Por Carlos Rodrigues, vice-presidente da Varonis Latam.
A cada dia que passa, ficamos mais dependentes de aplicativos e dispositivos para administrar nossas vidas, tanto dentro quanto fora do trabalho. Por causa disso, os dados estão em toda parte e há muitas lacunas pelas quais eles podem vazar, e qualquer um pode usá-los de forma inadequada. Somos condicionados a pensar que os vazamentos de dados vêm de estranhos invadindo nossos sistemas, mas nem sempre é esse o caso.
Às vezes, os ataques cibernéticos mais mal-intencionados aos nossos dados vêm de dentro, na forma de uma ameaça interna. As empresas usam ferramentas como software de gerenciamento de eventos e informações de segurança (SIEM) para monitorar a atividade do usuário e ferramentas de autenticação multifator para fortalecer a segurança da conta e evitar ataques internos.
Esse tipo de ataque não precisa ser necessariamente um funcionário atual ou parte interessada. Pode vir de um ex-empregador, membro do conselho ou qualquer pessoa que tenha acesso às informações confidenciais e privadas de uma organização.
Ameaças internas ocorrem quando alguém próximo a uma organização tem acesso autorizado e o utiliza indevidamente para impactar negativamente informações ou sistemas críticos.
As ameaças internas são mais difíceis de identificar e bloquear do que outros ataques. Mesmo se você estiver usando um software de gerenciamento de informações e eventos de segurança, um ex-funcionário usando seu login para invadir seu sistema não disparará os mesmos alarmes que um hacker de alto nível assumindo sua rede.
Potenciais indicadores de ameaças internas
Logins incomuns – fique atento a logins fora do horário de expediente e em locais estranhos;
Solicitações de acesso estranhas – cuidado com invasores maliciosos tentando acessar arquivos ou sistemas não autorizados;
Escalonamento de privilégios – observe se um funcionário tente aumentar seus privilégios para obter mais acesso a informações confidenciais;
Erros prejudiciais – isso envolve qualquer coisa, desde usuários abrindo contas pessoais em servidores corporativos, compartilhando credenciais para uma VPN e verificando e-mails usando um provedor terceirizado;
Demissão repentina – agentes internos que tentam sabotar a organização podem fazê-lo enquanto decidem sair.
Como prevenir ameaças internas
As organizações podem definir políticas e procedimentos para mitigar ameaças internas e controlar danos caso ocorra um incidente infeliz. Abaixo estão algumas práticas recomendadas para ajudá-lo a se proteger contra ameaças internas.
Documentar e aplicar políticas e controles
Crie políticas sobre como os funcionários interagem com o ambiente de TI de uma organização e aplique-as. Confira algumas políticas padrão que as empresas devem estabelecer.
– Regulamentos de proteção de dados
– Política de acesso de terceiros
– Política de gerenciamento de senha
– Política de monitoramento de usuários
– Política de gerenciamento de contas
– Política de resposta a incidentes
Realize uma avaliação de risco em toda a organização
Uma avaliação de risco em toda a organização ajudará você a identificar ativos críticos, vulnerabilidades e perigos associados. Você pode priorizar medidas de mitigação e fortalecer sua infraestrutura de TI contra qualquer ataque cibernético ou ameaça interna com base na natureza dos riscos. Como também usar o software de gerenciamento de riscos de TI para proteger os dados de negócios contra todos os riscos associados a software e hardware.
Implemente práticas rígidas de gerenciamento de contas e acesso
Os usuários devem ser desafiados a provar suas identidades não apenas digitando senhas, mas de várias outras maneiras. Você pode adotar um software de autenticação multifator para configurar mais desafios. Esses softwares precisariam que os usuários se autenticassem por meio de vários mecanismos, como autenticação biométrica ou digitando senhas únicas (OTP) para provar sua identidade.
Encontre agentes de risco e responda prontamente a atividades suspeitas
Fique de olho nos sistemas de segurança e responda a qualquer atividade suspeita de acordo com seu plano de resposta a incidentes. É essencial monitorar e controlar o acesso remoto aos sistemas e garantir que você receba alertas por vários canais sempre que alguma atividade suspeita for detectada. Considere o uso de software de análise de comportamento de usuário e entidade (UEBA) para identificar padrões, monitorar comportamentos de usuários ou máquinas e notificar as partes interessadas em caso de qualquer atividade anormal.
