Noções básicas sobre ameaças internas
Ameaças internas, também chamadas de “insider threats”, são possíveis pontos fracos que podem causar danos em organizações de qualquer porte devido a uma vulnerabilidade do elemento humano. As ameaças internas são as próprias pessoas, gente que usa privilégios de maneira intencional ou não para causar um incidente de cibersegurança.
Os agentes internos conhecem as intimidades de uma empresa e podem causar estragos na infraestrutura dela. Independentemente das motivações deles, o impacto pode ser enorme.
Compreender e gerenciar os riscos internos é um componente importante de segurança.
Definição de ameaça interna
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA, na sigla em inglês) define uma ameaça interna como “o potencial de uma pessoa portadora de informações privilegiadas utilizar o seu acesso autorizado ou os seus conhecimentos sobre uma organização para causar danos a essa organização”. Essa ação pode ser mal-intencionada ou acidental.
Por exemplo, vamos considerar a tríade CIA, que explica como os dados devem ser protegidos e como eles podem ser manejados ou utilizados de forma errada. Em inglês, a sigla CIA significa “Confidentiality” (Confidencialidade), “Integrity” (Integridade) e “Availability” (Disponibilidade). É crucial que esses três aspectos sejam preservados em uma organização. Os dados devem estar disponíveis quando necessário, mas protegidos contra quem não precisa de acesso a eles, mantendo-se confidenciais e íntegros, ou seja, não podem ser adulterados. No caso de uma ameaça interna, toda a tríade CIA está em risco.
Características comuns das ameaças internas
As ameaças internas começam pelas pessoas de uma organização, independentemente da posição que elas ocupam. Enquanto algumas são mal-intencionadas, outras simplesmente cometem erros por descuido, ignorância ou ingenuidade, gerando grandes prejuízos.
As ameaças internas ― particularmente as mal-intencionadas ― têm características em comum. Elas costumam estar ligadas a pessoas conflituosas, que expressam desinteresse em tarefas e atribuições, violam procedimentos de compliance ou normas de proteção de dados. Em alguns casos, são aqueles colaboradores que fazem mau uso de verbas e reembolsos, como passagens aéreas, hospedagem, alimentação ou auxílio para o home office. Outra característica comum nessas pessoas que ameaçam as organizações é a tendência de apresentar níveis de desempenho constantemente baixos e a possibilidade de demonstrarem interesse em aprender atividades que não estão relacionadas às funções que exercem.
As ameaças internas não intencionais também têm pontos em comum: a falta de treinamento ou o desconhecimento de práticas recomendadas. Muitas pessoas são simplesmente ingênuas e fáceis de manipular. Já outras são preguiçosas ou gostam de tirar vantagem do sistema. Tudo isso gera riscos internos.
Impacto das ameaças internas sobre as organizações
A Crowd Research Partners descobriu que 90% dos profissionais de cibersegurança acreditam que suas organizações estão vulneráveis a ameaças internas. A IBM descobriu números impressionantes: o custo médio de um incidente cibernético envolvendo uma ameaça interna mal-intencionada foi de US$ 4,45 milhões e levou, em média, 314 dias para ser identificado e contido.
Tipos de ameaças internas
Ameaças mal-intencionadas e ameaças não intencionais
As ameaças mal-intencionadas estão determinadas a prejudicar a organização. Por princípio, elas podem visar vantagens financeiras ou agir apenas por se sentirem desprezadas. Em alguns casos, os agentes internos querem executar suas tarefas com o menor esforço possível e, para isso, ignoram normas de compliance e requisitos de segurança.
Já no caso das ameaças não intencionais, as pessoas podem até gostar da organização e agir com boas intenções, mas falta a elas treinamento e conhecimento para evitar um incidente.
Exemplos dos diferentes tipos de ameaças internas
Para ficar mais claro o que é uma ameaça interna, vamos pensar no mundo real: uma pessoa determinada a acabar com o uso de animais em experimentos científicos pode conseguir um emprego em uma empresa que utiliza animais em suas operações, ir para uma função com acesso às gaiolas e abri-las. Outro exemplo é o de uma pessoa que quebra o computador ou bate no carro de seu gestor por se sentir menosprezada por ele.
Já no universo da cibersegurança, as ações podem ser um pouco diferentes, mas o efeito é o mesmo. Imagine um colaborador inconformado por saber que será demitido em breve. Por ter acesso a dados, ele pode baixar os contatos da empresa ou outras informações para fins pessoal. Após sua saída, ele também pode usar em seu novo emprego um acesso que não tenha sido revogado, tudo para prejudicar a empresa anterior.
Agora pense em uma colaboradora que saiu em licença-maternidade sem a intenção de voltar a trabalhar, mas que ainda tem acesso ao sistema que libera recursos para viagens.
Vamos um pouco além: imagine alguém que quer roubar segredos da empresa para desenvolver seus próprios produtos, ou outra pessoa que desvia dinheiro da organização para pagar uma dívida. O grau de impacto de todos esses casos só depende da vontade das pessoas mal-intencionadas – e aquelas com habilidades técnicas podem causar um estrago e tanto.
Por outro lado, as ameaças internas não intencionais normalmente criam um incidente de segurança sem querer, por exemplo, ao copiar dados sensíveis e perdê-los em um café a caminho de casa, ao conceder acesso a um agente mal-intencionado, ou ao baixar um malware sem perceber.
As motivações por trás dos ataques de ameaças internas
Como acontece na maioria dos crimes, pessoas mal-intencionadas são motivadas por vantagens financeiras, pelas emoções ou por política.
No caso das ameaças não intencionais, os ataques são deflagrados a partir de dispositivos deixados em veículos ou salas destrancadas, pelo descumprimento de práticas recomendadas de segurança em prol da conveniência, ou pelo simples desconhecimento sobre conceitos de segurança. Portanto, podemos classificar as ameaças internas não intencionais em duas categorias: negligentes ou acidentais, e ambas causam danos.
Como as ameaças internas ocorrem?
Os métodos e técnicas que os agentes usam em seus ataques
As ameaças internas podem vazar dados confidenciais importantes, sabotar equipamentos e até roubar bens ou dados de uma empresa. Essas ações podem ser executadas pela própria pessoa com acesso privilegiado ou por terceiros, que têm o acesso facilitado por alguém interno.
Vulnerabilidades comuns que facilitam a ocorrência de ameaças internas
O acesso remoto por vias clandestinas é uma vulnerabilidade da qual as ameaças internas costumam se aproveitar. Outro exemplo é a desativação de configurações de segurança, a remoção ou a inutilização de ferramentas de segurança. Em alguns casos, as pessoas mal-intencionadas podem adulterar equipamentos ou desativar manualmente ajustes e configurações. É importante conferir cada componente de um sistema em busca de vulnerabilidades.
Casos famosos de incidentes envolvendo ameaças internas
Edward Snowden é um exemplo clássico de uma ameaça interna que divulgou milhões de arquivos aos quais ele tinha acesso como prestador de serviços da Agência de Segurança Nacional dos Estados Unidos (NSA) no início dos anos 2000. Outro caso da mesma época é o de Chelsea Manning, uma ex-militar dos EUA que também divulgou informações internas, mais de 500 mil documentos, para o WikiLeaks. Mais recentemente, dois ex-colaboradores da Tesla vazaram dados pessoais de mais de 75 mil ex-colegas.
Como identificar indicadores de ameaças internas
Indicadores comportamentais de possíveis ameaças internas
Pessoas que cometem atos de violência no ambiente de trabalho ou que costumam ter muitos conflitos com colegas devem ser observadas ou afastadas de suas funções. Indivíduos muito fechados ou que não se expõem também podem ser uma preocupação. Outros indicadores comportamentais podem ser a falta de conhecimento sobre práticas recomendadas em cibersegurança, casos de negligência, desobediência de diretrizes, problemas frequentes com a gestão ou conflitos entre valores pessoais e os valores da organização.
Indicadores técnicos que merecem ser observados
Mais alguns indicadores simples ajudam a monitorar ameaças internas.
Em primeiro lugar, esteja sempre alerta a padrões de tráfego incomuns, logins em horários estranhos e padrões de acesso a dados sensíveis fora do convencional. Outro indicador técnico recorrente é o uso de dispositivos pessoais em vez de dispositivos corporativos aprovados pela equipe de TI. Preste atenção em possíveis ameaças internas ao identificar pontos de acesso clandestinos, configurações de segurança desativadas ou ferramentas sem utilização. Siga sempre o princípio de privilégio mínimo e cuide do gerenciamento de acessos, pois uma ameaça interna pode estar solicitando acesso a aplicativos ou drives fora do escopo de suas atividades.
O papel do monitoramento dos colaboradores na detecção de ameaças internas
O monitoramento dos colaboradores é fundamental para detectar possíveis riscos de ameaças internas. O fomento de uma cultura de conscientização de cibersegurança, um local seguro para realizar denúncias e o estímulo a um espírito de equipe segundo o qual pessoas que não dispõem dos mesmos valores possam ser facilmente identificadas são ótimas estratégias para atender a esse objetivo e barrar possíveis ameaças. Para quem está à frente da gestão, é interessante ter uma visão clara das dinâmicas psicossociais que contribuem para comportamentos mal-intencionados.
Como evitar ameaças internas
Implementação de controles de acesso e o princípio de privilégio mínimo
Controles de acesso são um processo que visa gerenciar e proteger o acesso a dados e recursos. Cabe à gestão de TI implementá-los observando o princípio de privilégio mínimo, segundo o qual as permissões de acesso obedecem estritamente à função que o usuário desempenha. Esses princípios garantem a proatividade no combate às ameaças internas.
A importância de treinar e conscientizar os colaboradores
Treinamentos e iniciativas de conscientização sobre cibersegurança por canais de RH também ajudam a garantir os comportamentos desejáveis. Seja com treinamentos próprios ou adquiridos de empresas especializadas, a educação é uma das soluções mais simples para impedir ameaças.
O papel das soluções de tecnologia na mitigação de ameaças internas
O mercado oferece soluções de tecnologia para mitigar o risco de ameaças internas. Um gerenciador de senhas, por exemplo, é ótimo para garantir o cumprimento das práticas recomendadas de segurança. Hoje há ferramentas e opções que atendem a praticamente qualquer orçamento, intensificam a segurança, coletam dados de inteligência, detectam e caçam ameaças e conferem agilidade às respostas.
Como responder a ameaças internas
Desenvolva um plano de resposta a incidentes
Toda organização precisa de um plano de resposta a incidentes que determine quais aspectos de uma rede são infraestruturas fundamentais e quais estão propensos a falhas. Esse documento também deve prever os processos e a frequência de backups. É imprescindível monitorar regularmente todos os dispositivos e sistemas e revisar o plano após cada incidente para registrar as lições aprendidas e identificar o que pode ser adaptado ou alterado.
O que fazer quando uma ameaça interna for identificada
Caso uma ameaça interna seja identificada, é importante obter o máximo possível de informações sobre os acessos e privilégios do agente. Depois, determine o impacto e como lidar com ele. Assim que possível, contenha a ameaça e envide esforços para mitigá-la. Após o incidente, analise as lições aprendidas e ajuste o plano de resposta a incidentes para que as ações futuras sejam mais ágeis e mais vigorosas.
Colaboração com autoridades policiais e judiciais
Vale a pena consultar as autoridades e órgãos de segurança nacional para se informar sobre práticas recomendadas que possam ajudar empresas e departamentos de TI a criar e implementar um plano para evitar riscos de ameaças internas. Quando for necessário acionar as forças policiais caso ocorra um incidente, tenha em mãos uma documentação detalhada, organizada, legível e fácil de entender.
Mantenha contato frequente com esses órgãos para tirar dúvidas e seguir as práticas que eles recomendam. Garanta que o plano de resposta a incidentes da sua empresa cumpra os padrões de provas e o escopo documental necessários para as investigações das autoridades.
Práticas recomendadas de gerenciamento de ameaças internas
Estabeleça uma cultura de segurança organizacional
Segurança é uma questão de cultura. A melhor maneira de desenvolver uma cultura que contenha as ameaças internas é criar um ambiente que insista e promova regularmente práticas recomendadas de segurança, estimule denúncias seguras e deixe claro quais são os padrões e expectativas de comportamento.
Outra forma de reduzir o risco de ameaças internas e garantir que esse risco seja imediatamente percebido e abordado é com a promoção do espírito de equipe e do senso de pertencimento com a gestão, além de uma cultura que recompense e celebre realizações.
Estabeleça políticas e procedimentos claros
Com um plano já criado, a organização precisa definir padrões operacionais para que todos estejam em sintonia. Também vale a pena conferir com fornecedores de ferramentas ou sistemas usados internamente se eles têm práticas recomendadas de segurança para que elas sejam agregadas aos esforços da organização. Por fim, procedimentos claros de identificação, denúncia, monitoramento e recuperação de ameaças internas são fundamentais e devem ser seguidos por todos, sempre prezando pelo princípio de privilégio mínimo.
Invista no monitoramento contínuo e conduza auditoria de contas com privilégios
Todas as contas devem ser monitoradas e auditadas regularmente. O gerenciamento de acesso privilegiado (PAM) e o gerenciamento de identidade privilegiada (PIM) são soluções de segurança semelhantes que auxiliam a intensificar a segurança contra ameaças internas.
Além disso, organizações que usam um gerenciador de senhas como o LastPass se beneficiam do modelo de conhecimento zero, no qual nem a empresa de segurança tem acesso às credenciais, e também implementam a autenticação multifator (MFA).
Ferramentas de monitoramento, criptografia de nível militar, auditorias externas periódicas e certificações são outros elementos que podem intensificar bastante a segurança de uma organização. O LastPass oferece ferramentas de monitoramento que ajudam a atualizar senhas fracas ou reutilizadas, a avaliar e intensificar a segurança em geral, a preencher formulários de maneira segura e até verificar se os dados dos usuários podem estar envolvidos em um incidente cibernético.
Com um planejamento cauteloso e as ferramentas certas, é possível gerenciar e detectar ameaças internas. Inicie sua avaliação do LastPass.