8 maneiras de detectar uma ameaça interna

Read Time9 Minutes, 43 Seconds

A boa notícia é que a maioria das ameaças internas deriva de negligência, e não de intenção maliciosa. A má notícia é que a frequência de negligência já está à frente de onde estava em 2018.

Quando surge o desafio de combater as ameaças, é tentador descartar o processo como pouco mais do que identificar os funcionários não autorizados, além de revisar e refinar permissões, controles e autorizações para impedir a recorrência. Dependendo do setor, algumas desculpas públicas podem precisar ser feitas e algumas multas regulatórias podem precisar ser pagas.

As boas e as más notícias com ameaças internas? A boa notícia é que a maioria das ameaças internas deriva de negligência, e não de intenções maliciosas, como Katie Burnell, especialista global em ameaças internas do fornecedor de segurança Dtex Systems, explicou em um webinar de novembro de Dark Reading sobre a ameaça interna. A má notícia, disse ela, é que a frequência de negligência já está à frente de onde estava em 2018.

Para agravar o problema, há mais redes, mais dispositivos e, é claro, mais dados para monitorar e proteger. As organizações entendem que não podem garantir tudo isso igualmente. Uma abordagem foi priorizar o monitoramento daqueles usuários com os mais altos privilégios, talvez auxiliados pelo uso de ferramentas de gerenciamento de acesso privilegiado (PAM).

Nossa lista de ameaças internas identifica o “quem”, mas e o “como” da detecção? Arquivos de log e dados SIEM podem oferecer algumas informações forenses para ver quem acessou quais servidores, bancos de dados e arquivos individuais. Mas os volumes de dados de monitoramento são grandes demais para fazer isso para todos os usuários, concordam os especialistas em segurança. Isso abriu a porta para a análise de comportamento do usuário e da entidade (UEBA), que sinaliza o comportamento anômalo por usuário. Alguns fornecedores de segurança estão começando a insistir na idéia de “identidade como perímetro”, de acordo com Doug Cahill, analista da ESG, em vez de usar o perímetro físico mais tradicional da rede. “Então, você monitora quem tem acesso e se eles fazem algo anormal”, explica Cahill.

Os fornecedores também estão falando sobre adicionar inteligência artificial e aprendizado de máquina à equação de segurança. Embora essas implementações permaneçam bastante básicas, você não precisa de um algoritmo para perceber que é nesse ponto que o gerenciamento de segurança é direcionado. A detecção e a interrupção de pessoas mal-intencionadas precisarão desse poder extra, que automatiza as tarefas deixadas aos humanos.

Apenas curioso – ou ativamente enviando currículo?

A maioria dos empregadores tem o direito de monitorar o histórico de navegação on-line de seus funcionários, e a maioria dos funcionários entende que suas atividades on-line podem ser examinadas. Mas nem sempre é fácil verificar quais funcionários estão com um pé fora da porta. Muitos profissionais de segurança concordam que é inteligente ter um senso geral daqueles que fazem visitas regulares ao LinkedIn, Glassdoor ou CareerBuilder.

E é aqui que os aliados da organização podem ajudar, de acordo com Burnell, da Dtex. “Encontre e identifique partes interessadas de toda a empresa – de recursos humanos e legais – partes interessadas de todas as áreas para apoiar e lidar com ameaças internas”, disse ela.

Obviamente, verificar as descrições dos cargos não torna alguém desonesto ou ameaçador. Mas se as visitas ao local de trabalho forem excessivas ou começarem a se tornar hábitos de longo prazo, pode valer a pena dar uma nova olhada nos privilégios e permissões usufruídos pelo candidato a emprego. A última coisa que uma organização deseja é que um funcionário que esteja partindo leve uma série de dados proprietários para outra empresa (potencialmente uma concorrente) ou use esses dados como alavanca para conseguir uma nova posição.

A ascensão do ‘insider persistente’

Há um tipo específico de usuário que parece estar em toda a rede – “Como ela acessou esse servidor?” – possivelmente avaliando como diferentes departamentos organizam os dados do projeto, com que frequência os dados são atualizados ou quais arquivos são exibidos com muita ação ou protegidos por senha. Em um reino mais assustador, tudo isso poderia simplesmente ser chamado de reconhecimento.

Mas um insider persistente bem-sucedido precisa manter as guias ocultas, incluindo quais permissões eles roubam ou concedem a si mesmos, servidores que acessam e arquivos em que tocam. Ao manter uma boa cobertura, um insider persistente pode usar alterações no cenário interno de dados para barganha, chantagem ou aproveitamento total. E isso significa que o grupo potencial de pessoas que se mantêm persistentes se estende a todos, desde o CEO mais conhecido até o estagiário de verão taciturno. Ver usuários em partes da rede aos quais eles não pertencem é um plano de ação para que o pessoal de segurança verifique novamente as permissões de usuários persistentes suspeitos.

Esse tipo de monitoramento rigoroso não é “uma atividade de caixa de seleção” para manter a equipe de auditoria afastada, disse Burnell. O monitoramento e o gerenciamento devem ser feitos proativamente para realmente funcionar, ela acrescentou.

Criptografar muito?

A maioria das organizações que usam qualquer tipo de criptografia também sinaliza o ato de criptografia de dados em seus arquivos de log ou na plataforma de gerenciamento de segurança. Além disso, eles geralmente observam a quantidade de dados armazenados, pois a criptografia consome mais espaço na unidade do que os dados não criptografados.

Mas esse vetor de gerenciamento de armazenamento também fornece um buraco de fechadura para quem pode estar roubando dados da organização. Se nada mais, vale a pena perguntar a Pete na contabilidade por que ele baixou – e criptografou – terabytes de dados da engenharia. As chances são boas de que ele não o utilize nos próximos registros financeiros trimestrais. Mas os especialistas em segurança concordam que deve haver alguma justificativa explícita para quem baixar dados criptografados; baixar grandes volumes também deve acionar alguns alarmes.

Síndrome do temporizador curto

Os especialistas em monitoramento de TI e os profissionais de recursos humanos podem concordar com uma coisa: os funcionários, mesmo os de melhor desempenho e com excelente integridade, geralmente agem de maneira diferente depois de avisados, demitidos ou demitidos.

As pessoas que estão saindo podem decidir que ajudaram um produto, serviço ou nova linha de negócios e, portanto, têm o direito de levar consigo os frutos desse trabalho ao sair da empresa. Então eles baixam e / ou imprimem bancos de dados inteiros. Qualquer que seja a racionalização defeituosa, vale a pena monitorar ativamente esses funcionários de curto prazo, possivelmente até restringindo ou cortando completamente o acesso.

Assim como os candidatos a emprego compulsórios, vale a pena coordenar com o RH e com os advogados as próximas partidas para garantir que os dados da empresa permaneçam seguros.

Eddie Haskell no SOC

Existe algum profissional de segurança digital super entusiasmado em seu centro de operações de segurança que sempre se oferece como voluntário para preencher pessoas que precisam sair mais cedo ou tirar férias? Poderia ser apenas uma ambição benigna. Ou pode ser alguém ansioso para coletar muitas credenciais e permissões (mesmo que temporárias) para aprender mais sobre a rede, as políticas que a controlam e como os dados são organizados.

Mas isso é difícil de investigar, pois o funcionário solícito pode ter apenas as mais altas intenções e as empresas geralmente não gostam de desencorajar as pessoas de serem úteis. “Mas o tipo errado de administrador de TI pode de repente se tornar um risco para os seus negócios. … Quem está checando eles e o que eles dizem que estão fazendo quando chegam nos fins de semana?” Perguntou Burnell.

Quem cobre quem em tais circunstâncias não deve ser uma decisão casual. Quanto mais sensíveis as permissões, maior cuidado deve ser tomado ao delegar funções a outras equipes. As ofertas de ajuda não devem ser uma bandeira vermelha, mas os profissionais inteligentes da infosec devem prestar atenção quando essas ofertas começarem a se tornar mais frequentes. Não há necessidade de manter as portas do cofre abertas para os ladrões de banco.

Passeio de Rolls-Royce, orçamento do fanfarrão

Quando o governo realiza verificações de antecedentes quanto a folgas de segurança dos funcionários, sempre pede referências pessoais: “Essa pessoa vive dentro de seus meios?” Uma tradução menos gentil: o seu colega de faculdade tem um problema de dívida? Eles são o que os demógrafos chamam de “super-aspiracionais”? Seus gostos e gastos estão alinhados com sua renda?

Alguém que vive acima do seu salário pode ser um sinal de alguém disposto a trocar credenciais por uma oportunidade de negócio. O consultor de segurança Larry Ponemon aponta para um esquema de fraude interno de 17 pessoas que passou despercebido por alguns anos. No entanto, o Bentley, um contador de nível médio, passou de alguma maneira despercebido. Empregados com carros de luxo novos, joias vistosas ou férias prolongadas regulares para locais exóticos podem ser sinais de alguém que está lucrando com bens adquiridos de forma ilícita.

Cuidado, porém! Esses mesmos sinais podem estar apontando para um fundo fiduciário perfeitamente legítimo. Cuidado antes das acusações.

Assista a essa exflitração

Além dos volumes de dados, os sistemas e os consoles de gerenciamento podem discernir o tipo de dispositivo que está sendo usado para baixar dados. Mas os destinos de download que podem dar uma pausa às equipes de segurança incluem pen drives ou discos rígidos externos. Eles são facilmente portáteis e não são difíceis de esconder fisicamente ou transportar manualmente de um escritório.

Embora o download para dispositivos externos possa estar totalmente fora do padrão, o uso da criptografia pode indicar que eles têm algo a esconder – algo altamente proprietário que pertence à empresa. E se eles estão baixando para um servidor na Dark Web, é hora de perguntar: “Qual é o arquivo?” À última vista, não havia motivos críticos para os negócios para o uso da Dark Web. Mas, se for pego, pode ser útil culpar o novo provedor de serviços em nuvem.

“Sou muito particular”

Alguns usuários procuram maneiras de se anonimizar ou ocultar qualquer informação de identificação pessoal (nome, telefone, endereço IP etc.).

As ferramentas para as quais eles recorrem com mais frequência são VPNs privadas que oferecem muita cobertura, além do navegador TOR, projetado para navegação anônima, que também protege o usuário contra qualquer análise de tráfego subsequente à sua pesquisa, clique e download.

Burnell, da Dtex, disse que essas práticas são assustadoramente comuns – 60% da amostra da pesquisa da empresa encontrou usuários que tentavam ignorar medidas de segurança por meio de navegadores privados ou anônimos.

FONTE: https://www.darkreading.com/theedge/-8-ways-to-spot-an-insider-threat/b/d-id/1335746

0 0

Deixe uma resposta

Close