À medida em que violações de alto nível em todo o mundo continuam a ser notícia, muitas empresas de diversos setores estão avaliando seriamente suas posturas em relação a segurança cibernética. No Brasil, a Flipside, empresa de conscientização corporativa em segurança da informação, realizou um levantamento com gestores de segurança de 200 companhias de diversos setores entre agosto e setembro deste ano, e apontou que mais de 27% das organizações ouvidas já investiram até R$ 5 milhões em campanhas de conscientização de segurança no último ano. Por outro lado, a pesquisa revelou um dado preocupante: 52% dos incidentes de segurança são causados por desatenção e cliques indevidos em links inseguros recebidos pelos colaboradores.
Enquanto as empresas investem em programas de transformação digital, elas também deveriam estar investindo em gestão de riscos. Um ponto para se ter em mente é que as ameaças à segurança que assombram o cenário de TI não são exclusivamente externas. Enquanto os administradores estão ocupados protegendo o perímetro da empresa, alguém confiável pode estar conduzindo um ataque malicioso de dentro da rede.
Quão perigosos são os insiders?
A Equipe de Prontidão para Emergências relacionadas à Informática dos Estados Unidos (US-CERT) define ameaças internas como "qualquer funcionário, contratante ou outro parceiro de negócios atual ou anterior, que tenha ou teve acesso à rede, ao sistema ou aos dados de uma organização, e exceda ou use intencionalmente esse acesso de maneira que afeta negativamente a confidencialidade, a integridade ou a disponibilidade das informações ou dos sistemas de informação da organização". Uma gama tão ampla de possíveis agentes malignos dificulta a previsão de ameaças internas e, mais ainda, a detenção delas.
Uma pesquisa encomendada pelo portal Cybersecurity Insiders revelou que 90% das organizações sentem-se vulneráveis a ameaças internas – e mais da metade dos entrevistados confirmou ao menos um ataque deste tipo contra a empresa nos últimos 12 meses. Ameaças internas são mais perigosas que ataques externos, porque usam credenciais legítimas, máquinas e privilégios de acesso. Por causa disso, elas também são mais difíceis de detectar e, geralmente, exigem bastante tempo e esforço para conter e resolver. Isso pode resultar em administradores de TI gastando semanas, senão meses, lidando com as consequências de um ataque interno, em vez de investir esse tempo em tarefas críticas para o negócio.
As soluções tradicionais de SIEM (sigla em inglês para Gestão de Eventos e Informações de Segurança) usam alertas baseados em regras simples para detectar possíveis ameaças internas, e estão mal equipadas para lidar com as mesmas porque:
- Falham ao rastrear desvios no comportamento do usuário;
- Acionam alarmes falsos que atrasam a detecção de ameaças;
- Não oferecem avaliação de riscos e vulnerabilidades.
Análise de comportamento do usuário para melhorar detecção de ameaças
O Gartner prevê que o mercado de UBA (sigla em inglês para Análise de Comportamento do Usuário) crescerá 48% até 2020. Esse crescimento será impulsionado pela demanda por recursos para lidar com ameaças internas e detectar contas comprometidas, que faltam nos sistemas de segurança tradicionais. Considerando o quão avançados são muitos dos ataques internos, a criação manual de mais regras de alerta em uma solução tradicional de SIEM não detectará efetivamente ameaças internas.
Em vez disso, as empresas podem fortalecer os mecanismos de detecção de incidentes internos utilizando a análise de comportamento do usuário. As soluções UBA usam uma abordagem analítica – uma combinação de análise de dados e machine learning – para detectar possíveis ameaças internas. A base dessas soluções é a premissa de que os seres humanos são criaturas de hábitos.
As soluções UBA oferecem vários recursos para detectar ameaças internas, incluindo:
- Bases estabelecidas de comportamento do usuário: Analisar as atividades dos usuários e procurar desvios em relação ao comportamento usual proporcionam às equipes de TI um ponto de vantagem importante na identificação de ameaças, antes delas se tornarem violações prejudiciais.
- Limiares dinâmicos para analisar o comportamento do usuário: Com limites de alerta dinâmicos, a UBA ajuda a reduzir o número de falsos positivos, para que as equipes de segurança possam identificar facilmente os indicadores reais de comprometimento e responder rapidamente.
- Detecção de abuso de privilégios: As soluções UBA ajudam a detectar comportamento anormal do usuário em contas privilegiadas, além de proteger informações confidenciais.
- Avaliação de risco e vulnerabilidade: UBA ajuda as empresas a promoverem um ambiente que priorize as ameaças com base nos riscos que elas representam, para que possam lidar primeiro com as ameaças mais evidentes na rede.
O caminho a seguir
Ameaças internas em uma rede corporativa representam uma grande preocupação de segurança, seja detectada ou não. Quanto mais rapidamente essas ameaças são eliminadas, menor o risco geral para os negócios. A UBA, uma das áreas que mais cresce em segurança corporativa, cria e otimiza uma base considerando o comportamento típico do usuário para detectar melhor as ameaças. Essa solução vai além das regras simples de SIEM e utiliza recursos de detecção de ataques direcionados para roubo e abuso de credenciais, para rapidamente detectar ataques com precisão. Uma combinação poderosa de Gestão de Eventos e Informações de Segurança e de Análise de Comportamento do Usuário pode ajudar as empresas na luta contra-ataques cibernéticos e afastar ameaças de segurança apresentadas por insiders mal-intencionados.
Anjali George, analista de Produto na ManageEngine.
