O que é uma ameaça interna? Definição, Tipos e Exemplos

Neste artigo, nos aprofundamos na definição precisa, nos diversos tipos e nos exemplos comoventes que destacam a importância da ameaça interna generalizada. Os relatórios sugerem que 68% das empresas estão preocupadas ou muito preocupadas com o risco interno à medida que as suas organizações regressam ao escritório ou fazem a transição para o trabalho híbrido. Agora, mais do que nunca, é importante compreender totalmente a ameaça interna.

Definição de ameaça interna

Uma ameaça interna refere-se a atividades maliciosas contra uma organização originadas por usuários com acesso legítimo à rede, aplicativos ou bancos de dados de uma organização. Geralmente ocorre quando um funcionário atual ou antigo, ou terceiros com acesso legítimo às informações confidenciais ou contas privilegiadas da organização, fazem uso indevido do seu acesso em detrimento das redes, sistemas e dados da organização.

As ameaças internas são a causa da maioria das violações de dados, mas são mais difíceis de identificar e prevenir do que os ataques externos. Normalmente, as soluções de cibersegurança, como firewalls, sistemas de detecção de intrusões e software antimalware, concentram-se em ameaças externas, deixando a organização vulnerável a ataques internos. Se um invasor fizer login usando um ID de usuário, senha, endereço IP e dispositivo autorizados, é improvável que ele acione qualquer alarme de segurança, tornando difícil distinguir entre comportamento normal e destrutivo. Portanto, para proteger eficazmente seus ativos digitais, você precisa de uma estratégia de detecção de ameaças internas que combine várias ferramentas para monitorar o comportamento interno e, ao mesmo tempo, minimizar o número de falsos positivos.

Tipos de ameaças internas

Uma ameaça interna pode ser executada intencionalmente ou não. Aqui estão três tipos de ameaças internas:

Careless Insider: Ameaças internas não intencionais podem vir de um funcionário negligente que, sem saber, expõe o sistema a ameaças externas. Esse é o tipo mais comum de ameaça interna, resultante de erros, como deixar um dispositivo exposto ou ser vítima de um golpe. Por exemplo, um funcionário que não pretende causar danos pode clicar involuntariamente em um link inseguro, infectando o sistema com malware.

Intruso malicioso: Ameaças internas maliciosas, também conhecidas como Turncloaks, são aquelas que abusam maliciosamente e intencionalmente do seu acesso privilegiado para roubar informações ou degradar sistemas para obter incentivos financeiros ou pessoais. Por exemplo, um indivíduo que guarda rancor de um antigo empregador ou um funcionário oportunista que vende informações confidenciais a um concorrente. Pessoas internas mal-intencionadas têm vantagem sobre outros invasores porque estão familiarizadas com as políticas e procedimentos de segurança de uma organização, bem como com suas vulnerabilidades.

Uma toupeira: Uma toupeira é alguém de fora, mas alguém que obteve acesso interno à rede privilegiada de uma organização. Eles podem se passar por fornecedores, parceiros, prestadores de serviços ou funcionários, obtendo assim a autorização privilegiada para a qual de outra forma não se qualificariam. A sua intenção é abusar deste nível de acesso para roubar e vender dados ou utilizá-los para outros fins maliciosos, como ameaçar vazar informações confidenciais se uma organização não cumprir as suas exigências.

As toupeiras muitas vezes exploram as relações comerciais existentes de uma empresa, uma vez que a maioria das organizações trabalha com vários freelancers e empreiteiros. Eles usam credenciais roubadas ou engenharia social para obter acesso a essa rede estendida e aos dados da empresa com os quais parceiros comerciais legítimos trabalham.

Não importa a intenção, o resultado é o mesmo - a segurança da informação de uma organização comprometida.

Exemplos de ameaças internas

Já falamos sobre as categorias em que geralmente se enquadram as ameaças internas, agora vamos dar uma olhada em alguns exemplos de ameaças internas específicas que podem ocorrer:

1. Pegasus Airline - junho de 2022: 23 milhões de arquivos contendo dados pessoais confidenciais foram expostos on-line depois que um funcionário da Pegasus Airline configurou indevidamente um banco de dados. Uma configuração de segurança mal configurada é um exemplo de funcionário negligente e, embora não seja malicioso, é um incidente de segurança dispendioso. O funcionário expôs informações valiosas, incluindo cartas de voo, materiais de navegação e informações sobre a tripulação do voo. Para piorar ainda mais a situação, a configuração de segurança mal configurada significou que até 400 arquivos contendo credenciais de texto simples foram expostos.

2. NHS - Março de 2022: Outro exemplo de funcionários negligentes, desta vez vítimas de um ataque de phishing prolongado. O ataque de phishing continha um link malicioso disfarçado de página de login do Microsoft 365. Uma empresa de segurança em nuvem informou que mais de 139 e-mails do NHS foram comprometidos no ataque, mas é provável que o total real seja muito maior.

3. General Electric - julho de 2022: Um exemplo clássico de um insider malicioso. Este funcionário conseguiu roubar mais de 8.000 arquivos confidenciais ao longo de 8 anos, convencendo um administrador de TI a conceder-lhe acesso. As informações que ele roubou foram vendidas para uma empresa rival. O insider em questão foi posteriormente preso e condenado a 87 meses de prisão.

4. Geórgia-Pacífico - fevereiro de 2022: Por último, mas não menos importante, um ex-funcionário descontente, despedido do seu cargo de administrador de sistemas num fabricante de papel, conseguiu causar danos no valor de 1,1 milhões de dólares ao interferir nos controlos de segurança. Ele acessou os controles de segurança por meio de uma VPN usando credenciais que permaneceram válidas mesmo depois de ele ter saído da organização.

Como detectar e prevenir ameaças internas

A maioria das ferramentas de inteligência contra ameaças concentra-se na análise de dados de redes, computadores e aplicativos, dando pouca atenção às ações de usuários autorizados que poderiam fazer uso indevido de seu acesso privilegiado. Para uma defesa segura contra uma ameaça interna, você deve rastrear atividades digitais e comportamentais anômalas.

Aqui estão alguns indicadores de uma ameaça interna que devem ser monitorados:

• Um funcionário ou associado insatisfeito ou descontente
• Qualquer tentativa de contornar a segurança
• Fazer logon em redes em horários incomuns. Por exemplo, um funcionário que, sem qualquer necessidade aparente, se conecta à rede à 1h da manhã pode ser motivo de preocupação
• Demonstrar interesse fora do seu âmbito normal de funções
• Desrespeito repetido às políticas organizacionais
• Um aumento no volume de tráfego de rede. Se alguém estiver tentando copiar grandes quantidades de dados pela rede, você verá picos incomuns no tráfego da rede.
• Acessar recursos ou dados que um usuário não precisa para realizar seu trabalho
• O uso de dispositivos não autorizados, como unidades USB
• Procurando informações confidenciais
• Envio de informações confidenciais por e-mail para fora da organização

Existem várias maneiras de proteger os ativos digitais da sua organização contra ameaças internas e incluem as seguintes:

Proteja ativos críticos: você precisa estar ciente de onde estão seus dados confidenciais. Descobrir e classificar dados confidenciais à medida que são criados ajudará você a concentrar seus esforços de segurança de dados nos dados mais importantes.

Os dados confidenciais incluem informações de clientes, detalhes de funcionários e planos estratégicos detalhados. Uma vez identificado, cada ativo crítico precisa ser classificado em ordem de prioridade e determinado o estado atual da proteção de cada ativo.

Crie uma linha de base para o comportamento normal do usuário e do dispositivo: Existem muitos sistemas de software diferentes que podem rastrear ameaças internas. Esses sistemas funcionam primeiro estabelecendo a atividade normal do usuário, referindo-se aos logs de acesso, autenticação, alteração de conta, endpoint e rede virtual privada (VPN). Esses dados podem então ser usados para atribuir pontuações de risco ao comportamento do usuário associado a eventos específicos. Isso pode acontecer, por exemplo, se um usuário baixar dados confidenciais para uma mídia removível ou fizer login em um local incomum. Uma vez estabelecida uma linha de base do comportamento normal do usuário, os desvios podem ser sinalizados e investigados.

Aumentar a visibilidade: É importante implementar ferramentas que monitorem continuamente a atividade do usuário, bem como coletem e avaliem informações de atividade de múltiplas fontes.

Aplicar Políticas: É essencial definir e distribuir as políticas de segurança da organização. Isto evita ambiguidade e estabelece a base certa para a aplicação. Nenhum funcionário, contratado, fornecedor ou parceiro deve ter dúvidas sobre o que é aceitável em relação à estratégia de segurança da sua organização.

Promover mudanças culturais: detectar ameaças internas é crucial, mas uma solução mais eficaz é promover uma cultura consciente da segurança dentro da organização. Com as crenças e atitudes corretas, a negligência pode ser mitigada e as raízes do comportamento malicioso podem ser abordadas antes que se agravem e causem danos. Os funcionários e outros associados devem participar regularmente de treinamentos de segurança que os eduquem sobre questões de segurança. Isto deve ser acompanhado pela medição e melhoria contínua da satisfação dos funcionários para detectar quaisquer sinais precoces de descontentamento.