Com tantas novidades focadas em ataques externos, uma das maiores ameaças à segurança de dados, à receita e à reputação da sua organização são as ameaças internas. Insiders - funcionários com acesso a dados com valor externo - são responsáveis ​​por 28% de todas as violações de dados. Enquanto 28% podem não parecer tão grandes quanto os implícitos 72% dos ataques de invasores externos, 28% é na verdade um grande número.

Os ataques externos aproveitam a automação, o código pré-programado e a natureza oportunista de segmentar milhões de endereços de e-mail para procurar e encontrar sua próxima vítima. Insiders, por outro lado, são indivíduos que realizam pessoalmente a ação de ameaça. Os ataques externos precisam encontrar os dados que acreditam ser valiosos, enquanto os usuários internos já conhecem cada bit de seus dados valiosos aos quais têm acesso. Então, enquanto o número de 28% pode parecer irrelevante, é exatamente o oposto.

Na verdade, insiders podem representar uma ameaça maior para a organização do que os invasores externos.

Toda organização tem dados comerciais confidenciais, dados do cliente, PII do funcionário e propriedade intelectual que devem ser usados ​​apenas para o benefício da organização. E, como um usuário interno mal-intencionado está usando permissões para aplicativos, recursos e dados que receberam como parte de seu trabalho, é extremamente difícil determinar se a atividade deve ou não ser considerada uma ameaça. Isso significa que eles podem roubar informações e você pode nunca saber que aconteceu!

O insider pode ser qualquer pessoa dentro da organização. Em uma pesquisa recente, a preocupação em torno dos usuários de TI privilegiados e dos funcionários regulares como potenciais agentes de ameaças internas pelas organizações de TI era quase idêntica. E eles deveriam ser; qualquer pessoa com acesso a dados considerados valiosos externamente é potencialmente uma ameaça.

Além disso, lembre-se de que quase todos os invasores externos se parecem com um insider. O uso de credenciais internas comprometidas por um invasor externo é a ação de ameaça mais comum em violações de dados. Isso sustenta o valor da identificação de ameaças internas o mais cedo possível.

Então, como as organizações podem identificar o insider - de preferência antes que uma ação de ameaça ocorra?

Detectando ameaças internas

O objetivo é procurar indicadores de comportamento impróprio ou mal-intencionado dos funcionários. Isso é encontrado ao observar a atividade anormal do usuário, mas ela precisa ser uma atividade que sugira uma ameaça em potencial, e não necessariamente uma atividade que sugira que a atividade de ameaça esteja em andamento. Por exemplo, você pode observar a cópia excessiva de arquivos ou o aumento do tráfego da Web para detectar possíveis roubos de dados, mas a realidade é que, uma vez que essas atividades ocorram, é tarde demais - a ação da ameaça ocorreu.

O que precisa acontecer é observar a atividade que ocorre bem antes de as ações de ameaça serem tomadas. O mais simples e mais comum a cada ação de ameaça interna é o logon. Quase todas as ações de ameaça exigem o logon usando credenciais internas. Acesso de endpoint, movimentação lateral entre endpoints, acesso externo via VPN, acesso remoto a desktop, e mais todos compartilham o requisito comum de um logon.

Vamos cobrir três cenários potenciais de ameaças internas e discutir como o gerenciamento de logon ajuda a identificar e tratar ameaças internas.

Cenário 1: o insider malicioso

Nesse cenário, o funcionário está usando suas próprias credenciais, aproveitando quaisquer privilégios concedidos para seu próprio propósito. Isso pode ser qualquer coisa, desde roubar dados valiosos para eles pessoalmente, dados valiosos para um concorrente ou startup, até dados vendáveis ​​no mercado negro..

O insider malicioso sabe que eles podem ser capturados, então seu principal objetivo é ocultar sua atividade. Algumas maneiras comuns que eles tentam fazer isso (que também servem como indicadores de ameaça) incluem:

  • Chegando para trabalhar cedo - Nada diz “ninguém vai saber” do que ninguém estar por perto. Os membros internos aproveitam as primeiras horas da manhã para realizar ações de ameaça.
  • Deixando o trabalho atrasado - De maneira semelhante, ficar depois de horas tem o mesmo efeito.
  • Vários logons - Insiders muitas vezes ficam nervosos, parando de continuar. Isso resulta em vários logons e logoffs sucessivos em um curto período de tempo.
  • Após horas de logon - Um funcionário que nunca chega em um sábado que de repente é suspeito.
  • Logon Remoto - Ações maliciosas são mais fáceis a partir do conforto da sua própria casa. O acesso remoto à rede corporativa por alguém que normalmente não deve levantar algumas sobrancelhas.

Usando o gerenciamento de logon para identificar e parar um insider

  • Auditoria de Logon - Anomalias de logon em torno do tempo, frequência, tipo e máquina de origem podem ser facilmente identificadas, permitindo que as equipes de TI respondam adequadamente.
  • Políticas de Logon - As restrições podem limitar quando usadas podem fazer logon, de onde, com que frequência e usando o tipo de sessão (interativo, RDP, via Wi-Fi, etc.). Isso limita as opções de logon dos funcionários, o que pode impedi-los de executar ações de ameaça.
  • Restrições de Tempo - Se um funcionário quiser “sair para curtir” após horas, os usuários podem ser desconectados à força no final de um horário de trabalho aprovado.
  • Ações Responsivas - Ao ser notificado, a TI pode espelhar as sessões para monitorar ações, bloquear a estação de trabalho e bloquear à força um usuário da sessão - tudo antes que algo malicioso ocorra.

Cenário 2: insiders maliciosos com credenciais roubadas ou compartilhadas

Às vezes, o informante não usa suas próprias credenciais. Em vez disso, aproveitam as credenciais de outro usuário. Como eles conseguiram as credenciais? Eles foram compartilhados. Em um estudo recente, descobrimos que 49% dos funcionários (de departamentos importantes como jurídico, RH, TI, finanças e outros) compartilham suas credenciais com colegas de trabalho..

O uso privilegiado de privilégios de outra pessoa é uma ótima maneira de aumentar instantaneamente a amplitude e a profundidade de seu acesso a dados valiosos. Indicadores comuns de uso indevido de credenciais incluem:

  • Logon de uma estação de trabalho diferente - É muito mais provável que o “emprestado” as credenciais serão usadas a partir da própria estação de trabalho do usuário do que a normalmente usada pelo usuário que possui as credenciais.
  • Logon em horários anormais - Os empregados são, geralmente, criaturas de hábitos. Eles vêm e seguem o mesmo cronograma. Portanto, é provável que o logon do insider pareça incomum.
  • Logons Simultâneos - O usuário interno não esperará até que o proprietário da credencial seja desconectado; eles farão login enquanto o proprietário da credencial ainda estiver conectado. Ou, pelo menos, tente fazer isso (dependendo se você tem ou não restrições em torno de logons simultâneos).

Identificando e parando o insider com o gerenciamento de logon

  • Políticas de Logon - As políticas podem ser configuradas para limitar logons simultâneos, restringir o logon à estação de trabalho do proprietário da credencial e negar logons simultâneos de sistemas diferentes.
  • Auditoria e Notificações - A TI pode ser notificada de logons anômalos tentados e bem-sucedidos.
  • Ações Responsivas - Se um logon parecer suspeito, o usuário pode não apenas fazer o logoff, mas a conta pode ser bloqueada de qualquer outro logon (até que seja levantado pelo departamento de TI).

Cenário 3: invasor mal-intencionado com credenciais comprometidas

O modelo de ataque externo mais comum envolve o atacante primeiro estabelecendo um ponto de apoio usando o endpoint inicialmente comprometido. A partir daí, eles precisam se mover lateralmente pela organização, pulando de uma máquina para outra na tentativa de procurar, identificar e acessar dados valiosos. Para cada salto, deve haver um logon. Indicadores comuns incluem:

  • Logon da estação de trabalho para a estação de trabalho - Conexões de um ponto final para o próximo, para o próximo, ocorrerão para facilitar o movimento lateral.
  • Tempos de Logon Anormais - Os invasores externos aproveitam o acesso que alcançaram e não esperam pelo próximo dia útil. Eles vão começar o movimento lateral no momento em que puderem.
  • Múltiplos Logons Simultâneos - Se uma conta comprometida fornecer acesso a uma ampla gama de pontos de extremidade, eles usarão essa conta repetidamente, resultando em inúmeros logons da mesma conta..

Identificando e parando o insider com o gerenciamento de logon

  • Política de Logon - Políticas podem ser estabelecidas para limitar de quais máquinas ou intervalos de endereços IP uma conta pode fazer logon, limitando severamente o uso de uma conta comprometida e impedindo a movimentação lateral.
  • Auditoria e Notificação - O monitoramento da tentativa de uso pode alertar a TI e colocá-la em ação para responder à ameaça.
  • Bloquear o ataque - Antes que ocorra atividade maliciosa, a sessão conectada pode ser encerrada e, mais importante, a conta pode ser bloqueada para fazer logon em qualquer sistema na rede..

Parando ameaças internas no logon

A ameaça interna é real e está aqui. Hoje. Na sua rede já. Eles são os funcionários com os quais você trabalha todos os dias, onde a mudança para eles se tornando um membro interno pode levar pouco mais do que um relacionamento desfeito, uma promoção reprovada ou dificuldades pessoais. Portanto, ter uma solução proativa e econômica para lidar com as ameaças internas é tão importante quanto a proteção do ponto de extremidade, os firewalls e o gateway de e-mail.

O fator comum para cada cenário interno é o logon. Ao aproveitar o Gerenciamento de Logon, você coloca o foco da detecção e da resposta a ameaças internas bem à frente de qualquer ação mal-intencionada que possa ocorrer, impedindo que o informante morra em suas trilhas, com a TI em controle total.

François Amigorena, CEO da É Decisões

  • Também destacamos o melhor antivírus