O que preocupa a TI: um hacker que se esconde pelos cantos da internet ou o Bob, que trabalha no financeiro? Os dois. Os , de acordo com a pesquisa Segurança Estratégica, realizada pela InformationWeek EUA, com profissionais de tecnologia do negócio.
De qualquer forma, ameaças internas representam apenas uma fração de todos os ataques – apenas 4%, de acordo com o Relatório 2012 de Investigações sobre Vazamento de Dados da Verizon. Então, por que tanto alvoroço? Porque os funcionários têm acesso a informações críticas da empresa, e existem dezenas de formas como eles podem roubá-las. E esses ataquem têm impacto significativo. No ano passado, um funcionário do Bank of America enviou informações de centenas de clientes a ladrões de identidade, que usaram essas informações para roubar dinheiro dessas contas. O roubo totalizou US$ 10 milhões, sem falar sobre as repercussões públicas após o incidente.
A posição das ameaças internas é composta pelo fato de que a TI tende a focar na segurança do perímetro da rede contra ataques externos e dá pouca atenção às atividades maliciosas que podem acontecer dentro da rede. A crescente mobilidade de dados corporativos e dispositivos torna roubos internos ainda mais fáceis. Obviamente, é hora das empresas repensarem as estratégias de segurança para cobrir tanto hackers maliciosos quanto o Bob, no cubículo 3B.
Ameaças internas podem ser intencionais ou acidentais e, geralmente, um único conjunto de controles pode ser usado para mitigar ambas. São três camadas alvo para lidar com ameaças internas: rede, dispositivo host e as pessoas que geram, manipulam e movimentam dados de um lugar para o outro.
Na camada da rede, os controles devem ser capazes de analisar tráfego da rede para detectar e, quando possível, prevenir a transmissão de dados sigilosos. Proteção baseada em host inclui anti-malware, criptografia, mudança de gestão e outros controles de segurança. O elemento de defesa mais difícil é o fator humano – implantar políticas e treinamento para educar funcionários sobre a melhor forma de lidar com dados sigilosos. Aqui estão alguns passos para assegurar essas camadas.
Tranque a rede
Os dois caminhos mais comuns de movimentação de dados para fora da empresa são e-mail e a web. Ambos são possibilidades para vazamento de dados malicioso ou acidental e a intenção pode não ser tão óbvia à primeira vista. Funcionários usando contas de e-mail corporativas podem, acidentalmente, enviar arquivos sigilosos a endereços errados. Enquanto isso, alguém que queira roubar informações sigilosas pode usar uma conta de e-mail web pessoal ou subir informações em um site de compartilhamento de arquivos.
Assim, a segurança de gateways de comunicação de e-mail e web é uma importante forma de defesa inicial contra brechas acidentais ou maliciosas. Esses gateways são comumente usados para inspecionar tráfego de entrada de spam e malware, mas também podem ser usados para monitorar tráfego de saída. Uma porta interna de segurança instalada para agir como relay, ou proxy, para tráfego de e-mail ou web gerado por funcionários.
Ofertas de gateways de vendedores como Barracuda Networks, Cisco IronPort, McAfee e WebSense têm funções de proteção contra perda de dados. Conforme o tráfego passa pelo gateway, o módulo DLP inspeciona em busca de termos determinados como sigilosos dentro da empresa. Ele também busca por padrões envolvendo tipos específicos de dados, como número de cartão de crédito ou identidade, ou rótulos de classificação específicos em arquivos que não devem deixar a rede corporativa. Se esse tipo de dado é encontrado deixando a rede, alertas são emitidos. O tráfego seria, então, bloqueado e o usuário, notificado. Alertas sobre possíveis violações de política podem ser enviados para uma variedade de destinatários, incluindo equipe de segurança, recursos humanos e supervisor do usuário.
Além de analisar tráfego web e de e-mail, os produtos DLP baseados em rede podem monitorar protocolos e serviços, incluindo mensagens instantâneas, sites de rede social, compartilhamento de arquivo peer-to-peer e File Transfer Protocol.
No entanto, criptografia pode cegar DLP e outros produtos de segurança de gateway. Se os usuários forem expertos o bastante para criptografar os dados antes de enviá-los ou se usarem um método de transmissão de rede criptografada, como SSH/SCP ou Tor, o dado passa pelo DLP baseado em rede. Para ajudar a lidar com essa limitação, os produtos DLP geralmente incluem opções para DLP baseado em host ou storage, o que vamos discutir mais pra frente.
Outra opção na camada de rede é sistema de detecção de anomalia comportamental, de empresas como a Lancope e a Riverbed Technologies. Esses produtos criam uma base de referência das atividades normais da rede e enviam alertas quando as atividades se desviam desse parâmetro. Por exemplo, digamos que um computador na rede, geralmente, toca outros 12 computadores e servidores e transfere cerca de 100 ou 200 MB por dia. Se um dia esse computador tocar 20 ou mais sistemas e transferir 500 MB de um servidor de dados ou banco de dados, o sistema de anomalia comportamental alerta um administrador.
O Centro de Ameaças Internas CERT, da Universidade Carnegie Mellon, identificou diversos comportamentos de ataques internos, um deles mostra que os ataques internos normalmente acontecem 30 dias antes de o funcionário deixar a empresa. Eles baixam dados de um servidor da empresa para sua estação de trabalho, enviam por e-mail ou copiam em CD ou disco removível. Seria no momento do download de tais dados que o sistema de detecção de anomalias na rede detectaria e alertaria sobre as atividades do usuário.
Porém, sistemas de detecção de anomalia comportamental têm seus defeitos. Por exemplo, eles não podem enviar um alerta dizendo “Parece que o Bob tentou roubar alguns registros”. Em vez disso, a TI recebe relatórios sobre comportamento estranho de aplicativos e rede, e cabe a equipe de segurança investigar. O que significa fuçar em logs, revisar atividade de rede e conversar com pessoas. As investigações podem descobrir apenas atividade fora do normal, porém inofensiva. As equipes de TI e segurança devem estar preparadas para investir tempo e esforços para lidar com o sistema de detecção de anomalia, analisando relatórios e investigando alertas para valorizar tal sistema.
A TI também pode usar ferramentas criadas para vigiar anomalias em bancos de dados. Eles são o principal alvo de ataques internos porque contém importantes informações corporativas. Produtos de monitoramento de atividade de bando de dados de fornecedores como a Imperva e IBM podem oferecer visão sobre as atividades entre usuários e servidores de banco de dados. Produtos DAM operando na camada de rede ou de host podem detectar comportamento fora do normal como um usuário acessando 1.000 registros quando aquela pessoa geralmente acessa apenas 30 ou 40 por dia.
Proteja o Host
Sistemas host, como o laptop e o tablet do usuário, também precisam ser protegidos contra brechas intencionais ou acidentais. Criptografia é uma forma eficiente de fazê-lo; 64% dos entrevistados pela pesquisa Segurança Estratégica classificaram a criptografia como muito eficiente na proteção de empresas contra ameaças de segurança. Criptografar laptops, mídias removíveis e dispositivos móveis pode prevenir grande parte das brechas causadas pela perda ou roubo de computadores ou dispositivos móveis. Políticas devem ser configuradas e controles, instalados para reforçar a criptografia, junto com políticas de senhas fortes e a habilidade de apagar remotamente dados de dispositivos perdidos.
A criptografia também pode ser aplicada com base no conteúdo do arquivo sendo copiado para um disco removível, smartphone e e-mail. Produtos como o Mobile Guardian, da Credant e o Total Protection for Data, da McAfee, podem criptografar dados de forma proativa conforme são transferidos para dispositivos móveis ou mídias removíveis. Como bônus, a lei de alguns estados (Americanos) sobre brechas de dados, isenta empresas da obrigação de notificar usuários caso os dados estivessem criptografados quando roubados ou perdidos.
Empresas com forte necessidade de segurança podem bloquear absolutamente o uso de mídias removíveis, como pendrives. Muitas suítes de proteção de endpoint, como Symantec Endpoint Protection e McAfee DLP, podem bloquear todos os discos removíveis USB ou permitir que apenas certos dispositivos sejam usados.
Colocar controles de acesso apropriados e verificação em fontes de dados sigilosos, como servidores de arquivos, também pode afastar intrusos. Uma opção é habilitar verificação básica de pastas e arquivos, o que vai rastrear todas as tentativas de elevação de privilégio de acesso e instalação de software. Isso parece fácil, mas o desafio é que muitas empresas não compreendem completamente onde os dados sigilosos são guardados. Sem saber disso, verificação de pastas de arquivos tem valor limitado.
O primeiro passo é identificar exatamente onde os dados sigilosos são armazenados. Produtos DLP têm capacidades de enumeração de dados para ajudar a TI a identificar onde conteúdo como número de identidade, registros médicos e dados de cartão de crédito são armazenados. Uma vez que os dados são identificados, consolidados e assegurados com as permissões apropriadas de usuário, então a verificação de pastas e arquivos pode ser habilitada e registrada por meio de uma ferramenta central de logs ou SIEM (Security Information and Event Management). É possível configurar alertas para quando ocorrem falhas de acesso e para quando um usuário de fora do grupo privilegiado consegue acessar um servidor que armazena dados sigilosos.
Monitorar alterações em configuração de estações de trabalho e servidores e enviar alertas sobre eles também é um passo importante. Essas mudanças podem indicar que funcionários maliciosos estão agindo ou que estão preparando um ataque ao elevar os privilégios de suas estações de trabalho para nível de administrador, adicionando hardware para copiar dados ou tentando cobrir os rastros ao apagar e desabilitar logs.
Entre ferramentas SIEM e software de gerenciamento especializado em alterações, que podem enviar alertas conforme as mudanças ocorrem, estão Tripwire Policy Manager e NetIQ Secure Configuration Manager. Um benefício a mais resultante da utilização de uma ferramenta de gerenciamento de configuração e alteração é que eles geralmente incluem gerenciamento de carga de trabalho para direcionar, aprovar e remediar alterações realizadas.
Por fim, a TI deve se lembrar de registrar informações de segurança, revisar os logs e agir sobre os dados descobertos ali. Considere essa conclusão sobre o Relatório 2011 de Investigações sobre Vazamento de Dados da Verizon: “Frequentemente, evidências de eventos que levavam a brechas estavam disponíveis para a vítima, mas tal informação não foi notada ou levada à ação”. No Relatório 2012 da Verizon, a tendência continua: 84% das vítimas no estudo possuíam evidências de uma brecha em seus logs. Tal estatística reflete a falha na monitoração apropriada e na ação sobre logs existentes que poderiam ter detectado ataques internos, e é por isso que uma das principais recomendações da Verizon esse ano para grandes empresas é: “monitore e analise logs de eventos”.
O Fator Humano
A pesquisa mostrou que a grande maioria dos ataques maliciosos internos é causada por funcionários insatisfeitos e funcionários que planejam deixar a empresa devido a cortes esperados ou por ter um novo emprego. Mas, mesmo que não haja qualquer tipo de insatisfação ou rancor, usuários caem em ataques de phishing e clicam em links maliciosos em redes sociais, o que leva a brechas. O elemento humano é o mais difícil de assegurar.
O primeiro passo quando se trata de assegurar pessoal é estabelecer políticas bem definidas e de fácil compreensão. Infelizmente, com base em minha experiência com diversas arquiteturas de segurança e revisão de políticas, muitas empresas falham nesse ponto. Políticas tendem a serem longas, complicadas e difíceis para o funcionário mediado ler e entender. O resultado é que os funcionários leem a política, mas não a obedecem porque não a compreendem, ou nem sequer leem.
Não crie políticas apenas para ticar um item em uma lista de auditoria ou compliance. Em vez disso, dê a seus funcionários direções sobre requerimentos e comportamento esperado e defina, de forma explícita, atividades proibidas. Tenha certeza de que sua política cobre práticas de contratação, como levantamento de histórico; classificação e manuseio de dados; uso aceitável dos recursos da empresa; consciência sobre segurança; e treinamento.
Estabeleça políticas de classificação de dados e práticas que definam quais sistemas têm permissão para armazenar tipos particulares de dados, como os dados podem ser transmitidos pela rede, qualquer requerimento para criptografia e se eles podem ser armazenados em dispositivos móveis e discos removíveis. Funcionários que lidam diretamente com dados sigilosos e sistemas que armazenam esses dados devem ser atualizados, frequentemente, sobre as políticas de classificação de dados.
Treinamento é essencial se quiser que seus funcionários adotem as políticas. Recursos disponíveis para ajudar empresas a criar programas de treinamento incluem o Programa Securing The Human, do Instituto SANS, e o Corporate Security Awareness Training, da equipe Offensive Security. E o relatório da InformationWeek EUA, “Security: Get Users To Care” traz dicas práticas sobre como fazer com que funcionários adotem as políticas de segurança da empresa.
A segurança física é geralmente ignorada quando se pensa em prevenir ataques internos, mas roubo é um crime de oportunidade. Se quiser monitorar locais sigilosos e limitar o acesso de funcionários, reduza as oportunidades.
Feche a Porta: Prevenir ameaças internas exige observar possíveis explorações tecnológicas e monitorar, constantemente, o comportamento humano. É uma combinação difícil, especialmente quando os internos têm acesso a dados sigilosos. O ponto chave está em compreender os ataques, as possíveis motivações e as principais áreas em que o controle pode ser mais eficiente. Comece identificando e priorizando a informação que precisa proteger e, então, adicione ou expanda os controles tecnológicos onde for mais apropriado, em sua rede ou em sistemas host.
E não se esqueça do fator humano. Crie políticas que as pessoas compreendam e possam seguir. Treine funcionários em ambientes seguros. E seja vigilante no monitoramento das atividades dos usuários.
Uma abordagem em camadas, usando controles de segurança em rede, host e funcionários podem ajudar muito a reduzir as ameaças internas. Como diz o relatório 2012 da Verizon pelo terceiro ano consecutivo, quase todas as brechas internas são resultados de “ações maliciosas e deliberadas”. Para fechar a porta da ameaça interna de uma vez por todas, seus esforços de segurança devem ser tão deliberados quanto.
Fonte: http://itweb.com.br/55840/como-prevenir-vazamento-de-dados-em-sua-organizacao/
