Blog WatchGuard

Ameaças internas: Como identificar e prevenir

Uma ameaça interna maliciosa a uma organização é um funcionário, contratado ou outro parceiro de negócios atual ou anterior que tem ou teve acesso autorizado à rede, sistema ou dados de uma organização e intencionalmente excedeu ou fez uso indevido desse acesso de uma maneira que afetou negativamente a confidencialidade, integridade ou disponibilidade das informações ou sistemas de informação da organização.

As ameaças internas podem ser funcionários atuais, aqueles que foram demitidos recentemente ou até mesmo contratados que recebem uma conta em um sistema apenas por alguns dias de trabalho – desde que a pessoa tenha uma conta e privilégios legítimos para uma função, ela pode optar por usá-los para atividades maliciosas.

Por que as ameaças internas são perigosas?

Mesmo as melhores equipes de segurança lutam para detectar ameaças internas. Como a ameaça interna têm acesso legítimo às informações e ativos da organização. É difícil distinguir entre atividade normal e atividade maliciosa. Para agravar esse problema está o fato de que essas ameaças normalmente entendem onde os dados confidenciais são armazenados e podem ter necessidades de acesso legítimas, tornando o gerenciamento de acesso baseado em funções um controle ineficaz. Como resultado, uma violação de dados deste tipo é significativamente mais cara do que uma causada por agentes de ameaças externas.

Tipos de ameaças internas

Existem diferentes tipos de ameaças internas que são riscos de segurança:

Descuidado: Uma pequena porcentagem de pessoas não responde ao treinamento de conscientização de segurança. Embora eles não pretendam se comportar de forma negligente, eles estão entre os membros mais arriscados, pois seus comportamentos se encaixam em padrões consistentes. Por exemplo, indivíduos com um forte histórico de cair em phishing provavelmente serão vítimas novamente.

Negligente: a negligência é a forma mais comum e cara de ameaça interna. Esse grupo geralmente apresenta comportamento seguro e atende às políticas de segurança da informação, mas causa incidentes de segurança devido a erros isolados.

Malicioso: esse tipo de ameaça interna geralmente tenta exfiltração de dados ou outros atos maliciosos, como instalar malware para obter ganhos financeiros. Um estudo do Gartner sobre ameaças internas criminosas descobriu que 62% das pessoas com intenção maliciosa são pessoas que buscam uma renda suplementar.

Descontente: Funcionários descontentes podem cometer sabotagem deliberada de ferramentas de segurança, controles de segurança de dados ou cometer roubo de propriedade intelectual. Esses tipos de funcionários podem ser detectados com análise de comportamento, pois podem seguir padrões comportamentais específicos. Por exemplo, eles podem começar a procurar fontes de dados confidenciais quando notificam ou são demitidos antes de terem o acesso removido.

Prevenção: treinamento e tecnologia

As ameaças internas estão ocultas em todas as verticais hoje e podem ser catastróficas para as empresas se ignoradas. Os CISOs e CIOs das organizações devem configurar um programa de gerenciamento de ameaças que combine pessoas, métodos e tecnologia para identificar ameaças potenciais e prevenir incidentes dentro da organização.

Quando se trata de tecnologia, é importante contar com:

  • Prevenção de ameaças por meio de filtragem de DNS, HTTP e HTTPS
  • gerenciamento de vulnerabilidades com uma solução flexível de patch e implantação
  • detecção e resposta de endpoint com um antivírus de última geração
  • gerenciamento de acesso privilegiado e controle de aplicativos
  • proteção de e-mail e prevenção de fraudes

Todo funcionário de segurança de TI deve considerar a proteção contra ameaças internas como uma necessidade importante no cenário atual do trabalho remoto.