Opinion
As ameaças internas — incidentes informáticos levados a cabo por pessoas de confiança — têm vindo a aumentar significativamente. Como em todos os ciberataques, a maior parte das violações cometidas por elementos internos estão também ligadas ao uso indevido dos privilégios de acesso, quer por negligência ou malícia
Por Igor Baikalov, chief scientist da Semperis e antigo vice-presidente sénior de segurança de informação do Bank of America . 26/04/2023
O abrandamento da economia mundial também contribuiu para este fenómeno; os muitos despedimentos e o clima de incerteza generalizado criam as condições ideais para o aumento do risco de ataques provenientes de ameaças internas, quer sejam causados pelos cortes no investimento em formação, o fracasso na aplicação de políticas de segurança ou pela insatisfação dos colaboradores, todos os fatores que podem levar a comportamentos de retaliação. As ameaças internas são particularmente perigosas, uma vez que envolvem acesso abusivo cometido por pessoas de confiança que, para poderem realizar o seu trabalho, têm acesso a recursos críticos e a dados sensíveis em toda a organização. Contudo, a maior parte das soluções de segurança incidem na deteção de acessos ilegítimos. Para responder de modo adequado às ameaças internas, as organizações necessitam de soluções que protejam os seus principais sistemas de identidade, ou seja, soluções capazes de analisar a presença de vulnerabilidades provenientes de utilizadores internos, detetar e resolver automaticamente alterações de risco, identificar caminhos de ataque a recursos críticos, e fornecer capacidades de análise após um ataque para fecharem backdoors deixadas por utilizadores internos mal-intencionados. Em particular, para as empresas que passam por uma fase de consolidação ou de redução de efetivos, é importante poder bloquear a atividade suspeita de utilizadores de alto risco, tais como colaboradores que foram identificados como perigos de fuga ou que têm prevista a cessação do seu contrato. Um fenómeno crescenteApesar de os ataques realizados por pessoas externas receberem a maior parte da atenção mediática, as ameaças internas, acidentais ou intencionais, não mostram sinais de abrandamento. De acordo com o relatório Cost of Insider Threats Global Report 2022 do Instituto Ponemon, 67% das empresas sofreram entre 21 e 40 incidentes relacionados com utilizadores internos, em comparação com 60% em 2020, com um custo médio por incidente de 484.931 dólares. As ameaças internas são extremamente difíceis de erradicar: em média, são necessários 85 dias para as organizações lesadas conterem um incidente causado por este tipo de ameaça. O acesso abusivo está subjacente aos incidentes de ameaças internasQualquer pessoa com permissão para aceder a recursos empresariais críticos pode potencialmente abusar deste privilégio, quer seja por negligência ou intencional. A negligência pode conduzir a vários tipos de falhas do sistema, mas o resultado é sempre o mesmo: basta um erro (por exemplo, um utilizador final que deixou o seu portátil desbloqueado ou um administrador do Active Directory que não cumpriu as políticas estabelecidas de desvinculação dos colaboradores) para que pessoas mal-intencionadas tenham facilmente acesso a credenciais privilegiadas. Um elemento interno com intenções maliciosas pode utilizar o acesso privilegiado para comprometer o sistema da organização por diversos motivos, incluindo ganhos monetários ou vingança. Independentemente da intenção, o acesso abusivo está subjacente às ameaças internas. Uma estratégia de segurança focada na identidade que responda a cada fase do ciclo de vida do ciberataque, incluindo recuperar de um ataque interno caso se verifique o pior, é um fator importante para proteger as organizações das ameaças internas. Com base na minha experiência no Bank of America, o aumento dos incidentes relacionados com ameaças internas deve ser visto como um alerta, especialmente para as organizações que ainda não têm uma solução completa de deteção e resposta a ameaças de identidade. O acesso abusivo é o elemento comum no que diz respeito aos ataques internos. Os colaboradores, fornecedores e parceiros podem causar danos graves nas organizações, por negligência ou por intenções maliciosas. A proteção contra ameaças internas requer um esforço concertado, ou seja, uma estratégia abrangente que responda a cada fase do ciclo de vida do ataque, incluindo prevenção, remediação e recuperação. A solução: uma segurança centrada nos sistemas de identidadeO Active Directory (AD) e o Azure Active Directory são os principais sistemas de identidade usados por 90% das empresas. Para defender serviços de identidade críticos antes, durante e depois de um ataque, as organizações precisam de uma solução de recuperação específica para o AD que lhes permita:
|