A Forcepoint está tão ansiosa como qualquer fã pela estreia da 7a temporada de The Walking Dead em outubro. O que há para não gostar em assistir heróis comuns batalhando contra zumbis “andarilhos”?
De fato, como esse mês é o Mês de Conscientização Nacional em Cibersegurança, muitas vezes acreditamos que aquele fenômeno em constante evolução chamado de ameaça interna é muito parecido com o universo zumbi da AMC. Não é fácil distinguir quando e como alguém irá virar um zumbi. Então, é mais interessante presumir que qualquer um e qualquer coisa pode ser um insider e, assim, uma ameaça interna em potencial – e que todos são, também, vítimas em potencial. Isto reflete o The Walking Dead desde que sabemos (alerta de spoiler) que todos já estão infectados com o vírus zumbi. O que isso nos diz? Que tudo e todos são possíveis zumbis.
Este estado de vigilância seria muito mais útil para companhias modernas em que os modelos de ciberdefesa antigos estão focados em “manter as coisas ruins para fora”. Estes modelos ultrapassados precisam se interligar a diferentes soluções pontuais para criar uma defesa de perímetro - forçando a implementação de uma nova solução totalmente diferente toda vez que os ataques evoluem. No mundo digital atual, depender de uma abordagem desarticulada para prevenir brechas é tão efetivo quanto tentar evitar uma horda de zumbis se cobrindo de folhas: boa sorte.
Além do mais, o perímetro que nós conhecíamos não existe mais. A situação não está tão desoladora quanto o mundo pós-apocalíptico do Walking Dead, mas, com a nuvem, usuários móveis, BYOD e outras inovações, o perímetro atual é ditado pela localização dos dados, contas de usuários e terminais. Qualquer que seja a localização desses usuários e terminais - dentro ou fora da empresa - eles são insiders. E, além disso, devemos considerar todo programa ou aplicativo executado na conta de um usuário ou um terminal como insider também.
Para sermos claros, não estamos falando que gerentes de segurança não devem mais se preocupar com ameaças externas que atacam suas redes, mas não podemos mais focar exclusivamente nelas. Precisamos estar constantemente atentos para detectar as atividades anormais de usuários e dispositivos, assim como o uso, armazenamento e movimentação de dados, que podem ser indicadores em potencial de ameaças com alguma conexão dentro da empresa. Um jeito de fazer isso é conhecendo três perfis comuns de ameaças internas. De alguma forma, eles refletem as qualidades de determinadas personagens do programa favorito de zumbis:
Insiders Acidentais. São funcionários que causam danos involuntariamente. Por exemplo, se estão participando de um chat em uma rede social setorial, um hacker pode se fazer passar por uma fonte de informação e enviar um link que parece estar relacionado à discussão, mas que na realizada está carregando um malware. No universo The Walking Dead, estes insiders lembram o Dale, vítima de bom coração que conheceu seu fim enquanto observava o território do grupo e se deparou com um animal ferido. Outro exemplo de ameaças acidentais são as ameaças imprudentes. Estes são funcionários que se consideram “acima das regras”, ignorando as melhores práticas e as políticas recomendadas pelo departamento de TI. Essas pessoas não estão agindo maliciosamente, mas elas atraem riscos. É possível alegar que suas ações são maliciosas, mas este tipo de ameaça nos faz lembrar de Merle Dixon. Merle, despido de senso comum, fatalmente se pôs no caminho do perigo ao tomar riscos desnecessários além de confiar na pessoa errada (O Governador).
Insiders Comprometidos. Nesse caso, a máquina ou o sistema do insider foi comprometido, sem seu conhecimento. Após o dano, seu sistema passa a ser controlado remotamente e pode ser utilizado para roubar e/ou vazar dados. Insiders comprometidos ou máquinas hackeadas lembram a maioria dos zumbis do The Walking Dead. Estes indivíduos não sabem que estão infectados ou comprometidos, e podem ser usados pelos vivos para proteger ou atacar outros. Zumbis podem ser controlados para perpetuarem ataques e, por fim, criarem mais zumbis.
Insiders Maliciosos. Estes usuários estão claramente agindo com más intenções, de maneira consciente. São pessoas insatisfeitas, gananciosas e/ou mal intencionadas que abusam de seu acesso à propriedade intelectual ou sistemas. Muitas vezes eles traçam planos para roubar, sabotar ou fraudar a organização. Por exemplo, um funcionário contratado por um concorrente poderia copiar esquemáticas de produtos antes de se demitir. Nas primeiras duas temporadas, Shane seria a ameaça interna perfeita - especialmente quando ele intencionalmente machuca e compromete a segurança dos outros para ter sua vingança pessoal, porém com consequências fatais.
Para eliminar os prejuízos, as companhias devem conhecer os perfis das ameaças internas comuns - antes que aconteça o pior. Então, como podemos atenuar estes riscos em potencial? Partindo do ponto de vista humano, adotando treinamento para todos os usuários para informá-los das melhores práticas possíveis e ensinar como reconhecer as técnicas veladas de um adversário. Ao mesmo tempo, é possível ensinar como reconhecer possíveis insiders maliciosos pelos clássicos “sinais de aflição” que projetam. Da perspectiva tecnológica, as organizações podem complementar suas ferramentas de firewall e antivírus com outras soluções focadas em ameaças internas e relacionadas à autenticação/controle de acesso, prevenção contra perda de dados (DLP) e análise de comportamento dos usuários.
Nosso whitepaper “Desbloquear o êxito nos negócios: os Cinco Pilares da Mitigação dos Riscos dos Usuários” detalha estas e outras atitudes importantes para aumentar suas chances de monitorar, detectar e mitigar ameaças internas, e, em último caso, evitar maiores prejuízos. E isso, claramente, é melhor do que virar um zumbi.
Dê uma olhada nesta nossa divertida abordagem desse assunto com o vídeo a seguir, The Walking Threat: https://bit.ly/2ecwqEE
