Por Felipe Manso
No mundo atual, as corporações precisam enfrentar diversos tipos de ameaça a sua segurança. Porém, em um momento dominado pelo ransomware, pouco se fala sobre as ameaças internas. O que é uma ameaça interna? São usuários mal intencionados, com acesso legítimo aos ativos da empresa que usam esse acesso, para causar danos aos negócios, seja de forma intencional ou não. Nesse cenário, pode-se incluir ex-colaboradores de empresas ou terceirizados, até mesmo parceiros, com acesso ao sistema de uma empresa.
Ameaças internas podem ser caras e prejudiciais para os negócios. Com a chegada em massa do trabalho remoto com a pandemia, as ameaças internas se tornaram um risco que merece total atenção. Em uma pesquisa de 2020, o Ponemon Institute estimou que as organizações gastam em média US $644.852 para se recuperar de um incidente de ameaça interna, independentemente da origem do incidente. Isso inclui o custo de monitorar e investigar eventos internos suspeitos e a resposta a incidentes, contenção, erradicação e remediação de um incidente interno. De acordo com o Instituto, 40% dos incidentes envolveram funcionários com acesso privilegiado aos ativos da empresa.
Este relatório de ameaças internas de 2020 foi produzido por Cybersecurity Insiders, a Comunidade de 400.000 profissionais de segurança da informação, para explorar como as organizações estão respondendo às ameaças de segurança.
As ameaças de segurança mais prejudiciais de hoje não se originam de invasores mal-intencionados ou malware, mas de insiders confiáveis com acesso a dados e sistemas confidenciais – ambos insiders maliciosos e insiders negligentes.
O Relatório de Ameaças Internas de 2020 revela as últimas tendências e desafios enfrentados pelas organizações, como os profissionais de TI e segurança estão lidando com os riscos dos insiders e como as organizações estão se preparando para proteger melhor seus dados críticos e infraestrutura de TI.
As principais descobertas incluem:
• 68% das organizações se sentem moderada a extremamente vulneráveis a ataques internos
• 68% das organizações confirmam que ataques internos estão se tornando mais frequentes
• 53% das organizações acreditam que detectar ataques internos tornou-se significativo para um pouco mais difícil desde a migração para a nuvem
• 63% das organizações acham que usuários de TI privilegiados representam o maior risco de segurança interno para organizações
Como detectar essa ameaça?
Não é uma tarefa tão simples. Isto porque, na maioria das vezes, o atacante malicioso já tem acesso legítimo às informações e ativos da organização e distinguir entre a atividade normal de um usuário e a atividade potencialmente de risco é um desafio. Adicionalmente, os atacantes sabem onde residem os dados confidenciais na organização e geralmente têm níveis elevados de acesso. O principal é estar sempre a um passo à frente. Se você fosse um funcionário insatisfeito à procura de uma chance de derrubar seu empregador, como faria isso?
Obviamente, durante o período em que o seu acesso ainda está ativo e você já está se desligando da empresa. Esse é o momento em que você pode invadir os servidores da empresa no conforto da sua casa. Portanto, é fundamental que o acesso dos seus funcionários aos seus servidores de e-mail, VPN e outros recursos da empresa assim que eles saírem, e nem um minuto depois sejam revogados, limitando o acesso apenas àqueles que precisam dos dados, quando eles precisam.
O que mais é possível fazer? Bloquear o acesso às entradas USB. Isso é importante não apenas para evitar o roubo intencional de dados, mas também vazamentos não intencionais por funcionários sem conhecimento sobre as devidas precauções de segurança de dados corporativos.
Outra medida importante é adotar soluções de gerenciamento de contas privilegiadas de última geração. Esse tipo de solução é capaz de fazer o mapeamento das contas com acessos privilegiados dentro de sua infraestrutura e fornecer visibilidade plena. Além disso, elas permitem o monitoramento passo-a-passo dos usuários administrativos e antecipar possíveis vazamentos de dados. Tudo isso de forma ágil e em tempo real.
Leve as ameaças internas a sério e, principalmente, monitore seus usuários e seus dados.
*Felipe Manso é diretor da Cromisoft