Por Arley Brogiato
É comum que a estratégia de cibersegurança das organizações esteja mais voltada para as ameaças externas do que internas. Neste modelo, o time que responde ao CISO trabalha sem cessar para bloquear o mal que vem de fora, violações que tentam explorar vulnerabilidades técnicas e de comportamento dos usuários. É nesta categoria de ameaças que se encaixa, por exemplo, a explosão de Ransomware no Brasil. A edição 2023 do Relatório de Ameaças Cibernéticas SonicWall revela que o Brasil é o quarto maior alvo deste tipo de ataques no mundo, atrás somente dos EUA, Reino Unido e Espanha. Os experts da SonicWall identificaram mais de 21 milhões de tentativas de Ransomware contra o país.
Ao longo dos últimos anos têm crescido também a importância estratégica de se lutar em outra frente de batalha: os ataques gerados dentro de casa.
O estudo Cost of Insider Threats: Global Report, realizado em 2020 pela IBM/Instituto Ponemon a partir de entrevistas com os líderes de tecnologia de 204 grandes organizações de todo o mundo revela dados impactantes. 60% das organizações pesquisadas tiveram mais de 20 incidentes relacionados a agentes internos por ano; 23% dos incidentes relacionados a violações foram atribuídos a agentes internos criminosos. O estudo mostra, ainda, que as empresas gastam, em média, USD 755.760 a cada incidente relacionado a agentes internos.
O perfil do agente interno malicioso
É importante, no entanto, discernir o que é um usuário negligente, que faz seu trabalho sem buscar o alinhamento às melhores práticas de segurança digital, e o que é um agente interno malicioso.
Este segundo perfil diz respeito a pessoas que usam indevidamente os dados e a rede corporativa com o propósito de realizar ações ilícitas. O foco pode ser tanto em prejudicar a própria empresa onde trabalha ou, então, usar os recursos digitais da organização para disparar ataques contra outros alvos.
Em todos os casos, agentes internos maliciosos são mais difíceis de se detectar do que as ameaças externas, porque eles se esforçam ao máximo para não deixar pistas – sua presença dentro da empresa depende de não serem pegos. Eles são mais difíceis de se identificar também por terem acesso legítimo a recursos digitais devido à função que exercem na empresa.
Os ataques internos acontecem em todas as verticais e regiões do mundo.
• Facebook: Em 2018, a Facebook descobriu que um engenheiro de segurança estava usando ferramentas e dados internos para assediar mulheres.
• Coca-Cola: Uma investigação interna revelou que um funcionário da Coca Cola copiou dados de aproximadamente 8.000 funcionários para um disco externo pessoal.
• Suntrust Bank: Um ex-funcionário do SunTrust roubou 1,5 milhão de nomes, endereços, números de telefone e saldos de contas de clientes do banco.
Um agente interno malicioso utiliza várias estratégias para apagar seus rastros. Mas há alterações do ambiente que podem indicar uma ameaça em potencial.
• Múltiplas tentativas de acessar websites bloqueados.
• Desativação não autorizada de configurações de firewall.
• Instalação de malware.
• Instalação de software não autorizado.
• Acesso remoto à rede e a dados fora do horário comercial ou em horário de trabalho irregular.
• Levar para casa máquinas corporativas sem permissão.
• Instalação de hardware ou software para acessar remotamente o sistema.
• Troca de senhas de contas não autorizadas.
Proxy para acessar a Dark Web a partir da rede corporativa
No ano passado, no evento RSA Conference USA, falava-se nos corredores e nas breaking sessions sobre uma nova tendência em ataques internos: profissionais que utilizam o ambiente digital da empresa onde trabalham para disparar ataques criminosos contra outras empresas do mercado. Trata-se de um fato novo que ainda não conta com estudos estatísticos analisando essa questão.
Mas os vestígios eram claros. Era o caso de uma empresa norte-americana que não realizava negócios com a Rússia, o Vietnã ou os Países Baixos subitamente passar a trocar dados com endereços IP criptografados nestas regiões. Outro indício comentado nas conversas da RSA 2022 era o crescimento exponencial de uso de banda da rede, inclusive fora do horário comercial.
Quando a empresa usuária trabalha com firewalls de gerações anteriores, é comum que o uso de um Proxy Server para acesso indevido a sites e organizações da Dark Web passe desapercebido. É impossível ser um criminoso digital e ficar à margem da Dark Web. Para evitar que o Proxy utilizado pelo agente interno malicioso engane o firewall e permita o acesso à Dark Web, seria estratégico utilizar um Firewall Next Generation que identifique usuários acessando a Internet por meio de um Proxy Server.
Máquinas virtuais a serviço do crime
Ao realizar a engenharia reversa destes crimes, o time de cibersegurança de algumas empresas identificou, ainda, que muitos dos Endpoints dos agentes internos maliciosos eram configurados como a base de máquinas virtuais. São sistemas virtuais com alto poder de processamento que podem estar completamente fora do radar do time de TI.
Para enfrentar essa ameaça, é recomendável contar com os recursos de proteção de soluções sob medida para a defesa de Endpoints. Trata-se de plataformas de segurança “clientless” – ou seja, não possuem componentes instalados no Endpoint, o que preserva a performance desse computador – que protegem o PC a partir de análises comportamentais muito sofisticadas. Essa inteligência efetivamente identifica as tentativas de acesso indevido ou a configuração de máquinas virtuais para fins espúrios. No caso de haver a suspeita de um cibercrime, a solução coloca imediatamente esse PC em quarentena, evitando que o agente malicioso siga usando os recursos digitais da empresa para cometer violações.
O menu de crimes digitais está em constante expansão. O colaborador que se transforma em criminoso digital pode ter muitas motivações – ressentimento contra a organização, busca do lucro a qualquer preço, simples falta de caráter. Soluções de segurança que lançam luz sobre atos espúrios cometidos no ambiente corporativo são essenciais para evitar este quadro. Mas é fundamental, também, construir políticas de cibersegurança que engajem todo o corpo de colaboradores. Vestir a camisa da empresa significa, hoje, ser um aliado do CISO.
*Arley Brogiato é Diretor da SonicWall América Latina e Caribe