Secure. Control. Perform.
UM EBOOK DA IPSWITCH
Ameaças internas e seu
impacto na segurança
dos dados
Introdução
Organizações do mundo todo estão bem cientes das consequências associadas a violações de dados. Dados confidenciais que caem em mãos erradas podem ser vendidos no mercado negro e acabar levando ao roubo de identidade. Normalmente, a segurança empresarial se concentra em proteções para evitar que hackers entrem na rede e obtenham acesso a esses dados. Embora esse seja um bom começo, as organizações costumam ingenuamente negligenciar os perigos do roubo de dados iniciado por alguém de dentro da empresa.
Ameaças internas ocorrem quando alguém confiável de dentro da empresa (funcionário atual ou anterior, prestador de serviço ou parceiro de negócio) com acesso a dados sigilosos da organização, seja de maneira inadvertida ou intencional, participa de
atividades que comprometem negativamente aXsegurança e a proteção dessas informações. De acordo com o relatório mais recente do Índice de ameaça interna da Clearswift (CITI), 74% das violações de segurança originam-se de dentro da empresa global estendida.
Quando sondados em mais detalhes, 72% dos profissionais de segurança global acreditam que a diretoria não trata as ameaças internas à segurança com o mesmo nível de importância que as ameaças externas. Essas estatísticas são alarmantes. A figura abaixo apresenta as ameaças à segurança mais comuns que as organizações enfrentam hoje.
DISPOSITIVOS DE ARMAZENAMENTO REMOVÍVEIS OS USUÁRIOS NÃO SEGUEM OS PROTOCOLOS DE SEGURANÇA OS USUÁRIOS USAM APLICATIVOS NÃO AUTORIZADOS PARA TRABALHAR LINKS EM E-MAILS OS USUÁRIOS COMPARTILHAM NOMES DE
USUÁRIO E SENHAS ACESSO A REDES VIA DISPOSITIVOS PESSOAIS
MALWARE VIA DISPOSITIVOS PESSOAIS
DISPOSITIVOS PERDIDOS OU ROUBADOS
EX-FUNCIONÁRIOS ACESSANDO A REDE
MÍDIAS SOCIAIS
CLIENTES/FORNECEDORES/PARCEIROS
INTERNET DAS COISAS
Figura 1: principais ameaças internas à segurança para organizações
Fonte: Índice de ameaça interna da Clearswift 2015
inconvenente. Figura 2: Mr. Robot
Fonte: USA Networks (http://www.usanetwork.com/mrrobot)
Você já assistiu ao Mr. Robot no USA Networks? O Mr. Robot retrata o estereótipo de uma ameaça interna em Elliot Aldreson.
Elliot é recrutado por um grupo anônimo de hacktivistas, coordenado por um homem conhecido como “Mr. Robot”.
Durante o dia, Elliot trabalha como engenheiro de segurança para a empresa de cibersegurança, Allsafe. Elliot usa seu conhecimento interno da empresa para ajudar seus amigos hacktivistas a cometer cibercrimes de dentro da empresa, roubando dados do cliente e divulgando segredos corporativos.
É claro que Mr. Robot é um exemplo extremo de uma ameaça interna, contudo o programa ilustra vulnerabilidades muito reais nas redes de negócios de hoje. Embora um bom número de violações internas da segurança de dados seja cometido por pessoal interno mal-intencionado, a grande maioria das ameaças internas não é intencional e é causada por pessoas que inadvertidamente expõem informações privilegiadas. Ameaças internas não intencionais geralmente são o resultado de más práticas de segurança, como deixar os sistemas de TI sem supervisão ou a falha em seguir protocolos de segurança, como compartilhar senhas do sistema com um colega. Essas ameaças podem ser facilmente tratadas implementando protocolos e padrões de segurança robustos.
Está claro que, para melhor proteger a integridade dos dados de uma organização, as equipes de TI devem estender a implementação dos padrões de proteção de dados existentes para lidar com essas ameaças internas e externas à segurança. A seguir estão alguns exemplos de ameaças comuns à segurança às quais as equipes de TI devem estar atentas.
De: Bank Of America
Enviado: segunda-feira, 1 de maio de 2017, 13:58 Para: John Doe <jdoe3@gmail.com>
Assunto: IMPORTANTE! Seu cartão de crédito foi desativado Anexo:
Prezado Sr. Doe,
Nunca confie em anexos de um e-mail que você não está esperando. Anexos podem conter malware, como ransonware, que criptografa seus dados e o deixa à mercê de um hacker.
Lamentamos informar que observamos comportamento suspeito na sua conta e tomamos providências imediatas para protegê-lo contra encargos não autorizados no seu cartão.
Entrar
Os criminosos podem enviar para você uma página da web que pode parecer legítima, mas, na verdade, é um truque para roubar as informações da sua conta ou infectar seu computador com malware.
Reserve um minuto para fazer login na sua conta para solicitar um novo cartão.
Bilhetes colados com informações de login são um problema óbvio. Um criminoso
Pedimos desculpas pelo
Obrigado,
Bank Of America
Erros simples de ortografia podem ser um sinal vermelho. Você confiaria em um banco que não sabe escrever direito? Provavelmente isso acontece porque não é o banco, mas um criminoso tentando fisgá-lo.
precisa apenas de uma espiada em uma janela ou um olhar de relance em uma mesa. Observe também a senha fraca.
Os e-mails nunca são seguros. Garanta que seus usuários conheçam os últimos golpes de phishing. O treinamento pode ser a melhor defesa contra um possível ataque.
75% das violações
são de pessoal
externo vs. 25% de
pessoal interno.
81% das violações
relacionadas a hacking
foram causadas por
senhas fracas.
66% do malware foram
instalados usando
anexos de e-mail
mal-intencionados.
Figura 3: Relatório de investigação de violação de dados de 2017, 10ª edição
Fonte: Verizon Enterprise (http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/)
A maioria dos ataques externos é resultado de ameaças internas
Como podemos ver com base nos dados acima, a maioria das violações de dados é causada por
pessoas externas. Então, por que as ameaças internas são as mais proeminentes? Para entender
isso, você precisa ligar os pontos.
Embora a maioria das violações seja causada por hackers externos, são os funcionários das
empresas que entregam inadvertidamente as chaves da rede aos criminosos. Senhas fracas
e e-mails mal-intencionados são os principais vetores de ataques externos. Mas só se os usuários
morderem a isca. Nesses casos, os usuários são a ameaça.
Porém, o problema com e-mails vai além de anexos mal-intencionados. Dados confidenciais
não devem ser enviados por e-mail, a menos que sejam criptografados no servidor e em trânsito.
O Office 365 e outros aplicativos de software oferecem esse recurso, porém, alguns serviços
não o oferecem. É importante ter cuidado com quais serviços de e-mail você está usando.
Os e-mails não são seus aliados
Nem é preciso lembrar das eleições de 2016 nos EUA. Contudo, um dos principais tópicos durante as eleições foi, é claro, o servidor de e-mail privado de Hillary Clinton que ela estava usando para enviar e receber informações confidenciais.
Deixando política e espionagem de lado, o maior problema dos e-mails é que eles podem ser interceptados por terceiros sem que o remetente ou o destinatário saiba. Você pode ter o servidor de e-mail mais seguro do mundo, porém, ele será inútil quando os dados saírem da segurança do firewall da sua empresa. O receptor dos dados pode não levar a segurança tão a sério quanto você, assim, quem vê o e-mail depois de você enviá-lo está fora do seu controle.
Como minimizar ameaças internas ao transferir dados para fora do firewall
Na empresa sem fronteiras de hoje, as organizações precisam poder trocar com segurança
informações sigilosas com terceiros externos regularmente. Mover dados confidenciais para além do firewall os expõe ao risco de interceptação e roubo de dados. Uma solução de transferência gerenciada de arquivos (MFT) segura e confiável pode mostrar-se um investimento inestimável para garantir que os arquivos sejam entregues aos destinatários autorizados dentro do prazo, enquanto permite que a TI monitore e capture toda a atividade de transferência de arquivos. Ao selecionar ferramentas para habilitar o compartilhamento externo de dados, é necessário considerar
funcionalidades como acesso à conta, alertas e relatórios, integração com antivírus e outros mecanismos de segurança.
Acesso à conta
O acesso não autorizado a dados confidenciais é uma clara violação da segurança das informações na sua rede. Uma maneira de garantir o controle consistente e fácil de gerenciar sobre o que os usuários têm acesso em um determinado sistema é integrar os privilégios de acesso da conta com o banco de dados do Active Directory (AD). Isso permite à equipe de TI controlar e monitorar quais funcionários têm acesso aos sistemas que hospedam informações sigilosas. Também permite à TI desabilitar ou limitar rapidamente o acesso a contas de usuário no caso de comportamento suspeito ou se um funcionário sair da empresa.
Alertas, painéis e relatórios
É importante que um sistema de transferência gerenciada de arquivos seja capaz de registrar todas as atividades de transferência de arquivos e acionar alertas que avisem a TI sobre comportamento de usuário mal-intencionado. O controle e a visibilidade do acesso à conta e os eventos de transferência de arquivos minimizam os possíveis danos que poderiam ocorrer em um ataque de ameaça interna. Registros de auditoria com proteção contra adulteração garantem que, mesmo que o ataque ocorra, uma trilha do que aconteceu será registrada e poderá ser rastreada até o responsável.
Integração com antivírus
Uma maneira muito comum de atacar e infiltrar-se em um sistema é liberando malware na
rede. Uma vez que o vírus de software é liberado, ele pode causar muitos danos e expor seus
dados mais sigilosos antes que a TI consiga controlar a situação. As equipes de TI contam
com software antivírus atualizado para ajudar a minimizar as chances desses ataques cruéis.
Garantir que seu sistema de transferência gerenciada de arquivos possa integrar-se ao
software antivírus de rede pode ajudar a prevenir que malware liberado na rede afete os
servidores FTP nos quais os dados estão armazenados.
Criptografia de dados
A criptografia de dados desempenha um papel muito importante durante a transferência
de dados para fora de uma organização. Mesmo que a TI consiga limitar o acesso de
usuários autorizados a bancos de dados que hospedem informações sigilosas, é igualmente
importante garantir que os dados compartilhados externamente à empresa não sejam lidos
nem modificados. Esse processo também é vulnerável a pessoas internas que estejam
buscando interceptar e fazer mal uso de informações protegidas, mas, muitas vezes, ele
é negligenciado de um ponto de vista de segurança. As equipes de TI devem garantir que
elas tenham um fluxo de trabalho de transferência gerenciada de arquivos estabelecido que
criptografe tanto dados em repouso quanto em trânsito. A criptografia de dados previne
que usuários não autorizados façam uso indevido de quaisquer dados importantes, mesmo
que consigam obter acesso ao repositório de arquivos subjacente. Também garante que
a integridade dos dados não seja comprometida de maneira alguma.
Autenticação multifatorial
A autenticação multifatorial (MFA) é outra excelente camada de segurança que pode ajudar
a garantir que apenas indivíduos autorizados obtenham acesso a informações confidenciais.
MFA é um processo de verificação de várias etapas que garante que o usuário seja quem ele
alega ser exigindo que ele forneça comprovação da sua identidade, geralmente na forma de
um código de segurança, ao fazer login em uma conta do sistema. O código de segurança
é enviado a uma fonte alternativa (telefone, e-mail etc.) vinculada diretamente ao indivíduo.
Essa camada adicional de segurança impede que os funcionários compartilhem senhas
ou que usuários não autorizados obtenham acesso a dados confidenciais no caso de uma
senha de conta ser comprometida.
Serviços na nuvem
Atualmente, cada vez mais aplicativos estão sendo oferecidos na nuvem. Uma clara vantagem de implementar uma solução de SaaS baseada na nuvem para suas atividades de transferência de arquivos é que isso garante que todos os seus protocolos de software estejam atualizados. Com uma oferta baseada na nuvem de SaaS, ataques internos mal- intencionados não terão a mesma janela de oportunidade para acessar informações confidenciais. Com uma implementação local, há uma clara janela de vulnerabilidade entre o momento em que as atualizações e/ou patches de software estão disponíveis e o momento em que a TI agendou sua aplicação na rede.
Automação
A automação cria uma metodologia de
“entrega” para transferência de dados que reduz as chances de arquivos sigilosos acabarem nas mãos de pessoas não autorizadas devido a erros de script (intencionais ou não).
Um sistema de automação robusto possibilita à TI gerenciar e rastrear a atividade de
transferência de arquivos e desabilitar/ interromper rapidamente determinadas
transferências no caso de suspeita de atividade fraudulenta.
Figura 4: sistemas inteligentes em ação Fonte: Ipswitch (www.ipswitch.com)
92 %
Reconhecem que sistemas inteligentes são cruciais para o sucesso dos negócios.
UM RELACIONAMENTO
COMPLEXO
Acreditam que gera novas preocupações sobre a segurança, o acesso e os controles da rede.
68 %
Como você classificaria sua atual capacidade em gerenciamento
e automação de transferência segura de arquivos?
Forte e preparada para o futuro Precisa ser reforçada Já é inadequada
