As Insider Threats são um risco de segurança que tem a sua origem dentro de uma organização, mais concretamente através de colaboradores, ex-colaboradores, subcontratados, consultores ou parceiros de negócio
São recursos que dispõem de acesso a informação confidencial e a sistemas de informação críticos e que, de forma intencional ou acidental, colocam em risco essa informação e a reputação da sua organização. Com regularidade, informação de cariz confidencial acaba nas mãos de concorrentes, ou são divulgadas para o domínio público (data breaches), com graves implicações em contexto do RGPD ou do segredo de negócio. De acordo com o Data Breach Investigations Report da Verizon, 34% dos data breaches identificados em 2019 envolveram atores internos. Mas como detetar comportamentos que indiciem práticas que possam lesar a sua organização, no meio de centenas ou milhares de pessoas que interagem diariamente, de forma benigna, com estes sistemas? Os comportamentos humanos são os principais indicadores de possíveis ameaças internas. Existem alguns comportamentos comuns que sugerem a sua presença dos quais se destacam apenas alguns: download ou acesso a quantidades substanciais de dados, acesso (ou tentativa de acesso) a dados confidenciais não associados à sua função de trabalho ou a dados que estão fora do seu perfil comportamental exclusivo, utilização de dispositivos de armazenamento não autorizados (por exemplo, unidades USB), cópia de arquivos de pastas confidenciais, envio de dados confidenciais por e-mail para fora da organização ou até acesso aos sistemas de informação em horários não habituais para aquele utilizador. No entanto, é importante frisar que nem sempre estas ameaças acontecem de forma intencional e muitas vezes os colaboradores são apenas peões de um atacante externo. Um colaborador pode ser vítima de um ataque e ver os seus dispositivos ou as suas contas de acesso comprometidas por um atacante, que as utiliza para levar a cabo o roubo de informação ou o comprometimento de dados. Exemplos disto são a abertura de documentos Word com macros maliciosas, o comprometimento de credenciais através de ataques de phishing ou a execução de um ransomware. Por último, temos ainda os utilizadores que, por engano, partilham um documento confidencial por correio eletrónico com um (ou vários) destinatário errado. Práticas recomendadasPara se proteger face a este tipo de ameaças, é essencial que o foco da organização esteja na proteção dos ativos críticos, no reforço das políticas de segurança e na promoção de uma cultura de segurança na sua organização. A isto deve associar-se uma total visibilidade, através da monitorização contínua de toda a atividade dos seus colaboradores e dos dispositivos que acedem à informação e da correlação de eventos através de múltiplas fontes de informação. Como se tratam de ameaças internas, não é possível confiar nas medidas tradicionais de segurança para proteger a sua empresa. Um sistema eficaz de deteção de insider threats combina várias ferramentas para monitorizar o comportamento interno, filtrar o grande número de alertas e eliminar falsos positivos. As ferramentas de UBA (User Behavior Analytics) e a análise de ameaças (Threat Hunting) ajudam a detetar possíveis ameaças internas, alertando as equipas quando um utilizador se comporta de forma suspeita ou fora do seu comportamento típico. Por último, a análise forense digital é a forma mais eficaz de confirmar a presença de uma insider threat. Estes processos e tecnologias, aliadas a um plano de resposta a incidentes eficaz são a chave para a deteção e contenção destas situações. Só assim as organizações conseguirão efetuar uma análise eficiente e agir atempadamente.
Conteúdo co-produzido pela MediaNext e pela S21Sec |