As ameaças internas continuam a aumentar. Não é preciso olhar além das manchetes recentes para testemunhar essa tendência. No entanto, nem todas as ameaças internas são iguais. As ameaças internas são causadas por usuários descuidados, internos cujas credenciais são roubadas e usuários maliciosos que intencionalmente causam danos. Embora menos frequente, o insider malicioso pode ser o mais desafiador para as equipes de segurança porque exige a análise do comportamento de um usuário e a determinação de suas intenções.
Os insiders maliciosos também são caros: o custo médio de uma violação de dados por um insider malicioso é o mais alto de todos os tipos, chegando a US$ 4,9 milhões. Ao contrário do uso acidental por insiders bem-intencionados, os insiders maliciosos fazem uma escolha consciente de agir. As razões podem variar, mas as motivações subjacentes são tipicamente impulsionadas pelo ganho pessoal para o insider e pelo dano à organização. Os resultados podem ser significativos: no Relatório de Panorama de Perda de Dados da Proofpoint 2024, 90% dos entrevistados disseram ter sofrido consequências de uma perda de dados, com a principal implicação sendo a interrupção dos negócios.
Então, como você pode reconhecer uma ameaça interna maliciosa e manter sua organização e dados seguros? Isso começa com a compreensão das motivações dos insiders maliciosos.
Compreendendo o Insider Malicioso
A característica mais definidora de um insider malicioso é sua intenção de causar danos à organização. Um insider malicioso pode ser impulsionado por uma variedade de razões e fatores externos, muitos dos quais podem causar medo e incerteza. Exemplos incluem:
- Mudanças nos negócios (fusões e aquisições, desinvestimentos, etc.)
- Medo de perder o emprego
- Estresse financeiro
- Ressentimento devido a mudanças no trabalho / conflito com o chefe
- Desempenho profissional ruim
Conscientizar-se dos fatores externos que podem inspirar insiders maliciosos a se engajar em atividades nefastas pode proporcionar uma melhor compreensão de quem podem ser seus insiders de alto risco e o que poderia motivá-los a agir de forma maliciosa.
Essa percepção também ilustra a importância de construir uma equipe multifuncional que vá além da cibersegurança tradicional para abordar situações que envolvem os funcionários. Ter uma equipe ampliada - incluindo RH, jurídico e gestão - pode ajudar a identificar fatores externos e intervir em uma situação delicada antes que ela se torne um incidente interno completo. Da mesma forma, uma vez que um incidente ocorre, uma investigação com a equipe multifuncional pode ser necessária, exigindo que a equipe de segurança escale para outros departamentos.
O Proofpoint Insider Threat Management ajuda a facilitar a colaboração multifuncional, fornecendo relatórios de atividade do usuário que são facilmente exportáveis e altamente consumíveis. Um relatório de risco do usuário detalha a atividade do usuário com dados e comportamentos, ajudando a fornecer insights contextuais através de uma linha do tempo de atividades e metadados detalhados.
Indicadores Precoce de Ameaças Internas
Uma vez que você esteja ciente das motivações comuns para insiders maliciosos, é importante reconhecer os comportamentos que indicam ameaças internas maliciosas.
Exemplos de indicadores de ameaças internas incluem:
- Ocultar informações
- Acesso não autorizado
- Ignorar controles de segurança
- Criar uma porta dos fundos
- Exfiltração de dados
- Realizar tarefas administrativas não autorizadas
- Instalar um navegador TOR
- Executar software malicioso
- Baixar software não autorizado
- Acessar código-fonte durante horários irregulares
- Sabotagem de TI
É importante notar que um indicador de ameaça interna por si só não identifica um insider malicioso. Em vez disso, é a combinação de indicadores comportamentais, que devem ser analisados de forma holística, ao longo do tempo e no contexto de fatores externos, que começa a pintar um quadro de um insider malicioso e suas intenções.
A Proofpoint desenvolveu uma biblioteca de casos de uso e indicadores que estão mais associados a ameaças internas. Monitorar esses indicadores ajuda a reduzir o risco associado a ameaças internas, proporcionando uma maneira rápida de detectar comportamentos arriscados. A biblioteca inclui mais de 150 regras prontas para uso baseadas nas diretrizes do CERT Institute e em pesquisas baseadas em comportamento. Com a biblioteca de ameaças, os clientes podem começar a operar rapidamente, incorporando comportamentos comuns.
Evidências Forenses para Investigações
Incidentes envolvendo usuários descuidados podem ser resolvidos normalmente conversando com o funcionário e seu gerente, realizando Treinamento de Conscientização em Segurança direcionado e instilando uma cultura de segurança em primeiro lugar. No entanto, para insiders maliciosos, uma investigação pode ser necessária. Em determinado momento, as equipes de segurança escalarão a investigação para os departamentos de RH, Jurídico e outros. Em casos graves, o incidente pode resultar em litígios.
Em qualquer situação que envolva confrontar um insider malicioso, é fundamental ter evidências irrefutáveis. Um dos clientes da Proofpoint, que experimentou um funcionário levando dados sensíveis, elaborou sobre esse fato: “Se você vai acusar alguém de roubar arquivos da sua empresa, você não pode estar errado... A visibilidade é do interesse de cada usuário na empresa... [Proofpoint] nos permite percorrer exatamente o que um usuário estava fazendo.”
O Proofpoint ITM fornece metadados detalhados e capturas de tela para fornecer as evidências necessárias para investigações. Com visibilidade sobre o que um usuário estava fazendo antes, durante e após um incidente, as equipes de segurança obtêm insights sobre as intenções e motivações de um usuário, o que é fundamental para determinar a melhor resposta. Além disso, ter evidências claras e irrefutáveis de comportamento malicioso serve como base para informar decisões de RH, jurídico, privacidade e gerentes. Os dados dos usuários podem ser mantidos anônimos para proteger a privacidade dos funcionários e eliminar preconceitos durante as investigações.
Próximos Passos
O Proofpoint ITM ajuda a detectar e prevenir atividades maliciosas potenciais antes que causem danos à sua organização. Compreendendo o contexto, você ganha maior insight sobre o comportamento do usuário e maior proteção da sua propriedade intelectual e ativos valiosos, permitindo que você mantenha a organização segura das implicações de um insider malicioso antes que cause danos à marca e financeiros.
Saiba mais sobre o Proofpoint ITM e como se defender contra ameaças internas. Aprenda como começar com DLP e ITM.