Lidar com ameaças internas requer uma abordagem ciberfísica combinada

Embora a maioria das equipas de segurança esteja focada na prevenção de ataques mal-intencionados externos, dados recentes sugerem que cerca de 30% das violações confirmadas hoje envolvem pessoas internas.

Atualmente, redes cada vez mais complexas em sistemas físicos, de tecnologia da informação (TI) e de tecnologia operacional (OT) dificultam a deteção e prevenção de ameaças internas por parte das equipas de segurança. Isto é agravado pela proliferação de dados, dispositivos, aplicações e utilizadores que acedem a recursos em rede.

Ameaça crescente de ataques maliciosos internos

De acordo com o Inquérito sobre o Estado do Cibercrime dos Estados Unidos de 2017, 50% das organizações têm pelo menos um incidente de iniciados maliciosos por ano. E o Relatório de violação de dados da Verizon 2018 descobriu que perto de 30% das violações confirmadas atualmente envolvem pessoas internas. Em agosto de 2018, um acidente trágico envolvendo um avião de Seattle roubado por um funcionário aumentou a consciência para a necessidade de consciencialização física sobre ameaças internas (bem como mais rastreio psicológico antes do emprego).

À medida que o cenário de ameaças evolui rapidamente, os CISO têm de melhorar a sua atuação, afirma Aamir Ghaffar, diretor de engenharia de soluções da Alert Enterprise. Devem implementar controlos de segurança que protejam as pessoas, os ativos físicos, os dados, a propriedade intelectual e a reputação da empresa, tanto por dentro quanto por fora. Têm de o fazer ao mesmo tempo que satisfazem os requisitos de conformidade do setor. Em resposta às nossas perguntas, Aamir Ghaffar ofereceu algumas informações adicionais sobre o tema oportuno das ameaças internas.

P: Temos ouvido falar sobre o surgimento de sistemas de segurança cibernéticos. O que são e como ajudam as organizações a lidar com as ameaças internas?

Ghaffar: o conceito de convergência evoluiu em resposta ao risco e ao cenário geral de ameaças. As ameaças têm agora origem não só no espaço físico, mas também em ambientes cibernéticos – isto é o que é comummente designado por risco combinado. Esses riscos combinados exigem uma abordagem convergente e uma visão convergente da segurança como um todo; conectando dados, desenvolvendo novos recursos e obtendo novos insights para permitir que as equipas de segurança protejam melhor contra-ataques.

P: Como é que as organizações estão a responder?

Ghaffar: Estão a mudar para a centralização – desde o centro de operações de segurança até ao nível executivo, onde um executivo C-Suite gere toda a segurança nos domínios físico, de TI e OT. De acordo com a Gartner, até 2023, 75% das organizações irão reestruturar a governação do risco e da segurança para dar resposta aos novos sistemas ciberfísicos (CPS) e às necessidades convergentes de TI, OT, Internet das Coisas (IoT) e segurança física, o que representa um aumento em relação aos atuais menos de 15%.

P: Como é que a mudança afeta as ameaças internas?

Ghaffar: Unir cibernéticos e físicos desbloqueia poderosas novas capacidades. Por exemplo, as equipas ciberfísicas enfrentam uma ameaça, como um dispositivo intrusivo plantado no seu ambiente de rede, podem ligar rapidamente a pegada cibernética a um local físico — perceber onde as ameaças se originam e identificar os responsáveis por trazê-la. Convergir a identidade física e cibernética através de plataformas que conectam o controlo do acesso físico, os sistemas de TI e OT é um exemplo de como as organizações se podem preparar melhor para ameaças à segurança combinadas.

P: Às vezes, a ameaça é sobre o erro humano.

Ghaffar: Muitas vezes, achamos que as ameaças internas mais prejudiciais são intencionais; no entanto, o comportamento do utilizador não intencional e a negligência podem ter sérias ramificações para uma organização. As organizações devem implementar tecnologia que forneça automação e aplicação ativa de políticas para evitar que os funcionários cometam erros inadvertidos, mas críticos. As organizações também devem fazer avaliações de risco regulares – e não uma e já está. Não pense que está em segurança só porque implementou um processo. A tecnologia automatizada de gestão de acesso e identidade pode fornecer revisões de acesso agendadas para ajudar a detetar perfis de utilizador de alto risco com uma combinação de acesso acumulada ou tóxica, bem como a segregação de violações de tarefas devido a mudanças de departamento ou transferências de trabalho.

P: Quais são os maiores equívocos sobre ameaças internas?

Ghaffar: Primeiro, que as maiores ameaças têm origem fora da minha empresa. Ou que ameaças internas são um problema para agências governamentais e organizações altamente sensíveis, não para empresas «normais» como nós. Uma empresa também pode pensar erroneamente que tem ativos limitados que podem ser expostos, ou que os ativos são de pouco valor; por conseguinte, é menos provável que ocorra uma violação em grande escala. E mesmo que isso aconteça, provavelmente não terá um grande impacto.

P: Então, pensam que “isso não pode acontecer aqui”?

Ghaffar: Sim, e acham que os seus funcionários são inerentemente de confiança e que, com medidas básicas de segurança em vigor, o risco é pequeno. Eles pensam que as ameaças internas são sempre intencionais. Ou pensam «isso não é o meu trabalho».

Q: Quais os próximos passos que os líderes de segurança devem dar para lidar com ameaças internas na sua organização?

Ghaffar: Os líderes da segurança e da gestão de riscos devem começar por desenvolver uma visão e uma estratégia convincentes que se repercutam nas principais partes interessadas da empresa. Podem expandir a visibilidade que têm da atividade do utilizador para além do que acontece na rede. Vai além de uma abordagem centrada nos dados para uma abordagem centrada nas pessoas através da análise do comportamento da identidade. Melhorar a visibilidade da atividade dos utilizadores e adotar uma abordagem mais preventiva são as melhores formas de gerir o risco de um incidente. Desenvolver uma abordagem de segurança de dentro para fora. Ao fazer convergir a segurança física, cibernética e OT, obtém uma visão holística do panorama de segurança de toda a empresa.