Ameaça interna: o elemento humano do risco cibernético

Os programas cibernéticos muitas vezes perdem uma parte significativa do risco gerado pelos funcionários, e as ferramentas atuais são instrumentos contundentes. Um novo método pode produzir melhores resultados.

A ameaça interna por meio dos próprios funcionários da empresa (e contratados e fornecedores) é um dos maiores problemas não resolvidos na segurança cibernética. Essa ameaça está presente em 50% das violações relatadas em um estudo recente. As empresas certamente estão cientes do problema, mas raramente dedicam os recursos ou a atenção necessária para resolvê-lo. A maioria dos programas de prevenção falha por enfocar exclusivamente no monitoramento do comportamento ou por deixar de considerar as normas culturais e de privacidade.

Algumas empresas líderes estão testando uma abordagem de microssegmentação que pode direcionar problemas potenciais com mais precisão. Outros estão adotando mudanças culturais profundas e análises preditivas. Essas novas abordagens podem produzir resultados mais precisos do que o monitoramento tradicional e também podem ajudar as empresas a navegar no complicado negócio de proteger ativos, ao mesmo tempo que respeita os direitos dos funcionários.

Compreendendo a ameaça

Compreendendo a ameaça
As organizações às vezes lutam para definir claramente a ameaça interna.

As organizações às vezes lutam para definir claramente a ameaça interna. Neste artigo, usamos o termo para significar o risco cibernético apresentado à uma organização devido ao comportamento de seus funcionários, em vez de outros tipos de ameaças internas, como assédio, violência no local de trabalho ou má conduta. Para esses fins, contratantes e fornecedores também são considerados funcionários.

Problema em dobro

Problema em dobro
Ameaças internas surgem de dois tipos de funcionários.

Resumidamente, ameaças internas surgem de dois tipos de funcionários: aqueles que são negligentes e aqueles com más intenções. Insiders negligentes ou cooptados são fáceis para as empresas entenderem; por meio de treinamento insuficiente, de moral mediana ou puro descuido, os trabalhadores geralmente confiáveis ​​podem expor a empresa a riscos externos. No entanto, as organizações costumam interpretar mal-intencionados de duas maneiras.

Primeiro, usuários mal-intencionados nem sempre procuram prejudicar a organização. Frequentemente, eles são motivados por interesses próprios. Por exemplo, um funcionário pode usar as informações do cliente para cometer fraude ou roubo de identidade, mas o motivo é o enriquecimento pessoal, e não prejudicar o empregador. Em outros casos, os funcionários podem estar procurando atenção ou ter um “complexo de herói” que os leva a divulgar informações confidenciais. Eles podem até pensar que estão agindo para o bem público, mas na realidade estão agindo para seu próprio benefício. Entender o motivo pode ajudar as empresas a moldar sua estratégia de mitigação.

Em segundo lugar, usuários mal-intencionados raramente se desenvolvem da noite para o dia ou ingressam na empresa com a intenção de prejudicá-la. Nos exemplos mais recentes de eventos internos maliciosos, funcionários normais se tornaram usuários internos mal-intencionados gradualmente, com meses ou anos de sinais de alerta levando a um evento interno culminante.

Quão grande é esse problema, realmente?

Quão grande é esse problema, realmente?
Pode ser tentador investir menos no combate às ameaças internas.

Em um mundo de cyber prioridades concorrentes, onde as necessidades sempre parecem ultrapassar os orçamentos, pode ser tentador investir menos no combate às ameaças internas. O risco não é bem compreendido e a solução parece menos tangível do que em outras áreas cibernéticas. Muitos executivos nos perguntam: “Esta é realmente uma questão importante? Quanto risco isso representa? ” .

 

Recentemente, revisamos o VERIS Community Database, que contém cerca de 7.800 violações relatadas publicamente, para identificar a prevalência de ameaças internas como um elemento central dos ataques cibernéticos. Descobrimos que 50% das violações que estudamos tinham um componente interno substancial (Figura 1). Além do mais, não foi principalmente um comportamento malicioso, o foco dos esforços de mitigação de tantas empresas. Negligência e cooptação foram responsáveis ​​por 44% das violações relacionadas a informações privilegiadas, tornando essas questões ainda mais importantes.

Primeiro, usuários mal-intencionados nem sempre procuram prejudicar a organização. Frequentemente, eles são motivados por interesses próprios. Por exemplo, um funcionário pode usar as informações do cliente para cometer fraude ou roubo de identidade, mas o motivo é o enriquecimento pessoal, e não prejudicar o empregador. Em outros casos, os funcionários podem estar procurando atenção ou ter um “complexo de herói” que os leva a divulgar informações confidenciais. Eles podem até pensar que estão agindo para o bem público, mas na realidade estão agindo para seu próprio benefício. Entender o motivo pode ajudar as empresas a moldar sua estratégia de mitigação.

Em segundo lugar, usuários mal-intencionados raramente se desenvolvem da noite para o dia ou ingressam na empresa com a intenção de prejudicá-la. Nos exemplos mais recentes de eventos internos maliciosos, funcionários normais se tornaram usuários internos mal-intencionados gradualmente, com meses ou anos de sinais de alerta levando a um evento interno culminante.

Figura 1

Além de frequentes, as violações de ameaças internas costumam criar danos substanciais. Nos últimos anos, vimos eventos de alto valor em que as informações dos clientes foram roubadas por insiders negligentes e mal-intencionados em serviços financeiros, saúde, varejo e telecomunicações. Algumas empresas perderam centenas de milhões de dólares. As empresas farmacêuticas e de produtos médicos, bem como os governos, têm visto um aumento significativo no roubo de propriedade intelectual por usuários internos mal-intencionados.

Por que as soluções atuais são insuficientes

Por que as soluções atuais são insuficientes
Para combater os riscos, a maioria das empresas depende de um software de monitoramento do comportamento do usuário

Para combater os riscos de usuários internos mal-intencionados, a maioria das empresas depende de um software de monitoramento do comportamento do usuário (Figura 2). Esses aplicativos baseados em regras ou em aprendizado de máquina absorvem uma grande quantidade de dados sobre as ações dos funcionários, especialmente o uso de sistemas de TI. Geralmente, eles tentam identificar divergências do que é considerado um comportamento “normal” para aquele funcionário. Quando o software detecta uma anomalia, uma pequena equipe faz a investigação.

Figura 2

Embora esse método possa ser útil, descobrimos que geralmente é insuficiente, por quatro motivos:

  • No momento em que comportamentos negativos são detectados, a violação geralmente já ocorreu. A organização já está em desvantagem e não pode implantar uma defesa ativa.
  • O monitoramento de “divergência do comportamento normal” cria um grande número de falsos positivos, desperdiçando muito do tempo da equipe de investigação.
  • Os malfeitores em série podem não ser detectados; a atividade maliciosa pode ser incorporada à linha de base da atividade “normal”.
  • A coleta de grandes quantidades de dados de funcionários cria preocupações com a privacidade e um potencial significativo de abuso.

Além desses problemas, algumas organizações levam esse tipo de monitoramento ao extremo, implantando software de nível militar e conduzindo operações de inteligência completas contra seus funcionários. Diversas notícias recentes destacaram os riscos de ultrapassar as normas culturais e de privacidade da organização. As melhores práticas e as precauções necessárias na indústria de defesa podem ser vistas como invasivas em um banco ou seguradora.

Finalmente, na medida em que as empresas perseguem ameaças internas, elas geralmente se concentram em agentes mal-intencionados. Embora a maioria das organizações cibernéticas saiba que a negligência é um problema, muitas começam e terminam seus esforços de prevenção com educação indiferente de funcionários e campanhas anti-phishing.

Embora esse método possa ser útil, descobrimos que geralmente é insuficiente, por quatro motivos:

  • No momento em que comportamentos negativos são detectados, a violação geralmente já ocorreu. A organização já está em desvantagem e não pode implantar uma defesa ativa.
  • O monitoramento de “divergência do comportamento normal” cria um grande número de falsos positivos, desperdiçando muito do tempo da equipe de investigação.
  • Os malfeitores em série podem não ser detectados; a atividade maliciosa pode ser incorporada à linha de base da atividade “normal”.
  • A coleta de grandes quantidades de dados de funcionários cria preocupações com a privacidade e um potencial significativo de abuso.

Além desses problemas, algumas organizações levam esse tipo de monitoramento ao extremo, implantando software de nível militar e conduzindo operações de inteligência completas contra seus funcionários. Diversas notícias recentes destacaram os riscos de ultrapassar as normas culturais e de privacidade da organização. As melhores práticas e as precauções necessárias na indústria de defesa podem ser vistas como invasivas em um banco ou seguradora.

Finalmente, na medida em que as empresas perseguem ameaças internas, elas geralmente se concentram em agentes mal-intencionados. Embora a maioria das organizações cibernéticas saiba que a negligência é um problema, muitas começam e terminam seus esforços de prevenção com educação indiferente de funcionários e campanhas anti-phishing.

Uma maneira melhor

Uma maneira melhor
Equipes líderes de cyber segurança estão usando uma abordagem diferente

Algumas equipes líderes de cyber segurança estão usando uma abordagem diferente, baseada em três pilares:

  • A microssegmentação permite que a organização se concentre nos “pontos críticos” de risco e adote uma abordagem direcionada, em vez de abrangente, para o monitoramento e a mitigação de ameaças.
  • A mudança de cultura torna os eventos de risco mal-intencionados, cooptados ou negligentes menos prováveis ​​e coloca a empresa em uma postura preventiva em vez de reativa.

A previsão permite que uma organização identifique e interrompa as atividades internas muito mais cedo no ciclo de vida da ameaça.

Microssegmentação

Microssegmentação
Para combater os riscos, a maioria das empresas depende de um software de monitoramento do comportamento do usuário

Em vez de ir imediatamente para o monitoramento de atacado, acreditamos que as organizações devem adotar uma abordagem mais diferenciada, adaptada aos seus ativos de informação, impactos de risco em potencial e força de trabalho. A chave para essa abordagem é a microssegmentação, que identifica grupos específicos de funcionários que são capazes de causar o máximo de danos e, em seguida, desenvolve intervenções específicas para esses grupos.

Para criar uma microssegmentação, a primeira etapa é entender os recursos de negócios ou as informações mais importantes a serem protegidas. Em seguida, as empresas podem usar registros de gerenciamento de identidade e acesso (IAM), bem como informações organizacionais e de RH, para determinar quais grupos e funcionários individuais têm acesso a esses ativos. Esses grupos formam os microssegmentos mais importantes para o programa se concentrar. Para cada segmento, uma empresa pode determinar quais tipos de ameaças internas são mais prováveis ​​de causar danos e pode criar estratégias diferenciadas para monitorar e mitigar eventos internos.

Imagine que uma empresa farmacêutica queira proteger a propriedade intelectual criada no desenvolvimento de novos medicamentos. Uma análise dos dados de IAM e RH revela que partes específicas de seu desenvolvimento de produto e suas organizações de P&D representam o maior risco. A empresa sabe que a sabotagem desse tipo de propriedade intelectual é relativamente rara (outros pesquisadores pegariam erros facilmente), mas os riscos de voo – cientistas que levam a propriedade intelectual quando contratados por concorrentes – são muito prováveis. A empresa projeta estratégias para identificar riscos de voo na equipe de P&D (como pessoas que perderam promoções, baixa satisfação da força de trabalho e baixa remuneração em relação aos colegas) e, em seguida, monitora o grupo quanto a essas características. A empresa poderia então projetar intervenções, como programas de retenção, especificamente para seus riscos de voo.

A microssegmentação oferece três benefícios principais. Primeiro, ele cria uma compreensão mais clara do risco; nem todos os eventos de ameaças internas são criados iguais. Em segundo lugar, permite que as organizações identifiquem um conjunto claro de ações de remediação, personalizadas para um determinado grupo de funcionários. Isso os ajuda a deixar de reagir a eventos de ameaça interna para evitá-los. Finalmente, a análise permite que a organização monitore grupos em vez de indivíduos, usando métricas como atrito de funcionários e satisfação da força de trabalho de uma equipe, em vez de comportamentos individuais. Isso oferece benefícios de privacidade significativos.

A Figura 3 mostra uma análise de microssegmentação ilustrativa para vários tipos de ativos de informação.

Microssegmentação
Figura 3

Mudança de cultura

Mudança de Cultura
É de vital importância abordar de forma direta e assertiva as questões culturais

Embora muitos programas se concentrem em detectar e responder a comportamentos negativos, também é de vital importância abordar de forma direta e assertiva as questões culturais que levam à negligência e ao comportamento malicioso.

Para combater a negligência e a cooptação, as empresas costumam realizar treinamentos rudimentares em segurança cibernética, bem como testes de phishing. Frequentemente, eles se concentram apenas no comportamento – educar os funcionários sobre os procedimentos cibernéticos adequados – e não entendem a parte da equação de atitudes e crenças. Intervenções direcionadas (como comunicações periódicas sobre o impacto cibernético) ajudam os funcionários a ver e sentir a importância da “higiene cibernética”, e o reforço proposital dos executivos sênior é fundamental para conseguir a adesão da força de trabalho. As melhores organizações medem com rigor os comportamentos e atitudes e desenvolvem planos de mudança abrangentes para combater a negligência cibernética, com metas e proprietários claros dentro da organização.

Lidar com as causas do comportamento malicioso é uma tarefa ainda mais pessoal. Os drivers variam para cada organização e, geralmente, para cada microssegmento. Por exemplo, eles podem incluir estresse financeiro pessoal, descontentamento com a falta de promoção ou risco de fuga devido à má gestão. As organizações que abordam com sucesso os impulsionadores do comportamento malicioso geralmente começam analisando as tendências da força de trabalho (usando pesquisas de satisfação, por exemplo) para determinar os pontos críticos em potencial. Em seguida, eles projetam mudanças no processo, governança, contratação, remuneração e assim por diante, específicas para as áreas de risco identificadas alinhadas à sua estratégia de microssegmentação. Por exemplo, se um grupo de funcionários tem uma alta prevalência de “riscos de fuga” devido ao descontentamento com um gerente, a organização pode exigir treinamento de liderança ou até mesmo rotatividade do gerente para fora do grupo.

Predição

Predição
Identificar grupos ou indivíduos no início do ciclo de vida da ameaça: análise preditiva de pessoa interna

As organizações avançadas estão dando mais um passo para identificar grupos ou indivíduos no início do ciclo de vida da ameaça: análise preditiva de pessoa interna. As principais personas que apresentam risco estão bem estabelecidas e foram amplamente estudadas. Organizações de alto desempenho identificaram os marcadores dessas personas e monitoraram ativamente esses marcadores para personas específicas, em vez de procurar divergências do normal. Essa análise pode identificar um grupo ou indivíduo com probabilidade de representar uma ameaça muito antes de o evento ocorrer; as empresas podem tomar medidas para mitigar a ameaça. A Figura 4 descreve a análise preditiva para identificar funcionários insatisfeitos, uma das personas estabelecidas.

Predição
Figura 4

Embora poderosas, essas análises exigem uma consideração cuidadosa sobre seu uso no contexto da cultura de uma organização, suas normas de privacidade e os padrões de privacidade em evolução na sociedade em geral. Deixar de pensar nisso geralmente resulta em reclamações de funcionários sobre invasão de privacidade.

Algumas palavras sobre privacidade

Algumas palavras sobre privacidade
Privacidade é um assunto inerentemente pessoal e intangível

Privacidade é um assunto inerentemente pessoal e intangível – seu significado e importância variam de acordo com a geografia, setor, empresa e, frequentemente, indivíduo. Muitos indivíduos protegem ferozmente sua privacidade, mesmo no trabalho e até mesmo no uso de ativos corporativos. Isso nunca é mais verdadeiro do que quando se trata de monitorar o uso de sistemas de comunicação, como e-mail – até mesmo e-mail corporativo. Conforme os padrões de direitos de privacidade individuais e corporativos evoluem (por exemplo, por meio do Regulamento Geral de Proteção de Dados da União Europeia), as organizações precisam criar seus programas de ameaças internas com base no que funcionará em seus próprios ambientes culturais e regulamentares. Em todos os casos, as organizações precisam adaptar seu programa de ameaças internas, respeitando quais dados podem ser coletados, como podem ser coletados e usados ​​legalmente.

Embora cada organização deva fazer suas próprias trocas entre privacidade e risco, acreditamos que nossa abordagem tornará essas trocas mais fáceis de navegar do que os programas tradicionais. Primeiro, a abordagem de microssegmentação não requer uma linha de base da atividade individual (pela qual os programas tradicionais julgam a “normalidade”), o que algumas organizações podem perceber como uma preocupação com a privacidade. Em segundo lugar, a microssegmentação apresenta grupos naturais de funcionários para análise, o que melhora o anonimato da análise. Grupos microssegmentados podem ser analisados ​​quanto a ameaças potenciais com razoável precisão de resultados. As investigações de indivíduos específicos podem ser conduzidas somente quando houver suspeita razoável de uma ameaça e devem ser feitas de acordo com a lei aplicável.

A ameaça interna é um dos maiores problemas da segurança cibernética, representando uma grande parcela dos ataques e danos financeiros. As tecnologias de monitoramento têm seu lugar no arsenal cibernético das organizações. Mas sua eficácia aumenta significativamente quando combinada com abordagens mais diferenciadas, como microssegmentação, previsão e engajamento cultural direto.

Conheça todos os detalhes do InCyber

Fale com os nossos especialistas

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages