Secure. Control. Perform. UM EBOOK DA IPSWITCH. Ameaças internas e seu impacto na segurança dos dados

Transcrição

1 Secure. Control. Perform. UM EBOOK DA IPSWITCH Ameaças internas e seu impacto na segurança dos dados

2 Introdução Organizações do mundo todo estão bem cientes das consequências associadas a violações de dados. Dados confidenciais que caem em mãos erradas podem ser vendidos no mercado negro e acabar levando ao roubo de identidade. Normalmente, a segurança empresarial se concentra em proteções para evitar que hackers entrem na rede e obtenham acesso a esses dados. Embora esse seja um bom começo, as organizações costumam ingenuamente negligenciar os perigos do roubo de dados iniciado por alguém de dentro da empresa. Ameaças internas ocorrem quando alguém confiável de dentro da empresa (funcionário atual ou anterior, prestador de serviço ou parceiro de negócio) com acesso a dados sigilosos da organização, seja de maneira inadvertida ou intencional, participa de atividades que comprometem negativamente axsegurança e a proteção dessas informações. De acordo com o relatório mais recente do Índice de ameaça interna da Clearswift (CITI), 74% das violações de segurança originam-se de dentro da empresa global estendida. Quando sondados em mais detalhes, 72% dos profissionais de segurança global acreditam que a diretoria não trata as ameaças internas à segurança com o mesmo nível de importância que as ameaças externas. Essas estatísticas são alarmantes. A figura abaixo apresenta as ameaças à segurança mais comuns que as organizações enfrentam hoje. DISPOSITIVOS DE ARMAZENAMENTO REMOVÍVEIS OS USUÁRIOS NÃO SEGUEM OS PROTOCOLOS DE SEGURANÇA OS USUÁRIOS USAM APLICATIVOS NÃO AUTORIZADOS PARA TRABALHAR LINKS EM S OS USUÁRIOS COMPARTILHAM NOMES DE USUÁRIO E SENHAS ACESSO A REDES VIA DISPOSITIVOS PESSOAIS MALWARE VIA DISPOSITIVOS PESSOAIS DISPOSITIVOS PERDIDOS OU ROUBADOS EX-FUNCIONÁRIOS ACESSANDO A REDE MÍDIAS SOCIAIS CLIENTES/FORNECEDORES/PARCEIROS INTERNET DAS COISAS Figura 1: principais ameaças internas à segurança para organizações Fonte: Índice de ameaça interna da Clearswift 2015 Ameaças internas e seu impacto na segurança dos dados Página 2

3 Figura 2: Mr. Robot Fonte: USA Networks ( Você já assistiu ao Mr. Robot no USA Networks? O Mr. Robot retrata o estereótipo de uma ameaça interna em Elliot Aldreson. Elliot é recrutado por um grupo anônimo de hacktivistas, coordenado por um homem conhecido como Mr. Robot. Durante o dia, Elliot trabalha como engenheiro de segurança para a empresa de cibersegurança, Allsafe. Elliot usa seu conhecimento interno da empresa para ajudar seus amigos hacktivistas a cometer cibercrimes de dentro da empresa, roubando dados do cliente e divulgando segredos corporativos. É claro que Mr. Robot é um exemplo extremo de uma ameaça interna, contudo o programa ilustra vulnerabilidades muito reais nas redes de negócios de hoje. Embora um bom número de violações internas da segurança de dados seja cometido por pessoal interno mal-intencionado, a grande maioria das ameaças internas não é intencional e é causada por pessoas que inadvertidamente expõem informações privilegiadas. Ameaças internas não intencionais geralmente são o resultado de más práticas de segurança, como deixar os sistemas de TI sem supervisão ou a falha em seguir protocolos de segurança, como compartilhar senhas do sistema com um colega. Essas ameaças podem ser facilmente tratadas implementando protocolos e padrões de segurança robustos. Está claro que, para melhor proteger a integridade dos dados de uma organização, as equipes de TI devem estender a implementação dos padrões de proteção de dados existentes para lidar com essas ameaças internas e externas à segurança. A seguir estão alguns exemplos de ameaças comuns à segurança às quais as equipes de TI devem estar atentas. De: Bank Of America Enviado: segunda-feira, 1 de maio de 2017, 13:58 Para: John Doe <jdoe3@gmail.com> Assunto: IMPORTANTE! Seu cartão de crédito foi desativado Anexo: Prezado Sr. Doe, Nunca confie em anexos de um que você não está esperando. Anexos podem conter malware, como ransonware, que criptografa seus dados e o deixa à mercê de um hacker. Lamentamos informar que observamos comportamento suspeito na sua conta e tomamos providências imediatas para protegê-lo contra encargos não autorizados no seu cartão. Entrar Os criminosos podem enviar para você uma página da web que pode parecer legítima, mas, na verdade, é um truque para roubar as informações da sua conta ou infectar seu computador com malware. Reserve um minuto para fazer login na sua conta para solicitar um novo cartão. Pedimos desculpas pelo inconvenente. Obrigado, Erros simples de ortografia podem ser um sinal vermelho. Você confiaria em um banco que não sabe escrever direito? Provavelmente isso acontece porque não é o banco, mas um criminoso tentando fisgá-lo. Bilhetes colados com informações de login são um problema óbvio. Um criminoso precisa apenas de uma espiada em uma janela ou um olhar de relance em uma mesa. Observe também a senha fraca. Bank Of America Os s nunca são seguros. Garanta que seus usuários conheçam os últimos golpes de phishing. O treinamento pode ser a melhor defesa contra um possível ataque. Ameaças internas e seu impacto na segurança dos dados Página 3

4 75% das violações são de pessoal externo vs. 25% de pessoal interno. 81% das violações relacionadas a hacking foram causadas por senhas fracas. 66% do malware foram instalados usando anexos de mal-intencionados. Figura 3: Relatório de investigação de violação de dados de 2017, 10ª edição Fonte: Verizon Enterprise ( A maioria dos ataques externos é resultado de ameaças internas Como podemos ver com base nos dados acima, a maioria das violações de dados é causada por pessoas externas. Então, por que as ameaças internas são as mais proeminentes? Para entender isso, você precisa ligar os pontos. Embora a maioria das violações seja causada por hackers externos, são os funcionários das empresas que entregam inadvertidamente as chaves da rede aos criminosos. Senhas fracas e s mal-intencionados são os principais vetores de ataques externos. Mas só se os usuários morderem a isca. Nesses casos, os usuários são a ameaça. Porém, o problema com s vai além de anexos mal-intencionados. Dados confidenciais não devem ser enviados por , a menos que sejam criptografados no servidor e em trânsito. O Office 365 e outros aplicativos de software oferecem esse recurso, porém, alguns serviços não o oferecem. É importante ter cuidado com quais serviços de você está usando. Ameaças internas e seu impacto na segurança dos dados Página 4

5 Os s não são seus aliados Nem é preciso lembrar das eleições de 2016 nos EUA. Contudo, um dos principais tópicos durante as eleições foi, é claro, o servidor de privado de Hillary Clinton que ela estava usando para enviar e receber informações confidenciais. Deixando política e espionagem de lado, o maior problema dos s é que eles podem ser interceptados por terceiros sem que o remetente ou o destinatário saiba. Você pode ter o servidor de mais seguro do mundo, porém, ele será inútil quando os dados saírem da segurança do firewall da sua empresa. O receptor dos dados pode não levar a segurança tão a sério quanto você, assim, quem vê o depois de você enviá-lo está fora do seu controle. Como minimizar ameaças internas ao transferir dados para fora do firewall Na empresa sem fronteiras de hoje, as organizações precisam poder trocar com segurança informações sigilosas com terceiros externos regularmente. Mover dados confidenciais para além do firewall os expõe ao risco de interceptação e roubo de dados. Uma solução de transferência gerenciada de arquivos (MFT) segura e confiável pode mostrar-se um investimento inestimável para garantir que os arquivos sejam entregues aos destinatários autorizados dentro do prazo, enquanto permite que a TI monitore e capture toda a atividade de transferência de arquivos. Ao selecionar ferramentas para habilitar o compartilhamento externo de dados, é necessário considerar funcionalidades como acesso à conta, alertas e relatórios, integração com antivírus e outros mecanismos de segurança. Acesso à conta O acesso não autorizado a dados confidenciais é uma clara violação da segurança das informações na sua rede. Uma maneira de garantir o controle consistente e fácil de gerenciar sobre o que os usuários têm acesso em um determinado sistema é integrar os privilégios de acesso da conta com o banco de dados do Active Directory (AD). Isso permite à equipe de TI controlar e monitorar quais funcionários têm acesso aos sistemas que hospedam informações sigilosas. Também permite à TI desabilitar ou limitar rapidamente o acesso a contas de usuário no caso de comportamento suspeito ou se um funcionário sair da empresa. Alertas, painéis e relatórios É importante que um sistema de transferência gerenciada de arquivos seja capaz de registrar todas as atividades de transferência de arquivos e acionar alertas que avisem a TI sobre comportamento de usuário mal-intencionado. O controle e a visibilidade do acesso à conta e os eventos de transferência de arquivos minimizam os possíveis danos que poderiam ocorrer em um ataque de ameaça interna. Registros de auditoria com proteção contra adulteração garantem que, mesmo que o ataque ocorra, uma trilha do que aconteceu será registrada e poderá ser rastreada até o responsável. Ameaças internas e seu impacto na segurança dos dados Página 5

6 Integração com antivírus Uma maneira muito comum de atacar e infiltrar-se em um sistema é liberando malware na rede. Uma vez que o vírus de software é liberado, ele pode causar muitos danos e expor seus dados mais sigilosos antes que a TI consiga controlar a situação. As equipes de TI contam com software antivírus atualizado para ajudar a minimizar as chances desses ataques cruéis. Garantir que seu sistema de transferência gerenciada de arquivos possa integrar-se ao software antivírus de rede pode ajudar a prevenir que malware liberado na rede afete os servidores FTP nos quais os dados estão armazenados. Criptografia de dados A criptografia de dados desempenha um papel muito importante durante a transferência de dados para fora de uma organização. Mesmo que a TI consiga limitar o acesso de usuários autorizados a bancos de dados que hospedem informações sigilosas, é igualmente importante garantir que os dados compartilhados externamente à empresa não sejam lidos nem modificados. Esse processo também é vulnerável a pessoas internas que estejam buscando interceptar e fazer mal uso de informações protegidas, mas, muitas vezes, ele é negligenciado de um ponto de vista de segurança. As equipes de TI devem garantir que elas tenham um fluxo de trabalho de transferência gerenciada de arquivos estabelecido que criptografe tanto dados em repouso quanto em trânsito. A criptografia de dados previne que usuários não autorizados façam uso indevido de quaisquer dados importantes, mesmo que consigam obter acesso ao repositório de arquivos subjacente. Também garante que a integridade dos dados não seja comprometida de maneira alguma. Autenticação multifatorial A autenticação multifatorial (MFA) é outra excelente camada de segurança que pode ajudar a garantir que apenas indivíduos autorizados obtenham acesso a informações confidenciais. MFA é um processo de verificação de várias etapas que garante que o usuário seja quem ele alega ser exigindo que ele forneça comprovação da sua identidade, geralmente na forma de um código de segurança, ao fazer login em uma conta do sistema. O código de segurança é enviado a uma fonte alternativa (telefone, etc.) vinculada diretamente ao indivíduo. Essa camada adicional de segurança impede que os funcionários compartilhem senhas ou que usuários não autorizados obtenham acesso a dados confidenciais no caso de uma senha de conta ser comprometida. Ameaças internas e seu impacto na segurança dos dados Página 6

7 Serviços na nuvem Atualmente, cada vez mais aplicativos estão sendo oferecidos na nuvem. Uma clara vantagem de implementar uma solução de SaaS baseada na nuvem para suas atividades de transferência de arquivos é que isso garante que todos os seus protocolos de software estejam atualizados. Com uma oferta baseada na nuvem de SaaS, ataques internos malintencionados não terão a mesma janela de oportunidade para acessar informações confidenciais. Com uma implementação local, há uma clara janela de vulnerabilidade entre o momento em que as atualizações e/ou patches de software estão disponíveis e o momento em que a TI agendou sua aplicação na rede. Automação A automação cria uma metodologia de entrega para transferência de dados que reduz as chances de arquivos sigilosos acabarem nas mãos de pessoas não autorizadas devido a erros de script (intencionais ou não). Um sistema de automação robusto possibilita à TI gerenciar e rastrear a atividade de transferência de arquivos e desabilitar/ interromper rapidamente determinadas transferências no caso de suspeita de atividade fraudulenta. Figura 4: sistemas inteligentes em ação Fonte: Ipswitch ( 92 % Reconhecem que sistemas inteligentes são cruciais para o sucesso dos negócios. UM RELACIONAMENTO COMPLEXO Acreditam que gera novas preocupações sobre a segurança, o acesso e os controles da rede. 68 % Como você classificaria sua atual capacidade em gerenciamento e automação de transferência segura de arquivos? Forte e preparada para o futuro Precisa ser reforçada Já é inadequada 12 % 27 % 60 % Ameaças internas e seu impacto na segurança dos dados Página 7

8 Acesso às contas de terceiros Ameaças internas não estão apenas limitadas a prestadores de serviços e funcionários. As empresas atuais frequentemente desenvolvem fortes relacionamentos com fornecedores terceirizados e parceiros que precisam de acesso privilegiado a informações. Infelizmente, os cibercriminosos costumam aproveitar esse acesso para vencer suas defesas. Isso normalmente pode ser evitado usando um servidor de proxy de gateway que encerra a autenticação de entrada e saída e as transmissões na DMZ (zona desmilitarizada) da rede, proibindo o acesso externo à sua rede confiável. As contas de terceiros podem ser melhor controladas implementando permissões de privilégio mínimo e capturando uma trilha de auditoria de todas as atividades de acesso remoto à conta. Além dessas proteções, as contas de terceiros podem ser desabilitadas ou excluídas quando não são mais necessárias. Saiba mais sobre a transferência gerenciada de arquivos com o MOVEit: Ameaças internas e seu impacto na segurança dos dados Página 8