Quem é sua maior ameaça interna?

Testes de penetração mostraram ao gerente de Segurança Cibernética David Murphy o quão problemáticas as pessoas podem ser. Em sua carreira, ele viu pessoas pegarem e usarem pen drives descartados, desistirem de senhas por telefone e, sim, até clicarem em links de phishing simulados. Ele também viu as consequências no mundo real de tais ações.

Murphy, Gerente de Segurança Cibernética da Schneider Downs, uma empresa certificada de contabilidade pública e consultoria empresarial, diz que uma vez investigou a causa raiz de um ataque de ransomware em uma empresa e rastreou o incidente até um trabalhador que clicou em uma fatura de picles.

“Não estava relacionado a nada em seus deveres de trabalho. Não tinha relação com nada que a empresa faz. A única razão pela qual foi clicado foi porque ele estava no modo de abrir tudo. Ele era um risco interno esperando para acontecer”, diz Murphy, ex-Consultor da Equipe de Operações de Rede de Computadores da Agência de Segurança Nacional (NSA).

De acordo com o estudo ‘2022 Cost of Insider Threats Global’, do Ponemon Institute, o número geral de incidentes de ameaças internas aumentou 44% nos últimos dois anos. O relatório descobriu que pessoas internas negligentes foram a causa raiz de 56% dos incidentes e custaram em média US$ 484.931 por incidente. O relatório descobriu que insiders mal-intencionados ou criminosos custam ainda mais: US$ 648.062 em média, com insiders mal-intencionados ou criminosos por trás de 26% dos incidentes.

Enquanto isso, o roubo de credenciais foi responsável por 18% dos incidentes em 2022, acima dos 14% dos incidentes em 2020.

Adotando uma abordagem multicamadas

Especialistas em segurança dizem que ataques de phishing simulados podem ajudar a identificar indivíduos que continuam a clicar sem pensar. Mas é muito mais difícil descobrir quem pode estar vulnerável a um ataque sofisticado de engenharia social com base em informações extraídas do LinkedIn, quem pode estar descontente o suficiente para vender suas credenciais a sindicatos criminosos ou que tem uma higiene cibernética meticulosa ao trabalhar em um laptop, mas não suspeita de uma mensagem de texto falsa.

Descobrir esses links fracos dá muito mais trabalho e requer o uso de várias ferramentas na caixa de ferramentas corporativas, não apenas a de segurança.

Como Murphy diz: “Para encontrar esses riscos internos, você não depende de um ponto específico”. Ele diz, por exemplo, que pode não suspeitar de um estagiário dirigindo um Porsche, mas desconfiaria se esse estagiário trabalhasse até tarde sozinho e tentasse acessar contas restritas.

Essa abordagem se encaixa com o pensamento de segurança atual.

Como os CISOs sabem, a segurança hoje requer uma abordagem multicamadas que incorpore cada vez mais informações sobre os próprios usuários. A análise do comportamento do usuário, uma política de confiança zero e o princípio do privilégio mínimo falam sobre esse ponto, pois cada abordagem leva em consideração o usuário individual, sua função e suas atividades típicas ao considerar os níveis de acesso e os riscos de segurança.

Mas alguns especialistas em segurança estão pensando além disso e considerando quais personas dentro de sua organização são elos fracos, como identificá-los e qual a melhor forma de minimizar seus riscos. “O importante é que o programa identifique riscos potenciais de forma contínua e crie ponderações em torno das áreas de risco para que, quando algo aparecer, eles saibam dar uma olhada”, diz Jason Dury, Diretor de Soluções de Código Aberto de Segurança Cibernética da Guidehouse.

Uma série de ameaças potenciais

A capacidade de detectar ameaças internas, bem como aqueles indivíduos que são os elos mais fracos ou representam os maiores riscos (dependendo da sua perspectiva) é muito mais complicado hoje do que era há uma década, diz Sarb Sembhi, CISO e CTO da Virtually Informado Ltda.

A Sembhi reconhece que o software de prevenção de perda de dados, ferramentas de varredura de rede, plataformas de gerenciamento de identidade e acesso e a metodologia de confiança zero juntos podem reduzir significativamente o risco de um insider descuidado ou mal-intencionado causar danos.

Mas, diz ele, como tudo em segurança, eles não são uma garantia completa contra ameaças internas.

Considere, diz ele, o risco que a Internet das Coisas representa para as organizações. Um funcionário pode trazer um dispositivo IoT aparentemente inócuo – uma impressora, talvez – sem perceber que está introduzindo uma conexão de Internet não segura na empresa. “Esses dispositivos são mais uma ameaça interna do que talvez os humanos seriam”, acrescenta Sembhi, membro do Grupo de Trabalho de Tendências Emergentes da ISACA.

O trabalho remoto complica ainda mais a questão das ameaças internas, assim como a tendência de uma tolerância crescente para as unidades de negócios que implementam sua própria tecnologia, diz ele. Outros também observam esses fatores, citando, por exemplo, que um insider malicioso ou criminoso trabalhando remotamente pode usar um telefone celular para fotografar informações confidenciais sabendo que não há ninguém por perto para ver.

Adam Goldstein, Professor Assistente de Segurança Cibernética no Champlain College e diretor acadêmico do Leahy Center for Digital Forensics & Cybersecurity, diz que os CISOs podem categorizar indivíduos que apresentam riscos adicionais em pelo menos vários grupos diferentes.

Para começar, ele diz que os trabalhadores remotos em geral podem ser considerados um grupo mais vulnerável. “[Os trabalhadores] estão em suas máquinas pessoais, e há um nível diferente de supervisão tanto no que estão fazendo em seus computadores, mas também em sua conexão com a empresa e seus colegas de trabalho e afins”, diz ele.

Os funcionários mais ocupados, bem como os que desempenham várias funções, também criam mais riscos, diz ele. “Estar pressionado [no trabalho] pode forçar as pessoas a tomar atalhos que normalmente não usariam, ou ter que pular para tarefas ou sistemas para os quais não tiveram tempo de treinar adequadamente ou ter o suporte de que precisam”, diz ele.

Acrescente a isso a classe de trabalhadores que ainda luta para entender as tecnologias que usam e os controles em vigor, bem como aqueles “que priorizam a conveniência pessoal sobre a diligência e a segurança”, diz ele.

Goldstein acrescenta: “Esses são alguns dos desafios não intencionais que podem não ter nada a ver com as motivações ou habilidades de um funcionário, mas podem causar problemas de segurança”.

Ao mesmo tempo, Goldstein diz que os maus atores continuam a desenvolver suas estratégias, tornando mais provável que mesmo um indivíduo cauteloso possa ser vítima de um golpe e expor a organização.

“Um invasor sofisticado que está tentando ataques do tipo engenharia social ou inventando esquemas pode pegar qualquer pessoa se for particularmente bem executado ou se alguém estiver distraído naquele dia”, diz ele.

Os maus atores também encontraram maneiras de facilitar a ação de funcionários insatisfeitos ou mal-intencionados, criando canais que permitem que os funcionários vendam suas credenciais ou outros ativos organizacionais, diz Goldstein. “E o risco para o insider é muito menor do que costumava ser, porque eles podem fazer com que pareça um ataque de phishing, tornando muito mais difícil rastreá-lo até aquele indivíduo”, acrescenta.

Além disso, há aqueles que podem ser vulneráveis devido a fatores pessoais que podem recorrer a essas opções, diz Goldstein.

Michael Ebert, Sócio da Prática de Segurança Cibernética da Guidehouse, diz que trabalhou com uma empresa que passou por um caso desses, que veio à tona quando a polícia alertou a organização sobre um funcionário vendendo informações. A trabalhadora tinha níveis de acesso adequados ao seu trabalho, mas foi pressionada por um amigo e cúmplice que viu a oportunidade de ganhar dinheiro rápido.

Ações a serem tomadas

Esses incidentes destacam por que os CISOs devem considerar as personas como parte de sua estratégia de segurança. Como diz Ebert: “As pessoas ficam presas em situações e fazem coisas estúpidas”. Dada essa realidade, Ebert e outros dizem que os executivos devem pensar nesse potencial antes que alguém realmente aja e coloque a organização em risco.

No entanto, ele e outros reconhecem que os CISOs têm capacidade limitada nessa frente, especialmente se estiverem trabalhando por conta própria.

Ebert observa, por exemplo, que o funcionário no caso de aplicação da lei passou na verificação inicial de antecedentes da empresa, bem como nas verificações de antecedentes subsequentes que são executadas nos funcionários a cada dois anos.

“Muitas organizações fazem verificações de antecedentes e outros trabalhos durante o processo de contratação para garantir que as pessoas, antes de ingressarem, atendam a determinados requisitos e tenham treinamento [de segurança]. Mas pode ser difícil fazer isso com funcionários existentes que podem estar passando por transições em suas vidas pessoais ou desenvolver sentimentos diferentes sobre a organização e seu papel nela”, diz Goldstein.

Empresas em setores altamente regulamentados têm uma vantagem aqui, diz Goldstein, pois os requisitos de conformidade forçaram os departamentos de segurança e recursos humanos a trabalhar mais de perto para identificar trabalhadores que possam representar ameaças e ter as políticas e procedimentos apropriados para lidar com essas situações.

Mas Goldstein reconhece que esse trabalho é um trabalho pesado e uma tarefa que pode levantar questões éticas em muitas organizações. “Então, como você equilibra a proteção de ativos organizacionais e não adota uma abordagem do tipo big brother de monitoramento de funcionários?”, ele pergunta.

Goldstein aconselha os CISOs a realizar ‘tabletop exercises’ que envolvam ameaças internas. “Pergunte: e se [os hackers] obtivessem as credenciais dessa pessoa? E então apresente isso ao C-suite para ajudá-los a entender qual é o risco”.

Dury vai além, dizendo que os CISOs devem trabalhar com outros chefes de departamento – principalmente RH – para identificar e entender quais comportamentos ou atividades podem indicar que alguém é um risco. “Cada função corporativa tem um papel”, acrescenta. “Esse tipo de programa não deve ser feito em um silo”.

Mas Dury e outros também alertam contra a ponderação excessiva das medidas de segurança em relação aos riscos que qualquer personagem ou função em particular apresenta. Em vez disso, eles dizem considerar os cenários potenciais e avaliar as camadas de controles para garantir que sejam tão eficazes quanto possível na prevenção de qualquer indivíduo – independentemente das motivações ou circunstâncias – de causar danos.

“Você tem que olhar para os indivíduos, e fazer essa análise extra do risco dos indivíduos pode ajudá-lo a entender qual é o risco e se os controles em vigor são adequados ou se existem áreas onde mais investimentos podem ser feitos”, explica Goldstein. Ebert aponta novamente para o caso de aplicação da lei para destacar esse ponto, observando que, com base no que ele viu, a empresa provavelmente poderia ter evitado ou limitado os danos se tivesse monitorado melhor as atividades do funcionário.