As ciberameaças internas estão a aumentar. De acordo com um relatório do Ponemon Institute, o número de incidentes de segurança cibernética liderados por pessoas de dentro das empresas aumentou em 44% entre 2020 e 2022. Enquanto isso, o custo médio das ocorrências subiu para USD 648 mil em incidentes maliciosos e USD 485 mil em ameaças internas não maliciosas. Somente no ano passado, as invasões conduzidas por “insiders” aumentaram e estão a custar caro para as organizações, uma média de USD16,2 milhões por ano.
Uma ameaça interna é definida pelo potencial que um indivíduo tem de usar o seu acesso para afetar negativamente a confidencialidade e a integridade dos dados ou dos sistemas de tecnologia da informação (TI) de uma organização. Isso inclui ameaças mal-intencionadas, em que um funcionário ou prestador de serviços usa o seu acesso para agir contra os interesses da entidade, e ameaças involuntárias, em que alguém tem permissão para usar recursos de segurança como parte das suas funções, mas não segue os padrões de procedimentos que reduziriam os riscos.
Devido aos altos custos e o crescimento dessas ameaças, é imprescindível que as organizações conheçam os riscos e saibam como se defender. Embora as atividades internas possam ser difíceis de detetar, nem tudo está perdido. A análise de casos elaborada pela CrowdStrike mostra que muitas das ações defensivas usadas para detetar e minimizar intrusões de adversários também são eficazes para impedir ameaças internas.
Problema #1: Escalonamento de acesso privilegiado
As equipas Counter Adversary Operations e Falcon Complete da CrowdStrike têm observado ameaças internas nas redes que protegemos há anos. Para ter uma ideia de como elas funcionam, analisaram-se os incidentes de janeiro de 2021 a abril de 2023 e descobriu-se que vários usuários internos atingiram os seus objetivos explorando vulnerabilidades conhecidas.
Mais da metade dos insiders (55%) causaram riscos ao aumentar os seus privilégios de acesso nos seus computadores ou na rede. Os insiders buscaram credenciais privilegiadas para fazer download de software não autorizado, remover evidências forenses ou solucionar problemas em sistemas de TI. Ao tentar aumentar os seus acessos, esses usuários colocaram as organizações em risco, intencionalmente ou não.
Esses incidentes não se baseiam num conhecimento oculto, tido apenas por alguns. Na verdade, os insiders usaram seis vulnerabilidades bem conhecidas que têm código de exploit disponível publicamente no GitHub e estão incluídas num catálogo público da CISA (Cybersecurity and Infrastructure Security Agency) dos Estados Unidos.
Às vezes, os usuários exploram essas vulnerabilidades para fins legítimos. Em um dos casos, um usuário interno usou o WhatsApp para fazer o download de um exploit para aumentar os seus privilégios de acesso e instalar um aplicativo de partilha de arquivos uTorrent, bem como jogos não autorizados.
Em outros casos, o uso é obviamente malicioso. Por exemplo, no final de julho de 2022, observou-se que um ex-funcionário demitido de uma entidade de mídia sediada nos EUA, tentou explorar uma vulnerabilidade por meio do sistema operacional Windows para realizar atividades não autorizadas.
Problema #2: Download de exploits e ferramentas de segurança
Entre os incidentes de ameaças internas que encontramos, 45% envolviam funcionários que, sem querer, fizeram download não autorizado de exploits ou de outras ferramentas de segurança para fins de teste, ou treinamento e trouxeram riscos para a organização.
Nesses incidentes, testar exploits e ferramentas arriscadas pode ter sido parte do trabalho desses insiders, mas eles não seguiram as diretrizes de procedimento seguras. Por exemplo, em fevereiro de 2023, um usuário interno de uma organização de tecnologia sediada nos EUA tentou fazer download de um exploit para um teste de vulnerabilidade por meio do escalonamento de acessos privilegiados do Windows kernel, mas usou o seu computador corporativo ao invés do sistema de teste aprovado (uma máquina virtual separada).
Mal-intencionadas ou não, essas atividades colocam as organizações em risco. O teste de exploits em sistemas não autorizados pode interromper as operações por meio de falhas no sistema ou outras ações negativas. Eles também criam pontos frágeis: um adversário que já tenha um ponto de acesso na rede pode encontrar essas falhas ou ferramentas e usá-las para apoiar as suas atividades ilícitas. Por fim, o download e o gerenciamento inadequado deste código podem introduzir backdoors facilitando a invasão dos adversários.
Na nossa análise, vimos vários incidentes envolvendo a instalação não autorizada da estrutura do Metasploit por usuários privilegiados no sistema. Essa é uma estrutura de teste de penetração bem conhecida, que é frequentemente usada pelas equipas de segurança. Porém, ela também pode fornecer aos invasores um mecanismo acessível para realizar atividades de pré e pós-exploração.
Soluções para gerenciar ameaças internas
A principal iniciativa que toda a organização deve considerar é investir em treinamento de consciencialização e compliance para os funcionários. Instruir os funcionários a identificar um possível insider que está colocando a empresa em risco é um primeiro passo fundamental para a segurança cibernética da organização. A maioria das equipas de segurança tem protocolos que devem ser seguidos para o uso seguro de ferramentas, portanto, é importante conhecer e seguir estes procedimentos, além de alertar a gerência em caso de abuso ou mau uso dessas ferramentas.
As empresas precisam entender e aplicar o princípio do menor privilégio (POLP em inglês). De acordo com esse princípio, os usuários e os processos devem receber apenas as permissões mínimas necessárias para realizar as suas tarefas. O POLP é uma das práticas mais eficazes para fortalecer a segurança cibernética de uma organização e permite que elas controlem e monitorem o acesso à rede e aos dados. A aplicação da POLP ajudará a resolver os problemas de escalonamento de privilégios.
Além disso, muitas das vulnerabilidades que vimos os insiders usarem têm exploits que estão disponíveis publicamente no GitHub. Portanto, restringir ou monitorar o download de exploits do GitHub e de outros repositórios de código on-line ajudaria a mitigar essas ameaças.
Muitas das vulnerabilidades descritas neste artigo também foram exploradas por adversários de intrusão direcionada e de crimes eletrônicos. Como resultado, a maioria das medidas de proteção comuns que os defensores da rede já usam para detetar e evitar ataques também se tornam úteis para combater as ameaças internas.
Os insiders usaram muitas vulnerabilidades antigas, algumas divulgadas em 2015, o que ressalta o fato de que as vulnerabilidades podem continuar sendo usadas por todos os invasores (internos ou externos) até que a empresa as corrija ou mitigue. Garantir que a correção de vulnerabilidade seja feita em tempo hábil para proteger a rede e todos os dispositivos conectados a ela é fundamental.
No entanto, apenas fazer correções não é insuficiente para lidar com as possíveis ameaças. É por isso que as organizações precisam aderir a várias camadas de defesa. A implementação da arquitetura Zero Trust e dos serviços de proteção de identidade impede o acesso não autorizado a sistemas e redes. Além disso, analisar o comportamento do usuário é uma técnica importante que as organizações podem usar para detetar um adversário usando credenciais roubadas ou para identificar atividades suspeitas de um insider.
A análise de comportamento começa com a criação de uma base de referência de comportamentos normais para cada usuário, com base em dados históricos, para ser possível identificar irregularidades suspeitas e impedi-las antes que causem danos para a organização.
Por fim, há incontáveis benefícios na implementação da caça às ameaças nos programas de segurança cibernética. Simplesmente esperar por um alerta de ameaça não é suficiente; as organizações precisam procurar proativamente comportamentos incomuns, utilizando as ferramentas e técnicas destacadas acima para identificar possíveis riscos internos.
