Proteja seus dados críticos das ameaças internas

Neste White Paper, o time de especialistas da Nuix, parceira da TechBiz Forense Digital, mostra o caminho sobre como desenvolver e implementar um programa contra os invasores internos 

Mais de um terço de todos os incidentes digitais e brechas de segurança são causados pelos chamados insiders, que possuem motivações variadas: financeiras, políticas e mesmo emocionais. Mas, o fator em comum é que todos acessam inapropriadamente dados de valor crítico para uma organização.

Enquanto os governos de todo o mundo divulgam a importância de se atentar e agir contra as ameaças internas, os esforços reais por parte das organizações ainda são desiguais. É fácil entender por que algumas organizações têm evitado a questão: o desafio de detectar e deter as ameaças internas parece enorme e é difícil saber por onde começar. 

A resposta é focar os esforços em alvos bastante específicos e definidos: os dados vitais e críticos de sua organização e as muitas maneiras nas quais um ator responsável por ameaças internas pode acessar, reunir e vazar os dados da rede. 

Utilizando este foco, sua organização pode desenvolver um programa de mitigação contra ameaças internas que combine 3 elementos: 

• Entendimento e foco: identifica onde os dados valiosos e críticos estão localizados, quem os acessou e como; 

• Proteger e quebrar: utiliza a inteligência e a análise para identificar ameaças internas dentro de sistemas e redes; 

• Prevenir e detectar de forma apurada e atualizada políticas de cibersegurança e TI, treinamento e ferramentas forenses. 

O diferencial é que se trata de um programa e não apenas de um software. Um bem-sucedido programa requer o apoio das lideranças executivas, políticas e direcionamentos claros e educação da força de trabalho através de treinamentos. Também é preciso unir os públicos de interesse de dentro da organização incluindo as áreas de recursos humanos, administração, jurídico, segurança física e tecnologia da informação. Com esses elementos, sua organização pode lidar com as ameaças internas antes que elas se tornem uma bagunça e gerem problemas públicos. 

Entendendo as ameaças internas 

Mais de um terço de todos os cibercrimes e brechas de segurança são causados por insiders (i). O dano causado pelas brechas de segurança, roubo de propriedade intelectual, perdas de informações financeiras e outros dados de valor crítico para uma organização é epidêmico. O resultado é um prejuízo financeiro para governos, corporações e indivíduos que somam centenas de bilhões de dólares anualmente (ii). Tão importante quanto, são os danos que afetam a reputação, a confiança e o valor da empresa. 

Existem muitos exemplos de insiders que usaram sua posição para expor agendas pessoais, políticas e de Estados. 

• Edward Snowden e Chelsea Manning são exemplos bastante públicos de insiders que exploraram seu acesso a informações altamente sensíveis para vazá-las a terceiros. 

• O Departamento Australiano de Imigração e Proteção de Fronteiras sofreu com brechas de segurança em 2014 e 2015 como resultado da ação de funcionários. Apesar de se acreditar que foi um vazamento por negligência, a informação vazada era altamente sensível. 

• A agente russa Anna Chapman e seus compatriotas era agentes infiltrados que conquistaram a confiança e o acesso interno aos setores financeiros e do governo nos Estados Unidos para roubar informações que eram encaminhadas aos seus patrocinadores. 

Insiders também roubam ou vazam dados financeiros valiosos, tais como números de cartão de crédito e informações de identificação pessoal, que pode ser usada para cometer fraudes ou serem vendidas no mercado negro. Exemplos recentes incluem: 

• A Comissão Federal de Comunicação dos Estados Unidos multou a empresa de telecomunicações AT&T em US$ 25 milhões depois que empregados do call center roubaram e revenderam os números de CPF de aproximadamente 300 mil clientes (iii). 

• Um empregado aposentado do UMass Memorial Medical Group, uma aliança de hospitais, acessou 14 mil registros de contas de pacientes e utilizou um número desconhecido desses números para cometer fraudes (iv). 

• O banco de investimento Morgan Stanley demitiu um dos seus conselheiros financeiros depois de acusá-lo de roubar dados da conta de 350 mil clientes e postar alguns desses dados para venda (v).

Organizações que possuem valiosa propriedade intelectual sofrem com o roubo de seus segredos comerciais, comumente denominados espionagem industrial (vi). Por exemplo, em Maio de 2015, o Departamento de Justiça dos EUA apresentou acusação contra seis cidadãos chineses que se empregaram em companhias de microeletrônicas do Vale do Silício para roubar segredos de mercado relativos a filtros acústicos para celulares. Eles usaram a tecnologia roubada para produzir os seus próprios circuitos que venderam para clientes dos setores militar e comercial da China (vii). 

Uma vez lá dentro, você é um Insider 

As motivações, alvos e métodos dos insiders são variados. Ao definir uma “ameaça interna” acreditamos que não importa como alguém ganhou acesso, ou se já se trata de um funcionário, ou de algum aposentado da empresa, ou ainda de um fornecedor externo. Uma vez que um usuário está dentro do sistema, ele é uma ameaça interna. Consequentemente, definimos uma ameaça interna como: 

 um indivíduo que abusa do acesso autorizado aos sistemas ou informações; permite que outras pessoas não autorizadas acessem o sistema ou informação por meio de um comportamento impróprio; é um usuário não autorizado; ou quem usa de forma maliciosa ou ganha acesso aos sistemas ou informações para manipular ou extrair dados de valor crítico para uma organização. Dados de valor crítico para uma organização incluem recursos internos, informação de identificação pessoal, informação financeira, registros pessoais, sistemas de segurança, sistemas de informação, equipamentos de negócio, propriedade intelectual, segredos comerciais, cadeia de suprimentos ou qualquer outra informação de valor para a organização. 

Respostas para as ameaças internas 

O presidente dos Estados Unidos Barack Obama voltou sua atenção às ameaças internas na Ordem Executiva 13587, publicada em Outubro de 2011 (viii). Essa Ordem Executiva procurou por em prática “reformas estruturais para melhorar a segurança das redes confidenciais e o compartilhamento responsável e salvaguardar as informações confidenciais”. Isso foi o começo de um esforço governamental para reconhecer, definir e mapear um programa para deter a maré das ameaças internas. 

A Ordem Executiva estabeleceu a Força-Tarefa Nacional contra as Ameaças Internas (National Insider Threat Task Force - NITTF), sob a liderança conjunta do Procurador-Geral e do Diretor de Inteligência Nacional, com a missão principal de prevenir, deter e detectar o comprometimento de informações confidenciais por insiders mal-intencionados. 

Enquanto líderes políticos ressaltam a importância de se lidar com as ameaças internas, uma conscientização mais ampla sobre o problema e os esforços para mitigá-lo ainda são desiguais. É fácil entender porque algumas organizações têm evitado a questão: o desafio de detectar e deter as ameaças internas parece gigantesco; muitas companhias simplesmente não sabem por onde começar. Sob a luz desses desafios fazemos as seguintes perguntas: 

• Como uma organização pode preencher a lacuna entre o ataque inicial, a descoberta do insider e de suas ações nocivas e a tomada de ações para encerrar ou mitigar o evento? 

• Como podemos parar os Snowdens dentro de nossos próprios sistemas e redes? 

Foco no Insider 

Detectar e romper os vazamentos de insiders é a clássica busca da “agulha no palheiro”. É fácil se intimidar face a tão complexa tarefa. Isso nos requer aplicar nossa inteligência em ambos os sentidos – esforço mental e fontes de informação – em direção à tarefa de focar no que o insider deseja e as formas com que ele age para conseguir o que deseja. 

É importante entender que enquanto a tecnologia da informação é virtualmente ilimitada, a interação humana com a tecnologia é limitada. Em outras palavras, existem apenas algumas tantas maneiras de acessar, juntar e extrair dados de valor crítico de um sistema ou rede. Focar os nossos esforços no uso limitado da tecnologia e no relativamente pequeno número de formas pelas quais as pessoas podem mover campos de dados costumar ser mais eficiente e trazer resultados mais rápidos do que uma abordagem generalizada e indiscriminada. 

Para alcançar esse foco, devemos reunir as múltiplas áreas de uma organização. Por exemplo: 

• É mais fácil identificar um insider vazando dados se limitarmos as maneiras como as pessoas podem interagir com o sistemas e redes. Uma forma de se obter isso é com as políticas de uso da TI e medidas técnicas que previnam os empregados de conectar um storage USB em suas estações de trabalho. 

• Para concentrar-se em proteger informações importantes (não necessariamente todos os dados), é necessário identificar e localizar qualquer dado de valor crítico para a empresa, a joia da coroa. Isso requer cooperação e geralmente negociação entre os detentores dos dados por uma organização. 

Sem tempo de ser reativo 

Também é importante entender que as organizações não podem arcar em tomar apenas posturas puramente reativas diante de uma ameaça interna. As medidas que a organização coloca em prática depois que uma brecha já ocorreu virão, em geral, tarde demais para prevenir constrangimentos, perda de informações valiosas ou mesmo um escândalo público. 

Defesa de perímetro, resposta contra incidentes e centros de operação de segurança são por sua natureza medidas defensivas – elas tipicamente alertam e respondem após a ocorrência do evento. Defesas de perímetro são desenvolvidas para manter os invasores externos longe dos sistemas da organização; elas são quase sempre ineficazes contra os mal-intencionados que se encontram dentro da rede e geralmente possuem credenciais legítimas para acessar dados de valor crítico. 

Organizações podem se tornar mais pró-ativas ampliando o escopo das suas atividades de cibersegurança das defesas do perímetro tradicional para estabelecer políticas e processos que limitem as oportunidades das brechas internas e torne mais fácil a identificação dos malfeitores. 

Desenvolvendo um programa contra as ameaças internas 

A resposta ao desafio de desenvolver um programa contra ameaças internas é usar uma pequena e limitada quantidade de dados - partes específicas de informação – para encontrar fatos pertinentes no atual universo do Big Data. A metodologia que aplicamos nas grandes agências do governo americano operacionaliza o conceito da mitigação da ameaça interna descrito pela NITTF; uma abordagem holística que incorpora políticas e orientações, educação e treinamentos e tecnologia. 

Focamos os nossos esforços na mitigação da ameaça interna ao responder rapidamente e de forma eficiente a questão sobre quem de dentro da rede pretende nos fazer mal. Combinamos “entendimento e foco”, “proteção e rompimento” e “deter e detectar”, elementos que criam um ambiente organizacional amplamente focado em se defender contra as ameaças internas (veja Figura): 

• O processo de “Entendimento e Foco” é usado para identificar usuários autorizados que têm acesso a dados de valor crítico. Precisamos determinar a joia da coroa de uma organização, onde os dados críticos estão localizados, que tem acesso a eles, como se dá esse acesso. Isso inclui compreender quem pode estar ameaçado, quais opções e métodos o autor da ameaça interna pode usar e os indicadores observáveis tais como atividades ameaçados criadas. 

• "Proteger e Quebrar utiliza inteligência e análise para clarificar e focar as atividades investigativas na identificação dos autores das ameaças internas dentro dos sistemas e redes. Isso significa estar atento para identificar quem é esse insider, como ele opera dentro da rede, quem está associado a ele e quais são as técnicas já utilizadas por esse insider que podem ser capturadas e compreendidas. 

• ”Deter e Detectar” ou informação de ciberdefesa inclui possuir políticas atualizadas e precisas sobre cibersegurança e TI, treinamento, boas ferramentas de forense e banners apropriados para login de usuários. 

O conhecimento obtido ao combinar esses três elementos ajuda a definir o foco: 

• Quem está tentando descobrir e roubar as joias da coroa 

• Qual método eles pretendem utilizar 

• Onde eles pretendem toma-los. 

A chave é que isso é um programa e não um software. Somente aspectos técnicos são insuficientes para deter as ameaças internas. 

Organizações devem criar um ambiente que seja hostil ao invasor interno através de um quadro de políticas eficientes e focando sua energia e escassos recursos nos dados mais importantes. 

Segurança é um trabalho de todos 

Quem é responsável por criar um ambiente onde sua organização possa ser pró-ativa contra as ameaças internas? Quem é responsável por garantir que a cibersegurança e as políticas contras ameaças internas estejam valendo, propriamente coordenadas e sendo utilizadas efetivamente? 

Em nossa experiência, o envolvimento de lideranças executivas é um fator crítico no sucesso do programa. Executivos devem estar ativamente envolvidos, defender o programa para estabelecer as condições para o sucesso. Políticas e orientações claras, educação e treinamento da força de trabalho e linhas distintas de autoridades e responsabilidades são elementos importantes para um bem-sucedido programa contras as ameaças internas. O programa também deve envolver uma ampla gama de stakeholders, incluindo Recursos Humanos, setor administrativo, jurídico, segurança física, segurança da informação e Tecnologia da Informação. 

Outra área chave para o sucesso é o conhecimento da força de trabalho. Um programa de treinamentos e de educação que efetivamente instrui todas as pessoas sobre o papel de cada um e de suas responsabilidades individuais permite que todos sejam parte da solução em identificar e defender-se de ameaças. Resumindo: segurança é um trabalho de todos. 

Comece agora 

Para mitigar ameaças internas, organizações precisam primeiro reconhecer que a ameaça existe. Depois precisa colocar em prática políticas, processos e tecnologias para evitar as brechas que dão acesso às ameaças internas, antes que elas se tornam um problema público. É tarde demais estabelecer medidas depois de um ataque. E defesas de perímetro são designadas para manter os caras maus fora da rede, não para proteger a informação dos que já possuem acesso de dentro da empresa. 

Cibersegurança e mitigação de ameaças internas apoiam-se mutuamente. Consequentemente, as empresas devem combinar esses programas de forma que encoraje a colaboração em direção a um objetivo comum de proteger os dados de valor crítico das ameaças internas e externas. Pense em focar o poder de sua organização em pequenos dados. Mais importante, saiba que você não pode resolver esse problema com uma peça de software ou ferramenta, isso requer um programa. 

O sucesso começa a partir do topo da organização. O programa deve ser defendido pelos líderes executivos, deve focar em uma capacidade de resposta simplificada e promover a educação e treinamentos aplicados. Isso determinará as condições de sua organização em confrontar as ameaças internas. 

Referências 

(i) CERT Program at Carnegie Mellon University, 2014 US State of Cybercrime Survey, Abril de 2014 

(ii) Center for Strategic and International Studies and McAfee, Net Losses: Estimating the Global Cost of Cybercrime, Junho de 2014 

(iii) Rebecca R. Ruiz, FCC Fines AT&T $25 Million for Privacy Breach, The New York Times, 8 de Abril de 2015 

(iv) Jeff Goldman, Insider Breach Exposes 14,000 UMass Memorial Patients’ Data, eSecurityPlanet, 4 de Fevereiro de 2015 

(v) Justin Baer, Morgan Stanley Fires Employee Over Client-Data Leak, The Wall Street Journal, 5 de Janeiro de 2015 

(vi) Federal Bureau of Investigation, Economic Espionage: Protecting American’s Trade Secrets 

(vii) David E. Sanger And Nicole Perlroth, 6 Chinese Men Indicted in Theft of Code From U.S. Tech Companies, The New York Times, 19 de Maio de 2015 

(viii) President Barack Obama, Executive Order 13587—Structural Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, 7 de Outubro de 2011 

Sobre o time Nuix para análise e inteligência de ameaças aos negócios 

O time da Nuix para análise e inteligência de ameaças aos negócios ajuda as organizações entenderem, deterem, detectarem, desmantelarem e responderem as ameaças surgidas a partir de brechas internas. Os especialistas do time Nuix já trabalhou com investigação e desenvolveu programas contra ameaças internas para grandes agências de governo dos Estados Unidos e corporações 

• Keith Lowry 

Keith possui mais de 25 anos de experiência em implementar, gerenciar e direcionar ameaças internas, contra-inteligência e programas de coleção de inteligência em organizações incluindo U.S. Food and Drug Administration, Office of the Director of National Intelligence, Office of the Under Secretary of Defense for Intelligence e o Departmento de Polícia de San Jose (California). 

• Keith Thomas 

Keith possui 25 anos de experiência em forense digital e de dispositivos móveis em forças da lei local, estadual e federal. Sua experiência inclui o trabalho como Agente Especial no Serviço de Investigação Criminal da Marinha dos EUA, promotorias estaduais e Departamento de Defesa. 

•  Chris Newsom 

Chris possui 15 anos de experiência em computação forense, resposta a incidentes e avaliação de ameaças internas, descoberta e mitigação para forças da lei e governo federal, incluindo U.S. Food and Drug Administration, e o Departamento de Computação Forense dos Estados Unidos. U.S. Department of Defense Computer Forensic Laboratory e o Departamento de Polícia de Baltimore. 

• Joe Hoofnagle 

Joe possui mais de 20 anos de experiêncua desenvolvendo e liderando grupos de ação contra ameaças internas, de computação forense, resposta a incidentes, eDiscovery e segurança da informação. Já trabalhou no U.S. Food and Drug Administration, Magellan Health Services e várias organizações da Fortune 10-1000. Joe também atuou como editor técnico d quarta edição do guia Shon Harris All-in-One CISSP. 

• Kevin Frank 

Com mais de 30 anos de experiência, Kevin trabalhou em escritórios militar e civil de inteligência, oferecendo inteligência operacional para decisores sênior nas áreas militar, Departamento de Estado dos Estados Unidos, parceiros estrangeiros, organizações internacionais e Agências de Inteligência de Defesa. 

Para saber mais sobre o programa contra ameaças internas da Nuix visite nuix.com/BTIAT 

SOBRE A NUIX 

A Nuix permite que as pessoas tomem decisões rápidas a partir de dados estruturados. A patenteada tecnologia Nuix Engine facilita o trabalho de lidar com e o enorme complexo conjunto de dados gerados na atualidade. Organizações ao redor do mundo migraram para o software Nuix quando decidiram por obter respostas rápidas e precisas em investigações digitais, sobre cirbersegurança, eDiscovery, governança da informação, migração de email, privacidade e mais.