As ameaças internas continuam sendo um dos problemas de segurança mais desafiadores que as organizações enfrentam atualmente. Estas ameaças normalmente não mostram sinais de alerta óbvios no início.
Em vez disso, revelam-se através de atividades pequenas e incomuns que muitas vezes se misturam às operações diárias normais.
Muitas empresas lutam para identificar esses indicadores iniciais porque eles ocorrem em contas de usuários legítimos e em sistemas aprovados.
Sem monitoramento e análise adequados, esses sinais de alerta passam despercebidos até que danos graves já tenham ocorrido, incluindo perda de dados, danos à marca ou interrupção do sistema.
O principal desafio na detecção de ameaças internas decorre de um problema fundamental de atribuição. Quando um funcionário acessa os sistemas da empresa ou move dados entre locais autorizados, suas ações parecem completamente normais.
As ferramentas de segurança tradicionais concentram-se no bloqueio de ameaças óbvias, mas frequentemente ignoram os padrões sutis de comportamento que sugerem intenções maliciosas.
Esta lacuna torna-se ainda maior quando as organizações não conseguem ligar o que acontece dentro da sua rede com atividades que ocorrem fora, como a comunicação dos funcionários em fóruns da dark web ou a venda de segredos da empresa aos concorrentes.
Os analistas de segurança da Nisos observaram que indicadores significativos de ameaças internas geralmente surgem semanas ou até meses antes de ocorrer qualquer roubo real de dados ou comprometimento do sistema.
Estes indicadores tornam-se mais claros quando as organizações examinam múltiplas fontes de dados em conjunto, combinando registos de atividades internas com inteligência externa recolhida de fontes públicas.
Sinais de alerta
A pesquisa identifica seis sinais de alerta críticos que as equipes de segurança devem compreender e monitorar cuidadosamente.
Aqui eles são mencionados abaixo: –
Autenticação incomum e comportamento de acesso Movimentação de dados fora das normas estabelecidas Mudanças no comportamento digital que indicam interesse em ativos sensíveis Indicadores que sugerem exfiltração de dados Planejamento de atividade externa que se alinha com anomalias internas Tentativas de ocultar atividade
O indicador inicial mais revelador aparece no comportamento incomum de autenticação e acesso. Os investigadores da Nisos identificaram que os funcionários que planeiam roubar dados tentam frequentemente aceder aos sistemas da empresa a partir de locais inesperados, iniciar sessão rapidamente em múltiplas plataformas ou alterar os seus padrões normais de tempo de acesso.
Um usuário pode fazer login repentinamente em três países diferentes em poucas horas ou acessar arquivos em horários incomuns, fora de seu horário de trabalho normal.
Embora um único login estranho possa refletir viagens de negócios normais, padrões repetidos desse comportamento sinalizam que uma investigação mais profunda é necessária.
Estas ações muitas vezes precedem atividades maiores de recolha de dados porque os insiders precisam testar se conseguem mover-se através dos sistemas sem acionar alertas automáticos.
Compreender estas anomalias de autenticação requer contexto e correlação com outras atividades. As organizações que se concentram exclusivamente nestes incidentes individuais muitas vezes ignoram o padrão mais amplo.
Quando as empresas combinam padrões de acesso incomuns com informações sobre funcionários que discutem sua empresa on-line ou aparecem em bancos de dados de violações, surge uma imagem muito mais clara.
Essa abordagem integrada transforma eventos isolados em indicadores de ameaças significativos sobre os quais as equipes de segurança podem agir antes que ocorram danos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
