Imagine-se em uma sala de jantar em sua empresa com colegas e amigos desfrutando de uma refeição. De repente, as luzes piscam e os pertences de todos desaparecem misteriosamente. Os únicos suspeitos são aqueles no ambiente, incluindo você. Mas como encontrar o culpado?

Por mais que a introdução desse texto pareça um pouco dramática e o enredo parece retirado de um livro de Agatha Christie ou de um conto de Sherlock Holmes, a sensação de ter uma ameaça dentro da empresa é muito parecida. Um ataque interno acontece quando menos se espera, enquanto todos os envolvidos nesse ambiente comprometido passam de trabalhadores inocentes a suspeitos em um momento, e identificar o culpado é uma tarefa desafiadora.

As ameaças internas podem ser representadas por funcionários descuidados ou inexperientes, funcionários insatisfeitos, terceiros, parceiros e espiões disfarçados, ou qualquer componente interno que explore ou pretenda explorar seu acesso legítimo a ativos com a intenção de fazer algo não autorizado.

De acordo com um estudo da Verizon, 57% dos vazamentos de informações envolvem ameaças internas e 15% dos vazamentos são consequência do uso indevido de privilégios.

Assim como nos casos de detetive, em que um ladrão ou um vizinho que não mora na casa é o principal suspeito de crimes, muitas empresas focam em ameaças externas à organização, como cibercriminosos e malwares, enquanto um funcionário desonesto pode estar trabalhando entre outros há muito tempo sem ser identificado, roubando informações e prejudicando os negócios.

Por ter acesso legítimo e permissão muitas vezes irrestrita, esses agentes internos, maliciosos ou não, são capazes de causar incidentes dentro da organização sem chamar a atenção, pois de alguma forma eles são confiáveis por outros enquanto fazem seu trabalho.

Divulgar informações confidenciais, facilitar o acesso de terceiros e quebrar equipamentos vitais para um sistema são alguns dos incidentes que esses maus funcionários podem ter. 

Além disso, os profissionais descuidados que não têm conhecimento sobre a empresa e seus processos também são ameaças internas, pois podem causar erros ao excluir informações importantes ou baixar arquivos infectados, por exemplo, apenas porque não estão preparados.

Convidamos você a continuar a leitura do texto e conhecer o que é necessário fazer para proteger os seus negócios de ameaças internas.

Quem são consideradas ameaças internas?

As ameaças internas podem vir de funcionários e até de parceiros ou terceiros que têm acesso aos seus sistemas, como detalhamos a seguir.

• Colaboradores: Estão acima de qualquer suspeita, são considerados parte da organização e são os últimos suspeitos.
• Empresas de Serviços: Essas pessoas são subestimadas e eles podem tirar proveito de seu acesso.
• Parceiros e Terceiros: Estão sempre sob contratos e, por isso, recebem acesso com altos privilégios, de modo que o contrato oferece uma falsa segurança para a empresa.
• Ex-funcionários também são uma ameaça. De acordo com a Deloitte 59% dos colaboradores que saem de uma empresa voluntariamente ou involuntariamente levam dados consigo.

Quais são as principais motivações das ameaças internas?

 Na maioria dos casos, o que motiva esses agentes maliciosos internos a causar um incidente são questões financeiras, ideológicas, bem como o desejo de reconhecimento, lealdade à família, amigos ou país e até mesmo por vingança. 

Independentemente das motivações, agentes internos maliciosos buscam vazar dados confidenciais e interromper processos, pois esses são os eventos que mais podem prejudicar uma organização. Este fato é claramente corroborado por casos divulgados na mídia, tais como:

• Caso Edward Snowden: Snowden vazou quase dois milhões de arquivos da NSA em 2013.
• Ricky Mitchell: Depois de descobrir que seria demitido, ele reiniciou os servidores da EnerVest para as configurações de fábrica e descontinuou as operações por um mês.
• Zhangyi Liu: Programador chinês trabalhando para Litton/PRC Inc. que acessou dados confidenciais da Força Aérea. O contratante copiou as senhas de credenciais que tinham permissão para criar, alterar e excluir qualquer arquivo na rede e as postou na Internet.
• Christopher Grupe: Após ser demitido da Canadian Pacific Railway, ele acessou o sistema novamente para excluir arquivos e alterar senhas, impedindo que os administradores se autenticassem.
• Paige Thompson: Ex-engenheira de software da Amazon Web Service, ela acessou informações de cartão de crédito de mais de 100 milhões de clientes da Capital One. A configuração do ambiente de nuvem da Amazon não era segura. Paige estava ciente dessa configuração incorreta e abusou de seus privilégios para acessar dados e compartilhar métodos em bate-papos online.

Impedir que um agente interno roube informações pode ser mais desafiador do que impedir que um agente externo tenha acesso aos ativos, pois os internos têm acesso irrestrito aos endpoints e à rede, e são os componentes que correspondem respectivamente aos meios utilizados para realizar ataques a uma organização.

Outros ativos usados para causar incidentes internamente são os dispositivos BYOD, que são cada vez mais aceitos nas empresas hoje, mesmo que seu uso seja muitas vezes descontrolado.

Por meio desses ativos, os invasores atingem seus alvos reais, bancos de dados e servidores de arquivos, pois mantêm as informações mais valiosas para invasores internos e externos, como dados de clientes, dados financeiros, propriedade intelectual e dados de contas privilegiadas (credenciais e senhas, por exemplo).

Esse tipo de ataque aumenta devido a estratégias ou soluções insuficientes para proteger os dados, bem como à falta de treinamento, conhecimento dos funcionários e conscientização sobre riscos no nível administrativo da organização.

Quais são os riscos cibernéticos associados a ameaças internas?

Como vimos anteriormente, as ameaças internas nem sempre são exclusivamente de pessoas que trabalham diretamente para sua organização. Podemos incluir consultores, contratados terceirizados, fornecedores e qualquer pessoa que tenha acesso legítimo a alguns de seus recursos.

Para entender mais sobre o assunto, selecionamos cinco cenários possíveis em que podem surgir ameaças internas.

1. Um funcionário ou terceiro que realiza ações inadequadas que não são intencionalmente maliciosas, são apenas descuidados. Muitas vezes, essas pessoas procuram maneiras de fazer seu trabalho, mas fazem uso indevido dos ativos, não seguem políticas de uso aceitáveis e instalam aplicativos não autorizados ou duvidosos.
2. Um parceiro ou terceiro que comprometa a segurança por negligência, uso indevido ou acesso ou uso malicioso de um ativo. Por exemplo, um administrador de sistema pode configurar incorretamente um servidor ou banco de dados, tornando-o aberto ao público em vez de privado e com acesso controlado, expondo inadvertidamente informações confidenciais.
3. Um agente subornado ou solicitado por um terceiro para extrair informações e dados. Pessoas sob estresse financeiro são frequentemente os principais alvos.
4. Um funcionário rejeitado ou insatisfeito é motivado a derrubar uma organização por dentro, interrompendo os negócios e destruindo ou alterando dados.
5. Uma pessoa com acesso privilegiado legítimo a ativos corporativos, que procura explorá-los para ganho pessoal, geralmente roubando e redirecionando informações.

Quer o dano seja causado intencionalmente ou acidentalmente, as consequências dos ataques internos são muito reais.

Uma das formas de mitigar os riscos dos cenários acima é implementar ferramentas de monitoramento para rastrear quem acessou quais arquivos e alertar os administradores sobre atividades incomuns.

Além dessas ações, o gerenciamento de contas privilegiadas também ajuda a reduzir os danos causados por ameaças internas e contribui para um comportamento proativo de segurança cibernética.

Como reduzir os riscos associados a ameaças internas.

Qualquer corporação está sujeita a algum tipo de ataque cibernético, e é fundamental ter um sistema que defenda e mantenha a integridade dos dados.

Segundo relatório da Fortinet Threat Intelligence, o Brasil sofreu mais de 24 bilhões de tentativas de ciberataques em 2019, fato que reforça a necessidade de se ter soluções eficientes contra esse tipo de ameaça.

Prevenir ataques externos já é muito comum dentro das empresas e, de acordo com o Verizon Data Risk Report, 34% das violações de dados envolvem agentes internos e 17% de todos os arquivos confidenciais estavam acessíveis a todos os funcionários, o que aciona um grande alerta para as empresas protegerem se protegem de ameaças internas e externas.

Para isso, recomenda-se que alguma tecnologia seja implementada para monitorar com eficiência o acesso privilegiado dos funcionários. Para te ajudar nessa tarefa, separamos 5 práticas de como proteger sua empresa de ameaças internas, confira:

1 – Saiba quem tem acesso a contas privilegiadas

Um dos maiores erros das empresas é disponibilizar credenciais privilegiadas para muitos usuários, o que afeta diretamente as violações de dados e o risco de vazamentos por meio de ameaças internas.

Você precisa descobrir quais pessoas têm acesso a ambientes protegidos e garantir que as pessoas que não precisam acessar tais ambientes tenham algum tipo de credencial administrativa, limitando o número de usuários privilegiados.

O ideal é que as credenciais com maior nível de privilégio sejam controladas pelos responsáveis pela TI, para que não haja nenhum tipo de violação.

2 – Garanta a rastreabilidade do usuário

 Com o uso de algumas tecnologias, é possível saber quem, quando, onde e quais ações foram realizadas pelo usuário para realizar uma sessão privilegiada, além de limitar as ações que podem ser realizadas no ambiente.

Algumas soluções alertam e bloqueiam o usuário que realiza alguma ação indevida e disponibilizam a gravação da sessão para análise.

3 – Acesso de terceiros

Se algum tipo de serviço prestado à sua empresa for terceirizado, deve haver algum tipo de proteção.

O ideal é que qualquer tipo de acesso aos ambientes da empresa seja monitorado por meio de uma VPN dedicada a uma aplicação específica por tempo pré-determinado.

A melhor maneira de garantir que não haja brechas para ameaças internas em sua empresa é ter um cofre de senhas PAM completo, que garante proteção contra possíveis ameaças, monitora sessões privilegiadas e automatiza tarefas.

4 – Cultura de senha

Mesmo que pareça ineficaz, implementar uma cultura de senha forte é uma ótima maneira de evitar ameaças internas.

Ao decorar uma senha simples, por exemplo, um funcionário mal-intencionado pode facilmente se infiltrar em acessos privilegiados e circular em ambientes que não lhe convém, permitindo possíveis ataques à corporação.

Além de proteger as empresas contra ameaças internas, senhas fortes também ajudam a proteger contra ataques cibernéticos externos, portanto, peça a seus funcionários que usem senhas com letras maiúsculas, minúsculas, números e símbolos.

Também é importante alterar essas senhas constantemente para que não haja problemas futuros.

5 – Backups

Mesmo utilizando todas as formas possíveis para reduzir as brechas de segurança da empresa, é fundamental ter uma forma de recuperar os dados em caso de vazamento ou bloqueio de acesso.

Uma boa opção são os backups automáticos em sistemas críticos e estratégicos, o que permite que a empresa se recuse a ceder a qualquer tipo de ameaça do invasor.

6 – Mais práticas extras

Obviamente, esse tipo de ataque é o mais difícil de prever e prevenir. Estes são agentes maliciosos que podem estar trabalhando ao seu lado neste momento.

No entanto, algumas medidas podem ser tomadas para dificultar a ocorrência de um novo ataque interno:

• Verificando o histórico do funcionário antes de contratar
• Aplicando Férias Obrigatórias e Rotação de Trabalho.
• Monitorar o comportamento dos funcionários.
• Educar e treinar funcionários.
• Incentivar os funcionários a notificar atividades anormais e comportamentos estranhos de seus colegas se perceberem.

Mesmo com o risco que esse tipo de usuário representa, eles são necessários para o sistema. Então, como controlá-los?

Em outro estudo da Haystax, 60% dos usuários/administradores privilegiados de TI representam o maior risco. Eles têm grandes permissões dentro de um sistema para executar comandos infinitos e visualizar uma grande quantidade de informações.

Usuários privilegiados são como administradores em histórias de suspense. São eles que têm acesso irrestrito a vários cômodos da casa, realizam tarefas importantes e são extremamente confiáveis para os membros da casa, por isso não é surpresa quando eles são revelados como os culpados.

Ou seja, contas privilegiadas são aquelas com permissão de acesso elevada que permitem que os titulares de contas acessem sistemas críticos e executem tarefas administrativas ou privilegiadas. Assim como as contas de usuário comuns, as contas privilegiadas também exigem uma senha para acessar sistemas e realizar tarefas.

Contas privilegiadas podem ser usadas por pessoas ou não humanas quando usadas por aplicativos ou sistemas. Estas últimas também são chamadas de contas de serviço. Contas privilegiadas, como contas administrativas, são frequentemente usadas por administradores de sistema para gerenciar aplicativos e hardware, como ativos de rede e bancos de dados.

O problema com essas contas é que elas geralmente são compartilhadas, usadas em muitos sistemas e podem usar senhas fracas ou padrão, facilitando o trabalho dos agentes internos.

Assim, quando essas contas não são gerenciadas adequadamente, elas dão aos agentes internos a capacidade de acessar e baixar os dados mais confidenciais da organização, distribuir software malicioso, contornar controles de segurança existentes e excluir trilhas para ocultar suas atividades em auditorias.

Uma das formas mais seguras de gerenciar contas privilegiadas é por meio de soluções PAM (Privileged Access Management). Essa solução consiste em estratégias e tecnologias de segurança cibernética para exercer controle sobre acessos e permissões privilegiadas para usuários, contas, processos e sistemas em um ambiente corporativo.

O PAM como solução para gerenciar as ameaças internas.

Conforme mencionado, contas privilegiadas representam alvos de alto valor para agentes internos. 

As organizações precisam adotar uma solução de Privileged Access Management (PAM) e também fornecer dados de acesso a contas privilegiadas para essa solução em seus sistemas de monitoramento.

O Privileged Access Management (ou simplesmente PAM) é composto pela tecnologia e os processos que controlam o acesso privilegiado, armazenam todos os registros de acesso para fins de auditoria e analisam as ações realizadas pelos usuários em tempo real, gerando alertas sobre atividades não usuais. O uso dessa tecnologia pode tornar a identificação e a mitigação de ataques internos muito mais rápidas e eficientes.

Por isso, selecionamos 7 recursos presentes nas soluções PAM que são estratégicos para aquelas empresas que buscam reduzir as possibilidades de ameaças internas.

1. Uso de políticas eficazes para todos os colaboradores, sejam remotos, prestadores de serviços ou terceiros.
2. Proteção para as credenciais de seus ativos mais confidenciais (aplicativos confidenciais, bancos de dados, contas privilegiadas e outros sistemas críticos) em um repositório central e seguro.
3. Limitação de acesso privilegiado a informações confidenciais, como dados de clientes, informações de identificação pessoal, segredos comerciais, propriedade intelectual e dados financeiros confidenciais.
4. Procedimentos e recursos com menos privilégios para fornecer aos funcionários apenas o acesso de que precisam. Isso é o que chamamos de necessidade de saber.
5. Limitação de direitos de administrador local para todas as estações de trabalho dos funcionários; e implementação de políticas de permissão, restrição e negação para bloquear aplicativos maliciosos.
6. Implementação de workflows para criação e governança de contas privilegiadas.
7. Monitoramento e registro de acesso privilegiado a informações, dados e sistemas confidenciais.

Os primeiros passos para melhor proteger o seu negócio e seus clientes contra ameaças internas consistem em aplicar pelo menos algumas práticas recomendadas de gerenciamento de acesso privilegiado.

Comece aprendendo mais sobre como funciona o princípio de privilégio mínimo, depois é importante estabelecer e aplicar as melhores práticas de gerenciamento de senhas e, por fim, investir em uma solução PAM abrangente que tenha todos esses recursos à sua disposição.

Conheça a solução senhasegura

O senhasegura é uma das maiores soluções PAM do mundo segundo o Gartner. Além de evitar vazamentos de dados e abuso de privilégios e evitar ameaças internas, a solução é completa para garantir proteção contra ameaças externas. 

A solução possui controles granulares de acesso, gerenciamento de credenciais, registro detalhado e gravação de sessão e capacidade de analisar o comportamento do usuário. A solução senhasegura, possui diversas travas de segurança que garantem a proteção dos dados contra ameaças internas e externas, como logging, auditoria, gerenciamento de chaves SSH, módulos para DevOps seguros, entre outros.

Além disso, a implementação do senhasegura ajuda sua organização a:

• Aplicar o aspecto Security em seu pipeline de DevOps, garantindo o DevSecOps.
• Realizar a gestão adequada dos certificados digitais.
• Cumprir a LGPD e GDPR.
• Garanta a segurança em seu ambiente Cloud.

Solicite uma demonstração agora e descubra na prática os benefícios do senhasegura para limitar os danos causados por ameaças internas.