e a capacidade de descoberta de ativos e credenciais, são ideais para a implementação das melhores práticas de mercado. Desta forma, é possível a qualquer organização não se manter apenas em conformidade com normas e padrões, mas também reduzir seu risco em cibersegurança, e principalmente os ligados a credenciais privilegiadas, garantindo a continuidade dos negócios.