Nota: O seguinte artigo irá ajudá-lo com: quão confiáveis são seus funcionários?
Embora muitas vezes nos preocupemos com ameaças externas aos nossos dados de negócios, as ameaças internas são um problema crescente. Veja como proteger seu negócio.
A maioria das organizações não quer considerar a possibilidade de ameaças internas, mas elas são um problema sério que deve sempre estar em mente. Funcionários insatisfeitos ou demitidos em busca de vingança, funcionários que migram para um concorrente com propriedade intelectual que roubaram antes de sair ou contratados não confiáveis podem causar estragos em seus negócios. E se um agente de ameaças externo oferecesse dinheiro fácil a seus funcionários para fazer apenas uma ação rápida em um dos computadores da empresa? Como a empresa detectaria isso?
VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic Premium)
Qual é a origem da ameaça interna à segurança cibernética?
Lutar e se defender contra ameaças externas é a rotina diária de todo profissional de segurança de computadores. Leva a maior parte do tempo, energia e orçamento da equipe. No entanto, o pessoal de segurança não deve desconsiderar a ameaça interna, que infelizmente é muitas vezes subestimada.
As ameaças internas podem ter origens diferentes, sendo as mais comuns:
- Funcionários descontentes ou irritados.
- Demitidos ou ex-funcionários ainda com acesso à rede corporativa.
- Funcionários saindo da empresa.
Alguns desses funcionários ou ex-funcionários tentarão usar seu conhecimento da empresa e dos dados aos quais têm acesso para causar danos e afetar a confidencialidade, integridade ou disponibilidade das informações ou redes críticas da organização.
Alguns também vão querer roubar informações para usá-las em uma empresa concorrente ou até mesmo vendê-las a terceiros interessados.
Cibercriminosos à procura de funcionários para recrutar
Como exemplo, o ransomware LOCKBIT, uma vez que criptografava conteúdos no disco rígido das vítimas, mostrava uma mensagem bem inusitada na tela em sua versão 2 (Figura A).
Figura A
Parte da mensagem entregue por este ransomware mostrou uma curiosa tentativa de realmente recrutar insiders:
“Você gostaria de ganhar milhões de dólares?
Nossa empresa adquire (sic) acesso a redes de diversas empresas, bem como informações privilegiadas que podem ajudá-lo a roubar os dados mais valiosos de qualquer empresa.
Você pode nos fornecer dados contábeis para o acesso a qualquer empresa, por exemplo, login e senha para RDP, VPN, e-mail corporativo, etc. Abra nossa carta em seu e-mail. Inicie o vírus fornecido em qualquer computador da sua empresa.”
Agora não faz muito sentido mandar essa mensagem para uma empresa que já está sendo atacada com sucesso, certo?
Bem, considerando que muitas empresas empregam terceiros para TI ou tratamento de segurança/resposta a incidentes, de repente faz mais sentido. Uma pessoa pode ser tentada por essa oferta e vender credenciais para qualquer empresa para a qual presta serviços. Vendo a quantidade de dinheiro que as gangues de ransomware parecem receber, pode-se esperar uma importante oferta financeira para fornecer acesso corporativo.
Em outro exemplo marcante, um grupo de ransomware começou a enviar e-mails para funcionários de várias empresas (Figura B).
Figura B
Os cibercriminosos oferecem US$ 1 milhão para instalar o ransomware Demonware em qualquer computador ou servidor Windows da empresa. Como o invasor oferece 40% ao funcionário, isso significa que o resgate global a ser pedido seria de US$ 2,5 milhões. A oferta diminuiu significativamente depois que a Abnormal Security conversou com o criminoso, fingindo estar interessado em lançar ransomware no servidor Windows de uma empresa falsa.
VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
As investigações conduzidas pela Abnormal Security revelaram que o grupo de ransomware provavelmente era apenas um único indivíduo baseado na Nigéria. A empresa acrescentou que os golpistas da África Ocidental, localizados principalmente na Nigéria, aperfeiçoaram por décadas a arte da engenharia social em atividades de crimes cibernéticos.
A solicitação de assistência interna para comprometer uma rede corporativa e instalar ransomware nela mostra claramente a falta de habilidades técnicas do invasor. No entanto, mesmo um invasor não qualificado pode lançar vários e-mails diferentes, e basta uma pessoa acreditar nele e instalar o ransomware para levar a empresa alvo à situação grave de ter todos os seus arquivos importantes criptografados.
As ameaças internas são um risco crescente
Os cibercriminosos com a capacidade de comprometer redes para lançar ataques de ransomware mostraram nos últimos anos que era um modelo de negócios funcional para eles. Além de hackers comprometerem empresas por suas próprias ações fraudulentas, surgiram corretores de acesso inicial. Essas pessoas estão vendendo acesso corporativo para qualquer pessoa que pague por isso, tornando-o um ativo importante para pessoas que não têm habilidades para comprometer sistemas inicialmente. Insiders podem vender credenciais para esses tipos de criminosos por dinheiro fácil, e empreiteiros que trabalham para muitas empresas diferentes podem até vender várias dessas credenciais para terceiros.
Quanto aos cibercriminosos com menos habilidade, eles veem o negócio de ransomware como altamente lucrativo, mas não podem comprometer as próprias empresas. Eles podem ir para e-mails mais elaborados e iscas de engenharia social para obter credenciais de insiders.
Como você pode proteger sua empresa contra ameaças internas?
Aqui estão quatro maneiras de evitar ameaças internas em sua organização.
1. Aplique políticas de segurança fortes para acesso remoto
Os funcionários geralmente precisam acessar diferentes partes da rede corporativa, além de usar um acesso VPN corporativo. Eles também podem usar recursos na nuvem. As políticas de segurança devem restringir o acesso dos funcionários apenas aos recursos necessários para seu trabalho, com diferentes privilégios: ler, escrever, editar.
2. Use a autenticação multifator
Use a autenticação multifator para usuários que trabalham remotamente e para usuários com privilégios estendidos a ativos críticos ou partes da rede.
3. Monitore o uso
Implante ferramentas de User and Entity Behavior Analytics, que ajudarão a obter visibilidade sobre as ações dos funcionários e ajudar a detectar atividades suspeitas.
4. Crie um procedimento abrangente de demissão de funcionários
Tais procedimentos devem ser claros e conter ações que devem ser engajadas quando o funcionário deixar o emprego. Em particular, a remoção de contas e credenciais para acessar as redes corporativas deve ser feita o mais rápido possível.
