As Verdadeiras Ameaças Internas
De um modo geral, as pessoas acham que os insiders mais perigosos são crackers que executam ferramentas tecnológicas especiais em redes internas. Mas, de acordo com Patrick Reidy, CISO para o FBI, as coisas não são exatamente assim. Conforme declarações feitas pelo executivo, "você lida com usuários autorizados a fazer coisas autorizadas com objetivos maliciosos". Ele ainda acrescentou que "na verdade, analisando 20 anos de casos de espionagem, nenhum deles envolvia pessoas que estivessem executando ferramentas de cracking ou aumentando privilégios com propósitos de espionagem".
Além disso, Reidy conta que menos de um quarto dos incidentes internos rastreados por ano acabam sendo comprovados como acidentais, ou o que ele chama de "problemas ocasionados por pessoas tolas". No entanto, no FBI, a equipe de ameaças internas passa 35% do tempo trabalhando para mitigar esses problemas. Reidy acredita que o FBI e outras organizações deveriam buscar maneiras de automatizar o conjunto de problemas, focando em uma melhor educação para o usuário. Deixar de lado incidentes de baixa complexidade faz com que a equipe de ameaças internas possa concentrar em problemas mais complexos envolvendo profissionais maliciosos, disse ele.
Ameaças Internas, Questões Técnicas e Segurança Cibernética
De acordo com as declarações de Kate Randal, analista de ameaças internas e pesquisadora-líder do FBI, diferente de muitas outras questões envolvendo a área da segurança da informação, o risco de ameaças internas não é um problema técnico, mas um problema centrado em pessoas. Dessa forma, é necessário ir em busca de soluções que possam, de maneira eficiente e eficaz, eliminar este problema. Kate disse que "as pessoas são multidimensionais, portanto, é preciso que haja uma abordagem multidisciplinar".
Esse processo começa com esforços focados na identificação e na observação de seus funcionários, seus possíveis inimigos e os dados que podem estar em risco. Em especial, seria necessário entender quem seus funcionários realmente são, devendo ser examinados por três importantes ângulos informacionais: virtual, contextual e psicossocial.
"Essa combinação dos três fatores pode ser classificada como a parte mais poderosa da metodologia", disse Randal. No contexto de um mundo ideal, há um desejo muito forte de coletar o máximo possível sobre essas áreas, mas isso nunca vai acontecer. Então, o mais importante é adotar um método que trabalhe com seu departamento jurídico e de gerenciamento, para definir o que funciona melhor dentro das limitações de seu ambiente".
Programa de Ameaças Internas e Ênfase no Desestímulo de Ações Maliciosas
Durante um certo tempo, o FBI preferiu utilizar análises preditivas para ajudar a prever o comportamento interno antes da prática das atividades maliciosas. Ao invés de desenvolver uma poderosa ferramenta para dar um freio nos criminosos antes de suas ações, o FBI acabou com um sistema que era estatisticamente pior do que desmascarar um comportamento suspeito. Em comparação com as habilidades preditivas do Punxsutawney Phil, a marmota do Dia da Marmota (dos EUA), o sistema foi ainda pior no que diz respeito à previsão de atividades maliciosas internas, disse Reidy.
O executivo disse que os resultados seriam bem melhores se contratássemos Punxsutawney Phil, e colocássemos em frente a todos os funcionários perguntando se o indivíduo teria ou não, "comportamento malicioso". Na sequência, ao invés de se prender em previsões e detecções, ele acredita que as organizações devem começar, o quanto antes, com os trabalhos de desestimular essas atividades.
Conforme declarou Phil, surge a necessidade de criar um ambiente em que seja realmente difícil ou desconfortável ser um insider, explicando que o FBI faz isso de diversas formas, incluindo segurança em crowdsourcing, além de permitir que cada usuário, criptografe seus próprios dados, classifique o como secreto e pense em novas maneiras de protegê-los. Além disso, a agência encontrou maneiras de criar "alertas", para que os usuários saibam que há políticas rigorosas em vigor e que as interações com os dados são monitoradas.
Detecção de Ameaças Internas e Utilização de Técnica com Base em Fatores Comportamentais
Seguindo o fracasso do desenvolvimento de análises preditivas eficientes, o FBI partiu rumo a uma metodologia de detecção comportamental, que se comprovou mais eficiente e eficaz, disse Reidy. A ideia central é detectar quaisquer tipos de comportamento malicioso interno, naquele momento crucial em que um bom funcionário passa a se rebelar. De acordo com o executivo, houve uma observação em relação a como as pessoas operam no sistema, dentro de um contexto, e assim, houve uma tentativa de criar linhas de partida e a busca por anomalias.
Qualquer que seja o tipo de análise utilizada pela organização, seja um arquivo comportamental ou dados sobre interações com arquivos, Reidy recomenda um mínimo de seis meses de linhas de partida, antes de sequer tentar qualquer análise de detecção. Ele também diz que "mesmo que tudo que você possa medir seja telemetria para verificar as impressões em um servidor, você pode analisar elementos como volume, quantos arquivos e qual o tamanho dos arquivos e com que frequência eles imprimem".
Fase Inicial da Ciência do Desestímulo e da Detecção de Ameaças Internas
De acordo com Randal, foi uma ciência fraca que levou o FBI ao ponto de utilizar análises preditivas piores do que aleatórias. Parte do problema é que, até agora, a ciência do desestímulo e da detecção de ameaças internas está apenas em fase inicial. Um dos problemas com o lento crescimento é que uma boa parte da pesquisa existente foca apenas nos dados dos vilões.
Saiba Mais:
[1] Dark Reading http://www.darkreading.com/insider-t...t-program.html
Mensagem do Sistema