A maioria dos incidentes internos de segurança é resultado de um erro honesto.Mas às vezes, por um motivo ou outro, um funcionário rouba ou adultera deliberadamente recursos corporativos para obter algum ganho.Seja explorando uma vulnerabilidade ou roubando dados que possam beneficiá-los no futuro, o custo médio desses ataques internos maliciosos é de US$ 648.062 de acordo com um estudo de pesquisa do Ponemon Institute sobre ameaças internas.Esses custos decorrem de vários fatores, incluindo a perda de dados e sistemas, o esforço necessário para restaurar esses dados e sistemas e resgates pagos aos invasores.Além do impacto financeiro, esses ataques podem ser prejudiciais para uma organização de várias perspectivas; reputação, vantagem competitiva, confiança do cliente, etc.
Algumas manchetes recentes demonstram como nenhuma organização está a salvo do risco de insiders maliciosos e torna evidente a necessidade de implementar medidas de segurança apropriadas para mitigação:
A Pfizer alegou que um funcionário fez upload de doze mil arquivos em uma conta do Google Drive, incluindo dados relacionados a segredos comerciais da vacina contra a COVID-19. Supostamente, o funcionário recebeu uma oferta de emprego de outra empresa.
Uma empresa de Connecticut alegou que um funcionário ao se desligar realizou um ataque de ransomware nos sistemas da empresa, criptografando arquivos e emitindo uma exigência de pagamento anônima.
Um desenvolvedor sênior em Nova York foi preso por supostamente roubar dados via VPN e tentar extorquir seu empregador enquanto fingia ser um hacker externo.
Insiders maliciosos existem há décadas, no entanto, o risco representado por esses invasores aumentou com a mudança para o trabalho remoto. Com muitos funcionários, contratados e parceiros trabalhando agora fora do escritório e da rede corporativa tradicional, é muito mais difícil diferenciar entre um insider malicioso e um comportamento normal.
A Forrester Research descreve o aumento relacionado à pandemia no trabalho remoto como parte de uma “tempestade perfeita para insiders maliciosos”. Como acontece com muitos outros tipos de ataque, a pandemia criou um ambiente que torna mais fácil para insiders maliciosos ocultarem suas ações, mas o risco não decorre apenas da pandemia. Vários fatores contribuem para isso:
Falta de visibilidade física: os usuários remotos são mais difíceis de monitorar, por exemplo, eles podem tirar fotos de informações confidenciais exibidas na tela do computador sem deixar rastros ou correr o risco de serem observados por um colega.Além disso, sinais anteriores de possível roubo de dados, como acessar recursos corporativos em horários incomuns ou sair do trabalho em horários incomuns, são mais difíceis de perceber em equipes remotas e podem nem mesmo ser suspeitos devido a horários de trabalho “flexíveis”.
Uso de dispositivo pessoal: mais organizações estão dando suporte ao BYOD (traga seu próprio dispositivo).Porém, é mais difícil controlar o acesso a dados e aplicativos em dispositivos pessoais, criando outro ponto de acesso para roubo de dados.Se a equipe de segurança não tiver um software de endpoint que conceda alguma visibilidade e controle sobre o acesso em dispositivos pessoais, ela pode não perceber que o acesso não planejado aos dados está ocorrendo.
Maior adoção de aplicativos SaaS: os aplicativos SaaS são hospedados em infraestrutura de nuvem de terceiros, fora da rede corporativa tradicional.Os funcionários geralmente acessam esses aplicativos pela internet pública e, se a organização não estiver monitorando o uso da internet pública por meio de um gateway seguro da web, ela não vai conseguir rastrear quem está acessando quais dados.
A “Grande Demissão”: alguns funcionários, infelizmente, veem a demissão como uma oportunidade de levar informações confidenciais para a próxima função.Em uma pesquisa da Tessian, 45% das pessoas afirmam ter baixado arquivos antes de sair do trabalho ou depois de serem demitidas.Para o departamento de TI, especificamente, uma pesquisa recente da Gartner descobriu que apenas 29% dos funcionários de TI “têm alta intenção de permanecer em seu empregador atual”.À medida que essa tendência continua, o roubo de informações confidenciais por funcionários que saem se torna um risco com potencial maior.
Além dessas tendências, as táticas usadas por insiders maliciosos evoluíram rapidamente. Um relatório sobre risco de insiders recente descobriu que 32% dos insiders maliciosos usaram “técnicas sofisticadas”, incluindo o uso de endereços de e-mail temporários, para ocultar sua identidade, agindo lentamente ao longo do tempo, salvando arquivos como rascunhos em contas de e-mail pessoais e usando ferramentas aprovadas existentes dentro da organização para localizar e exfiltrar dados.
O Code42’s Annual Data Exposure Report observa que 39% das empresas não possuem um programa de gerenciamento de risco interno.Para essas empresas, a implementação será um primeiro passo importante.Para estabelecer algumas salvaguardas imediatas, considere incorporar algumas melhores práticas operacionais como:
Reduzir o acesso aos aplicativos e dados mais confidenciais assim que um funcionário dá aviso prévio.
Bloquear imediatamente de recursos corporativos para funcionários desligados.
Obrigatoriedade de fazer o login novamente durante o tempo ocioso.
Exigir o uso de um programa gerenciador de senhas.
Educar os funcionários sobre comportamentos suspeitos.
Implementar um processo anônimo para a denúncia de comportamentos suspeitos.
Insiders maliciosos estão, por definição, familiarizados com as práticas de segurança de suas organizações. Isso significa que os protocolos operacionais mencionados anteriormente nunca impedirão totalmente o risco. Em vez disso, a prevenção requer uma estrutura de segurança mais abrangente e moderna, como o Zero Trust. Um princípio fundamental do Zero Trust é que nenhum usuário ou solicitação é confiável por padrão, mesmo quando já está dentro da rede.
A segurança Zero Trust pode ajudar as organizações a reduzir a vulnerabilidade de insiders maliciosos ao exigir:
A depreciação das VPNs: as VPNs geralmente oferecem acesso à rede com carta branca para os usuários.Esse privilégio excessivo cria um risco desnecessário para os insiders maliciosos espalharem ameaças lateralmente e exfiltrarem dados.A eliminação progressiva das VPNs é um passo inicial comum para a adoção do Zero Trust no longo prazo.
O monitoramento e a aplicação de controles de segurança para a navegação na internet: isso significa aumentar a visibilidade da atividade dos usuários na internet e aplicar controles para impedir que insiders maliciosos insiram dados confidenciais, por exemplo, em sites suspeitos ou locatários pessoais de sites de armazenamento em nuvem.Esses controles podem ser obtidos por meio de gateway seguros da web (SWG) e isolamento do navegador remoto (RBI).
Acesso autenticado com base na identidade e outros sinais contextuais: definindo políticas de acesso com privilégios mínimos que só permitem que os usuários acessem recursos após a primeira verificação de identidade, autenticação multifator (MFA) e outros sinais contextuais, como postura do dispositivo.Colocar esses sinais contextuais em camadas pode ajudar a capturar insiders maliciosos.A verificação desses sinais contextuais pode ajudar a detectar atividades suspeitas e não confiáveis de possíveis insiders maliciosos.
A Cloudflare ajuda as organizações a obter segurança Zero Trust abrangente que impõe regras baseadas em identidade, postura e contexto para proteger aplicativos, garantindo que os usuários acessem apenas os aplicativos e dados de que precisam para seu trabalho, minimizando o potencial de exfiltração de dados.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Como o trabalho remoto torna a detecção de ameaças internas mais desafiadora
Fatores que contribuem para facilitar a ação de insiders maliciosos
Técnicas avançadas que os insiders usam para exfiltrar dados
Como a segurança Zero Trust pode impedir o movimento lateral
Saiba mais sobre o acesso à rede Zero Trust com o e-book Sete maneiras de trabalhar de qualquer lugar .