60% das ameaças internas envolvem funcionários que planejam deixar a empresa

Os pesquisadores mostram que a maioria dos funcionários que planejam deixar uma organização tendem a começar a roubar dados de duas a oito semanas antes de partir.

Mais de 80% dos funcionários que planejam deixar uma organização levam seus dados com eles. Esses indivíduos com “risco de voo” estavam envolvidos em cerca de 60% das ameaças internas analisadas em um novo estudo.

Os pesquisadores analisaram mais de 300 incidentes confirmados como parte do “2020 Securonix Insider Threat Report”. Eles descobriram que a maioria das ameaças internas envolvem exfiltração de dados confidenciais (62%), embora outras incluam uso indevido de privilégios (19%), agregação de dados (9,5%) e sabotagem de infraestrutura (5,1%). Funcionários que planejam sair começam a apresentar o chamado comportamento de risco de voo entre duas semanas e dois meses antes de seu último dia, descobriram os pesquisadores.

A maioria das pessoas que exfiltram informações confidenciais faz isso por e-mail, um padrão detectado em quase 44% dos casos. O próximo método mais popular é enviar as informações para sites de armazenamento em nuvem (16%), uma técnica cada vez mais popular à medida que mais organizações dependem de softwares de colaboração em nuvem, como Box e Dropbox. Os funcionários também são conhecidos por roubar informações corporativas usando downloads de dados (10,7%), dispositivos removíveis não autorizados (8,9%) e espionagem de dados por meio do SharePoint (8%).

As ameaças internas de hoje parecem diferentes das de alguns anos atrás, diz Shareth Ben, diretor de Análise de Ameaças Internas e Cyberameaças da Securonix. As ferramentas em nuvem tornaram mais fácil para os funcionários compartilhar arquivos com contas não comerciais, criando um desafio para as equipes de segurança.

“O problema com essas ferramentas de colaboração em nuvem, do ponto de vista de vazamento de dados, é que os administradores de TI e as equipes de operações de segurança não têm muita visibilidade sobre o que acontece com relação a como os usuários compartilham os dados”, explica Ben. A maioria das empresas adotou a nuvem, ou está em processo de adoção da nuvem, porque é uma prioridade de negócios – mas a segurança costuma ser deixada para trás.

As equipes de operações de segurança de TI, especialmente em grandes empresas, lutam para tirar conclusões de ameaças internas devido à falta, ou diferenças entre, políticas e procedimentos de cada linha de negócios, afirma o relatório. As ferramentas para detectar a agregação de dados geralmente ficam para trás, principalmente porque as empresas têm problemas para classificar dados considerados confidenciais quando estão espalhados pelas redes. À medida que mais empresas confiam em seus funcionários para fazer a coisa certa ao usar aplicativos em nuvem, fica mais difícil descobrir quando alguém se tornou mal-intencionado.

“Está se tornando cada vez mais difícil diferenciar o anormal do normal”, explica Ben. Ele oferece algumas informações adicionais sobre como detectar atividades suspeitas de funcionários.

Spotting Red Flags

Spotting Red Flags
“Quanto maior a marca, maior a corporação, mais eles têm a perder e maior a exposição ao risco”

Existem duas maneiras de detectar o “risco de voo”, diz Ben. No primeiro estágio, as empresas podem procurar mais instâncias de um funcionário tentando acessar determinados sites. Sua atividade de navegação incluirá mais tempo em sites de busca de empregos; eles podem enviar um currículo por e-mail para terceiros. Se o funcionário em questão for um administrador, “isso é ainda mais alarmante”, continua Ben. Ele cita casos em que alguém tenta acessar certas contas administrativas ou sites do SharePoint. Esse tipo de comportamento não é necessariamente ruim, ele observa, mas exige um olhar mais atento.

No segundo estágio de detecção de “risco de voo”, as pessoas que apresentam o comportamento inicial passam a movimentar informações consideradas sigilosas via e-mail, ferramentas de colaboração ou USB. O uso de dispositivos USB continuou a diminuir por dois motivos principais: Mais organizações começaram a bloquear ou restringir o uso de USB e os funcionários estão cada vez mais dependentes de ferramentas baseadas na nuvem. Ben também observa que e-mails para uma conta individual costumam ser mais suspeitos do que e-mails para várias pessoas. É improvável que um insider envolva um grupo em um esquema de exfiltração de dados.

Com relação ao uso indevido de contas privilegiadas, os pesquisadores notaram comportamentos específicos que podem levar a uma ameaça interna. Isso inclui a evasão de controles de TI (24,3%), anomalia de geolocalização (18,9%), violação rara de registro de auditoria e comando suspeito executado (16,2%), compartilhamento de conta (13,5%), anomalia de autenticação (10,8%) e auto escalonamento de privilégios (8,1%).

Embora Ben diga que o tipo de dados exfiltrados varia de acordo com a organização, a maioria dos funcionários que planejam deixar a empresa pega coisas nas quais trabalharam. Alguém que passou a maior parte do tempo em um projeto pode se sentir com direito a ele; no entanto, seu empregador pode ter uma opinião diferente. A maioria das pessoas tenta exfiltrar arquivos do Microsoft Office, observa ele. O código-fonte é outro tipo comum de dados roubados.

Os dados de destino também variam dependendo da indústria vertical. Em produtos farmacêuticos e ciências biológicas, onde ocorreram 28,3% dos incidentes, os insiders podem ter como alvo a propriedade intelectual valiosa. Nos serviços financeiros, o segundo maior hotspot para ameaças internas com 27,7%, os insiders desonestos podem achar valor em roubar informações de identificação pessoal ou dados bancários. O “2020 Data Breach Investigations Report” da Verizon descobriu que 35% dos ataques a organizações financeiras e de seguros envolveram atores internos.

“Quanto maior a marca, maior a corporação, mais eles têm a perder e maior a exposição ao risco”, diz Ben. A maioria das empresas da Fortune 500 tem um grupo dedicado de ameaças internas com foco em mitigar o risco da organização. As empresas de pequeno e médio porte querem ter o mesmo, mas não têm orçamento. Outras prioridades, como instalar as ferramentas de segurança certas, vêm em primeiro lugar.

Com o InCyber é possível evitar que todas essas fraudes aconteçam.

por pinkyjindal.it | InCyber

Conheça todos os detalhes do InCyber

Fale com os nossos especialistas

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages