Secure. Control. Perform.

UM EBOOK DA IPSWITCH

Ameaças internas e seu impacto na segurança dos dados

Introdução

Organizações do mundo todo estão bem

cientes das consequências associadas a

violações de dados. Dados confidenciais que

caem em mãos erradas podem ser vendidos

no mercado negro e acabar levando ao roubo

de identidade. Normalmente, a segurança

empresarial se concentra em proteções para

evitar que hackers entrem na rede e obtenham

acesso a esses dados. Embora esse seja um

bom começo, as organizações costumam

ingenuamente negligenciar os perigos do

roubo de dados iniciado por alguém de dentro

da empresa.

Ameaças internas ocorrem quando alguém

confiável de dentro da empresa (funcionário

atual ou anterior, prestador de serviço ou

parceiro de negócio) com acesso a dados

sigilosos da organização, seja de maneira

inadvertida ou intencional, participa de

atividades que comprometem negativamente

aXsegurança e a proteção dessas informações.

De acordo com o relatório mais recente do

Índice de ameaça interna da Clearswift (CITI),

74% das violações de segurança originam-se

de dentro da empresa global estendida.

Quando sondados em mais detalhes, 72% dos

profissionais de segurança global acreditam

que a diretoria não trata as ameaças internas

à segurança com o mesmo nível de importância

que as ameaças externas. Essas estatísticas

são alarmantes. A figura abaixo apresenta as

ameaças à segurança mais comuns que as

organizações enfrentam hoje.

DISPOSITIVOS DE ARMAZENAMENTO

REMOVÍVEIS

OS USUÁRIOS NÃO SEGUEM OS PROTOCOLOS

DE SEGURANÇA

OS USUÁRIOS USAM APLICATIVOS NÃO

AUTORIZADOS PARA TRABALHAR

LINKS EM E-MAILS

OS USUÁRIOS COMPARTILHAM NOMES DE USUÁRIO E SENHAS

ACESSO A REDES VIA DISPOSITIVOS PESSOAIS

MALWARE VIA DISPOSITIVOS PESSOAIS

DISPOSITIVOS PERDIDOS OU ROUBADOS

EX-FUNCIONÁRIOS ACESSANDO A REDE

MÍDIAS SOCIAIS

CLIENTES/FORNECEDORES/PARCEIROS

INTERNET DAS COISAS

Figura 1: principais ameaças internas à segurança para organizações

Fonte: Índice de ameaça interna da Clearswift 2015

Ameaças internas e seu impacto na segurança dos dados Página 2

inconvenente.

Figura 2: Mr. Robot Fonte: USA Networks (http://www.usanetwork.com/mrrobot)

Você já assistiu ao Mr. Robot no USA Networks?

O Mr. Robot retrata o estereótipo de uma ameaça

interna em Elliot Aldreson.

Elliot é recrutado por um grupo anônimo de

hacktivistas, coordenado por um homem

conhecido como “Mr. Robot”.

Durante o dia, Elliot trabalha como engenheiro

de segurança para a empresa de cibersegurança,

Allsafe. Elliot usa seu conhecimento interno da

empresa para ajudar seus amigos hacktivistas

a cometer cibercrimes de dentro da empresa,

roubando dados do cliente e divulgando segredos

corporativos.

É claro que Mr. Robot é um exemplo extremo de uma ameaça interna, contudo o programa ilustra

vulnerabilidades muito reais nas redes de negócios de hoje. Embora um bom número de violações

internas da segurança de dados seja cometido por pessoal interno mal-intencionado, a grande maioria

das ameaças internas não é intencional e é causada por pessoas que inadvertidamente expõem

informações privilegiadas. Ameaças internas não intencionais geralmente são o resultado de más

práticas de segurança, como deixar os sistemas de TI sem supervisão ou a falha em seguir protocolos

de segurança, como compartilhar senhas do sistema com um colega. Essas ameaças podem ser

facilmente tratadas implementando protocolos e padrões de segurança robustos.

Está claro que, para melhor proteger a integridade dos dados de uma organização, as equipes de TI

devem estender a implementação dos padrões de proteção de dados existentes para lidar com essas

ameaças internas e externas à segurança. A seguir estão alguns exemplos de ameaças comuns à

segurança às quais as equipes de TI devem estar atentas.

De: Bank Of America

Enviado: segunda-feira, 1 de maio de 2017, 13:58

Para: John Doe <jdoe3@gmail.com>

Assunto: IMPORTANTE! Seu cartão de crédito foi desativado

Anexo:

Prezado Sr. Doe,

Nunca confie em anexos de um e-mail que você não está esperando. Anexos podem conter malware, como ransonware, que criptografa seus dados e o deixa à mercê de um hacker.

Lamentamos informar que observamos comportamento suspeito na sua conta e tomamos providências

imediatas para protegê-lo contra encargos não autorizados no seu cartão.

Entrar

Os criminosos podem enviar para você uma página da web que pode parecer legítima, mas, na verdade, é um truque para roubar as informações da sua conta ou infectar seu computador com malware.

Reserve um minuto para fazer login na sua conta para solicitar um novo cartão.

Bilhetes colados com informações de login

são um problema óbvio. Um criminoso

Pedimos desculpas pelo

Obrigado,

Bank Of America

Erros simples de ortografia podem ser um sinal vermelho. Você confiaria em um banco que não sabe escrever direito? Provavelmente isso acontece porque não é o banco, mas um criminoso tentando fisgá-lo.

precisa apenas de uma espiada em uma

janela ou um olhar de relance em uma mesa.

Observe também a senha fraca.

Os e-mails nunca são seguros. Garanta que seus usuários

conheçam os últimos golpes de phishing. O treinamento

pode ser a melhor defesa contra um possível ataque.

Ameaças internas e seu impacto na segurança dos dados Página 3

75% das violações são de pessoal

externo vs. 25% de pessoal interno.

81% das violações relacionadas a hacking

foram causadas por senhas fracas.

66% do malware foram instalados usando anexos de e-mail mal-intencionados.

Figura 3: Relatório de investigação de violação de dados de 2017, 10ª edição Fonte: Verizon Enterprise (http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/)

A maioria dos ataques externos é resultado de ameaças internas

Como podemos ver com base nos dados acima, a maioria das violações de dados é causada por

pessoas externas. Então, por que as ameaças internas são as mais proeminentes? Para entender

isso, você precisa ligar os pontos.

Embora a maioria das violações seja causada por hackers externos, são os funcionários das

empresas que entregam inadvertidamente as chaves da rede aos criminosos. Senhas fracas

e e-mails mal-intencionados são os principais vetores de ataques externos. Mas só se os usuários

morderem a isca. Nesses casos, os usuários são a ameaça.

Porém, o problema com e-mails vai além de anexos mal-intencionados. Dados confidenciais

não devem ser enviados por e-mail, a menos que sejam criptografados no servidor e em trânsito.

O Office 365 e outros aplicativos de software oferecem esse recurso, porém, alguns serviços

não o oferecem. É importante ter cuidado com quais serviços de e-mail você está usando.

Ameaças internas e seu impacto na segurança dos dados Página 4

Os e-mails não são seus aliados

Nem é preciso lembrar das eleições de 2016 nos

EUA. Contudo, um dos principais tópicos durante

as eleições foi, é claro, o servidor de e-mail privado

de Hillary Clinton que ela estava usando para enviar

e receber informações confidenciais.

Deixando política e espionagem de lado, o maior

problema dos e-mails é que eles podem ser

interceptados por terceiros sem que o remetente

ou o destinatário saiba. Você pode ter o servidor de

e-mail mais seguro do mundo, porém, ele será inútil

quando os dados saírem da segurança do firewall da

sua empresa. O receptor dos dados pode não levar

a segurança tão a sério quanto você, assim, quem

vê o e-mail depois de você enviá-lo está fora do seu

controle.

Como minimizar ameaças internas ao transferir dados para fora do firewall

Na empresa sem fronteiras de hoje, as organizações precisam poder trocar com segurança

informações sigilosas com terceiros externos regularmente. Mover dados confidenciais para além

do firewall os expõe ao risco de interceptação e roubo de dados. Uma solução de transferência

gerenciada de arquivos (MFT) segura e confiável pode mostrar-se um investimento inestimável para

garantir que os arquivos sejam entregues aos destinatários autorizados dentro do prazo, enquanto

permite que a TI monitore e capture toda a atividade de transferência de arquivos. Ao selecionar

ferramentas para habilitar o compartilhamento externo de dados, é necessário considerar

funcionalidades como acesso à conta, alertas e relatórios, integração com antivírus e outros

mecanismos de segurança.

Acesso à conta

O acesso não autorizado a dados confidenciais é uma clara violação da segurança das informações

na sua rede. Uma maneira de garantir o controle consistente e fácil de gerenciar sobre o que os

usuários têm acesso em um determinado sistema é integrar os privilégios de acesso da conta com

o banco de dados do Active Directory (AD). Isso permite à equipe de TI controlar e monitorar quais

funcionários têm acesso aos sistemas que hospedam informações sigilosas. Também permite à TI

desabilitar ou limitar rapidamente o acesso a contas de usuário no caso de comportamento suspeito

ou se um funcionário sair da empresa.

Alertas, painéis e relatórios

É importante que um sistema de transferência gerenciada

de arquivos seja capaz de registrar todas as atividades

de transferência de arquivos e acionar alertas que avisem

a TI sobre comportamento de usuário mal-intencionado.

O controle e a visibilidade do acesso à conta e os eventos

de transferência de arquivos minimizam os possíveis danos

que poderiam ocorrer em um ataque de ameaça interna.

Registros de auditoria com proteção contra adulteração

garantem que, mesmo que o ataque ocorra, uma trilha do

que aconteceu será registrada e poderá ser rastreada até

o responsável.

Ameaças internas e seu impacto na segurança dos dados

Página 5

Integração com antivírus

Uma maneira muito comum de atacar e infiltrar-se em um sistema é liberando malware na

rede. Uma vez que o vírus de software é liberado, ele pode causar muitos danos e expor seus

dados mais sigilosos antes que a TI consiga controlar a situação. As equipes de TI contam

com software antivírus atualizado para ajudar a minimizar as chances desses ataques cruéis.

Garantir que seu sistema de transferência gerenciada de arquivos possa integrar-se ao

software antivírus de rede pode ajudar a prevenir que malware liberado na rede afete os

servidores FTP nos quais os dados estão armazenados.

Criptografia de dados

A criptografia de dados desempenha um papel muito importante durante a transferência

de dados para fora de uma organização. Mesmo que a TI consiga limitar o acesso de

usuários autorizados a bancos de dados que hospedem informações sigilosas, é igualmente

importante garantir que os dados compartilhados externamente à empresa não sejam lidos

nem modificados. Esse processo também é vulnerável a pessoas internas que estejam

buscando interceptar e fazer mal uso de informações protegidas, mas, muitas vezes, ele

é negligenciado de um ponto de vista de segurança. As equipes de TI devem garantir que

elas tenham um fluxo de trabalho de transferência gerenciada de arquivos estabelecido que

criptografe tanto dados em repouso quanto em trânsito. A criptografia de dados previne

que usuários não autorizados façam uso indevido de quaisquer dados importantes, mesmo

que consigam obter acesso ao repositório de arquivos subjacente. Também garante que

a integridade dos dados não seja comprometida de maneira alguma.

Autenticação multifatorial

A autenticação multifatorial (MFA) é outra excelente camada de segurança que pode ajudar

a garantir que apenas indivíduos autorizados obtenham acesso a informações confidenciais.

MFA é um processo de verificação de várias etapas que garante que o usuário seja quem ele

alega ser exigindo que ele forneça comprovação da sua identidade, geralmente na forma de

um código de segurança, ao fazer login em uma conta do sistema. O código de segurança

é enviado a uma fonte alternativa (telefone, e-mail etc.) vinculada diretamente ao indivíduo.

Essa camada adicional de segurança impede que os funcionários compartilhem senhas

ou que usuários não autorizados obtenham acesso a dados confidenciais no caso de uma

senha de conta ser comprometida.

Ameaças internas e seu impacto na segurança dos dados Página 6

Serviços na nuvem

Atualmente, cada vez mais aplicativos estão

sendo oferecidos na nuvem. Uma clara

vantagem de implementar uma solução de

SaaS baseada na nuvem para suas atividades

de transferência de arquivos é que isso garante

que todos os seus protocolos de software

estejam atualizados. Com uma oferta baseada

na nuvem de SaaS, ataques internos mal-

intencionados não terão a mesma janela

de oportunidade para acessar informações

confidenciais. Com uma implementação local,

há uma clara janela de vulnerabilidade entre o

momento em que as atualizações e/ou patches

de software estão disponíveis e o momento em

que a TI agendou sua aplicação na rede.

Automação

A automação cria uma metodologia de

“entrega” para transferência de dados que reduz

as chances de arquivos sigilosos acabarem

nas mãos de pessoas não autorizadas devido

a erros de script (intencionais ou não).

Um sistema de automação robusto possibilita

à TI gerenciar e rastrear a atividade de

transferência de arquivos e desabilitar/

interromper rapidamente determinadas

transferências no caso de suspeita de atividade

fraudulenta.

Figura 4: sistemas inteligentes em ação Fonte: Ipswitch (www.ipswitch.com)

92 % Reconhecem que

sistemas inteligentes

são cruciais para

o sucesso dos

negócios.

UM RELACIONAMENTO COMPLEXO

Acreditam que gera

novas preocupações

sobre a segurança,

o acesso e os controles

da rede.

68 %

Como você classificaria sua atual capacidade em gerenciamento e automação de transferência segura de arquivos?

Forte e preparada

para o futuro

Precisa ser

reforçada

Já é inadequada

12 % 27 %

60 %

Ameaças internas e seu impacto na segurança dos dados

Página 7

Acesso às contas de terceiros

Ameaças internas não estão apenas limitadas a prestadores de serviços e funcionários.

As empresas atuais frequentemente desenvolvem fortes relacionamentos com fornecedores

terceirizados e parceiros que precisam de acesso privilegiado a informações. Infelizmente,

os cibercriminosos costumam aproveitar esse acesso para vencer suas defesas. Isso

normalmente pode ser evitado usando um servidor de “proxy de gateway” que encerra a

autenticação de entrada e saída e as transmissões na DMZ (zona desmilitarizada) da rede,

proibindo o acesso externo à sua rede confiável. As contas de terceiros podem ser melhor

controladas implementando permissões de privilégio mínimo e capturando uma trilha de

auditoria de todas as atividades de acesso remoto à conta. Além dessas proteções, as contas

de terceiros podem ser desabilitadas ou excluídas quando não são mais necessárias.

Saiba mais sobre a transferência gerenciada

de arquivos com o MOVEit:

https://pt.ipswitch.com

Ameaças internas e seu impacto na segurança dos dados Página 8