O que é detecção de ameaças baseada em comportamento?

Quando falamos sobre detecção de ameaças baseada em comportamento, o que estamos apontando essencialmente são as ameaças representadas por pessoas internas e como mitigá-las. Por outras palavras, os nossos próprios colaboradores, seja por negligência ou malícia, representam a maior ameaça aos activos de uma organização.

Que comportamentos precisamos monitorar?

Para resolver esse problema, abaixo estão alguns exemplos dos tipos de comportamento que precisamos observar:

• Um funcionário enviando dados confidenciais por e-mail para uma conta pessoal.
• Um funcionário acessando dados confidenciais ou solicitando acesso a recursos que não são relevantes para sua função.
• Um ex-funcionário acessando informações confidenciais após o término do contrato.
• Um funcionário tentando contornar os controles de segurança.
• Um funcionário copia grandes quantidades de informações para uma unidade externa ou contêiner de armazenamento baseado em nuvem.
• Um funcionário conectando-se à rede usando um dispositivo não reconhecido, de um local não reconhecido.
• Um funcionário que acessa dados da empresa fora do horário normal de trabalho.

Além do acima exposto, se, por qualquer motivo, uma empresa for obrigada a demitir um grande número de funcionários durante um curto período de tempo, aumenta a probabilidade de um funcionário ou ex-funcionário decidir roubar dados confidenciais. Em alguns casos, um funcionário que irá sair em breve criará uma nova conta com novas credenciais antes que seu acesso seja revogado.

Como você pode ver, há muitas maneiras pelas quais pessoas internas negligentes ou mal-intencionadas podem comprometer a segurança da sua rede. Como tal, devemos ter salvaguardas em vigor, que incluem ser proativos na monitorização e resposta a ameaças internas.

Como prevenir ameaças internas

Ao lidar com ameaças internas, o problema que temos é que todas as ameaças à segurança podem ser vistas como resultado de pessoas internas negligentes ou mal-intencionadas. Como tal, explicar como prevenir ameaças internas é essencialmente o mesmo que dizer “Como prevenir ameaças à segurança”, o que está, em última análise, fora do âmbito deste artigo. Por exemplo, poderíamos falar sobre políticas de uso aceitável, segurança de desktop, segmentação de rede e uso de autenticação multifator para evitar acesso não autorizado.

Poderíamos também falar sobre a importância da segurança física, que inclui fechaduras, alarmes, crachás, CCTV, autenticação biométrica, etc. Para simplificar, poderíamos dizer que a prevenção de ameaças internas se resume essencialmente a duas coisas: Formação e monitorização.

Treinamento de conscientização sobre segurança

Como os funcionários são a sua primeira linha de defesa, é crucial que você realize treinamentos regulares de conscientização sobre segurança para ajudá-los;

• Reconheça, responda e denuncie e-mails suspeitos.
• Use senhas fortes e exclusivas e nunca compartilhe credenciais.
• Compreenda as melhores práticas de segurança de dados, incluindo procedimentos de segurança física.
• Compreenda as leis relevantes de privacidade de dados, como cumpri-las e as consequências do não cumprimento.

Monitoramento do comportamento do usuário

Conforme mencionado acima, você deve ter visibilidade de todo o comportamento do usuário, como quando e como os funcionários acessam, editam, copiam, excluem e compartilham dados confidenciais. Você precisará de visibilidade e controle sobre como os funcionários solicitam acesso a dados confidenciais, quando e como se conectam à rede, se estão contornando algum controle de segurança e assim por diante. Para obter esta visibilidade, as organizações devem utilizar as ferramentas certas. Eles precisarão de uma solução de auditoria em tempo real que utilize técnicas de aprendizado de máquina para estabelecer padrões de uso típicos para cada usuário. Quando um usuário se desvia muito de sua função típica, um alerta será enviado ao administrador, que iniciará uma investigação. As soluções de auditoria em tempo real mais sofisticadas também são capazes de detectar e gerenciar contas de usuários inativas, e algumas são capazes de detectar e responder a eventos que correspondam a uma condição limite predefinida. Leia mais sobre detecção e prevenção de ameaças internas.

Se você quiser ver como a plataforma Lepide Data Security pode ajudar na detecção de ameaças com base em comportamento, agende uma demonstração com um de nossos engenheiros ou comece seu teste gratuito hoje mesmo.