Uma ameaça interna é um risco de segurança para uma organização que vem de dentro do próprio negócio. Pode ter origem em actuais ou antigos empregados, empreiteiros ou quaisquer outros associados comerciais que tenham – ou tenham tido – acesso aos dados e sistemas informáticos de uma organização. Porque tem origem interna e pode ou não ser intencional, uma ameaça interna está entre as mais caras e difíceis de detectar de todos os tipos de ataque.
Tipos de ameaças internas
Existem múltiplos tipos de ameaças internas que são definidas sobre a intenção e motivação das pessoas envolvidas.
- Insiders “negligentes” podem não ter a intenção de colocar a organização em risco, mas fazem-no de forma não maliciosa, comportando-se de forma insegura. Estes iniciados podem não responder aos exercícios de sensibilização e treino de segurança ou podem cometer erros isolados ao exercerem um mau julgamento. Em qualquer dos casos, a negligência é frequentemente citada como o tipo mais caro de risco dos funcionários.
- “Terceiros” insiders são empreiteiros ou vendedores que uma empresa deu tipicamente algum tipo de acesso à sua rede. Estes insiders podem ter empregados que se enquadram numa das categorias acima ou podem simplesmente ter falhas nos seus próprios sistemas e dispositivos que abrem vulnerabilidades aos atacantes.
li> Os informadores internos “colusivos” colaborarão com agentes maliciosos de ameaças externas para comprometer a organização. Embora seja arriscado e raro, este tipo de ameaça interna está a tornar-se mais comum, uma vez que os cibercriminosos profissionais estão cada vez mais a utilizar a teia escura para recrutar empregados como aliados. Estes casos envolvem frequentemente fraude, roubo de propriedade intelectual ou uma combinação dos dois, o que pode torná-los muito dispendiosos. Este tipo de conluio pode também demorar mais tempo a ser detectado, uma vez que os actores de ameaças externas maliciosas são tipicamente bem versados em tecnologia e estratégias de segurança para evitar a detecção.li> “Maliciosos” infiltrados exfiltram dados ou cometem outros actos negativos contra a organização com o objectivo de recompensas financeiras ou outros ganhos pessoais. Os infiltrados mal-intencionados que procuram um segundo fluxo de rendimentos irão normalmente exfiltrar lentamente os dados para as contas pessoais para evitar a sua detecção. Outro tipo de informador malicioso, o funcionário descontente, terá como objectivo sabotar deliberadamente uma empresa ou roubar a sua propriedade intelectual. Podem ser vistos a pentear a informação sensível da empresa ou a completar grandes exportações de dados, especialmente na altura em que se demitem da sua posição ou dão o habitual aviso prévio de duas semanas antes de deixarem uma posição.
Riscos Posicionados por Ameaças Internas
Insiders são particularmente perigosos porque, ao contrário dos outsiders que trabalham para penetrar na organização, têm tipicamente acesso legítimo aos sistemas informáticos e à rede, de que necessitam para realizar os seus trabalhos diários. Se estas autorizações forem abusadas ou aproveitadas para prejudicar a organização, os resultados podem ser catastróficos e dispendiosos para a empresa.
Quando se trabalha activamente para comprometer uma organização, os infiltrados também têm uma vantagem, uma vez que estão tipicamente familiarizados com a estrutura de dados da empresa e onde reside a propriedade intelectual. Podem também saber como essa informação está a ser protegida, facilitando-lhes a evasão de quaisquer medidas de segurança.
Porque um informador interno já tem acesso directo à organização e à sua rede e não precisa de invadir o perímetro exterior, as ameaças internas são muitas vezes mais difíceis de defender do que os ataques de forasteiros. São também mais desafiantes de detectar, uma vez que os movimentos de ameaças internas se misturam frequentemente com comportamentos empresariais justificados.
Detecção de Ameaças Internas
As ameaças internas podem facilmente escapar às defesas existentes, tornando a detecção mais desafiante. No entanto, a familiaridade e o acesso a dados sensíveis que os iniciados têm tornam a detecção crítica. Uma vez que as ameaças internas podem misturar-se com a actividade empresarial justificada, as equipas de segurança devem ser capazes de olhar para além dos artefactos individuais para descobrir comportamentos e outros padrões que possam indicar um compromisso. Estes padrões irão variar dependendo do tipo de ameaça interna.
A probabilidade de detectar um informador interno, e pontos dentro do ciclo de vida do ataque onde é provável que sejam descobertos, é diferente para cada tipo de ameaça interna. Os insiders negligentes podem ser detectados identificando as suas vulnerabilidades existentes antes de serem comprometidos, identificando quando as suas credenciais estão comprometidas ou se as suas credenciais são alavancadas para comando e controlo, ou descobrindo movimentos laterais invulgares que se originam com esse utilizador. Os informadores internos colusivos são mais frequentemente detectados quando comunicam ou passam dados aos seus colaboradores externos maliciosos. Os iniciados maliciosos podem mostrar um padrão de acesso ou exfiltração de informação de que não precisam ou não deveriam ter acesso. Os iniciados de terceiros também podem ser identificados de todas estas formas.
Ao detectar ameaças de iniciados, é vital que as organizações tenham uma imagem completa dos dispositivos, pessoas e outras entidades sem necessidade de registos ou agentes endpoint através da sua rede, uma vez que estes podem muitas vezes não estar disponíveis. Estes devem ser rastreados mesmo quando os endereços IP mudam, a fim de identificar dados e padrões de comportamento. As equipas de segurança devem também ter acesso ao contexto completo em torno destas entidades, incluindo os perfis de dispositivos e utilizadores com uma função empresarial, endereços de correio electrónico, domínios visitados, ficheiros acedidos, relações e mais.
Detecção de Ameaças Internas & Investigação
Despertar detecta ataques de ameaças internas que se misturam com a actividade empresarial justificada através da identificação de anomalias e mal-intencionados. A Plataforma de Detecção e Resposta da Rede Desperta analisa dados de captura de pacotes completos para extrair centenas de sinais relevantes para a segurança, deduzindo e traçando o perfil de entidades tais como dispositivos e domínios, bem como os seus comportamentos e relações. Também capta o conhecimento institucional da equipa, incluindo o contexto empresarial que pode iluminar os papéis dos utilizadores e os comportamentos de base. A plataforma permite então a detecção comportamental de TTPs atacantes e ameaças específicas da organização. Toda a actividade está correlacionada numa linha temporal de ameaça que engloba os CIO, TTP, e não-malware. Este processo permite a triagem automática com pontuações de risco para cada dispositivo e domínio.
Este nível de visibilidade e análise forense detalhada era anteriormente possível apenas para os peritos de segurança mais sofisticados do mundo, e mesmo assim, só era possível através de um processo manual e demorado, o que significava que as ameaças internas eram reveladas tardiamente, se é que eram. A Awake tornou a detecção de ameaças internas acessível a qualquer organização, independentemente do tamanho, orçamento ou sofisticação, permitindo às equipas de segurança conduzir uma resposta conclusiva e rápida, aproveitando a inteligência exaustiva da rede.
Também Ver
- Solucionando a enigmática ameaça interna dentro de
- Detecção de Movimentos Laterais via Criação de Serviços Remotos
- Lessons for Security Teams from the Season’s Mega Breaches