Você está aqui: Página Inicial / Notícias / O Perigo vem de dentro - Roubo de Dados

O Perigo vem de dentro - Roubo de Dados

Insiders podem causar danos muito mais graves do que hackers externos podem, porque eles têm acesso muito mais fácil à sistemas e uma maior janela de oportunidade
O Perigo vem de dentro -  Roubo de Dados

Usuários privilegiados possuem o poder - Para o bem ou para o mal

Nós todos sabemos sobre o ataque cibernético à Target de 2013, em que os criminosos roubaram os números de cartão de pagamento de cerca de 40 milhões de clientes e os dados pessoais de cerca de 70 milhões.

Este vazamento manchou a reputação da empresa, causou a queda de seus lucros, e provocou a demissão do CEO e CIO. O que é menos conhecido é que, embora os ladrões eram estranhos, eles ganharam acesso ao sistemas usando as credenciais de um insider: um dos fornecedores de refrigeração da empresa.

O ataque a empresa Target é apenas um exemplo recente do aumento de ataques externos, como vimos como o ransomware Wannacry. 

Mas os ataques envolvendo colaboradores diretos e terceiros representam uma ameaça mais prejudicial. Insiders podem causar danos muito mais graves do que hackers externos podem, porque eles têm acesso muito mais fácil à sistemas e uma janela maior para suas atividades ilícitas. Os danos causados por atacantes internos podem incluir a suspensão das operações, perda de propriedade intelectual, danos à reputação da empresa, perda de investidores e confiança do cliente, vazamentos de informações confidenciais para terceiros, incluindo os meios de comunicação. De acordo com várias estimativas, pelo menos 80 milhões de ataques internos ocorrem nos Estados Unidos todos os anos. Mas o número pode ser muito maior, porque muitas vezes eles não são declarados. Claramente, o seu impacto totaliza agora na casa das dezenas de bilhões de dólares por ano.

 

MR_ROBOT

 

Muitas organizações admitem que não possuem mecanismos de segurança adequados para detectar ou impedir ataques envolvendo insiders

Nos últimos dois anos temos liderado um projeto de investigação internacional cujo objetivo é melhorar significativamente a capacidade das organizações para descobrir e neutralizar ameaças de insiders. Patrocinado pelo Centro para a Proteção de Infraestrutura Nacional (CPNI), que faz parte do serviço de segurança MI5 do Reino Unido, a nossa equipe de 16 membros combina especialistas em segurança de computadores, acadêmicos da escola de negócios que trabalham com governança corporativa, educadores de gestão, especialistas em visualização da informação, psicólogos e criminólogos de Oxford, da Universidade de Leicester, e da Universidade de Cardiff.

Nossa abordagem interdisciplinar levou a descobertas que desafiam visões e práticas (veja o quadro "Práticas Comuns que não Funcionam") convencionais. Por exemplo, muitas empresas agora tentam impedir que os funcionários usem computadores de trabalho para acessar sites não diretamente relacionados com o seu trabalho, como o Facebook, sites de namoro e sites políticos. Nós pensamos que eles deveriam dar aos funcionários a liberdade para ir onde eles querem na web, mas usar um software de segurança prontamente disponível para monitorar suas atividades, obtendo-se, assim, informações importantes sobre comportamentos e personalidades que ajudará a detectar perigo. Neste artigo, vamos compartilhar nossas descobertas sobre as formas eficazes para minimizar a probabilidade de ataques internos.

Práticas Comuns que não Funcionam

As salvaguardas de segurança cibernética mais comuns são muito menos eficazes contra insiders do que contra outsiders.

Controles de Acesso

Regras que proíbem as pessoas de usar dispositivos corporativos para tarefas pessoais não vai impedi-los de roubar bens.

Gestão de Vulnerabilidades

Patches de segurança e antivírus não previnem ou detectam acesso de funcionários autorizados mal-intencionados ou terceiros que utilizam credenciais roubadas.

Proteção de Fronteiras Forte

Colocar ativos críticos dentro de um perímetro controlado não vai impedir o roubo por pessoas autorizadas para acessar os sistemas protegidos.

                                                                             

 

Políticas de Senha

A obrigatoriedade de senhas complexas ou frequentemente alteradas significa que eles muitas vezes acabam em Post-it Notes, presas fáceis para alguém com acesso físico.

Programas de Conscientização

Solicitar que empregados somente leiam a política de segurança de TI da empresa anualmente não vai magicamente conferir “consciência cibernética” sobre eles. Nem vai impedir os membros da equipe de realizar ações prejudiciais

 

 

 

Um Risco Pouco Conhecido

Ameaças internas vêm de pessoas que exploram o acesso legítimo aos ativos cibernéticos de uma organização para fins não autorizados e mal-intencionados ou que inadvertidamente criam vulnerabilidades. Eles podem ser empregados diretos (desde faxineiros até executivos), empreiteiros ou fornecedores de terceiros de dados e serviços de computação (Edward Snowden, que ficou famoso através do roubo de informações sensíveis da Agência de Segurança Nacional dos Estados Unidos, trabalhou como um contratante NSA). Com este acesso legítimo eles podem roubar, destruir, ou corromper sistemas de computadores e dados sem detecção através de soluções de segurança baseadas em controles de perímetro comuns que se concentram em pontos de entrada, em vez de o que ou quem já está dentro.

De acordo com Vormetric, uma empresa líder em segurança de computadores, 54% dos gerentes de organizações de grande e médio porte dizem que detectar e prevenir ataques internos é mais difícil hoje do que era em 2011. Além do mais, esses ataques estão aumentando tanto em número como em percentagem de todos os ataques cibernéticos relatados: um estudo realizado pela KPMG descobriu que havia subido de 4% em 2007 para 20% em 2010. Nossa pesquisa sugere que a percentagem continuou a crescer. Além disso, ataques externos podem envolver a assistência de insiders com ou sem conhecimento da pessoa. O incidente da Target é um caso em questão.

Causas do Crescimento

Uma série de fatores na mudança do ambiente de TI explicam essa crescente ameaça. Eles não são particularmente surpreendente, e esse é apenas o ponto. As portas que deixam as organizações vulneráveis a ataques internos são mundanas e ubíquas.

Um aumento dramático no tamanho e complexidade da TI

Sabe quais os indivíduos gerenciam os seus serviços baseados em nuvem, com quem convivem nesses servidores, e quão seguro os servidores estão? O quão confiável são aqueles que fornecem atividades terceirizadas, como SAC, logística, limpeza, RH e gestão de relacionamento com o cliente? Em 2005, quatro titulares de contas do Citibank em Nova York foram defraudados de quase US$ 350.000 por funcionários de SAC baseado em Pune, Índia. Os culpados eram funcionários de uma empresa de software e serviços aos quais Citibank tinha terceirizado trabalho. Eles haviam coletado dados, PINs, e números de contas pessoais dos clientes.

Sites da "Dark Web", onde os intermediários sem escrúpulos vendem grandes quantidades de informações sensíveis, agora estão infestados. Tudo a partir de senhas dos clientes e informações de cartão de crédito até propriedade intelectual é vendido nesses sites clandestinos. Insiders frequentemente estão dispostos a dar acesso a esses ativos em troca de somas muito menos do que seu valor de mercado, contribuindo para a "cybercrime-as-a-service" da indústria.

Os funcionários que usam dispositivos pessoais para o trabalho

Cada vez mais, insiders, muitas vezes inconscientemente, expõem seus empregadores a ameaças, fazendo trabalho em dispositivos eletrônicos. Nossa equipe e outros descobriram que grupos de segurança das empresas não podem manter relação com os perigos representados pela explosão destes dispositivos. De acordo com um recente relatório da Alcatel-Lucent, aproximadamente 11,6 milhões de dispositivos móveis em todo o mundo estão infectados e as infecções de malware móvel aumentou 20% em 2013.

Não é apenas smartphones e tablets, que são os culpados: Os dispositivos podem ser tão simples quanto pen drives ou cartões de memória do telefone. "A melhor maneira de entrar em uma empresa despreparada é espalhar USBs infectados com o logotipo da empresa em todo o estacionamento", diz Michael Goldsmith, um membro de nossa equipe e diretor associado do Centro de Segurança Cibernética de Oxford, referindo-se ao ataque 2012 no DSM, uma empresa química holandesa. "Alguns empregados são obrigados a tentar um deles."

Foi amplamente noticiado que os delegados presentes a uma cúpula do G20 perto de São Petersburgo em 2013 receberam dispositivos de armazenamento USB e carregadores de telefones celulares carregados com malware concebidos para ajudar a roubar informações. E o computador worm Stuxnet, que sabotou o estabelecimento de refinamento de urânio do Irã em 2008-2010 teria sido introduzido através de drives flash USB em sistemas não conectados à internet.

Na verdade, todos nós somos vulneráveis.

A explosão nos meios de comunicação social

As mídias sociais permitem que todos os tipos de informações vazem de uma empresa e se espalhem pelo mundo, muitas vezes sem o conhecimento da empresa. Elas também oferecem oportunidades para recrutar insiders e usá-los para acessar os ativos corporativos. O chamado “golpe romance” (romance scam), em que um empregado é persuadido ou enganado a compartilhar dados confidenciais por um vigarista sofisticado agindo como um pretendente em um site de namoro, provou ser particularmente eficaz. Outras estratégias incluem o uso de conhecimentos adquiridos através das redes sociais para pressionar os funcionários: um chantagista cibernético pode ameaçar apagar arquivos do computador ou instalar imagens pornográficas no computador do escritório da vítima a menos que a informação sensível seja entregue.


Por que eles fazem isso

Uma série de estudos do governo e de casos privado estabeleceram que insiders que conscientemente participam de ataques cibernéticos têm uma ampla gama de motivações: o ganho financeiro, a vingança, o desejo de reconhecimento e poder, a resposta à chantagem, a lealdade aos outros na organização e crenças políticas.

Um exemplo que ouvimos falar durante a nossa pesquisa foi um ataque de 2014 feito por um pretendente rejeitado em uma empresa de treinamento virtual pequena, mas crescente. Uma gerente queixou-se a seu superior sobre a pessoa em questão, um administrador de sistemas que lhe enviava flores e mensagens de texto inadequadas no trabalho e continuamente passava em frente da casa dela. Uma vez claramente rejeitado, o atacante corrompeu o banco de dados de vídeos de treinamento da empresa e tornou os backups inacessível. A empresa o demitiu. Mas sabendo que não tinham provas de sua culpabilidade, ele chantageou a empresa em vários milhares de euros, ameaçando divulgar a falta de segurança da empresa, o que poderia ter danificado um próximo IPO. Este incidente, semelhante a outros casos de crimes de insiders, não foi declarado.

Gestores no escuro

Pedimos a 80 gerentes seniores sobre informações relacionadas à ameaças de insiders, seguido de um elaborado estudo de caso de incidentes reais. Aqui está um resumo do que encontramos:

  • Gestores em todos os países e na maioria das indústrias (bancos e empresas de energia são a exceção) são, em grande parte, ignorantes à ameaças internas;

  • Eles tendem a ver a segurança como trabalho de outra pessoa, geralmente o departamento de TI;

  • Poucos gerentes reconhecem a importância de observar o comportamento incomum de funcionários, como visitar sites extremistas ou começar a trabalhar em alguns momentos estranhos do dia-a-dia, para obter um aviso prévio de um ataque;

  • Quase dois terços dos profissionais de segurança interna e externa têm dificuldade para persuadir os conselhos de administração dos riscos inerentes ao negligenciar a questão da ameaça de insiders;

  • Alguns grupos de TI recebem orientações sobre quais ativos de informação são mais críticos, qual nível de risco é aceitável, ou quanto deve ser investido para prevenir ataques.


Colaboração privilegiada com o crime organizado e grupos de ativistas está se tornando cada vez mais comum. Muitos países estão agora utilizando Equipes de Prontidão para Emegência de Computadores (CERT) para proteger-se contra este e outros tipos de ataque. Dos 150 casos que foram analisados pelo Centro de Ameaças de Insider do CERT na Universidade Carnegie Mellon no relatório “Spotlight On” de 2012: insiders maliciosos e Atividades de Crimes Organizadas, 16% tinham ligações com o crime organizado.

Um caso foi o roubo em 2012 por uma gangue russa de detalhes de 3,8 milhões de contas bancárias não criptografadas e quase 4 milhões de declarações fiscais do Departamento de Receita da Carolina do Sul. Análise forense revelou que o ataque foi facilitado por um funcionário que clicou em um link em um e-mail, permitindo a quadrilha roubar as credenciais do empregado e acessar os servidores de dados do estado.

Monica Whitty, uma psicóloga da Universidade de Leicester, um membro da nossa equipe, e muitos outros dizem que os insiders que voluntariamente ajudam ou se envolvem em ciberataques sofrem de uma ou mais condições da "tríade escura" (dark triad): maquiavelismo, o narcisismo e psicopatia. Apoiando este ponto de vista, um estudo de 2013 da CPNI descobriu que atacantes insiders normalmente têm alguma combinação dos seguintes traços de personalidade: imaturidade, baixa autoestima, a moral ou a falta de ética, a superficialidade, uma tendência para fantasiar, inquietude e impulsividade, falta de consciência, espírito de manipulação, e instabilidade.

Roger Duronio, um administrador de sistemas da UBS Wealth Management condenado por usar uma "bomba lógica" maliciosa para danificar a rede de computadores da empresa em 2006, exibiu uma série dessas características. Duronio estava preocupado com a segurança de seu emprego e ficou pálido quando recebeu apenas US$ 32.000 do bônus de US$ 50.000 que ele esperava. Assim, ele causou um curto-circuito no estoque da empresa e ativou a bomba. Com isso, derrubou até 2.000 servidores em escritórios do UBS em torno dos Estados Unidos; alguns deles ficaram incapazes de fazer negócios durante várias semanas. A empresa sofreu US$ 3,1 milhões em custos diretos e milhões de dólares a mais em perdas acidentais não reveladas. Duronio foi condenado a 97 meses de prisão pelo crime.

Como pensar sobre o problema

Gerenciar as ameaças de segurança cibernética de insiders é semelhante ao gerenciamento de qualidade e segurança. Todos eram uma vez a responsabilidade de um departamento específico. Porém as organizações já não podem antecipar todos os riscos, porque o ambiente de tecnologia é tão complexo e em constante mudança. Assim, os líderes de empresas grandes e pequenas precisam de todos na organização envolvidos. Aqui estão cinco passos que devem tomar imediatamente:

Adotar uma política interna robusta

Isso deve resolver o que as pessoas devem fazer ou não fazer para dissuadir os insiders que introduzem o risco através de descuido, negligência ou erros. A política deve ser concisa e fácil para todos (não apenas para especialistas de segurança e de tecnologia) compreender, acessar e aderir. As regras devem ser aplicadas a todos os níveis da organização, incluindo a gerência sênior. A estrutura fornecida pelo Estado de Illinois é um modelo de política robusta. Aqui está um link para ele: http://www.illinois.gov/ready/SiteCollectionDocuments/Cyber_SOSSamplePolicy.pdf

Os funcionários devem possuir as ferramentas necessárias que os ajudem a aderir à política. Por exemplo, os sistemas podem ser concebidos para exibir uma mensagem de aviso na tela quando alguém tenta fazer logon em um subsistema que contém materiais sensíveis. O sistema poderia perguntar e registrar se a pessoa está autorizada a estar lá e acompanhar aquelas que não são.

Violações de políticas devem acarretar em punições. Obviamente, um empregado que comete um crime grave como a venda de dados pessoais dos clientes ou introduz malware nos sistemas da empresa intencionalmente deve ser demitido e processado. A primeira punição para algo menos grave, tais como compartilhamento de senhas para permitir colegas confiáveis para acessar sistemas corporativos, pode resultar em uma advertência que vai para registro do empregado.
Você também deve ajudar os funcionários a compreender como conduzir com segurança as tarefas do dia-a-dia. A política deve ser regularmente reforçada com sessões de informação e campanhas de comunicação interna, que podem incluir cartazes no local de trabalho. Algumas empresas mostram vídeos que demonstram como violações da política podem permitir ataques cibernéticos e como as práticas mais seguras poderiam preveni-los.

Sensibilização

Esteja aberto sobre prováveis ameaças para que as pessoas possam detectá-las e permanecer em alerta contra qualquer um que tentar obter a ajuda de outros em um ataque. Personalize treinamentos, levando em conta que tipos de ataques os funcionários em uma determinada operação possam encontrar. Phishing é uma forma comum de ganhar entrada: e-mails falsos enganam funcionários a compartilhar detalhes pessoais, códigos de acesso ou a clicar em um link que baixa algum malware (muitas pessoas não percebem que o campo "De:" em um e-mail é fácil de falsificar). É possível testar a vulnerabilidade de sua equipe para tais ataques - seja por conta própria ou através do emprego de um serviço externo de segurança.

O que você pode fazer?

Algumas das atividades mais importantes que os líderes devem exigir a seus departamentos de TI são:

  • Monitoramento de todas as redes empresariais de tráfego de saída através da Internet ou portáteis de mídia, e prontamente relatar qualquer coisa anormal ou que viole a política;

  • Manter-se atualizado com as melhores práticas para oferecer apoio à estratégia e políticas de segurança cibernética;

  • Rigorosamente implementar procedimentos de defesa de rede e protocolos que levam em consideração as prioridades operacionais do negócio;

  • Atualizar ativamente contas de usuário para garantir que os funcionários nunca têm mais acesso aos sistemas sensíveis do que é absolutamente necessário;

  • Fazer avaliações de ameaças frequentes, instruindo a liderança da empresa sobre eles.


Mesmo assim, ele pode ser difícil de defender insiders contra uma determinada pessoa de fora. Em abril de 2013, uma multinacional francesa foi alvo de um ataque inteligente. Um assistente administrativo do vice-presidente recebeu um e-mail referente uma fatura em um serviço de compartilhamento de arquivos baseado em nuvem. Ela tinha a consciência de não abrir o arquivo, mas minutos depois, ela recebeu um telefonema de alguém que convincentemente alegou ser um outro vice-presidente da empresa e instruiu-a a baixar e processar a fatura. Ela obedeceu. A fatura continha um Trojan de acesso remoto que permitiu uma empresa criminosa, aparentemente com base na Ucrânia, assumir o controle de computador dela, capturar as teclas pressionadas e roubar a propriedade intelectual da empresa.

Incentive os funcionários a denunciar tecnologias incomuns ou proibidas (por exemplo, um disco rígido portátil em um escritório onde os funcionários normalmente acessam dados e software através da rede) e comportamento (um empregado não autorizado ou fornecedor pedindo arquivos de dados confidenciais), assim como eles iriam denunciar uma bagagem desacompanhada em uma sala de embarque do aeroporto.

Fique atento à ameaças ao contratar

É mais crítico do que nunca para usar processos de triagem e técnicas de entrevista destinadas a avaliar a honestidade de potenciais contratados. Exemplos incluem verificações de antecedentes criminais, procurar informações falsas nos currículos e usar perguntas que avaliem diretamente a moral do candidato. A nossa equipe está desenvolvendo testes que permitirá que os empregadores determinem se potenciais empregados têm traços de personalidade perigosos, como aqueles identificados pela CPNI.

Durante o processo de entrevista você também deve avaliar a sensibilização para a segurança cibernética. O candidato sabe o que uma ameaça interna é? Quando ele pode compartilhar senhas com um membro da equipe? Em que circunstâncias ele poderia permitir que os membros da equipe utilizem o computador como sendo ele? Se os candidatos são fortes em todas as outras maneiras, você pode ir em frente e contratá-los, mas certifique-se de que eles serão imediatamente treinados nas políticas e práticas da sua organização. No entanto, se alguém está sendo contratado para um trabalho em um ambiente altamente sensível você deve pensar cuidadosamente sobre trazê-lo(a) a bordo.

Empregar processos de subcontratação rigorosos

Como a violação da Target demonstrou, você deve garantir que seus fornecedores ou distribuidores não coloquem a empresa em risco, por exemplo, minimizando a probabilidade de que alguém em um provedor de TI externo irá criar um backdoor para seus sistemas. Se o risco de um fornecedor de falhar ou de ocorrer uma violação é muito menor do que o seu, este pode não adotar os controles que você precisa. Buscar parceiros e fornecedores que têm a mesma noção de risco e cultura que a sua organização tem, fará com que uma abordagem comum à segurança cibernética seja muito mais provável.

Pergunte a potenciais fornecedores durante as discussões pré-contratuais sobre como eles gerenciam riscos relacionados com insiders. Se você contratá-los, examine-os regularmente para ver quais práticas são realmente seguidas. Deixe claro que você vai realizar auditorias e estipule o que irá envolver. A empresa pode exigir de fornecedores os mesmos controles que utiliza: verificar os registros criminais dos funcionários, verificar a realidade das histórias de emprego dos candidatos, monitorar o acesso aos dados e aplicações por atividade não autorizada e prevenir intrusos de entrar em instalações físicas sensíveis.

Monitorar funcionários

Deixe-os saber que você pode e vai observar sua atividade cibernética, na medida permitida por lei. Você não pode dar ao luxo de deixar cibersegurança inteiramente aos especialistas; você deve aumentar sua própria consciência do dia-a-dia sobre o que está deixando seus sistemas, bem como o que está vindo. Isso significa requerer equipes de segurança ou prestadores de serviços para produzir avaliações de risco regulares, que devem incluir as fontes de ameaças, os funcionários vulneráveis e redes, e as possíveis consequências se um risco se tornar realidade. Você também deve medir comportamentos de redução do risco, tais como os tempos de resposta aos alertas.

Muitas vezes, routers ou firewalls podem monitorar canais de saída, mas você deve se certificar de que a funcionalidade está ativada. Se você não tem o equipamento para monitorar o tráfego de saída, compre um. Você também precisa registrar e monitorar outros meios de extração – flash drives USB e outras mídias de armazenamento portátil, impressos, e assim por diante – através de verificações pontuais ou mesmo permanentes, pesquisas de estilo aeroporto de pessoas que entram e saem seus edifícios. (General Electric e Wipro usam-nos em Bangalore).

Para o monitoramento ser eficaz, você deve gerir diligentemente os privilégios de todos os funcionários - incluindo aqueles com os maiores níveis de acesso aos sistemas da empresa, que muitas vezes são os instigadores de ataques internos. Suprima sua lista de utilizadores mais privilegiados regularmente - e depois ver os que ficam para verificar se eles merecem a sua confiança. Olhe para sistemas de detecção de ameaça interna que podem prever possivelmente eventos evitáveis, bem como encontrar eventos que já ocorreram. Big data pode ser útil na vinculação das pistas e fornecer avisos.

Software de detecção de malware pode ser útil. Particularmente em colaborações de internos-externos, um passo inicial chave é a introdução de malware na rede. Quando você encontrar o malware, considere que pode ser parte de um ataque interno; uma análise de como o malware está sendo usado pode fornecer pistas sobre a identidade e objetivos gerais do atacante.
Monitorando a este grau vai aumentar a carga de trabalho de todos, mas vai valer a pena graças a construção da resiliência e redução do risco para a sua empresa. A estratégia mais eficaz para neutralizar uma ameaça cibernética colocada por insiders é usar as tecnologias de proteção disponíveis e corrigir pontos fracos, mas, no fim das contas, se concentrar em manter o comportamento de todos os insiders para manter a empresa segura. As pessoas precisam saber quais comportamentos são aceitáveis ou inaceitáveis. Lembrá-los de que proteger a organização também protege os empregos deles.

Autores:

Upton e Creese são os principais investigadores da Corporate Insider Threat Detection.

David M. Upton é professor de Gerenciamento de Operações na Oxford University’s Saïd Business School.
Sadie Creese é professor de cybersecurity em Oxford e diretor na Global Cyber Security Capacity
Center.