O que é uma ameaça interna?

Uma ameaça interna é um risco de segurança apresentado por um funcionário, ex-funcionário, contratado ou fornecedor. As ameaças internas podem resultar em multas, danos à reputação e perda de propriedade intelectual.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Identificar tipos de ameaças internas maliciosas e acidentais
  • Compreender as funções de controle de acesso e gerenciamento de acesso na mitigação
  • Avaliar opções para redução de riscos

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é uma ameaça interna?

Uma ameaça interna é um risco à segurança de uma organização decorrente de alguém associado à organização, como um funcionário, ex-funcionário, contratado, consultor, membro do conselho ou fornecedor.

Essas ameaças podem ser maliciosas ou acidentais. Por exemplo, uma análise da Verizon de 3.950 violações de dados revelou que 30% "envolveram agentes internos".

Insiders podem causar danos de várias maneiras:

  • Roubar, vazar ou destruir dados
  • Vender segredos da empresa
  • Interromper sistemas, redes, ou outros recursos de TI
  • Extraviar equipamentos da empresa
  • Enviar um anexo de e-mail para a pessoa errada
  • Ser vítima de golpes de invasores
  • Configurar de forma incorreta rede ou o banco de dados

Quais são os motivos por trás das ameaças internas?

Insiders maliciosos podem ter vários motivos para comprometer os dados de uma organização, incluindo o desejo de vender os dados, vingança, tédio, ideologia e lealdade política.

Quando um insider cria inadvertidamente um risco de segurança ou causa uma violação, não há motivo. O insider pode cometer um erro que causa o problema, perder um equipamento da empresa ou ser enganado em uma violação de dados por meio de engenharia social, como phishing.

Quais são os indicadores comuns de ameaças internas?

Mudanças de comportamento podem ser um sinal de problemas. Um insider malicioso pode:

  • entrar no escritório fora do horário normal
  • acessar arquivos e sistemas diferentes do normal
  • fazer download de arquivos em massa
  • usar dispositivos de armazenamento
  • repentinamente enviar e-mails com anexos muito grandes
  • trabalhar muito mais horas extras

Esses sinais não são ruins em si. Muitos têm explicações completamente razoáveis, especialmente para profissionais de TI.

Por que o controle de acesso é importante para programas de ameaças internas?

Um aspecto fundamental da proteção contra ameaças internas é o controle de acesso, ou conjuntos de regras e políticas que decidem quem tem acesso a locais, informações e sistemas restritos. Uma abordagem é o controle de acesso baseado em funções, onde as permissões de cada pessoa dependem de seu departamento e responsabilidades de trabalho.

O princípio do menor privilégios para acesso na segurança da rede significa dar aos funcionários e outros insiders acesso apenas ao que eles precisam para cumprir suas responsabilidades — nada mais. Por exemplo, um profissional de recursos humanos pode precisar visualizar as informações salariais dos funcionários e um programador pode precisar alterar a base de código, mas nenhum deles precisa acessar os arquivos do outro.

Isso é parte do que torna a segurança Zero Trust um modelo de segurança de TI eficaz. Ela envolve a exigência estrita de verificação de identidade para todas as pessoas e dispositivos que buscam acesso a um recurso corporativo, mesmo que já estejam dentro da rede. Por meio de limitações no acesso de usuários e dispositivos, as possíveis consequências para todos os tipos de ameaças internas diminuem — assim como a perda de um cartão de crédito e a perda de uma carteira inteira diferem muito em termos de danos.

Como as empresas podem mitigar o risco de ameaças internas?

Ao ajustar um programa de ameaças internas, é essencial estar atento às motivações e como elas moldam o cenário de ameaças. Para insiders maliciosos e acidentais, a adesão estrita às práticas recomendadas de controle de acesso pode ajudar muito na prevenção de perda de dados.

As estratégias incluem:

  • mapear onde os dados sensíveisis são armazenados e quem tem acesso a eles
  • desenvolver listas de verificação para funcionários que saem e outros insiders, incluindo desativar o acesso a software e aplicativos de terceiros, juntamente com sistemas internos
  • aumentar a vigilância durante fusões e aquisições, quando as permissões e acesso geralmente mudam
  • exigir treinamento direcionado e abrangente sobre riscos internos acidentais, como garantir que os funcionários saibam manter as senhas privadas, relatar equipamentos perdidos e identificar possíveis fraudes de engenharia social

Além de usar o gerenciamento de acesso para proteger dados e sistemas, o departamento de TI pode definir limites para dispositivos de propriedade ou gerenciados pela empresa, como bloquear opções para transferência de dados e exigir permissão para baixar novos softwares.

Com recursos de registro e análise de dados, é possível definir alertas para comportamentos comuns a ameaças internas para detectar possíveis problemas antecipadamente. Os tipos de alerta incluem:

  • visitas a aplicativos de compartilhamento de arquivos não aprovados
  • acesso a aplicativos de dispositivos desconhecidos ou não gerenciados
  • downloads de um provedor de armazenamento em nuvem seguidos de uploads para outro provedor de armazenamento em nuvem
  • e-mails com tamanhos de anexo maiores do que o normal
  • Consultas de DNS ou HTTP inesperadas (um gateway seguro da web pode ajudar a identificá-las)
  • tentativas de obter privilégios maiores do que o necessário para a função da pessoa
  • fazer alterações em muitos arquivos em um curto período

Saiba como o Cloudflare Zero Trust simplifica o processo de configuração de controles de acesso baseados em função (RBAC) e acelera o acesso remoto.