• Lições de Segurança a Partir do FBI Insider Threat Program

    Mesmo que as ameaças internas não tenham conseguido tornar-se tão evidentes comparadas aos APTs durante a RSA Conference deste ano, duas apresentações realizadas pelo FBI conseguiram "roubar a cena", durante uma sessão que ofereceu aos profissionais de segurança corporativa algumas lições aprendidas na agência, depois de mais de dez anos de esforços para identificar profissionais internos maliciosos, após o desastroso caso de espionagem de Robert Hanssen.


    As Verdadeiras Ameaças Internas

    De um modo geral, as pessoas acham que os insiders mais perigosos são crackers que executam ferramentas tecnológicas especiais em redes internas. Mas, de acordo com Patrick Reidy, CISO para o FBI, as coisas não são exatamente assim. Conforme declarações feitas pelo executivo, "você lida com usuários autorizados a fazer coisas autorizadas com objetivos maliciosos". Ele ainda acrescentou que "na verdade, analisando 20 anos de casos de espionagem, nenhum deles envolvia pessoas que estivessem executando ferramentas de cracking ou aumentando privilégios com propósitos de espionagem".


    Além disso, Reidy conta que menos de um quarto dos incidentes internos rastreados por ano acabam sendo comprovados como acidentais, ou o que ele chama de "problemas ocasionados por pessoas tolas". No entanto, no FBI, a equipe de ameaças internas passa 35% do tempo trabalhando para mitigar esses problemas. Reidy acredita que o FBI e outras organizações deveriam buscar maneiras de automatizar o conjunto de problemas, focando em uma melhor educação para o usuário. Deixar de lado incidentes de baixa complexidade faz com que a equipe de ameaças internas possa concentrar em problemas mais complexos envolvendo profissionais maliciosos, disse ele.


    Ameaças Internas, Questões Técnicas e Segurança Cibernética

    De acordo com as declarações de Kate Randal, analista de ameaças internas e pesquisadora-líder do FBI, diferente de muitas outras questões envolvendo a área da segurança da informação, o risco de ameaças internas não é um problema técnico, mas um problema centrado em pessoas. Dessa forma, é necessário ir em busca de soluções que possam, de maneira eficiente e eficaz, eliminar este problema. Kate disse que "as pessoas são multidimensionais, portanto, é preciso que haja uma abordagem multidisciplinar".

    Esse processo começa com esforços focados na identificação e na observação de seus funcionários, seus possíveis inimigos e os dados que podem estar em risco. Em especial, seria necessário entender quem seus funcionários realmente são, devendo ser examinados por três importantes ângulos informacionais: virtual, contextual e psicossocial.

    "Essa combinação dos três fatores pode ser classificada como a parte mais poderosa da metodologia", disse Randal. No contexto de um mundo ideal, há um desejo muito forte de coletar o máximo possível sobre essas áreas, mas isso nunca vai acontecer. Então, o mais importante é adotar um método que trabalhe com seu departamento jurídico e de gerenciamento, para definir o que funciona melhor dentro das limitações de seu ambiente".


    Programa de Ameaças Internas e Ênfase no Desestímulo de Ações Maliciosas

    Durante um certo tempo, o FBI preferiu utilizar análises preditivas para ajudar a prever o comportamento interno antes da prática das atividades maliciosas. Ao invés de desenvolver uma poderosa ferramenta para dar um freio nos criminosos antes de suas ações, o FBI acabou com um sistema que era estatisticamente pior do que desmascarar um comportamento suspeito. Em comparação com as habilidades preditivas do Punxsutawney Phil, a marmota do Dia da Marmota (dos EUA), o sistema foi ainda pior no que diz respeito à previsão de atividades maliciosas internas, disse Reidy.

    O executivo disse que os resultados seriam bem melhores se contratássemos Punxsutawney Phil, e colocássemos em frente a todos os funcionários perguntando se o indivíduo teria ou não, "comportamento malicioso". Na sequência, ao invés de se prender em previsões e detecções, ele acredita que as organizações devem começar, o quanto antes, com os trabalhos de desestimular essas atividades.

    Conforme declarou Phil, surge a necessidade de criar um ambiente em que seja realmente difícil ou desconfortável ser um insider, explicando que o FBI faz isso de diversas formas, incluindo segurança em crowdsourcing, além de permitir que cada usuário, criptografe seus próprios dados, classifique o como secreto e pense em novas maneiras de protegê-los. Além disso, a agência encontrou maneiras de criar "alertas", para que os usuários saibam que há políticas rigorosas em vigor e que as interações com os dados são monitoradas.


    Detecção de Ameaças Internas e Utilização de Técnica com Base em Fatores Comportamentais

    Seguindo o fracasso do desenvolvimento de análises preditivas eficientes, o FBI partiu rumo a uma metodologia de detecção comportamental, que se comprovou mais eficiente e eficaz, disse Reidy. A ideia central é detectar quaisquer tipos de comportamento malicioso interno, naquele momento crucial em que um bom funcionário passa a se rebelar. De acordo com o executivo, houve uma observação em relação a como as pessoas operam no sistema, dentro de um contexto, e assim, houve uma tentativa de criar linhas de partida e a busca por anomalias.

    Qualquer que seja o tipo de análise utilizada pela organização, seja um arquivo comportamental ou dados sobre interações com arquivos, Reidy recomenda um mínimo de seis meses de linhas de partida, antes de sequer tentar qualquer análise de detecção. Ele também diz que "mesmo que tudo que você possa medir seja telemetria para verificar as impressões em um servidor, você pode analisar elementos como volume, quantos arquivos e qual o tamanho dos arquivos e com que frequência eles imprimem".


    Fase Inicial da Ciência do Desestímulo e da Detecção de Ameaças Internas

    De acordo com Randal, foi uma ciência fraca que levou o FBI ao ponto de utilizar análises preditivas piores do que aleatórias. Parte do problema é que, até agora, a ciência do desestímulo e da detecção de ameaças internas está apenas em fase inicial. Um dos problemas com o lento crescimento é que uma boa parte da pesquisa existente foca apenas nos dados dos vilões.


    Saiba Mais:

    [1] Dark Reading http://www.darkreading.com/insider-t...t-program.html

    Sobre o Autor: Camilla Lemke


    Comentários 2 Comentários
    1. Avatar de flima
      flima -
      Desde os primórdios da TI, infelizmente algo que nunca conseguimos ainda controlar é o "caráter" dos usuários. Leciono informatica ha alguns anos e, sempre que entro em modulos de programacao e/ou redes, eles se encantam na forma de como invadir e/ou roubar informações. Digo que, cada um deve ser responsável pelos seus atos, mas lidar com a consciencia humana é, ainda até hoje, o ato mais dificil para se ter informações seguras.
    1. Avatar de lemke
      lemke -
      Citação Postado originalmente por flima Ver Post
      Desde os primórdios da TI, infelizmente algo que nunca conseguimos ainda controlar é o "caráter" dos usuários. Leciono informatica ha alguns anos e, sempre que entro em modulos de programacao e/ou redes, eles se encantam na forma de como invadir e/ou roubar informações. Digo que, cada um deve ser responsável pelos seus atos, mas lidar com a consciencia humana é, ainda até hoje, o ato mais dificil para se ter informações seguras.
      De fato, lidar com a consciência e com o comportamento humano nesse sentido, é uma tarefa cada vez mais complexa, que exige paciência e muita persistência.

      Existe essa espécie de encantamento pelo lado obscuro (ou não tão obscuro assim) da área de segurança, e exatamente por este motivo, podemos ver a necessidade de deixar claro que há diferença entre um hacker e um cracker. A contramão da legalidade, muitas vezes, enche os olhos daqueles que ingressam na área não por vocação e sim, por curiosidade/empolgação.

      Mas nós que somos profissionais, sabemos que a área de TI, em espcífico a área de Segurança da Informação, vai e está muito acima de tudo isso.

      Sds,
    + Enviar Comentário

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L