*Por Luciano Moizio , diretor de segurança da NEC no Brasil
Estamos em meio a uma pandemia, situação que obrigou companhias a manterem grande número de funcionários ou a totalidade de suas equipes em esquema de Home Office. Nesse contexto, empresas de todos os tamanhos estão em risco devido a infrações causadas por pessoas de dentro da própria organização, conhecidos também como Insider Threat, incluindo alguns agentes maliciosos que procuram capitalizar em tempos de crise.
Enquanto as empresas lutam para sobreviver com seu negócio nesse período, é muito provável que as operações de cibersegurança internas sejam levadas ao limite e isto envolve pessoas e recursos tecnológicos. Entre a infinidade de riscos, as ameaças internas continuam representando um problema real para as organizações, independentemente do seu porte físico ou financeiro. Ameaça privilegiada é o risco apresentado por funcionários ou contratados em relação ao roubo de dados confidenciais, uso indevido de seus privilégios de acesso ou atividade fraudulenta que coloca em risco a reputação e a marca da organização.
O comportamento do insider pode ser malicioso, complacente ou ignorante, o que, por sua vez, pode amplificar muito o impacto na organização, resultando em perda financeira e de reputação no mercado em que atua, podendo ter uma consequência devastadora. Embora as empresas já tentassem mitigar esse risco investindo em ferramentas, pessoas e processos, o problema das ameaças internas foi ainda mais exacerbado pela quantidade de pessoas que agora fazem seus trabalhos em casa.
As organizações atualmente estão com funcionários e contratados trabalhando externamente a partir do perímetro do escritório e da rede e, e sendo assim, não conseguem controlar de forma segura seus comportamentos digitais e, principalmente, o que acontece na rede. Isto se tornou mais difícil. Além disso, algumas organizações diminuíram as restrições para permitir que os negócios funcionem durante a crise.
A exfiltração por e-mail de dados confidenciais ou considerados preocupantes continua sendo o vetor de saída número um, seguido de uploads da Web para sites de armazenamento em nuvem, como Box e Dropbox, entre outros. Estudos mostram que 80% dos funcionários que são considerados “riscos de fuga” – ou aqueles cujos padrões de comportamento indicam que estão prestes a deixar a empresa – levaram com eles dados equivalentes a duas semanas até dois meses anteriores à data de saída da companhia.
Agora, considere isso no contexto de uma pandemia global, quando os funcionários estão ainda menos seguros quanto à sua posição na empresa, com imposição de folgas, redução de salários e jornada remunerada. Proteger o que é mais importante, com isso em mente, as empresas devem ter como objetivo priorizar a proteção dos aspectos mais críticos das operações de negócios.
O uso de tecnologias tradicionais, como ferramentas de prevenção contra perda de dados (DLP), soluções de gerenciamento de acesso privilegiado (PAM) ou outras soluções pontuais, pode não ser mais suficiente para detectar hoje o comportamento de ameaças internas. Para reduzir o risco que esses vetores de ataque representam, é recomendável que as empresas utilizem técnicas de identificação de anomalias de comportamento para detectar abuso de acesso privilegiado.
O comportamento dos funcionários pode parecer normal quando enviam dados por e-mail ou copiam dados para USB, mas quando se desviam da atividade “normal” diária “baseline” em termos de número de e-mails ou de anexos que eles enviam, pode representar uma anomalia no seu comportamento, e deve ser considerado um alerta. Na maioria dos casos, é uma combinação dessas anomalias que leva a uma violação.
Este método está se mostrando eficaz, pois combina desvios do que são considerados como comportamento normal para contas, usuários e sistemas, completando, assim, junto a toda infraestrutura de cyber segurança uma maior capacidade de combater o roubo de dados por meio de uma ameaça interna.
