Insiders privilegiados são uma preocupação cada vez maior. Como impedir ataques internos privilegiados maliciosos ou acidentais.

A quantidade de permissões ou privilégios de um usuário afetará o tamanho de uma ameaça interna. Descubra os problemas que envolvem usuários privilegiados e como reduzir essas ameaças.

As ameaças internas estão recebendo sua parte dos holofotes à medida que as empresas percebem cada vez mais que funcionários não controlados podem causar tanto dano quanto atores externos. As empresas estão percebendo ainda que os insiders privilegiados são uma preocupação particular. O quão privilegiados são os direitos de acesso de um usuário impactam em quão perigosos eles são, sejam suas ações maliciosas ou negligentes.

Os incidentes envolvendo ameaças internas aumentaram 44% desde 2020, de acordo com o relatório 2022 Cost of Insider Threats do Ponemon Institute. O custo médio por violação foi de US$ 15,38 milhões, com a maioria destinada a conter o incidente.

Prevenir ameaças internas – especialmente aquelas que envolvem usuários privilegiados – é mais importante do que nunca.

De olho nas ameaças internas

Com muitos funcionários de escritório trabalhando fora do perímetro tradicional e se ajustando a novos processos durante a pandemia do COVID-19, as empresas começaram a prestar mais atenção aos riscos e ameaças internas . Para agravar isso, um relatório de exposição de dados do Code42 de 2022 mostrou que 55% das empresas estão preocupadas que os funcionários serão negligentes com as novas práticas híbridas de segurança cibernética.

Ficar de olho nos funcionários e monitorar seu comportamento era mais fácil quando eles estavam na rede corporativa e fisicamente em um escritório. Isso não é tão fácil com os funcionários em casa, especialmente se uma VPN corporativa ou outras proteções não estiverem presentes.

A pandemia também deu início à “ Grande Demissão ”, que viu milhões de americanos trocando ou deixando seus empregos. Isso agravou a ameaça interna representada pela saída de funcionários. De fato, uma pesquisa da Beyond Identity de 2022 descobriu que 83% dos entrevistados continuaram acessando as contas de um empregador anterior. Dos que ainda tinham acesso, 56% disseram que o usavam para prejudicar o antigo empregador; 25% disseram que pegaram informações de clientes; e 24% disseram ter recebido informações financeiras da empresa.

Os últimos dois anos também viram várias fusões e aquisições, outra área propícia a ataques e ameaças internas. “Muitas vezes, trata-se de informações privilegiadas porque as pessoas obtêm acesso a informações que não deveriam ter durante esse período“, disse Jack Poller, analista do Enterprise Strategy Group (ESG), uma divisão da TechTarget.

O perigo de ataques internos privilegiados

Sem surpresa, quanto mais acesso aos servidores e dados da empresa um funcionário tiver, maior será o risco de uma ameaça interna. Um usuário privilegiado tem permissões com funções especializadas ou administrativas e muitas vezes pode acessar diretamente e/ou fazer alterações em sistemas sensíveis ou críticos.

Um problema aqui é que nem todos os usuários com acesso privilegiado devem tê-lo. Às vezes, usuários regulares recebem permissões adicionais para projetos de curto prazo que não são revogados após a conclusão do projeto. A TI também pode configurar incorretamente os perfis de usuário, permitindo que usuários comuns acessem dados não relacionados, mas críticos para os negócios.

É importante observar também que nem todos os ataques internos privilegiados são maliciosos. A pesquisa de segurança tecnológica de negócios da Forrester Analytics de 2021 descobriu que 65% dos incidentes internos foram negligentes. Esses incidentes não são ativamente mal-intencionados, mas deixam os dados comerciais expostos – por exemplo, um funcionário que salva ou faz uso indevido de dados contra a política da empresa.

Se você é um administrador de sistema, pode desligar as máquinas erradas ou destruir as VMs erradas“, disse Poller. “Digamos que você estava no host 1 e pensou que estava no host 10. Então, você desliga o disco e acidentalmente exclui toda a infraestrutura de uma empresa apenas por estar na máquina errada e digitar a linha de comando errada.”

Uma das razões pelas quais os ataques internos privilegiados geralmente são exitosos é porque os internos normalmente não precisam invadir os sistemas da empresa para obter acesso às informações.
Os fornecedores me disseram: ‘Podemos saber quando [um invasor] está usando o Kali Linux ou iniciando o Metasploit ‘ etc.“, disse Jonathan Care, analista do Gartner. “Isso é ótimo, mas o insider privilegiado não precisa hackear ou elevar seus privilégios.”

Como evitar ataques internos privilegiados

Existem várias maneiras de manter as ameaças internas privilegiadas afastadas . Em primeiro lugar, sempre siga o princípio do acesso com privilégios mínimos para reduzir as ameaças. Limite o acesso dos funcionários apenas aos aplicativos, dados e sistemas necessários para concluir seu trabalho.

Audite todas as funções no sistema de uma organização e seus privilégios. Em seguida, determine os fluxos de trabalho apropriados e crie uma linha de base de atividades para identificar melhor privilégios anômalos e usuários com direitos excessivos. Care sugeriu prestar atenção extra aos administradores de domínio, administradores de sistema, usuários root e administradores de banco de dados. Inclua também cargos como administradores de faturamento, que geralmente têm o poder de criar novos lançamentos de folha de pagamento, faturas e fornecedores no sistema.

As empresas também devem implementar políticas e procedimentos sobre privilégios , especialmente quando se trata de integração e desligamento. Se um funcionário sair da empresa, por exemplo, corte imediatamente os direitos de acesso e assegure-se de que não criou novas contas de administrador. Também crie uma política para revisar os privilégios dos funcionários depois que eles mudarem de função. Definir e seguir políticas e procedimentos para garantir o tratamento uniforme dos funcionários. A inconsistência pode causar problemas no futuro, disse Joseph Blankenship, analista da Forrester Research. Não deixe um usuário sair com um aviso enquanto termina outro pela mesma coisa, disse ele.

Depois que as políticas e os procedimentos estiverem em vigor, considere uma plataforma de monitoramento de segurança que monitore como os funcionários usam os dados e se suas ações violam as políticas. Sinalize o comportamento e determine se um incidente foi um acidente ou o início de uma atividade maliciosa. Também investigue a partir de uma perspectiva de comportamento do usuário, disse Blankenship. “Normalmente, um insider terá uma dica ou motivação que pode indicar que a pessoa é arriscada. Uma das maiores é se eles receberam um aviso prévio de dispensa“, disse ele.

Caso o monitoramento de segurança seja implementado, informe os funcionários – não monitore em segredo. Conscientizar os funcionários sobre o monitoramento geralmente é suficiente para impedir ataques internos.

Diga a todos: ‘Estamos usando essas ferramentas porque nos preocupamos com os dados de nossos clientes’“, disse Care. Mas não vincule o monitoramento de segurança ao monitoramento de produtividade. As equipes de segurança não deveriam ter essa tarefa, e isso pode arruinar a experiência e a confiança dos funcionários ao monitorar demais e ser intrusivo.

Por fim, eduque os funcionários sobre a importância das políticas e procedimentos. Conduza treinamentos de conscientização de segurança ao longo do ano para garantir que os funcionários se lembrem – mas faça sessões curtas e repetidas, disse Care, porque as sessões de treinamento anuais que cobrem tudo geralmente não são eficazes.