1. É muito importante ter uma idéia do que você esteja fazendo em termos de mitigação de ameaças internas. Neste ambiente de rápidas mudanças, muitos profissionais de segurança de TI não sabem exatamente o quanto suas organizações estão fazendo atualmente para combater este enorme potencial para violações. Sem saber onde as falhas de segurança estão localizadas, não há nenhuma maneira de ligar a barragem de ameaças internas. Dessa forma, os profissionais de segurança de TI devem sentar-se com suas equipes para discutir o que está no lugar em termos de defesas tecnológicas, que podem deter a maré da invasão "insider", que pode ser descuidada ou mal-intencionada. Além disso, os altos executivos de segurança de TI, devem coordenar os seus esforços com o seu departamento de recursos humanos, as linhas de negócio, e o C-Suit -, bem como serviços potencialmente legais - para garantir que as suas estratégias e as políticas atuais de prevenção, policiamento e disciplinar de ameaças potenciais relacionadas a insiders sejam consistentes e significativas. A partir daí, as equipes de segurança de TI podem se concentrar no que precisa ser melhorado ou adicionado.
2. Considere o plano de resposta para a sua organização. Assim como a execução de um exercício de incêndio, o auxílio no sentido de mitigar a incidência ou o impacto de ameaças internas em potencial tem muito a ver com o que está sendo preparado. Simplificando o cenário, o potencial para pelo menos, uma violação insider menor a ocorrer, combinado com o impacto potencial de uma violação de dimensões não tão menores, é tão grande que pretende planejar uma resposta mais analítica. Além do mais, a equipe de segurança de TI deve ter o seu próprio plano de resposta no local em caso de uma violação insider, que abrange uma série de cenários comuns, seja ele um ataque malicioso perpetrado por um elemento mais experiente, um ex-executivo de alto nível ou uma resposta a um descuidado que veio através de "e-mail spear-phishing", que foi permitido por um funcionário de baixo nível com pouco acesso a ativos de informação críticos. O plano deverá levar em conta as funções da equipe de segurança de TI de forma rápida e eficazmente erradicar esta ameaça, uma vez que esta seja determinada; dessa forma, a a equipe colabora e mobiliza linhas de negócios, recursos humanos, conformidade e departamentos jurídicos na organização; como e quando o resto da organização deve ser notificado; "como" e "se" os vendedores externos ou clientes devem ser notificados; e como um "clean-up" do incidente deve acontecer e um "post-mortem" do evento deve ocorrer para prevenir futuros incidentes semelhantes.
3. Monitoramento do Fluxo de Dados, em Especial o Acesso aos Bens mais Valiosos. As organizações não podem proibir que seus funcionários acessem as informações de que necessitam para fazer seu trabalho do dia-a-dia. Porém, isso não significa que eles têm que abrir o "firehose" e deixar todo mundo ter acesso ao fluxo de todas as informações, ou até mesmo que eles não devem controlar esse acesso. Monitorando e registrando as atividades do usuário - incluindo os dados que estão se movendo através da rede e que os dados estão sendo retirados da rede particular - é fundamental para a detecção precoce de ameaças internas. Os departamentos de segurança de TI precisam coordenar com linhas de departamentos de negócios e de recursos humanos, com o intuito de definir e manter as políticas em matéria de controle de acesso adequado, para que os funcionários só possam obter as informações que eles precisam para fazer seus trabalhos. Além do mais, as defesas de perímetro de pouca utilidade, como a definição de ameaças internas significam que o autor do crime já está "dentro dos portões da organização". Nesse contexto, existe ainda um fator crítico, então, é ter certeza de que nem todo mundo ter permissão às "chaves do reino". E então, para monitorar o tráfego de rede e de acesso a logs internos para os indicadores de comportamento suspeito, inclui um funcionário que tenta obter acesso não autorizado a informações que eles não tenham permissão para acessar, além de uma violação das políticas da organização, açambarcamento ou descarga maciça de dados.
Cuidados Simples e Essenciais para Evitar Ação de Insiders
Implementar políticas de senhas fortes, é um fator imprescindível para inserir senhas de alta relevância e assim, verificar aquelas que possam ser alvos fáceis de serem descobertas. Se os insiders são administradores de sistema, eles provavelmente terão acesso aos hashes de senha. E nós sabemos que senhas fracas são alvos fáceis para cybercriminosos conseguirem seus intuitos. Além disso, a imposição do acesso privilegiado com separação de funções – é preciso impor limites e saber quem pode ou não ter acesso aos arquivos ou pastas. Dessa forma, você deve ficar atento e monitorar o acesso dos usuários. Além do mais, separar os acessos por funções pode ser uma saída para que funcionários de outras áreas não tenham acesso a documentos que não fazem parte de sua rotina. Outro ponto importante, é ficar atento aos funcionários que foram desligados da empresa: sempre procure certificar-se de que os controles estejam configurados para negar o acesso a partir do último dia de qualquer funcionário trabalhando na referida empresa, independentemente da razão pela qual a pessoa tenha deixado à empresa. O departamento de TI deve saber todos os caminhos de acesso que estão disponíveis para o funcionário, e dessa maneira, evitar que uma invasão aconteça.
Além de tudo, é preciso ter muito cuidado com o acesso de terceiros, pois é fácil esquecer que a Intranet de uma organização está aberta não apenas para os funcionários, mas também há a grande possibilidade de clientes, fornecedores externos e empreiteiros remotos acessarem a sua rede. Eles também fazem parte dos insiders também, já que representam uma ameaça interna. Embora você provavelmente não seja capaz de observar diretamente os eventos precursores, é necessário agir cuidadosamente e monitorar a atividade desses agentes externos. A importância de realização do backup é extrema, pois as organizações precisam ter em vigor um plano de recuperação do sistema de arquivos. Isso, claro, requer o backup de dados e, frequentemente, de outros documentos importantes. Dessa maneira, a pessoa precisa ter sempre uma nova estratégia a ser colocada em prática e trabalhar com relação a vários cenários, caso ocorra uma invasão.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2327&p=2