A frequência e os impactos financeiros das ameaças internas aumentaram dramaticamente nos últimos dois anos.
Em um relatório recente do Ponemon Institute , o custo médio geral de ameaças internas por incidente aumentou 31%, de US $ 8,76 milhões em 2018 para US $ 11,45 milhões em 2020. Além disso, o número de incidentes aumentou espantosos 47% em apenas dois anos, de 3.200 em 2018 para 4.716 em 2020.
A violação promovida através de ataques internos traz à tona um desafio de segurança pouco discutido: desenvolvedores que escrevem código vulnerável ou malicioso que pode ser explorado posteriormente. Esse é um problema real, e que deve ser priorizado em 2021.
Separamos seis etapas que as empresas podem realizar para evitar ameaças internas.
1. Mude sua mentalidade em relação ao seu cenário de ameaças
A maioria das empresas concentra-se exclusivamente em ameaças externas e considera seu próprio pessoal confiável. Como resultado, as ameaças internas são frequentemente ameaças de segurança cibernética mal abordadas dentro das organizações.
No momento atual é evidente que as organizações precisam mudar essa mentalidade. Os CISOs (chief information security officer) devem assumir funções de liderança em suas empresas para evitar ameaças externas e internas à segurança cibernética.
2. Empregue modelagem de ameaças
Adote a modelagem de ameaças em maior escala para determinar o cenário de riscos da sua organização. É essencial identificar quem deseja atacar seus sistemas e onde estão os ativos para compreender os vetores de ataque em potencial e habilitar os controles de segurança apropriados.
A modelagem de ameaças deve estudar os riscos potenciais de vulnerabilidades e códigos maliciosos, pois o dano de qualquer um deles pode custar milhões à organização. Conduzir um tipo de modelagem de ameaça sem o outro pode configurar sua organização com uma falsa sensação de segurança.
3. Mapeie a exposição potencial a ameaças internas
A detecção de uma ameaça é muito diferente do teste tradicional, revisão de código ou outras técnicas de detecção de vulnerabilidade. Para identificar possíveis problemas semelhantes, é necessário que os CISOs olhem para o software de uma maneira diferente.
Os CISOs também devem conduzir uma análise da equipe interna de sua organização e mapear a exposição de cada indivíduo às áreas que podem sucumbir à atividade de código malicioso.
Lidar com um problema identificado de ameaça interna não é tão simples quanto voltar aos desenvolvedores e pedir-lhes uma correção, porque esses mesmos funcionários ou fornecedores podem ser os adversários.
4. Implemente um programa de governança de detecção de ameaças internas proativo e contínuo
Para implementar um programa de governança de detecção de ameaças proativo e contínuo, primeiro você terá que obter a adesão de sua equipe de liderança. Certifique-se de informar consistentemente os executivos sobre o escopo de seus compromissos de revisão de código malicioso.
Afinal, a revisão do código malicioso determina que você, teoricamente, veja aqueles dentro de suas operações – que têm acesso privilegiado – como ameaças. Embora seja difícil encontrar código malicioso e a probabilidade seja pequena, o risco de ameaça interna está aumentando.
Na verdade, a Forrester Research previu que 33% das violações de dados serão causadas por incidentes internos em 2021.
É importante ressaltar que todos os esforços de revisão de código malicioso devem ser feitos em sigilo e envolver apenas pequenas equipes de pessoas em quem você confia completamente.
Tem que ser uma operação secreta, onde você não notifica ou dá conhecimento às partes interessadas na cadeia de suprimentos de software. Eles nunca devem estar cientes de que você está implementando um processo para examinar seu trabalho com a intenção de identificar um código que pareça suspeito e possivelmente malicioso.
5. Defina cenários de risco e etapas de escalonamento
Assim que o seu regime de revisão de código malicioso estiver em andamento e a atividade suspeita for detectada, considere as seguintes etapas de escalonamento para reduzir o risco.
● Suspeito, mas não malicioso
Se você encontrar algo que pareça suspeito ou malicioso, mas que não possa ser explorado – pode até ter sido deixado por engano – você pode optar por não fazer nada.
● Círculo de convite de confiança
Se você encontrar algo que parece suspeito, mas não consegue confirmar se é malicioso, pode ser necessário chamar reforços para verificar ou negar sua suspeita. Nesta etapa de escalonamento, o CISO formaria um relacionamento com um desenvolvedor interno ou externo e traria essa pessoa para o círculo de confiança.
● Monitoramento passivo
A escolha de uma postura de monitoramento pode ser outra etapa de escalonamento quando você encontrar algo suspeito. Essa postura permite o registro adicional na produção ou proteção adicional da camada de dados que o alerta quando alguém tenta explorar uma linha de código suspeita.
● Supressão ativa
O próximo nível de escalonamento é quando você encontra código suspeito ou malicioso e trabalha para suprimi-lo. Durante esta etapa, você escreve ativamente uma regra no firewall. Em seguida, você constrói uma função de compensação ou faz algum tipo de injeção ou combinação de dependência para impedir ativamente a execução do código suspeito.
● Início de um evento executivo
Quando você encontra um código malicioso e identifica sua origem – seja um único insider, equipe, departamento, linha de negócios ou mesmo país – sua etapa de escalonamento não tem nada a ver com o desenvolvimento de software.
Em vez disso, tem tudo a ver com a proteção de sua organização, envolvendo sua liderança e executando um grave evento de nível executivo. Isso pode incluir rescisões de funcionários ou contratados envolvidos. Pode até envolver a aplicação da lei.
6. Promova soluções holísticas para proteção de longo prazo
O setor de segurança ainda não possui uma solução completa para examinar de forma holística os ataques à cadeia de suprimentos . No longo prazo, precisamos examinar como abordar a avaliação e aceitação de risco de serviços de terceiros.
Isso pode vir na forma de mudanças nos requisitos de conformidade em torno de menos privilégios, auditoria e verificações de integridade.
No entanto, com o aumento contínuo das ameaças internas e o crescente tributo que elas estão cobrando em termos de perda financeira e de reputação – bem como possíveis ameaças à segurança das pessoas – é essencial que as organizações tomem medidas imediatas.
É fundamental que os CISOs assumam um papel de liderança nessa batalha.
Entre em contato agora mesmo com os especialistas da Conversys e conheça as soluções de segurança, gerenciamento de redes e conectividade. Estamos à disposição para ajudar a vencer os novos desafios de segurança e proteção de dados.
Sobre a Conversys
A Conversys IT Solutions é uma provedora de serviços e soluções de Tecnologia da Informação e Comunicação com atuação em todo o Brasil.
Com uma equipe técnica e comercial altamente qualificada e uma rede de parceiros que incluem os principais fabricantes globais de tecnologia, a Conversys IT Solutions está apta a entregar aos clientes soluções customizadas de Infraestrutura de TI e Telecom.
Investimos em nossos colaboradores e parceiros e primamos por uma relação duradoura com os nossos clientes, pois acreditamos que desta forma conquistamos competências e conhecimentos necessários para inovar e gerar valor aos negócios em que atuamos.