secure. control. perform. - pt.ipswitch.com · 75% das violações são de pessoal externo vs. 25%...
TRANSCRIPT
Secure. Control. Perform.
UM EBOOK DA IPSWITCH
Ameaças internas e seu impacto na segurança dos dados
Introdução
Organizações do mundo todo estão bem
cientes das consequências associadas a
violações de dados. Dados confidenciais que
caem em mãos erradas podem ser vendidos
no mercado negro e acabar levando ao roubo
de identidade. Normalmente, a segurança
empresarial se concentra em proteções para
evitar que hackers entrem na rede e obtenham
acesso a esses dados. Embora esse seja um
bom começo, as organizações costumam
ingenuamente negligenciar os perigos do
roubo de dados iniciado por alguém de dentro
da empresa.
Ameaças internas ocorrem quando alguém
confiável de dentro da empresa (funcionário
atual ou anterior, prestador de serviço ou
parceiro de negócio) com acesso a dados
sigilosos da organização, seja de maneira
inadvertida ou intencional, participa de
atividades que comprometem negativamente
aXsegurança e a proteção dessas informações.
De acordo com o relatório mais recente do
Índice de ameaça interna da Clearswift (CITI),
74% das violações de segurança originam-se
de dentro da empresa global estendida.
Quando sondados em mais detalhes, 72% dos
profissionais de segurança global acreditam
que a diretoria não trata as ameaças internas
à segurança com o mesmo nível de importância
que as ameaças externas. Essas estatísticas
são alarmantes. A figura abaixo apresenta as
ameaças à segurança mais comuns que as
organizações enfrentam hoje.
DISPOSITIVOS DE ARMAZENAMENTO
REMOVÍVEIS
OS USUÁRIOS NÃO SEGUEM OS PROTOCOLOS
DE SEGURANÇA
OS USUÁRIOS USAM APLICATIVOS NÃO
AUTORIZADOS PARA TRABALHAR
LINKS EM E-MAILS
OS USUÁRIOS COMPARTILHAM NOMES DE USUÁRIO E SENHAS
ACESSO A REDES VIA DISPOSITIVOS PESSOAIS
MALWARE VIA DISPOSITIVOS PESSOAIS
DISPOSITIVOS PERDIDOS OU ROUBADOS
EX-FUNCIONÁRIOS ACESSANDO A REDE
MÍDIAS SOCIAIS
CLIENTES/FORNECEDORES/PARCEIROS
INTERNET DAS COISAS
Figura 1: principais ameaças internas à segurança para organizações
Fonte: Índice de ameaça interna da Clearswift 2015
Ameaças internas e seu impacto na segurança dos dados Página 2
inconvenente.
Figura 2: Mr. Robot Fonte: USA Networks (http://www.usanetwork.com/mrrobot)
Você já assistiu ao Mr. Robot no USA Networks?
O Mr. Robot retrata o estereótipo de uma ameaça
interna em Elliot Aldreson.
Elliot é recrutado por um grupo anônimo de
hacktivistas, coordenado por um homem
conhecido como “Mr. Robot”.
Durante o dia, Elliot trabalha como engenheiro
de segurança para a empresa de cibersegurança,
Allsafe. Elliot usa seu conhecimento interno da
empresa para ajudar seus amigos hacktivistas
a cometer cibercrimes de dentro da empresa,
roubando dados do cliente e divulgando segredos
corporativos.
É claro que Mr. Robot é um exemplo extremo de uma ameaça interna, contudo o programa ilustra
vulnerabilidades muito reais nas redes de negócios de hoje. Embora um bom número de violações
internas da segurança de dados seja cometido por pessoal interno mal-intencionado, a grande maioria
das ameaças internas não é intencional e é causada por pessoas que inadvertidamente expõem
informações privilegiadas. Ameaças internas não intencionais geralmente são o resultado de más
práticas de segurança, como deixar os sistemas de TI sem supervisão ou a falha em seguir protocolos
de segurança, como compartilhar senhas do sistema com um colega. Essas ameaças podem ser
facilmente tratadas implementando protocolos e padrões de segurança robustos.
Está claro que, para melhor proteger a integridade dos dados de uma organização, as equipes de TI
devem estender a implementação dos padrões de proteção de dados existentes para lidar com essas
ameaças internas e externas à segurança. A seguir estão alguns exemplos de ameaças comuns à
segurança às quais as equipes de TI devem estar atentas.
De: Bank Of America
Enviado: segunda-feira, 1 de maio de 2017, 13:58
Para: John Doe <[email protected]>
Assunto: IMPORTANTE! Seu cartão de crédito foi desativado
Anexo:
Prezado Sr. Doe,
Nunca confie em anexos de um e-mail que você não está esperando. Anexos podem conter malware, como ransonware, que criptografa seus dados e o deixa à mercê de um hacker.
Lamentamos informar que observamos comportamento suspeito na sua conta e tomamos providências
imediatas para protegê-lo contra encargos não autorizados no seu cartão.
Entrar
Os criminosos podem enviar para você uma página da web que pode parecer legítima, mas, na verdade, é um truque para roubar as informações da sua conta ou infectar seu computador com malware.
Reserve um minuto para fazer login na sua conta para solicitar um novo cartão.
Bilhetes colados com informações de login
são um problema óbvio. Um criminoso
Pedimos desculpas pelo
Obrigado,
Bank Of America
Erros simples de ortografia podem ser um sinal vermelho. Você confiaria em um banco que não sabe escrever direito? Provavelmente isso acontece porque não é o banco, mas um criminoso tentando fisgá-lo.
precisa apenas de uma espiada em uma
janela ou um olhar de relance em uma mesa.
Observe também a senha fraca.
Os e-mails nunca são seguros. Garanta que seus usuários
conheçam os últimos golpes de phishing. O treinamento
pode ser a melhor defesa contra um possível ataque.
Ameaças internas e seu impacto na segurança dos dados Página 3
75% das violações são de pessoal
externo vs. 25% de pessoal interno.
81% das violações relacionadas a hacking
foram causadas por senhas fracas.
66% do malware foram instalados usando anexos de e-mail mal-intencionados.
Figura 3: Relatório de investigação de violação de dados de 2017, 10ª edição Fonte: Verizon Enterprise (http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/)
A maioria dos ataques externos é resultado de ameaças internas
Como podemos ver com base nos dados acima, a maioria das violações de dados é causada por
pessoas externas. Então, por que as ameaças internas são as mais proeminentes? Para entender
isso, você precisa ligar os pontos.
Embora a maioria das violações seja causada por hackers externos, são os funcionários das
empresas que entregam inadvertidamente as chaves da rede aos criminosos. Senhas fracas
e e-mails mal-intencionados são os principais vetores de ataques externos. Mas só se os usuários
morderem a isca. Nesses casos, os usuários são a ameaça.
Porém, o problema com e-mails vai além de anexos mal-intencionados. Dados confidenciais
não devem ser enviados por e-mail, a menos que sejam criptografados no servidor e em trânsito.
O Office 365 e outros aplicativos de software oferecem esse recurso, porém, alguns serviços
não o oferecem. É importante ter cuidado com quais serviços de e-mail você está usando.
Ameaças internas e seu impacto na segurança dos dados Página 4
Os e-mails não são seus aliados
Nem é preciso lembrar das eleições de 2016 nos
EUA. Contudo, um dos principais tópicos durante
as eleições foi, é claro, o servidor de e-mail privado
de Hillary Clinton que ela estava usando para enviar
e receber informações confidenciais.
Deixando política e espionagem de lado, o maior
problema dos e-mails é que eles podem ser
interceptados por terceiros sem que o remetente
ou o destinatário saiba. Você pode ter o servidor de
e-mail mais seguro do mundo, porém, ele será inútil
quando os dados saírem da segurança do firewall da
sua empresa. O receptor dos dados pode não levar
a segurança tão a sério quanto você, assim, quem
vê o e-mail depois de você enviá-lo está fora do seu
controle.
Como minimizar ameaças internas ao transferir dados para fora do firewall
Na empresa sem fronteiras de hoje, as organizações precisam poder trocar com segurança
informações sigilosas com terceiros externos regularmente. Mover dados confidenciais para além
do firewall os expõe ao risco de interceptação e roubo de dados. Uma solução de transferência
gerenciada de arquivos (MFT) segura e confiável pode mostrar-se um investimento inestimável para
garantir que os arquivos sejam entregues aos destinatários autorizados dentro do prazo, enquanto
permite que a TI monitore e capture toda a atividade de transferência de arquivos. Ao selecionar
ferramentas para habilitar o compartilhamento externo de dados, é necessário considerar
funcionalidades como acesso à conta, alertas e relatórios, integração com antivírus e outros
mecanismos de segurança.
Acesso à conta
O acesso não autorizado a dados confidenciais é uma clara violação da segurança das informações
na sua rede. Uma maneira de garantir o controle consistente e fácil de gerenciar sobre o que os
usuários têm acesso em um determinado sistema é integrar os privilégios de acesso da conta com
o banco de dados do Active Directory (AD). Isso permite à equipe de TI controlar e monitorar quais
funcionários têm acesso aos sistemas que hospedam informações sigilosas. Também permite à TI
desabilitar ou limitar rapidamente o acesso a contas de usuário no caso de comportamento suspeito
ou se um funcionário sair da empresa.
Alertas, painéis e relatórios
É importante que um sistema de transferência gerenciada
de arquivos seja capaz de registrar todas as atividades
de transferência de arquivos e acionar alertas que avisem
a TI sobre comportamento de usuário mal-intencionado.
O controle e a visibilidade do acesso à conta e os eventos
de transferência de arquivos minimizam os possíveis danos
que poderiam ocorrer em um ataque de ameaça interna.
Registros de auditoria com proteção contra adulteração
garantem que, mesmo que o ataque ocorra, uma trilha do
que aconteceu será registrada e poderá ser rastreada até
o responsável.
Ameaças internas e seu impacto na segurança dos dados
Página 5
Integração com antivírus
Uma maneira muito comum de atacar e infiltrar-se em um sistema é liberando malware na
rede. Uma vez que o vírus de software é liberado, ele pode causar muitos danos e expor seus
dados mais sigilosos antes que a TI consiga controlar a situação. As equipes de TI contam
com software antivírus atualizado para ajudar a minimizar as chances desses ataques cruéis.
Garantir que seu sistema de transferência gerenciada de arquivos possa integrar-se ao
software antivírus de rede pode ajudar a prevenir que malware liberado na rede afete os
servidores FTP nos quais os dados estão armazenados.
Criptografia de dados
A criptografia de dados desempenha um papel muito importante durante a transferência
de dados para fora de uma organização. Mesmo que a TI consiga limitar o acesso de
usuários autorizados a bancos de dados que hospedem informações sigilosas, é igualmente
importante garantir que os dados compartilhados externamente à empresa não sejam lidos
nem modificados. Esse processo também é vulnerável a pessoas internas que estejam
buscando interceptar e fazer mal uso de informações protegidas, mas, muitas vezes, ele
é negligenciado de um ponto de vista de segurança. As equipes de TI devem garantir que
elas tenham um fluxo de trabalho de transferência gerenciada de arquivos estabelecido que
criptografe tanto dados em repouso quanto em trânsito. A criptografia de dados previne
que usuários não autorizados façam uso indevido de quaisquer dados importantes, mesmo
que consigam obter acesso ao repositório de arquivos subjacente. Também garante que
a integridade dos dados não seja comprometida de maneira alguma.
Autenticação multifatorial
A autenticação multifatorial (MFA) é outra excelente camada de segurança que pode ajudar
a garantir que apenas indivíduos autorizados obtenham acesso a informações confidenciais.
MFA é um processo de verificação de várias etapas que garante que o usuário seja quem ele
alega ser exigindo que ele forneça comprovação da sua identidade, geralmente na forma de
um código de segurança, ao fazer login em uma conta do sistema. O código de segurança
é enviado a uma fonte alternativa (telefone, e-mail etc.) vinculada diretamente ao indivíduo.
Essa camada adicional de segurança impede que os funcionários compartilhem senhas
ou que usuários não autorizados obtenham acesso a dados confidenciais no caso de uma
senha de conta ser comprometida.
Ameaças internas e seu impacto na segurança dos dados Página 6
Serviços na nuvem
Atualmente, cada vez mais aplicativos estão
sendo oferecidos na nuvem. Uma clara
vantagem de implementar uma solução de
SaaS baseada na nuvem para suas atividades
de transferência de arquivos é que isso garante
que todos os seus protocolos de software
estejam atualizados. Com uma oferta baseada
na nuvem de SaaS, ataques internos mal-
intencionados não terão a mesma janela
de oportunidade para acessar informações
confidenciais. Com uma implementação local,
há uma clara janela de vulnerabilidade entre o
momento em que as atualizações e/ou patches
de software estão disponíveis e o momento em
que a TI agendou sua aplicação na rede.
Automação
A automação cria uma metodologia de
“entrega” para transferência de dados que reduz
as chances de arquivos sigilosos acabarem
nas mãos de pessoas não autorizadas devido
a erros de script (intencionais ou não).
Um sistema de automação robusto possibilita
à TI gerenciar e rastrear a atividade de
transferência de arquivos e desabilitar/
interromper rapidamente determinadas
transferências no caso de suspeita de atividade
fraudulenta.
Figura 4: sistemas inteligentes em ação Fonte: Ipswitch (www.ipswitch.com)
92 % Reconhecem que
sistemas inteligentes
são cruciais para
o sucesso dos
negócios.
UM RELACIONAMENTO COMPLEXO
Acreditam que gera
novas preocupações
sobre a segurança,
o acesso e os controles
da rede.
68 %
Como você classificaria sua atual capacidade em gerenciamento e automação de transferência segura de arquivos?
Forte e preparada
para o futuro
Precisa ser
reforçada
Já é inadequada
12 % 27 %
60 %
Ameaças internas e seu impacto na segurança dos dados
Página 7
Acesso às contas de terceiros
Ameaças internas não estão apenas limitadas a prestadores de serviços e funcionários.
As empresas atuais frequentemente desenvolvem fortes relacionamentos com fornecedores
terceirizados e parceiros que precisam de acesso privilegiado a informações. Infelizmente,
os cibercriminosos costumam aproveitar esse acesso para vencer suas defesas. Isso
normalmente pode ser evitado usando um servidor de “proxy de gateway” que encerra a
autenticação de entrada e saída e as transmissões na DMZ (zona desmilitarizada) da rede,
proibindo o acesso externo à sua rede confiável. As contas de terceiros podem ser melhor
controladas implementando permissões de privilégio mínimo e capturando uma trilha de
auditoria de todas as atividades de acesso remoto à conta. Além dessas proteções, as contas
de terceiros podem ser desabilitadas ou excluídas quando não são mais necessárias.
Saiba mais sobre a transferência gerenciada
de arquivos com o MOVEit:
https://pt.ipswitch.com
Ameaças internas e seu impacto na segurança dos dados Página 8