Analistas de segurança têm alertado há muito tempo as organizações sobre os riscos associados às ameaças internasNormalmente, as ameaças giram em torno de coisas como roubo de Propriedade Intelectual (IP), espionagem corporativa e os danos que funcionários descontentes podem gerar quando continuam tendo acesso a informações confidenciais.

Por exemplo, em 2010, após a empresa Texas Auto Center demitir Omar Ramos-Lopez, ele usou suas credenciais não expiradas para acessar o sistema de imobilização de veícu-los baseado na Web da empresa, que normal-mente é usado como uma espécie de indicação de retomada de posse, desabilitando veículos de clientes inadimplentes nos pagamentos de seus carros. Para se vingar, Ramos-Lopez de-sativou mais de 100 carros, e até ativou buzinas e alarmes de carros para soar continuamente no meio da noite.

Enquanto isso, o Escritório do Representante de Comércio dos Estados Unidos estima que o roubo de IP custa à economia dos EUA US$300 bilhões anualmente1.

Esses tipos de ameaças internas são aque-les que a maioria dos CIOs e profissionais de segurança de TI estão cientes e tomaram pelo menos algumas medidas para mitigar. No entanto, em nosso mundo saturado de mídia social, BYOD permitido, terceirização pesada, essas ameaças mais tradicionais são apenas a ponta do iceberg.

Hoje, as ameaças internas vão dos dispositivos móveis de propriedade pessoal mal protegidos dentro de sua rede aos riscos associados a contratados, subcontratados, funcionários de branch office ou até mesmo os chamados par-ceiros “confiáveis”.

Além disso, o número de dispositivos que apre-sentam riscos aumentou exponencialmente para incluir dispositivos de streaming de mídia, dispo-sitivos pessoais de armazenamento em nuvem, relógios inteligentes, dispositivos inteligentes de escritório, como termostatos inteligentes, e praticamente qualquer coisa que possa se co-nectar a uma rede sem fio ou via Ethernet. São muitos dispositivos, e os hackers já aprenderam há muito tempo que é muitas vezes mais fácil encenar um ataque através, digamos, de uma impressora habilitada para Wi-Fi do que por um PC com software antivírus atualizado.

Usuários privilegiados representam riscos elevadíssimosUm risco ainda maior vem de “usuários pri-vilegiados” ou usuários internos com amplos direitos de acesso de usuário privilegiado a dados, aplicativos e sistemas organizacionais

Ameaças internas:alvos móveis que colocam a sua organização em risco

Riscos internos: 7 sinais de que você está em negação:

Você tem uma estratégia de BYOD que se concentra no bloqueio de usuários, em vez de controlar o acesso.

Os principais executivos e outros usuários “avançados” não estão ligados às mesmas políticas de segurança dos demais funcionários.

Sua empresa concede acesso a terceiros, como contratados e fornecedores, sobre os quais você tem pouco ou nenhum controle.

Suas ferramentas de segurança não revogam automaticamente privilégios de funcionários ou terceiros uma vez que suas funções mudam, deixam a empresa ou, no pior dos casos, são demitidos.

Seus funcionários armazenam informações confidenciais em locais difíceis de proteger (como, por exemplo, serviços de armazena-mento em nuvem, como Dropbox, ou unidades USB, que muitas vezes são perdidos, roubados ou levados intencionalmente do escritório).

Você não revisa os direitos de acesso dos usuários regularmente para determinar que apenas os privilégios necessários para realizar seus trabalhos estão sendo concedidos.

Você não tem uma maneira de monitorar as atividades de seus usuários internos privilegiados.

Documento

__________

1 “Remarks by Deputy USTR Robert Holleyman to the U.S. Chamber of Commerce Global Intellectual Property Center 2015 Global IP Summit,” Embaixador Robert W. Holleyman II, 6 de novembro de 2015, acessado em 26 de julho de 2016, https://ustr.gov/about-us/policy- offices/press-office/speechestranscripts/ 2015/November/Remarks-Deputy- Holleyman-Global-IP-Center-2015.

DocumentoAmeaças internas: alvos móveis que colocam a sua organização em risco

2

confidenciais. Normalmente, essas pessoas não estão tentando fazer nada mal-intencio-nado, mas a partir do momento em que (nor-malmente executivos e administradores de TI) recebem amplos privilégios, qualquer falha de segurança por parte deles pode ser catastró-fica. Como se não bastasse, um ataque que os atinge especificamente pode causar danos incalculáveis à sua organização.

O recente estudo de segurança da Verizon mostra que, dos 64.199 incidentes de se-gurança examinados, cerca de 50% foram

atribuídos às categorias Erros Diversos, Uso Indevido de Privilégios e Roubo/Perda Físico, categorias de incidentes que são predomi-nantemente cometidos por usuários internos. Dada a recente publicidade, seria natural su-por que todos esses incidentes resultaram em violações de dados. Mas não. Apenas 2.260 incidentes envolveram comprometimento de dados. Destes, a grande maioria (mais de 80%) resultou das ações de atores externos2.

Então, o que explica a maioria dos incidentes de segurança? De acordo com o relatório da Verizon, a maioria dos incidentes internos fo-ram resultado de erro por parte de usuários internos ou de uso indevido de acesso privile-giado. Exemplos de erros de usuários internos incluem o envio de documentos importantes para a pessoa errada ou a publicação de in-formações onde uma audiência não desejada pode visualizá-la. Erros de configuração por parte do pessoal de TI também aparecem nessa categoria. Um erro de configuração pode resultar em dados confidenciais sendo armazenados de maneira insegura ou expos-tos a partes não autorizadas. Exemplos de uso indevido privilegiado incluem o uso de acesso para obter informações para usos alternativos ou não autorizados, o manuseio inadequado de dados, como o envio de informações con-fidenciais por e-mail, o carregamento para um serviço de compartilhamento ou o uso de har-dware ou software não aprovado, como de uma unidade USB3.

As violações de dados não são a única coisa que a sua organização arrisca ao conceder a usuários internos direitos de acesso de usuários privilegiados. Na véspera do Natal de 2012, a Netflix sofreu uma interrupção. Essa interrupção não foi resultado de um ataque mal-intencionado, mas o resultado de uma exclusão acidental de arquivos em um Elastic Load Balancer (ELB) do Amazon Web Services (AWS). De acordo com o AWS, “os dados foram excluídos por um processo de manutenção inadvertidamente executado con-tra os dados de estado ELB de produção”, o

que resultou na perda de dados no back-end do serviço ELB, que por sua vez provocou a interrupção.

Em linguagem simples, esse erro se resume a um erro de configuração. Essa exclusão ocorreu porque o acesso aos arquivos críticos (que era funcionalmente necessário) foi “con-figurado incorretamente para ser persistente em vez de exigir uma aprovação por acesso”. Resolver o incidente levou várias horas porque os técnicos de suporte não sabiam o que havia inicialmente mudado para causar o problema.

Ameaças direcionadas, persistentes baixas e lentas, apresentam novos riscos Em resposta às novas ferramentas de segu-rança, avançadas e em camadas, como os con-juntos de prevenção contra perda de dados e a segurança baseada em comportamento, os métodos de ataque têm evoluído, especial-mente quando os invasores possuem como alvo organizações de alto valor.

Em vez de lançar apressadamente ataques de phishing mal escritos em uma empresa como um todo, os invasores irão muitas vezes ter como alvo uma única pessoa, ou até mesmo membros da sua família. Esses ataques direcio-nados, chamados de ataques spear-phishing ou whaling (caça à baleia), têm uma maior taxa de sucesso, pois são projetados socialmente para uma pessoa e uma única pessoa, ou são criados para atingir uma classe de indivíduos, como o recente ataque de intimação de CEO.

O ataque de intimação de CEO usou uma tá-tica de engenharia social muito dissimulada: uma intimação falsa. Ela foi enviada a aproxi-madamente 20.000 executivos e resultou em 1.800 infecções conhecidas. Foi eficaz porque

Golpe de intimação de CEO:Intimações falsas foram enviadas para aproximada­mente 20.000 executivos, o que resultou em

1.800 infecções conhecidas.

__________

2 Relatório de Investigação de Violação de Dados da Verizon 2016, páginas 1 e 7, © 2016 Verizon.

3 Relatório de Investigação de Violação de Dados da Verizon 2016, páginas 22, 35 e 40, © 2016 Verizon.

3www.netiq.com

parecia com os negócios como de costume. O objetivo desses ataques de engenharia social é assumir a identidade de um usuário interno, preferencialmente um com direitos de acesso de usuário privilegiado. Uma vez dentro do sistema, o invasor cibernético se assemelha ao usuário interno e pode causar uma grande quantidade de danos com seus direitos de acesso e privilégios. Acreditamos que, dado os novos métodos de ataque de cibercrimi-nosos, as organizações devem tratar todas as ameaças como “ameaças internas”.

Outra nova metodologia de ataque é a APT (Advanced Persistent Threat, ameaça persis-tente avançada). Um antigo chavão de segu-rança costumava dizer que os hackers são preguiçosos e impacientes. Não é mais o caso. As APTs já estiveram na esfera dos governos, usadas em ciberespionagem. O worm Stuxnet é um exemplo perfeito.

No entanto, os cibercriminosos ordinários, mesmo que pertençam a quadrilhas organiza-das de cibercriminosos, também estão usando esse método de ataque.

O ataque de APT direcionado na RSA em 2011 combinou essas duas novas táticas. O ataque começou com e-mails de spear--phishing enviados a um pequeno grupo de funcionários da RSA, que poderiam ser rotu-lados como “Usuários internos privilegiados”. Aqueles que clicaram em um arquivo Excel anexado inadvertidamente instalaram um backdoor através de uma vulnerabilidade do Adobe Flash. O resultado final foi que toda a base instalada de produtos SecurID da RSA foi comprometida.

Você está experimentando negação de ameaça de usuário interno? Muitas organizações pensam que têm o pro-blema da ameaça interna resolvido quando na realidade estão abertos para um ataque. Uma pesquisa recente do Ponemon Institute (patrocinado pela Symantec) descobriu que de

3.500 trabalhadores pesquisados no mundo todo, metade deles enviaram por e-mail do-cumentos de negócios para suas contas de e-mail pessoal em uma base regular. Como se não bastasse, um terço dos pesquisados ad-mitiu transferir documentos corporativos para serviços de compartilhamento de arquivos não aprovados e 40% transferiu arquivos de traba-lho para os seus dispositivos móveis.

Na verdade, a pesquisa constatou que a maior causa de violações de dados é erros de usuários internos. Esses usuários internos geralmente não estão mal-intencionados. Em vez disso, estão tentando fazer o trabalho da maneira mais eficiente possível. Se a empresa não oferecer boas soluções de armazena-mento em nuvem ou BYOD, os experientes funcionários encontrarão uma maneira de contornar o que consideram obstáculos ultra-passados e contraproducentes.

Isso pode parecer contraintuitivo. Os grandes ataques e vazamentos, como o vazamento de Snowden e a violação de dados da Target, recebem maior destaque nos noticiários. No entanto, tenha em mente que um laptop per-dido foi o que levou à principal violação da V.A. alguns anos atrás.

Enquanto isso, uma pesquisa do Enterprise Strategy Group (patrocinada pela Vormetric) descobriu que a proteção contra ameaças internas está se tornando mais difícil. A pes-quisa com mais de 700 profissionais de TI da Fortune 1000 descobriu que o principal pro-blema é a escalada da TI. Em outras palavras, enquanto as ferramentas de segurança estão ficando melhores na detecção de malwares, as ameaças estão se acumulando a uma taxa cada vez mais acelerada.

A necessidade de conceder acesso a aplica-tivos importantes a uma base de usuários em rápida expansão (usuários móveis, contrata-dos, parceiros, fornecedores e até mesmo clientes) introduz muito mais riscos do que as

ferramentas de segurança tradicionais podem acompanhar. O ESG descobriu que 54% dos profissionais de TI e de segurança acredita que as ameaças internas são mais difíceis de detectar e evitar hoje do que em 2011.

Por que 2011? Duas tendências começaram a crescer em 2011, computação em nuvem e BYOD. Adicione outras tendências, como a força de trabalho lentamente dispersa (cada vez mais funcionários trabalham remotamente pelo menos um dia por semana), terceirização e novos riscos como malwares em aplicativos. As ameaças internas são algo que nenhuma organização está a salvo.

54% dos profis­sionais de TI e de segurança acredita que as ameaças internas são mais difíceis de detectar e evitar hoje do que em 2011.

DocumentoAmeaças internas: alvos móveis que colocam a sua organização em risco

4

Como gerenciar proativamente as ameaças internasComo qualquer psicólogo irá dizer a você, o pri-meiro passo para resolver um problema grave é admiti-lo. As organizações que acreditam que têm eliminado as ameaças internas estão em maior risco, pois são cegas para o escopo do problema.

Por outro lado, as organizações que têm tomado medidas para resolver o problema — elaborar uma política de BYOD, encontrar ferramentas para aplicá-la, monitorar os dados à medida que se movem por toda a organização, encontrar formas de aplicar políticas e revogar privilégios simultaneamente, etc. — nunca estão confian-tes sobre os riscos internos. As organizações proativas sabem que os riscos internos são um problema contínuo e em evolução, e que preci-sarão trabalhar duro e investir em ferramentas adequadas para acompanhar.

Outro problema que muitas organizações têm é não saber por onde começar. O problema é tão grande que a vontade é enfrentar tudo ao mesmo tempo, o que é impossível. Enquanto isso, o medo de escolher uma opção errada ao começar, enquanto um ataque pode estar chegando através de uma backdoor diferente, pode ser paralisante.

Aqui estão cinco coisas que as organizações podem fazer para mitigar os riscos de usuários internos

1. Reduza o número de usuários privilegiados na organização. É o

mais difícil a se fazer, pois um profissional de TI terá dificuldade em dizer a um CIO que o smartphone novo dele não é compatível com as políticas corporativas de BYOD. Os CIOs e a TI terão de convencer todos os Executivos Corporativos que os usuários privilegiados são um problema, talvez apontando para exem-plos relevantes, como o ataque de intimação de CEO para fazer valer a sua opinião. Os Executivos Corporativos também entendem a

necessidade de ser compatível. Garantir que seus dados confidenciais não estão sendo acessados de forma inadequada é importante. Por exemplo, o PCI-DSS inclui multas substan-ciais para aqueles que não protegem adequa-damente as informações de cartão de crédito. E isso não inclui como fatores o enorme im-pacto financeiro que a sua organização terá caso ocorra uma violação. Citando apenas um exemplo, a Target continua pagando milhões de dólares em pagamentos relacionados a ações judiciais arquivadas como resultado de sua violação de 2013. Recentemente, a vare-jista com sede em Minneapolis foi condenada a pagar 39,4 milhões de dólares para resolver reclamações por bancos e cooperativas de crédito que foram afetadas pela violação4.

2. Reduza os privilégios que os ad-ministradores e outros usuários

privilegiados têm. Os hackers sabem que muitas vezes o elo mais fraco na cadeia de se-gurança corporativa são os administradores de TI ou de sistema, que são conhecidos por te-rem senhas fracas e deixarem os dispositivos com as senhas padrão. Mesmo que você force os administradores a girar senhas fortes para tudo, uma abordagem ainda melhor é limitar o acesso deles. Não conceda a eles acesso a todos os locais. Limite-os como qualquer outra pessoa, e caso precisem acessar um determi-nado sistema confidencial, esse acesso deve ser temporário e monitorado.

3. Monitore de perto os usuários privi legiados. Usuários avançados,

executivos corporativos e profissionais de TI apresentam os riscos mais graves caso se tornem mal-intencionados ou tenham suas contas comprometidas. Em primeiro lugar, é importante não abrir para eles portas para cada sistema. Conceda acesso apenas ao que

Na vida real, os documentos de negócios não são muito seguros…

1/2 dos trabalhadores pesquisados no mundo todo enviaram por e­mail documentos de negócios para suas contas de e­mail pessoal em uma base regular.

Como se não bastasse, 1/3 dos pesquisados admitiu trans­ferir documentos corporativos para serviços de compartilha­mento de arquivos não aprovados.

40 % transferiu arquivos de trabalho para os seus dispositivos móveis.

__________

4 Jonathan Stempel e Nandita Bose, “Target in $39.4 million settlement with banks over data breach”, Reuters, 2 de dezembro de 2015, acessado em 27 de julho de 2016, www.reuters.com/article/us-target-breach-settlement-idUSKBN0TL20Y20151203#qmGPWO0mR7raj6J0.97

5www.netiq.com

precisam, e se essa necessidade for temporá-ria, revogue esses privilégios em tempo hábil. Para privilégios em curso, em vez de descobrir como monitorar todos, até mesmo funcionários de nível baixo que possuem apenas direitos de acesso mínimos, encontre primeiro uma maneira de monitorar os usuários avançados. É onde estão as principais ameaças. Seja pro-ativo em monitorar seus comportamentos.

4. Aplique lentamente, mas de ma-neira segura as políticas acima

para o restante da organização. Em ou-tras palavras, se você deve conceder acesso a contratados, limite o número daqueles com acesso privilegiado. Na verdade, limite o nú-mero daqueles que possui acesso. Se não precisam, não conceda. Em seguida, limite os privilégios. Por exemplo, se precisam acessar um aplicativo da cadeia de suprimentos, não devem conseguir usar essas credenciais para acessar o CRM.

5. Implantar as ferramentas adequa-das para o trabalho. Tentar evitar

ameaças internas com ferramentas de se-gurança antigas é uma estratégia arriscada. Quase tão arriscado é confiar em fornecedores legados para adicionar recursos de segurança novos e complexos a conjuntos de segurança legados. Uma solução melhor é adotar uma abordagem de segurança em camadas, con-sistindo em produtos avançados e integrados. A solução integrada deve fornecer através de métodos automatizados o “contexto” muito necessário sobre usuários e eventos, respon-dendo ao “quem, o quê, quando e onde” de qualquer evento de segurança, dando às equi-pes a inteligência necessária para detectar e interromper ataques.

Olhar adianteComo Nuvem, BYOD, Mobilidade e Identidade Social continuam melhorando a forma como fazemos negócios e aumentam a complexi-dade de TI, outros riscos internos podem não ser abordados. Com cada vez mais pessoas obtendo mais acesso do que nunca aos nos-sos dados confidenciais, precisamos de uma maneira de determinar rapidamente se uma atividade de usuário interno éadequada ou normal para a empresa. Isso exi-girá, mais uma vez, outro nível de contexto.

A “identidade” é uma fonte fundamental de contexto para entender o que é um compor-tamento normal para os usuários dentro de uma organização. Quando a “identidade” do usuário está integrada a dados de eventos de segurança, as equipes de segurança podem identificar rapidamente o acesso e a atividade do usuário que podem ser anormais ou arris-cados, e tomar as medidas para solucionar a potencial ameaça.

Com essa abordagem, as ferramentas de ge-renciamento de identidades, de gerenciamento de acesso e de gerenciamento de eventos de segurança trabalham simultaneamente para proporcionar a gama completa de conheci-mento organizacional sobre a identidade dos usuários, qual atividade é normal para esse usuário e o que esse usuário precisa acessar.

Há uma série de soluções no mercado que po-dem ajudar você a obter maior controle sobre os riscos internos hoje e amanhã. A maioria será capaz de lidar com um ou mais dos desa-fios listados acima.

No entanto, para obter uma solução completa, há algumas coisas importantes que você deve considerar:1. Trata todos os elementos importantes de

infraestrutura?

2. Permite que os direitos sejam concedidos de forma granular?

3. Fornece os recursos de auditoria necessários?

4. Permite monitorar o que os usuários estão fazendo com o acesso privilegiado?

5. Permite monitorar alterações e acesso a arquivos que contêm dados confidenciais, conforme exigido por padrões como o PCI-DSS versão 3.2 (monitoramento da integridade dos arquivos)?

6. Pode integrar com suas soluções de monitoramento de segurança? (No cenário ideal, o SIEM deve também ser integrado com as suas soluções de gerenciamento de identidade e acesso para dar maior visibilidade de quem está fazendo o que; isso possibilita identificar quando uma atividade representa uma ameaça e tomar medidas rápidas para solucionar o problema.)

No complexo mundo da nuvem, da mobilidade e das mídias sociais, as ameaças que se ori-ginam de usuários internos ou externos que se apresentam como usuários internos são particularmente prejudiciais. Isto é verdadeiro principalmente quando o usuário interno possui amplos direitos de acesso de um usuário privile-giado. Controlar o acesso e monitorar as altera-ções em sistemas e bens críticos é fundamental para mitigar potenciais ameaças. Para saber mais sobre como detectar e interromper ame-aças internas antes que o dano seja feito, visite: www.netiq.com/securitymanagement

584-PB0009-003 | Q | 05/17 | © 2017 NetIQ Corporation e suas afiliadas. Todos os direitos reservados. NetIQ e o logotipo da NetIQ são marcas registradas ou marcas comerciais registradas da NetIQ Corporation nos EUA. Todos os outros nomes de produto e empresa podem ser marcas registradas de suas respectivas empresas.

NetIQEscritorio do BrasilRua Joaquim Floriano, 46612° andar - Ed. Corporate - Itaim-Bibi04534-002 - Sao Paulo - SPTel: +55 11 3627 0900

info@netiq.com www.netiq.com/communitieswww.netiq.com

Para obter uma lista completa de nossos escritórios na América do Norte, na Europa, no Oriente Médio, na África, na Ásia Ocidental e na América Latina, visite NetIQ.com/contacts.

www.netiq.com

www.netiq.com