O que é uma Ameaça Interna?
Explore como defender sua organização contra atividades internas, incluindo usuários com acesso autorizado que possam, intencionalmente ou não, causar um incidente de segurança de dados.
Ameaça interna definida
Antes de os internos se tornarem uma ameaça, eles são um risco, que é definido como o potencial de uma pessoa usar o acesso autorizado aos ativos da organização – de forma maliciosa ou não intencional – de uma forma que afete negativamente a organização. O acesso inclui acesso físico e virtual, e os ativos incluem informações, processos, sistemas e instalações.
O que é um interno?
Um interno é um indivíduo de confiança que recebeu acesso ou tem conhecimento de quaisquer recursos, dados ou sistemas da empresa que geralmente não estão disponíveis ao público, incluindo:
- Pessoas que possuem um crachá ou outro dispositivo que lhes permita acessar continuamente a propriedade física da empresa, como um data center ou sede corporativa.
- Pessoas que possuem um computador da empresa com acesso à rede.
- Pessoas que têm acesso à rede corporativa, recursos de nuvem, aplicativos ou dados de uma empresa.
- Pessoas que têm conhecimento sobre a estratégia de uma empresa e suas finanças.
- Pessoas que constroem os produtos ou serviços da empresa.
Tipos de ameaças internas
Os riscos internos são mais difíceis de detectar do que as ameaças externas porque os internos já têm acesso aos ativos de uma organização e estão familiarizados com as suas medidas de segurança. Conhecer os tipos de riscos internos ajuda as organizações a proteger melhor os ativos valiosos.
-
Acidente
Às vezes, as pessoas cometem erros que podem levar a possíveis incidentes de segurança. Por exemplo, um parceiro de negócios envia um documento com dados de clientes a um colega, sem perceber que não está autorizado a exibir essas informações. Ou um funcionário responde a uma campanha de phishing e inadvertidamente instala malware.
-
Malicioso
Em um incidente de segurança malicioso causado por alguém interno, um funcionário ou pessoa de confiança faz intencionalmente algo que sabe que afetará negativamente a empresa. Esses indivíduos podem ser motivados por queixas pessoais ou outras razões pessoais e podem procurar ganhos financeiros ou pessoais através das suas ações.
-
Negligência
A negligência é semelhante a um acidente, pois a pessoa não teve a intenção de causar um incidente de segurança de dados. A diferença é que eles podem violar conscientemente uma política de segurança. Um exemplo comum é quando um funcionário permite que alguém entre em um prédio sem mostrar crachá. Um equivalente digital seria substituir uma política de segurança sem uma consideração cuidadosa em prol da velocidade e conveniência ou do acesso aos recursos da empresa através de uma conexão sem fio não segura.
-
Conluio
Alguns incidentes de segurança internos são o resultado da colaboração de uma pessoa de confiança com uma organização cibercriminosa para cometer espionagem ou roubo. Esse é outro tipo de risco interno malicioso.
Como ocorrem os incidentes internos maliciosos?
Incidentes maliciosos causados por pessoas internas podem ocorrer de diversas maneiras, além de um típico ataque cibernético. Aqui estão algumas maneiras comuns pelas quais pessoas internas podem causar incidentes de segurança:
-
Violência
Internos podem usar violência ou ameaça de violência para intimidar outros funcionários ou expressar descontentamento em uma organização. A violência pode assumir a forma de abuso verbal, assédio sexual, intimidação, agressão ou outras ações ameaçadoras.
-
Espionagem
Espionagem refere-se à prática de roubar segredos comerciais, informações confidenciais ou propriedade intelectual pertencente a uma organização com o objetivo de fornecer vantagem a um concorrente ou outra parte. Por exemplo, uma organização pode ser infiltrada por um infiltrado mal-intencionado que recolhe informações financeiras ou planos de produtos para obter uma vantagem competitiva no mercado.
-
Sabotar
Um interno pode estar insatisfeito com uma organização e sentir-se motivado a prejudicar a propriedade física, os dados ou os sistemas digitais da organização. A sabotagem pode ocorrer de diversas maneiras, como vandalização de equipamentos ou comprometimento de informações confidenciais.
-
Fraude
Internos podem cometer atividades fraudulentas para ganho pessoal. Por exemplo, um insider mal-intencionado pode usar o cartão de crédito de uma empresa para uso pessoal ou enviar declarações de despesas falsas ou inflacionadas.
-
Roubo
Internos podem roubar ativos, dados confidenciais ou propriedade intelectual de uma organização para ganho pessoal. Por exemplo, um funcionário que está saindo motivado por ganhos pessoais pode exfiltrar informações confidenciais para seu futuro empregador, ou um prestador de serviços contratado por uma organização para executar tarefas específicas pode roubar dados confidenciais para seu próprio benefício.
-
Sete indicadores de risco interno
Tanto os seres humanos como a tecnologia desempenham um papel na detecção de riscos internos. A chave é estabelecer uma linha de base para o que é normal, para que seja mais fácil identificar atividades incomuns.
-
Alterações de atividade do usuário
Colegas de trabalho, gestores e parceiros podem estar na melhor posição para saber se alguém se tornou um risco para a organização. Por exemplo, um interno arriscado que está motivado para causar um incidente de segurança de dados pode ter mudanças repentinas de atitude observáveis como um sinal incomum.
-
Exfiltração dos dados anômala
Os funcionários frequentemente acessam e compartilham dados confidenciais no trabalho. No entanto, quando um usuário compartilha ou baixa repentinamente um volume incomum de dados confidenciais em comparação com suas atividades anteriores ou colegas em uma função semelhante, isso pode indicar um possível incidente de segurança de dados.
-
Uma sequência de atividades de risco relacionadas
Uma única ação do usuário, como baixar dados confidenciais, pode não ser um risco potencial por si só, mas uma série de ações pode indicar riscos potenciais à segurança dos dados. Por exemplo, suponha que um usuário renomeou arquivos confidenciais para parecerem menos confidenciais, baixou-os do armazenamento em nuvem, salvou-os em um dispositivo portátil e os excluiu do armazenamento em nuvem. Nesse caso, isso poderia sugerir que o usuário estava potencialmente tentando exfiltrar dados confidenciais enquanto evitava a detecção.
-
Exfiltração dos dados de funcionários que estão saindo
A exfiltração dos dados geralmente aumenta junto com as demissões e pode ser intencional ou não. Um incidente não intencional pode parecer um funcionário que está saindo copiando inadvertidamente dados confidenciais para manter um registro de suas realizações em sua função, enquanto um incidente malicioso pode parecer um download intencional de dados confidenciais para ganho pessoal ou para ajudá-los em sua próxima posição. Quando os eventos de demissão coincidem com outras atividades incomuns, isso pode indicar um incidente de segurança de dados.
-
Acesso anormal ao sistema
Os potenciais riscos internos podem começar com o acesso dos usuários a recursos de que normalmente não necessitam para o seu trabalho. Por exemplo, os usuários que normalmente só acedem a sistemas relacionados com marketing começam subitamente a acessar a sistemas financeiros várias vezes ao dia.
-
Intimidação e assédio
Um dos primeiros sinais de riscos internos pode ser um usuário expressar uma comunicação ameaçadora, de assédio ou discriminatória. Não só causa danos à cultura de uma empresa, mas também pode levar a outros incidentes potenciais.
-
Elevação de privilégio
As organizações geralmente protegem e controlam recursos valiosos atribuindo acesso e funções privilegiadas a pessoal limitado. Se um funcionário tentar aumentar os seus privilégios sem uma justificação comercial clara, isso pode ser um sinal de potencial risco interno.
-
Exemplos de ameaças internas
Incidentes de ameaças internas, como roubo de dados, espionagem ou sabotagem, aconteceram em organizações de todos os tamanhos ao longo dos anos. Alguns exemplos são:
- Roubar segredos comerciais e vendê-los para outra empresa.
- Invadir a infraestrutura em nuvem de uma empresa e excluir milhares de contas de clientes.
- Usando segredos comerciais para iniciar uma nova empresa.
Importância do gerenciamento de risco interno holístico
Um programa de gerenciamento de risco interno holístico que priorize as relações entre funcionários e empregadores e integre controles de privacidade pode reduzir o número de possíveis incidentes de segurança interna e levar a uma detecção mais rápida. Um estudo recente conduzido pela Microsoft descobriu que as empresas com um programa de gerenciamento de risco interno holístico tinham 33% mais probabilidade de ter uma detecção rápida de risco interno e 16% mais probabilidade de ter uma correção rápida do que as empresas com uma abordagem mais fragmentada.1
Como se proteger contra ameaças internas
As organizações podem abordar o risco interno de uma forma holística, concentrando-se em processos, pessoas, ferramentas e educação. Use as seguintes práticas recomendadas para desenvolver um programa de gerenciamento de riscos internos que construa a confiança dos funcionários e ajude a fortalecer sua segurança:
-
Priorizar a confiança e a privacidade dos funcionários
Construir confiança entre os funcionários começa com a priorização de sua privacidade. Para promover uma sensação de conforto com o seu programa de gerenciamento de riscos internos, considere implementar um processo de aprovação multinível para iniciar investigações internas. Além disso, é importante auditar as atividades daqueles que conduzem as investigações para garantir que não ultrapassem os seus limites. A implementação de controles de acesso baseados em funções para limitar quem dentro da equipe de segurança pode acessar os dados de investigação também pode ajudar a manter a privacidade. O anonimato dos nomes de usuário durante as investigações pode proteger ainda mais a privacidade dos funcionários. Por fim, considere excluir sinalizações de usuários após um determinado período de tempo se a investigação não prosseguir.
-
Usar impedimentos positivos
Embora muitos programas de risco interno dependam de dissuasões negativas, tais como políticas e ferramentas que restringem as atividades arriscadas dos funcionários, é crucial equilibrar estas medidas com uma abordagem preventiva. Dissuasores positivos, como eventos de moral dos funcionários, integração completa, treinamento e educação contínuos em segurança de dados, comentários ascendentes e programas de equilíbrio entre vida pessoal e profissional podem ajudar a mitigar a probabilidade de eventos internos. Ao envolver os colaboradores de uma forma produtiva e proativa, os dissuasores positivos abordam a fonte do risco e promovem uma cultura de segurança dentro da organização.
-
Obter adesão de toda a empresa
As equipes de TI e de segurança podem ser as principais responsáveis pelo gerenciamento do risco interno, mas é essencial envolver toda a empresa nesse esforço. Departamentos como recursos humanos, conformidade e jurídico desempenham um papel fundamental na definição de políticas, na comunicação com as partes interessadas e na tomada de decisões durante uma investigação. Para desenvolver um programa de gerenciamento de risco interno mais abrangente e eficaz, as organizações devem procurar a adesão e o envolvimento de todas as áreas da empresa.
-
Usar soluções de segurança integradas e abrangentes
Proteger eficazmente a sua organização contra riscos internos exige mais do que apenas implementar as melhores ferramentas de segurança; exige soluções integradas que proporcionem visibilidade e proteção em toda a empresa. Quando as soluções de segurança de dados, gerenciamento de identidade e acesso, XDR (detecção e resposta estendida) e SIEM (gerenciamento de eventos e informações de segurança) são integradas, as equipes de segurança podem detectar e prevenir com eficiência incidentes internos.
-
Implementar treinamento efetivo
Os funcionários desempenham um papel crucial na prevenção de incidentes de segurança, tornando-os a primeira linha de defesa. Proteger os ativos da sua empresa exige a conquista da adesão dos funcionários, o que, por sua vez, aumenta a segurança geral da organização. Um dos métodos mais eficazes para criar esta adesão é através da educação dos funcionários. Ao educar os funcionários, você pode reduzir o número de eventos internos inadvertidos. É importante explicar como eventos internos podem impactar tanto a empresa quanto seus colaboradores. Além disso, é crucial comunicar políticas de proteção de dados e ensinar aos funcionários como evitar possíveis vazamentos de dados.
-
Usar aprendizado de máquina e IA
Os riscos de segurança no local de trabalho moderno de hoje são dinâmicos, com vários fatores em constante mudança que podem dificultar a sua detecção e resposta. No entanto, usando a aprendizado de máquina e a IA, as organizações podem detetar e mitigar riscos internos à velocidade da máquina, permitindo uma segurança adaptativa e centrada nas pessoas. Essa tecnologia avançada ajuda as organizações a entender como os usuários interagem com os dados, calcular e atribuir níveis de risco e adaptar automaticamente os controles de segurança apropriados. Com essas ferramentas, as organizações podem agilizar o processo de identificação de riscos potenciais e priorizar os seus recursos limitados na abordagem de atividades internas de alto risco. Isso economiza um tempo valioso das equipes de segurança e, ao mesmo tempo, garante melhor segurança dos dados.
Soluções de gerenciamento de risco interno
A defesa contra ameaças internas pode ser um desafio, pois é natural confiar naqueles que trabalham para e com a organização. Identificar rapidamente os riscos internos mais críticos e priorizar recursos para investigá-los e mitigá-los é crucial para reduzir o impacto de possíveis incidentes e violações. Felizmente, muitas ferramentas de segurança cibernética que previnem ameaças externas também podem identificar ameaças internas.
O Microsoft Purview oferece proteção de informações, gerenciamento de riscos internos e recursos de prevenção contra perda de dados (DLP) para ajudar você a ganhar visibilidade dos dados, detectar riscos internos críticos que podem levar a possíveis incidentes de segurança de dados e evitar a perda de dados de forma eficaz.
O Microsoft Entra ID ajuda você a gerenciar quem pode acessar o quê e poderá emitir um alerta se a atividade de login e acesso de alguém for arriscada.
O Microsoft Defender 365 é uma solução XDR que ajuda a proteger suas nuvens, aplicativos, pontos de extremidade e emails contra atividades não autorizadas. Organizações governamentais, como a Agência de Segurança Cibernética e de Infraestrutura, também fornecem orientação para o desenvolvimento de um programa de gerenciamento de ameaças internas.
Ao adotar estas ferramentas e usar orientação especializada, as organizações podem gerir melhor os riscos internos e proteger os seus ativos críticos.
Saiba mais sobre a Segurança da Microsoft
Microsoft Purview
Obtenha soluções de governança, proteção e conformidade para os dados da sua organização.
Gerenciamento de Risco Interno do Microsoft Purview
Detecte e reduza riscos internos com modelos de machine learning prontos para uso.
Proteção Adaptativa no Microsoft Purview
Proteja os dados com uma abordagem inteligente e centrada nas pessoas.
Construindo um programa holístico de gerenciamento de risco interno
Conheça cinco elementos que ajudam as empresas a ter uma segurança de dados mais forte e, ao mesmo tempo, proteger a confiança do usuário.
Prevenção Contra Perda de Dados do Microsoft Purview
Evite o compartilhamento, a transferência ou o uso não autorizado de dados entre aplicativos, dispositivos e ambientes locais.
Conformidade de Comunicações do Microsoft Purview
Cumpra as obrigações de conformidade regulatória e resolva possíveis violações de conduta comercial.
Proteção contra Ameaças da Microsoft
Proteja dispositivos, aplicativos, emails, identidades, dados e cargas de trabalho na nuvem com proteção unificada contra ameaças.
Microsoft Entra ID
Proteja o acesso a recursos e dados usando uma autenticação forte e políticas de acesso adaptativas baseadas em riscos.
Perguntas frequentes
-
Há quatro tipos de ameaças internas. Uma ameaça interna acidental é o risco de alguém que trabalha para ou com uma empresa cometer um erro que potencialmente comprometa a organização ou seus dados ou pessoas. Um risco interno negligente ocorre quando alguém viola conscientemente uma política de segurança, mas não tem a intenção de causar danos. Uma ameaça maliciosa ocorre quando alguém rouba dados intencionalmente, sabota a organização ou se comporta de forma violenta. Outra forma de ameaça maliciosa é o conluio, que ocorre quando um membro interno colabora com alguém de fora da organização para causar danos.
-
O gerenciamento de riscos internos é importante porque estes tipos de incidentes podem causar grandes danos a uma organização e ao seu pessoal. Com as políticas e soluções corretas em vigor, as organizações podem antecipar-se a potenciais ameaças internas e proteger os ativos valiosos da organização.
-
Existem vários sinais possíveis de um risco interno, incluindo mudanças repentinas nas atividades do usuário, uma sequência conectada de atividades arriscadas, tentativa de acessar recursos não necessários para seu trabalho, tentativa de aumentar privilégios, exfiltração anômala de dados, exfiltração de dados de funcionários que estão saindo e intimidação. ou assédio.
-
Prevenir eventos internos pode ser complicado porque atividades arriscadas que podem levar a incidentes de segurança são realizadas por pessoas de confiança que têm relacionamentos na organização e acesso autorizado. Um programa holístico de gerenciamento de riscos internos que priorize as relações entre funcionários e empregadores e integre controles de privacidade pode reduzir o número de incidentes de segurança internos e levar a uma detecção mais rápida. Além dos controles de privacidade e do foco no moral dos trabalhadores, o treinamento regular, a adesão de toda a empresa e as ferramentas de segurança integradas podem ajudar a reduzir o risco.
-
Uma ameaça interna maliciosa é a possibilidade de uma pessoa de confiança prejudicar deliberadamente a organização e as pessoas que nela trabalham. Isso é diferente dos riscos internos não intencionais que ocorrem quando alguém compromete acidentalmente a empresa ou quebra uma regra de segurança, mas não significa nenhum dano à empresa.
Siga a Segurança da Microsoft