Skip to content
Aiqon Blog
Gerenciamento de risco

Detecção de Ameaça Interna

Publicado

Incidentes de ameaças internas cresceram 44% ao longo dos últimos dois anos e o custo dos incidentes agora chegam a US$15,3 milhões de dólares de acordo com o relatório “Custos das ameaças internas de 2022” da Ponemon.

Para se defender contra esse risco de segurança e negócio, as organizações precisam de uma estratégia de detecção de ameaças internas compreensíveis. Este artigo te ajudará a começar a construir um programa efetivo de detecção.

Nesse Artigo

Ameaças internas: Com o que estamos lidando?

O relatório da Ponemon diz que há 3 tipos de ameaças internas:

  • Um funcionário ou contratado negligente e descuidado. Usuários internos podem causar danos sem intenções maliciosas, seja por negligência, ignorância ou erro. Por exemplo, alguém pode ignorar instalações de atualizações, enviar e-mails sensíveis para os destinatários errados ou ser vítima de esquemas de phishing.
  • Uma ameaça criminosa ou maliciosa. Infiltrados maliciosos tomam ações para prejudicar ações da organização. Dentre os motivos mais comuns estão o desejo por vingança por possíveis injustiças e o desejo de ganhar algum benefício ou lucro. As ações costumam incluir o vazamento de dados sensíveis, sabotagem de sistemas ou roubar propriedades intelectuais com o intuito de avançar em suas carreiras.
  • Um roubo de credenciais. Um autor externo que rouba as credenciais de um usuário legítimo para ter acesso a rede corporativa, se tornando assim uma ameaça interna.

Quais são os indicadores comuns de uma ameaça interna?

Algumas vezes um comportamento incomum de algum usuário pode identificar uma ameaça interna. Exemplos incluem sinais de agitação elevada, expressão de ressentimento com a companhia, especialmente de funcionários de saída, que podem estar roubando dados internos, mencionando vingança ou possíveis ganhos.

Indicadores gerais como os acima podem servir de avisos prévios que uma ameaça interna possa estar presente com intenções maliciosas, mas comportamentos mais específicos podem indicar que um plano já está em andamento. Alguns dos indicadores de ameaças internas mais comuns são:

  • Requisições de acesso desnecessárias. Cada usuário precisa apenas de acesso a certos dados. Por exemplo, contadores não precisam de acessos a arquivos de design e desenvolvedores de sistemas não precisam de registros financeiros. Se um funcionário ou contratado tentar acessar um arquivo que não pertence ao seu trabalho, uma ameaça pode estar a caminho.
  • Escalonamento de usuário não autorizado. Quanto mais acesso uma ameaça interna tem, mais fácil é roubar os dados ou esconder suas ações. Quando os funcionários tentam escalonar seus privilégios de forma desnecessária, pode-se estar abrindo caminho para um ataque.
  • Utilização de mídia não autorizada. Tentativas de usar dispositivos de armazenamento de dados proibidos são sinais claros de que alguém de dentro da empresa está tentando transferir os arquivos de um servidor, já que essa atividade é rotineiramente rastreada.
  • Enviando e-mails para destinatários de fora da organização. E-mails que são enviados para destinatários que não sejam clientes, fornecedores ou quaisquer outros parceiros de negócio, especialmente caso eles tenham arquivos anexados, podem ser uma ameaça interna em progresso. Note que cada ação pode ser maliciosa ou negligente e o autor pode ser um funcionário ou um adversário que tomou a conta de um usuário.
  • Acessar informações e sistemas durante o tempo livre ou férias. Os colaboradores devem tentar acessar os dados somente durante o horário de trabalho. Apesar do trabalho remoto e das horas extras tornarem o acesso anormal difícil de ser encontrado, eles podem ser sinais de um ataque.ameaça interna

Quais são os passos para se construir um programa de detecção de ameaça interna?

A detecção de ameaça interna é um processo complexo que inclui o monitoramento contínuo de atividade, análise de comportamento e gerenciamento de ameaças. A seguir estão alguns dos passos que as organizações devem seguir para criar um programa efetivo:

  1. Inicie o programa. Convença executivos e investidores da importância de considerar um programa de detecção de ameaças. Monte uma equipe que tomará conta da missão de detecção de ameaça interna e faça com que eles definam o tom para o resto da organização.
  2. Avalie sua infraestrutura de TI. Tenha certeza de incluir:
    • Usuários, incluindo contratantes, fornecedores e parceiros para que você saiba todos os potenciais pontos de comprometimento de onde uma ameaça pode se originar
    • Permissões efetivas, para que você saiba quem tem acesso ao que e se cada acesso de usuário se alinha com as responsabilidades do seu trabalho.
    • Armazenamentos de dados, para que você saiba quais ativos críticos precisam ser protegidos
    • Controles de acesso a sistemas como roteadores, switches, VPN, etc
    • Sistemas de prevenção de ameaças e de segurança instalados para que você possa avaliar quais deles podem ser úteis com detecção de ameaças no futuro.
  3. Identifique e priorize ameaças internas. Descubra pontos fracos conduzindo uma avaliação de risco, analisando sua capacidade de lidar com um ataque, rever incidentes passados e identificando áreas para melhorias. Seja o mais compreensível possível, considerando tudo, desde dados roubados até contas comprometidas ou erros ou abuso de privilégios de pessoas infiltradas. Priorize ameaças por probabilidade de ocorrência e impacto para que você foque nas mais importantes primeiro
  4. Eduque os funcionários. Crie um programa de treinamento para todos os funcionários com a intenção de cultivar a cultura da segurança digital. Ajude todos a entender  as melhores práticas de segurança e os riscos comuns como esquemas de phishing e endereços de IP enganosos, assim como as consequências de falhar em aderir às melhores práticas.
  5. Documente suas políticas. Crie políticas claras para que todos saibam o que são requisitadas por elas. Tenha certeza de incluir os procedimentos para reportar ameaças e incidentes.
  6. Implemente. Ferramentas de segurança podem te ajudar a detectar e bloquear ameaças internas, com funcionalidades como o monitoramento da atividade do usuário, análise de comportamento do usuário feita por machine learning e alertas sofisticados e investigação de ameaças. Se você já tem uma solução de prevenção de perda de dados (DLP), gerenciamento de eventos e segurança da informação (SIEM) ou de detecção e resposta de endpoint (EDR), garanta que sua solução de detecção de ameaça interna possa se aproveitar dos alertas que forem gerados.
  7. Monitore. Audite seu ambiente de TI para descobrir tendências e encontrar eventos suspeitos. Por exemplo, um aumento na atividade de download de arquivos deve gerar um alerta imediatamente. Tenha certeza de monitorar todo o seu ambiente de TI, incluindo File Servers, SharePoint e Teams, Exchange e bancos de dados. Dica: Não tente alimentar todos os dados que você tem dentro da solução de detecção de uma vez. Inicie com um data source e teste para ver se as suas expectativas serão atendidas: Simule a atividade interna maliciosa e veja se a solução é capaz de pegá-la, quanto tempo irá levar e como ele apresentará os detalhes da atividade suspeita para revisão. Quando você tentar esse processo em um data source, então use o mesmo processo para adicionar outros data sources, um por vez.
  8. Reavalie. Lembre-se que ambos o panorama de ameaças e o ambiente de TI estão em constante alteração. Isso significa que você precisa de um feedback contínuo para ajudar a compreender as alterações nas ameaças e riscos. Garanta que o programa possa evoluir junto com os seus processos de negócio e perigos emergentes.
Leia também:  A avaliação de risco de segurança na área da saúde

Principais técnicas para detectar ameaças internas

Identifique uma ameaça interna específica para treinar a sua detecção. Ela pode ser uma atividade interna maliciosa que já ocorreu na sua organização ou uma atividade anormal que você gostaria de detectar. Garanta que seu modelo de detecção pode pegar e alertar essa ameaça com um nível aceitável de falsos positivos.

Monitore picos de atividade. A atividade anormal mais fácil de se detectar são os picos em uma atividade, números muito altos de tentativas de login de uma conta em particular ou um grande número de modificações de arquivos. Quando você detecta um pico estranho, você deve investigar prontamente. Se a investigação revelar que a atividade não era uma ameaça, ajuste o seu baseline para reduzir alertas falsos no futuro.

Fique atento à atividade anormal. Veja os padrões de acesso que são anormais a dados usuários, especialmente o seguinte:

  • Um alto número de eventos de acesso – Fique de olho no volume de logins, os bem sucedidos e os que deram falha, dentro de um curto período de tempo. Quanto mais eventos em um curto espaço de tempo, mais suspeita é a atividade. Por exemplo, um alto número de leituras de arquivos pode sinalizar um comportamento malicioso, por exemplo, um usuário que está para sair da companhia ou teve o contrato terminado recentemente. (Veja mais sobre como funcionários de saída podem se tornar o seu pior pesadelo)
  • Acesso a diferentes arquivos – A tentativa de um usuário (bem-sucedida ou não) de ler arquivos e pastas que eles não tenham acessado anteriormente podem ser sinais de intenção maliciosas; o usuário pode estar procurando por dados valiosos que possam ser vendidos, usados contra o empregador, publicados na web, etc. Foque na atividade após o horário de expediente e outras variações  do comportamento normal de usuário, como acesso a dados arquivados da companhia.

Meça os usuários contra seus pares. Um dos abismos comuns da detecção de ameaças é a análise ampla que inclui usuários com diferentes conjuntos de responsabilidades, como especialista em RH e administrador de TI. Ao invés disso, tenha certeza de comparar a atividade de cada usuário com seu próprio grupo. Por exemplo, logons de outras cidades devem ser rotina para pessoas da área de venda, mas não rotineira para estafe de manutenção do prédio.

Leia também:  Identificar e priorizar os riscos da segurança da informação

Identifique e monitore contas compartilhadas. Monitorar de perto as contas compartilhadas é vital para uma postura de cibersegurança forte. Rastrear logins dessas contas e analisar o risco usando fatores como o tempo de login e a localização geográfica da estação. Múltiplos logins de diferentes estações pela mesma conta compartilhada pode ser um sinal de que uma conta foi comprometida.

Monitore de perto contas de serviço e contas privilegiadas. As melhores práticas requerem que contas altamente privilegiadas sejam usadas raramente apenas para tarefas específicas que outras contas não consigam realizar. Mantenha seu inventário dessas contas e monitore a atividade delas de perto. Procure por sinais de violações de política de segurança ou abuso de privilégio, como o uso de contas que realizam tarefas suspeitas ou sessões longas.

Correlacionar dados de múltiplos sources. Encontrar algumas ameaças de segurança requer tomar vantagem de múltiplos data sources. Por exemplo, um login de uma VPN desconhecida pode não te alertar, mas se você ver o mesmo usuário acessando pastas com dados sensíveis que ele nunca acessou antes, você pode querer investigar para responder rapidamente.

Fique de olho nos recursos das suas infraestruturas. Além de monitorar a atividade do usuário, tenha certeza de se manter a par da atividade ao redor dos seus file shares, bancos de dados, servidores, entre outros. Sua intenção é encontrar qualquer atividade suspeita lá e quem a realizou. Por exemplo, múltiplos logons em um servidor por contas diferentes podem indicar um ataque de um invasor com credenciais roubadas ou um funcionário confiável que se tornou um intruso.

Como o Netwrix pode ajudar

As soluções da Netwrix oferecem o método mais compreensível que ajuda a assegurar a sua organização contra as superfícies de ataque primárias: Dados, identidade e infraestrutura.

Com suas funcionalidades avançadas você pode:

  • Limitar o dano que um invasor pode fazer, de forma acidental ou deliberadamente, monitorando os direitos de acesso do usuário e identificando dados expostos.
  • Tornar seus dados organizados, encontráveis e mais seguros.
  • Monitore continuamente a atividade de usuários regulares e privilegiados e tenha alertas sobre comportamentos suspeitos.
  • Corte o risco das atividades privilegiadas
  • Detecta tentativas de escalonar as permissões
  • Investigue incidentes de forma eficiente e encontre rapidamente a melhor resposta

Artigos recomendados

Comente o que achou do artigo