Os seus dados estão à prova de insiders? Cinco passos para manter os seus segredos seguros

O acesso à informação, e o facto de haver acesso excessivo a dados sensíveis em geral, é um tema comum que une os invasores. Robert Litt, ex-Advogado Geral do Gabinete do Diretor de Inteligência Nacional, avaliou o seguinte: “Após as divulgações, deve haver uma revisão profunda sobre a partilha de informações, número de pessoas com autorizações de segurança, implementação de políticas existentes em relação à ‘necessidade de saber’ e da monitorização de sistemas com acesso restrito”.

As ameaças internas são os riscos mais difíceis de prevenir dentro de uma empresa e podem causar danos enormes. O Pentágono provavelmente fez tudo certo dentro dos seus limites físicos e digitais. Jack Teixeira trabalhava numa área que atua com informações sensíveis – ou SCIF [Sensitive Compartmented Information Facility, na sigla em inglês], que “protege contra vigilância eletrónica e suprime divulgações de dados”. Isso significa que nenhum dispositivo USB entrava ou saía, nada podia ser enviado para a internet e nenhuma transmissão podia ocorrer. Ainda assim, nenhum desses controlos de perímetro ajudou contra esta ameaça.

Anatomia de um ataque interno

Então, o que aconteceu de errado? O colaborador tinha acesso amplo a dados sensíveis que, teoricamente, ele não precisava. Apesar da agitação na indústria no que diz respeito ao conceito de zero trust, este caso parece ser uma falha no modelo de “necessidade de saber” e/ou uma quebra no monitorização de sistemas que usam informações sensíveis ou confidenciais.

Em muitas organizações, o foco frequentemente está na proteção dos limites em vez de proteger o alvo em si — os dados internos.

Imagine esta conversa entre um CEO e uma equipa de segurança de TI encarregada de proteger dados sensíveis:

CEO: Nós atualizamos os nossos sistemas?

Equipa de segurança de TI: Claro. Os criminosos explorariam vulnerabilidades se não o fizéssemos. 

CEO: Treinamos os nossos colaboradores utilizando tentativas simuladas de phising?

Equipa de segurança de TI: Sim, treinamos os colaboradores porque eles recebem emails de phising a toda a hora.

CEO: Mantemos o software de segurança nos dispositivos de todos?

Equipa de segurança de TI: Sim, porque, depois de serem alvos de phising, o software nos dispositivos ajuda a bloquear o malware que os atacantes tentam instalar.

CEO: Bloqueamos dispositivos USB e uploads em massa?

Equipa de segurança de TI: Sim, isso facilita os insiders para roubarem os dados.

CEO: Bloqueamos e monitorizamos os nosso dados mais importantes?

Equipa de segurança de TI: Não.

Não é estranho que as organizações tenham tantos controlos onde o risco não está localizado? Afinal, os bancos não focam mais no que entra pelas portas e janelas do que em quem e o que entra e sai do cofre, caso contrário, o dinheiro receberia a mesma segurança que as canetas.

Se Jack Teixeira não tivesse acesso a tantas informações sensíveis desde o início, os danos potenciais poderiam ter sido inexistentes ou muito reduzidos, e contidos muito mais rapidamente. O Pentágono poderia ter falhado no perímetro, mas ninguém conheceria o nome de Jack Teixeira se os dados tivessem sido mantidos seguros desde o início.

Encontre um equilíbrio entre acesso e segurança

Trancar o cofre no mundo digital é, obviamente, um grande desafio. Mais dados sensíveis são armazenados em mais lugares a cada dia e a colaboração exige equilibrar produtividade e segurança. Os dados só têm valor se puderem ser partilhados.

Se restringir completamente ou for muito rígido quanto ao acesso aos dados, eles tornam-se um recurso “congelado”. A comunidade de inteligência aprendeu isso após restringir a partilha de informações entre várias agências governamentais antes do fatídico 11 de setembro de 2001, quando houve o ataque ao World Trade Center. Se as demais restrições, os ativos de informação podem rapidamente tornar-se um passivo, como visto no recente incidente no Pentágono.

Como é que pode equilibrar acesso e segurança? Aqui estão cinco passos que pode seguir para verificar o quão preparado está para um invasor malicioso ou um atacante externo que comprometa a conta ou o computador de um criminoso:

• Faça um inventário das regras que possui para proteger dados sensíveis.
• Definiu quando e como excluir, isolar ou bloquear dados sensíveis?
• Verifique se pode fazer cumprir essas regras manualmente ou com automação.
• Compreenda o quão facilmente pode detetar violações dessas regras.
• Procure regras que devam ser criadas, refinadas ou aplicadas de forma mais eficaz.

Se está apenas a começar, considere fazer um inventário dos seus dados para ver onde os utilizadores armazenam dados sensíveis e com quem os partilham. Se a sua empresa for como a maioria das organizações, os seus colaboradores acedem a dados sensíveis a partir de qualquer lugar, de muitos dispositivos, em aplicações e repositórios de dados conectados à nuvem — o oposto de um SCIF. Com um perímetro tão distribuído e imprevisível, faz ainda menos sentido alocar a maioria dos seus recursos de segurança lá, pois não temos ideia de onde os ataques se vão originar.

No entanto, sabemos para onde os criminosos irão. O seu negócio pode não estar a lidar com inteligência ultrassecreta, mas é provável que tenha informações que alguém deseje. E é aí que faz sentido concentrar os recursos escassos.

Proteger informações com base na necessidade de conhecimento e monitorar de perto esses dados em busca de sinais de atividade incomum pode ajudar a reduzir os danos que os invasores podem causar e torná-los mais fáceis de identificar. Criminosos externos que assumem o controlo do computador ou a conta de um colaborador (e efetivamente se tornam “insiders”) precisam de se esforçar muito mais para aceder aos dados desejados, dando às soluções de monitorização mais chances de os apanhar.

Não importa se está a lidar com segredos militares ou comerciais, ou se os seus colaboradores trabalham num SCIF, num prédio ou em casa — priorizar os seus controlos nos dados protege-os melhor de ataques internos ou externos. Como diz o ditado popular, vai matar dois coelhos com uma cajadada.

Conteúdo co-produzido pela MediaNext e pela Varonis