É tempo de proteger a sua organização de ameaças internas

O abrandamento da economia mundial também contribuiu para este fenómeno; os muitos despedimentos e o clima de incerteza generalizado criam as condições ideais para o aumento do risco de ataques provenientes de ameaças internas, quer sejam causados pelos cortes no investimento em formação, o fracasso na aplicação de políticas de segurança ou pela insatisfação dos colaboradores, todos os fatores que podem levar a comportamentos de retaliação.

As ameaças internas são particularmente perigosas, uma vez que envolvem acesso abusivo cometido por pessoas de confiança que, para poderem realizar o seu trabalho, têm acesso a recursos críticos e a dados sensíveis em toda a organização. Contudo, a maior parte das soluções de segurança incidem na deteção de acessos ilegítimos. 

Para responder de modo adequado às ameaças internas, as organizações necessitam de soluções que protejam os seus principais sistemas de identidade, ou seja, soluções capazes de analisar a presença de vulnerabilidades provenientes de utilizadores internos, detetar e resolver automaticamente alterações de risco, identificar caminhos de ataque a recursos críticos, e fornecer capacidades de análise após um ataque para fecharem backdoors deixadas por utilizadores internos mal-intencionados. Em particular, para as empresas que passam por uma fase de consolidação ou de redução de efetivos, é importante poder bloquear a atividade suspeita de utilizadores de alto risco, tais como colaboradores que foram identificados como perigos de fuga ou que têm prevista a cessação do seu contrato.

Um fenómeno crescente

Apesar de os ataques realizados por pessoas externas receberem a maior parte da atenção mediática, as ameaças internas, acidentais ou intencionais, não mostram sinais de abrandamento. De acordo com o relatório Cost of Insider Threats Global Report 2022 do Instituto Ponemon, 67% das empresas sofreram entre 21 e 40 incidentes relacionados com utilizadores internos, em comparação com 60% em 2020, com um custo médio por incidente de 484.931 dólares. As ameaças internas são extremamente difíceis de erradicar: em média, são necessários 85 dias para as organizações lesadas conterem um incidente causado por este tipo de ameaça.

O acesso abusivo está subjacente aos incidentes de ameaças internas

Qualquer pessoa com permissão para aceder a recursos empresariais críticos pode potencialmente abusar deste privilégio, quer seja por negligência ou intencional. A negligência pode conduzir a vários tipos de falhas do sistema, mas o resultado é sempre o mesmo: basta um erro (por exemplo, um utilizador final que deixou o seu portátil desbloqueado ou um administrador do Active Directory que não cumpriu as políticas estabelecidas de desvinculação dos colaboradores) para que pessoas mal-intencionadas tenham facilmente acesso a credenciais privilegiadas.

Um elemento interno com intenções maliciosas pode utilizar o acesso privilegiado para comprometer o sistema da organização por diversos motivos, incluindo ganhos monetários ou vingança. Independentemente da intenção, o acesso abusivo está subjacente às ameaças internas. Uma estratégia de segurança focada na identidade que responda a cada fase do ciclo de vida do ciberataque, incluindo recuperar de um ataque interno caso se verifique o pior, é um fator importante para proteger as organizações das ameaças internas.

Com base na minha experiência no Bank of America, o aumento dos incidentes relacionados com ameaças internas deve ser visto como um alerta, especialmente para as organizações que ainda não têm uma solução completa de deteção e resposta a ameaças de identidade. O acesso abusivo é o elemento comum no que diz respeito aos ataques internos. Os colaboradores, fornecedores e parceiros podem causar danos graves nas organizações, por negligência ou por intenções maliciosas. A proteção contra ameaças internas requer um esforço concertado, ou seja, uma estratégia abrangente que responda a cada fase do ciclo de vida do ataque, incluindo prevenção, remediação e recuperação.

A solução: uma segurança centrada nos sistemas de identidade

O Active Directory (AD) e o Azure Active Directory são os principais sistemas de identidade usados por 90% das empresas. Para defender serviços de identidade críticos antes, durante e depois de um ataque, as organizações precisam de uma solução de recuperação específica para o AD que lhes permita:

• Antes do ataque: identificar vulnerabilidades, tais como contas inativas ou contas com palavras-passe expiradas que possam permitir uma utilização indevida dos privilégios de acesso por utilizadores autorizados, implementar mecanismos de bloqueio de identidade para certos grupos de utilizadores (por exemplo, antes de cessações de contratos para evitar alterações maliciosas por funcionários descontentes), e verificar se existem caminhos de ataque para recursos críticos Tier 0;
• Durante o ataque: monitorizar continuamente os indicadores de comprometimento (IoC), acompanhar as alterações de risco no AD on-prem e Azure AD, e ter a capacidade de reverter automaticamente alterações específicas que podem indiciar um ataque como, por exemplo, adições inexplicáveis ao grupo de administradores do domínio;
• Depois do ataque: dispor de capacidades de análise forense para identificar as técnicas usadas pelos utilizadores internos e fechar backdoors presentes no AD e Azure AD.