Últimas notícias

Fique informado

Detectando o inimigo infiltrado: como identificar e impedir ciberataques internos

16 de janeiro de 2024

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Dicas de como avaliar soluções de identificação biométrica móvel para segurança pública?

Selecione uma solução com poucas etapas e que em questão de minutos realize a verificação biométrica da impressão digital precisa e rápida.

15 de setembro de 2022

A Tecnologia biométrica está reinventando a identificação do paciente, melhorando o atendimento e reduzindo erros em ambientes clínicos

É difícil cuidar de pacientes se você não sabe quem eles são. Conheça as soluções HID Global voltadas ao setor de Saúde.

6 de setembro de 2022

A biometria é o futuro do varejo e como meio de pagamento com a face

Varejistas estão implementando soluções de reconhecimento facial para proporcionar experiências sem falhas e personalizadas aos seus clientes.

30 de agosto de 2022

Por que o seu banco precisa de reconhecimento facial?

Os bancos precisam atender à demanda cada vez maior dos clientes por acessibilidade e conveniência e, ao mesmo tempo, garantir a proteção de seus ativos.

22 de agosto de 2022

O número de incidentes de segurança cibernética liderados por pessoas de dentro das empresas aumentou em 44% entre 2020 e 2022

Por Thomas Etheridge

As ciberameaças internas estão aumentando. De acordo com um relatório do Ponemon Institute, o número de incidentes de segurança cibernética liderados por pessoas de dentro das empresas aumentou em 44% entre 2020 e 2022.

Enquanto isso, o custo médio das ocorrências subiu para US$ 648 mil em incidentes maliciosos e US$ 485 mil em ameaças internas não maliciosas. Somente no ano passado, as invasões conduzidas por “insiders” aumentaram e estão custando caro para as organizações, uma média de US$16,2 milhões por ano. 

Uma ameaça interna é definida pelo potencial que um indivíduo tem de usar seu acesso para afetar negativamente a confidencialidade e a integridade dos dados ou dos sistemas de tecnologia da informação (TI) de uma organização.

Isso inclui ameaças mal-intencionadas, em que um funcionário ou prestador de serviços usa seu acesso para agir contra os interesses da entidade, e ameaças involuntárias, em que alguém tem permissão para usar recursos de segurança como parte de suas funções, mas não segue os padrões de procedimentos que reduziriam os riscos.

Devido aos altos custos e o crescimento dessas ameaças, é imprescindível que as organizações conheçam os riscos e saibam como se defender. Embora as atividades internas possam ser difíceis de detectar, nem tudo está perdido. A análise de casos elaborada pela CrowdStrike mostra que muitas das ações defensivas usadas para detectar e minimizar intrusões de adversários também são eficazes para impedir ameaças internas.

Problema #1: Escalonamento de acesso privilegiado

As equipes Counter Adversary Operations e Falcon Complete da CrowdStrike têm observado ameaças internas nas redes que protegemos há anos. Para ter uma ideia de como elas funcionam, analisamos incidentes de janeiro de 2021 a abril de 2023 e descobrimos que vários usuários internos atingiram seus objetivos explorando vulnerabilidades conhecidas. 

Mais da metade dos insiders (55%) causaram riscos ao aumentar seus privilégios de acesso em seus computadores ou na rede. Os insiders buscaram credenciais privilegiadas para fazer download de software não autorizado, remover evidências forenses ou solucionar problemas em sistemas de TI. Ao tentar aumentar seus acessos, esses usuários colocaram as organizações em risco, intencionalmente ou não.

Esses incidentes não se baseiam em um conhecimento oculto, tido apenas por alguns. Na verdade, os insiders usaram seis vulnerabilidades bem conhecidas que têm código de exploit disponível publicamente no GitHub e estão incluídas em um catálogo público da CISA (Cybersecurity and Infrastructure Security Agency) dos Estados Unidos.

Às vezes, os usuários exploram essas vulnerabilidades para fins legítimos. Em um dos casos, um usuário interno usou o WhatsApp para fazer o download de um exploit para aumentar seus privilégios de acesso e instalar um aplicativo de compartilhamento de arquivos uTorrent, bem como jogos não autorizados. 

Em outros casos, o uso é obviamente malicioso. Por exemplo, no final de julho de 2022, observamos que um ex-funcionário demitido de uma entidade de mídia sediada nos EUA, tentou explorar uma vulnerabilidade por meio do sistema operacional Windows para realizar atividades não autorizadas.

Problema #2: Download de exploits e ferramentas de segurança

Entre os incidentes de ameaças internas que encontramos, 45% envolviam funcionários que, sem querer, fizeram download não autorizado de exploits ou de outras ferramentas de segurança para fins de teste ou treinamento e trouxeram riscos para a organização. 

Nesses incidentes, testar exploits e ferramentas arriscadas pode ter sido parte do trabalho desses insiders, mas eles não seguiram as diretrizes de procedimento seguras.

Por exemplo, em fevereiro de 2023, um usuário interno de uma organização de tecnologia sediada nos EUA tentou fazer download de um exploit para um teste de vulnerabilidade por meio do escalonamento de acessos privilegiados do Windows kernel, mas usou seu computador corporativo ao invés do sistema de teste aprovado (uma máquina virtual separada).

Mal-intencionadas ou não, essas atividades colocam as organizações em risco. O teste de exploits em sistemas não autorizados pode interromper as operações por meio de falhas no sistema ou outras ações negativas.

Eles também criam pontos frágeis: um adversário que já tenha um ponto de acesso na rede pode encontrar essas falhas ou ferramentas e usá-las para apoiar suas atividades ilícitas. Por fim, o download e o gerenciamento inadequado deste código podem introduzir backdoors facilitando a invasão dos adversários.

Em nossa análise, vimos vários incidentes envolvendo a instalação não autorizada da estrutura do Metasploit por usuários privilegiados no sistema. Essa é uma estrutura de teste de penetração bem conhecida, que é frequentemente usada pelas equipes de segurança. Porém, ela também pode fornecer aos invasores um mecanismo acessível para realizar atividades de pré e pós-exploração.

Soluções para gerenciar ameaças internas

A principal iniciativa que toda organização deve considerar é investir em treinamento de conscientização e compliance para os funcionários. Instruir os funcionários a identificar um possível insider que está colocando a empresa em risco é um primeiro passo fundamental para a segurança cibernética da organização.

A maioria das equipes de segurança tem protocolos que devem ser seguidos para o uso seguro de ferramentas, portanto, é importante conhecer e seguir estes procedimentos, além de alertar a gerência em caso de abuso ou mau uso dessas ferramentas.  

As empresas precisam entender e aplicar o princípio do menor privilégio (POLP em inglês). De acordo com esse princípio, os usuários e os processos devem receber apenas as permissões mínimas necessárias para realizar suas tarefas.

O POLP é uma das práticas mais eficazes para fortalecer a segurança cibernética de uma organização e permite que elas controlem e monitorem o acesso à rede e aos dados. A aplicação da POLP ajudará a resolver os problemas de escalonamento de privilégios.

Além disso, muitas das vulnerabilidades que vimos os insiders usarem têm exploits que estão disponíveis publicamente no GitHub. Portanto, restringir ou monitorar o download de exploits do GitHub e de outros repositórios de código on-line ajudaria a mitigar essas ameaças.

Muitas das vulnerabilidades descritas neste artigo também foram exploradas por adversários de intrusão direcionada e de crimes eletrônicos. Como resultado, a maioria das medidas de proteção comuns que os defensores da rede já usam para detectar e evitar ataques também se tornam úteis para combater as ameaças internas.

Os insiders usaram muitas vulnerabilidades antigas, algumas divulgadas em 2015, o que ressalta o fato de que as vulnerabilidades podem continuar sendo usadas por todos os invasores (internos ou externos) até que a empresa as corrija ou mitigue.

Garantir que a correção de vulnerabilidade seja feita em tempo hábil para proteger a rede e todos os dispositivos conectados a ela é fundamental. No entanto, apenas fazer correções não é insuficiente para lidar com as possíveis ameaças. É por isso que as organizações precisam aderir a várias camadas de defesa.

A implementação da arquitetura Zero Trust e dos serviços de proteção de identidade impede o acesso não autorizado a sistemas e redes. Além disso, analisar o comportamento do usuário é uma técnica importante que as organizações podem usar para detectar um adversário usando credenciais roubadas ou para identificar atividades suspeitas de um insider. 

A análise de comportamento começa com a criação de uma base de referência de comportamentos normais para cada usuário, com base em dados históricos, para que seja possível identificar irregularidades suspeitas e impedi-las antes que causem danos para a organização. 

Por fim, há incontáveis benefícios na implementação da caça à ameaças nos programas de segurança cibernética. Simplesmente esperar por um alerta de ameaça não é suficiente; as organizações precisam procurar proativamente comportamentos incomuns, utilizando as ferramentas e técnicas destacadas acima para identificar possíveis riscos internos.

Threat Intelligence é a forma mais eficaz de responder rápida e prontamente às novas ciberameaças

Microsoft retorna ao primeiro lugar do ranking das marcas mais imitadas em ataques de phishing

Malware que rouba credenciais bancárias “lacrou” em 2023 e retorna em 2024

Crypto ID trilhou um caminho incrível!

Em novembro de 2024 completaremos uma Década De Sucesso!

Desde o seu início, temos sido acompanhados por uma comunidade apaixonada e engajada, que cresce a cada ano. Com dois milhões de seguidores por ano, nossa jornada é marcada por conquistas, inovação e colaboração.

As empresas mantenedoras têm sido pilar fundamental para o nosso crescimento contínuo. Seu apoio nos permite manter a qualidade e a relevância das informações que compartilhamos. Agradecemos a cada uma delas por acreditar na nossa missão e nos ajudar a construir uma comunidade forte e informada. Contamos com a colaboração de um excepcional time de colunistas! São eles que trazem insights, análises e opiniões valiosas para os nossos leitores. Com suas vozes únicas, eles enriquecem o conteúdo do Crypto ID e nos ajudam a manter a excelência. E não podemos esquecer de parcerias incríveis que temos com as Assessorias de Imprensa que nos fornecem informações detalhadas e atualizadas sobre as empresas que atendem.

À medida que nos aproximamos de mais um aniversário, renovamos nosso compromisso com a segurança digital, a privacidade e a tecnologia. Obrigado a todos que fazem parte dessa incrível jornada!

Juntos trabalhamos por um mundo digital com mais sigilo, identificação, segurança e gestão gerando confiança para que empresas, máquinas e pessoas possam confiar umas nas outras.