Por que os Atacantes Levam Vantagem?
A resposta é simples: a maioria das organizações não têm qualquer procedimento no local para lidar com a ameaça interna. Um levantamento feito com 355 profissionais de TI, descobriu que 61 por cento deles disse que não podia dissuadir ataques internos, e 59 por cento admitiu que não foram capazes de detectar até mesmo um desses ataques. Debaixo das estatísticas, há uma verdade desconfortável. Modelos ultrapassados de segurança não têm espaço para ameaças internas. Como as empresas derramam milhões em dinheiro para prevenir invasores externos de obter acesso e entrar em sua rede, eles operam sob a suposição de que aqueles a quem é concedido o acesso interno em primeiro lugar são indivíduos confiáveis. Mesmo que os usuários da rede não tenham nenhuma má intenção, a negligência e credenciais comprometidas são tão perigosos quanto um ladrão. Importante destacar que todos os atacantes tem o hábito de solicitar credenciais através de uma campanha de phishing ou alguma outra forma de engenharia social. Se eles falharem, apenas desperdiçaram a quantidade de tempo que leva para escrever um e-mail ou fazer uma chamada telefônica, mas se eles tiverem sucesso, de repente eles terão todos os privilégios de um usuário legítimo.
Uma vez que uma ameaça interna tenha os privilégios de acesso necessários, o potencial de danos causados pode ser devastador. Isso porque a maioria das organizações não monitora o tráfego da rede interna, e assim, um atacante pode levar o tempo necessário na realização de reconhecimento e na coleta de dados. Uma vez que toda a meta relacionada à informação é embalada em um local central na rede, o atacante pode então movê-la para fora da rede de uma só vez. E no momento em que o alarme soar, pode ser tarde demais pois geralmente, os atacantes já usaram os dados roubados da maneira que mais lhes convier.
Como Detectar uma Ameaça Interna?
Uma vez que é quase impossível "parar" uma ameaça interna logo que ela se manifesta, a detecção precoce para esse é a chave mestra para sanar o problema. Felizmente para nós, um ataque não atinge o seu ápice com a violação inicial. O autor ainda tem que executar uma série de etapas antes de sua meta se completar, e assim, nós podemos detê-los em qualquer ponto neste processo. A primeira coisa que uma organização precisa para detectar uma ameaça interna é ter a visibilidade de rede. Se os firewalls agem "guardas armados na porta", a visibilidade é o monitoramento de câmeras de segurança no interior do edifício. Além disso, é preciso checar minuciosamente o tráfego interno da rede, logs de acesso, violações de políticas e a necessidade de ser vigiado continuamente por atividade suspeita. Diante disso, vem a necessidade de saber que um dia normal se parece com o funcionamento de sua rede. Saber qual a quantidade de tráfego deve ser esperada para acesso a informação sensível e quais aplicativos são usados na operação do dia-a-dia. Qualquer coisa que esteja fora desses limites ou padrões estabelecidos, deve ser imediatamente investigada.
Em meio a essas ameças oriundas de insiders, a pessoa deve ser capaz de identificar as seguintes atividades:
- Acesso não autorizado;
- A violação das políticas da organização;
- Reconhecimento interno
- Data Hoarding
- A Perda de Dados
Um ponto muito importante a ser ressaltado é que a análise de dados pode fazer uma enorme diferença. Se uma organização for grande, pode ser impossível monitorar a atividade de rede manualmente. Isso porque qualquer coisa importante é suplantada rapidamente pela infinidade de outras informações. Usando NetFlow e outros metadados de rede, uma boa ferramenta de análise de segurança pode ajudar a colocar as informações mais relevantes no topo. Em segundo lugar, manter uma trilha de auditoria de transações de rede durante o tempo que for viável para a organização é muito importante. Se você for atingido por um ataque interno, a trilha de auditoria pode ser utilizada para identificar como a ameaça foi colocada em prática e quais os bens foram comprometidos nesse processo. Ele também pode ajudar as autoridades a prosseguir acusações criminais contra o atacante. Por último, não se esqueça que as ameaças internas existem fora do mundo digital. Muitas vezes, um insider malicioso é um funcionário insatisfeito buscando sabotar a organização ou alguém que apenas não pode resistir à tentação de cometer fraudes ou roubar segredos das empresa, o que é um problema muito sério. Estas são pessoas que interagem pessoalmente com outros funcionários e os outros funcionários podem tomar conhecimento se eles estão agindo de forma suspeita.
Uma pesquisa realizada pelo CERT Insider Threat Center indicou que as ameaças internas (os insiders) tipicamente realizam seus ataques no prazo de 30 dias antes de sua demissão e muitas vezes, exibem determinado comportamento antes de suas atividades ilícitas, como ameaçar a organização ou se gabar publicamente sobre o quanto eles poderiam ser prejudiciais, como uma forma de se vingar daquela empresa. Gestores e representantes de RH devem ser treinados para reconhecer esses comportamentos e trazê-los à atenção da área de TI. Além disso, quando um empregado muda totalmente de comportamento em seu processo de demissão, o pessoal de segurança deve manter um olhar mais atento sobre as suas atividades e garantir que todo o acesso de credenciais seja revogado.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2293&p=2