As ciberameaças internas estão aumentando. De acordo com um relatório do Ponemon Institute, o número de incidentes de segurança cibernética liderados por pessoas de dentro das empresas aumentou em 44% entre 2020 e 2022. Enquanto isso, o custo médio das ocorrências subiu para US$ 648 mil em incidentes maliciosos e US$ 485 mil em ameaças internas não maliciosas. Somente no ano passado, as invasões conduzidas por “insiders” aumentaram e estão custando caro para as organizações, uma média de US$16,2 milhões por ano.
Uma ameaça interna é definida pelo potencial que um indivíduo tem de usar seu acesso para afetar negativamente a confidencialidade e a integridade dos dados ou dos sistemas de tecnologia da informação (TI) de uma organização. Isso inclui ameaças mal-intencionadas, em que um funcionário ou prestador de serviços usa seu acesso para agir contra os interesses da entidade, e ameaças involuntárias, em que alguém tem permissão para usar recursos de segurança como parte de suas funções, mas não segue os padrões de procedimentos que reduziriam os riscos.
Devido aos altos custos e o crescimento dessas ameaças, é imprescindível que as organizações conheçam os riscos e saibam como se defender. Embora as atividades internas possam ser difíceis de detectar, nem tudo está perdido. A análise de casos elaborada pela CrowdStrike mostra que muitas das ações defensivas usadas para detectar e minimizar intrusões de adversários também são eficazes para impedir ameaças internas.
Problema #1: Escalonamento de acesso privilegiado
As equipes Counter Adversary Operations e Falcon Complete da CrowdStrike têm observado ameaças internas nas redes que protegemos há anos. Para ter uma ideia de como elas funcionam, analisamos incidentes de janeiro de 2021 a abril de 2023 e descobrimos que vários usuários internos atingiram seus objetivos explorando vulnerabilidades conhecidas.
Mais da metade dos insiders (55%) causaram riscos ao aumentar seus privilégios de acesso em seus computadores ou na rede. Os insiders buscaram credenciais privilegiadas para fazer download de software não autorizado, remover evidências forenses ou solucionar problemas em sistemas de TI. Ao tentar aumentar seus acessos, esses usuários colocaram as organizações em risco, intencionalmente ou não.
Esses incidentes não se baseiam em um conhecimento oculto, tido apenas por alguns. Na verdade, os insiders usaram seis vulnerabilidades bem conhecidas que têm código de exploit disponível publicamente no GitHub e estão incluídas em um catálogo público da CISA (Cybersecurity and Infrastructure Security Agency) dos Estados Unidos.
Às vezes, os usuários exploram essas vulnerabilidades para fins legítimos. Em um dos casos, um usuário interno usou o WhatsApp para fazer o download de um exploit para aumentar seus privilégios de acesso e instalar um aplicativo de compartilhamento de arquivos uTorrent, bem como jogos não autorizados.
Em outros casos, o uso é obviamente malicioso. Por exemplo, no final de julho de 2022, observamos que um ex-funcionário demitido de uma entidade de mídia sediada nos EUA, tentou explorar uma vulnerabilidade por meio do sistema operacional Windows para realizar atividades não autorizadas.
Problema #2: Download de exploits e ferramentas de segurança
Entre os incidentes de ameaças internas que encontramos, 45% envolviam funcionários que, sem querer, fizeram download não autorizado de exploits ou de outras ferramentas de segurança para fins de teste ou treinamento e trouxeram riscos para a organização.
Nesses incidentes, testar exploits e ferramentas arriscadas pode ter sido parte do trabalho desses insiders, mas eles não seguiram as diretrizes de procedimento seguras. Por exemplo, em fevereiro de 2023, um usuário interno de uma organização de tecnologia sediada nos EUA tentou fazer download de um exploit para um teste de vulnerabilidade por meio do escalonamento de acessos privilegiados do Windows kernel, mas usou seu computador corporativo ao invés do sistema de teste aprovado (uma máquina virtual separada).
Mal-intencionadas ou não, essas atividades colocam as organizações em risco. O teste de exploits em sistemas não autorizados pode interromper as operações por meio de falhas no sistema ou outras ações negativas. Eles também criam pontos frágeis: um adversário que já tenha um ponto de acesso na rede pode encontrar essas falhas ou ferramentas e usá-las para apoiar suas atividades ilícitas. Por fim, o download e o gerenciamento inadequado deste código podem introduzir backdoors facilitando a invasão dos adversários.
Em nossa análise, vimos vários incidentes envolvendo a instalação não autorizada da estrutura do Metasploit por usuários privilegiados no sistema. Essa é uma estrutura de teste de penetração bem conhecida, que é frequentemente usada pelas equipes de segurança. Porém, ela também pode fornecer aos invasores um mecanismo acessível para realizar atividades de pré e pós-exploração.
Soluções para gerenciar ameaças internas
A principal iniciativa que toda organização deve considerar é investir em treinamento de conscientização e compliance para os funcionários. Instruir os funcionários a identificar um possível insider que está colocando a empresa em risco é um primeiro passo fundamental para a segurança cibernética da organização . A maioria das equipes de segurança tem protocolos que devem ser seguidos para o uso seguro de ferramentas, portanto, é importante conhecer e seguir estes procedimentos, além de alertar a gerência em caso de abuso ou mau uso dessas ferramentas.
As empresas precisam entender e aplicar o princípio do menor privilégio (POLP em inglês). De acordo com esse princípio, os usuários e os processos devem receber apenas as permissões mínimas necessárias para realizar suas tarefas. O POLP é uma das práticas mais eficazes para fortalecer a segurança cibernética de uma organização e permite que elas controlem e monitorem o acesso à rede e aos dados. A aplicação da POLP ajudará a resolver os problemas de escalonamento de privilégios.
Além disso, muitas das vulnerabilidades que vimos os insiders usarem têm exploits que estão disponíveis publicamente no GitHub. Portanto, restringir ou monitorar o download de exploits do GitHub e de outros repositórios de código on-line ajudaria a mitigar essas ameaças.
Muitas das vulnerabilidades descritas neste artigo também foram exploradas por adversários de intrusão direcionada e de crimes eletrônicos. Como resultado, a maioria das medidas de proteção comuns que os defensores da rede já usam para detectar e evitar ataques também se tornam úteis para combater as ameaças internas.
Os insiders usaram muitas vulnerabilidades antigas, algumas divulgadas em 2015, o que ressalta o fato de que as vulnerabilidades podem continuar sendo usadas por todos os invasores (internos ou externos) até que a empresa as corrija ou mitigue. Garantir que a correção de vulnerabilidade seja feita em tempo hábil para proteger a rede e todos os dispositivos conectados a ela é fundamental. No entanto, apenas fazer correções não é insuficiente para lidar com as possíveis ameaças. É por isso que as organizações precisam aderir a várias camadas de defesa. A implementação da arquitetura Zero Trust e dos serviços de proteção de identidade impede o acesso não autorizado a sistemas e redes. Além disso, analisar o comportamento do usuário é uma técnica importante que as organizações podem usar para detectar um adversário usando credenciais roubadas ou para identificar atividades suspeitas de um insider.
A análise de comportamento começa com a criação de uma base de referência de comportamentos normais para cada usuário, com base em dados históricos, para que seja possível identificar irregularidades suspeitas e impedi-las antes que causem danos para a organização.
Por fim, há incontáveis benefícios na implementação da caça à ameaças nos programas de segurança cibernética. Simplesmente esperar por um alerta de ameaça não é suficiente; as organizações precisam procurar proativamente comportamentos incomuns, utilizando as ferramentas e técnicas destacadas acima para identificar possíveis riscos internos.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
