O documento discute as ameaças internas à segurança da informação nas empresas, como funcionários mal-intencionados ou descuidados que podem roubar ou vazar dados. Ele explica que ataques internos são complexos de detectar e que é necessário monitorar o tráfego de rede, credenciais de acesso e comportamentos de usuários para identificar atividades suspeitas e prevenir vazamentos. Também destaca que equipes de TI, que têm amplos privilégios, representam um risco e precisam de controles adicionais.

1. O Inimigo Interno
Carlos Alberto Goldani
Fevereiro de 2013
O receio de que os dados corporativos possam vazar acidentalmente ou serem roubados
por ação de usuários internos tira o sono dos responsáveis por segurança em infraestruturas de TI.
Detectar e inibir estes eventossão desafios crescentes, especialmente para organizações que
operam redes distribuídas ou que já migraram para a Nuvem. O problema é complexo porque
ameaças não sãorestritas a empregados maliciosos, incluem funcionários descuidados, intrusos
simulando usuários confiáveis e outros com acesso à rede, como fornecedores, parceiros e
provedores de serviços. Como consequência, as empresas estão empenhadas em desenvolver
soluções para endereçar ameaças internas com novas tecnologias, processos e controles
administrativos.
Um número crescente de administradores de segurança está atento para os controles
necessários para administrar as ameaças originadas por público interno. De acordo com o Global
InformationSecurity Survey1, uma pesquisa realizada pela Ernest Young2 em 2012, na área
financeira os ataques com origem na rede interna já ultrapassam em número (e em valor) aos
conduzidos por agentes externos. A proteção contra ataques internos é complexa porque são
usuários utilizando acessos autorizados para propósitos não apropriados. O impacto é maior
porque o atacante conhece o sistema e sabe que informações são valiosas.
O funcionário descontente, embora seja um risco latente, não é a maior preocupação.A
grande incidência de ataques está relacionada com cessão ou roubo de credenciais de usuários
legítimos, utilizadas para obter acesso a recursos específicos da rede. Malwares3 plantados
seletivamente são usados para coletar identificações e senhas de usuários com privilégios para
acesso a sistemas críticos. Estes tipos de ataquesgerampouco tráfegoe são difíceis de detectar
utilizando as ferramentas tradicionais como antivírus e filtros de e-mails.
O crescimento das redes interconectadas também significa que não apenas os
funcionários têm acesso aos recursos corporativos, qualquer um conectado na rede corporativa,
consultor, auditor, funcionário terceirizado ou parceiro, mesmo que seja só para fazer uma
consulta pela Internet ou odownload de uma apresentação comercial, pode plantar um
“backdoor” que possa ser usado posteriormente.
Identificar indícios destas atividades requer análises de tráfego mais profundas que as
disponíveis nas técnicas de proteção tradicionais. Para estes casos são indicados recursos com
capacidade de verificar o tráfego da rede nos níveis de pacote, seção e aplicação. Esta
monitoração permite identificar atividades suspeitas como fluxo de dados na direção errada,
servidores consumindo dados quando devia produzi-los e conexões entre equipamentos sem
razão aparente. O uso dos recursos por usuários maliciosos difere sutilmente dos usuários
1
Pesquisa Global sobre Segurança da Informação.
2
Uma das empresas líderes na prestação de serviços profissionais de auditoria. É considerada como uma das Big Four ou quatro
maiores empresas internacionais do setor: as outras sãoDeloitte,PricewaterhouseCoopers eKPMG.
3
Código malicioso criado para infiltrar-se em um equipamento de forma ilícita, com o objetivo de causar algum dano ou roubo de
informações (confidenciais ou não).
Pag1

2. normaise as ferramentas de detecção devem ter a capacidade de identificarmovimentos ilegais
em uma rede e eventualmente falhas em configurações de firewalls.
Filtrar o tráfego enviado é outra maneira de verificar se dados protegidos estão saindo
ilegalmente para fora dos limites da rede. Esta tecnologia utiliza uma combinação de comparação
exata de textos parciais (por exemplo, se está escrito no documento “Circulação Interna”), análise
contextual e políticas de informações para alertar ao administrador quando documentos
protegidos estão sendo enviados para além da área de abrangência da rede. O processo identifica
tráfego malicioso e ocorrências acidentais como, por exemplo, um funcionário enviando um
arquivo para o seu e-mail pessoal para poder trabalhar em casa. Esta técnica parece ser ideal, mas
exige atenção aos resultados para filtrar falsos positivos e é inócua quando a criptografia está
envolvida.
Incidentes intencionais com origem interna são planejados com antecedência e podem ser
evitados com controles adequados. Práticas consistentes de administração e configurações
adequadas permitem identificar alterações em aplicações ou a criação de autorizações para
acessos remotos, condições que indicam a eminência de um incidente de segurança. A segregação
das atribuições entre administradores e usuários com privilégios é uma forma de não permitir que
uma só pessoa, independente da sua classificação na hierarquia, possa criar condições que
permitam um ataque.
Os processos para desabilitar credenciais de acesso quando um empregado é desligado
são importantes no contexto de segurança. Incidentes originados por funcionários insatisfeitos ou
ex-colaboradores que ainda mantém acessosválidos continuam a existir, mas podem ser evitados
por políticas de recursos humanos para monitorar e administrar o descontentamento ou
comportamento suspeito de colaboradores e procedimentos automatizados que identificam
credenciais órfãs (sem contrapartida na relação de funcionários da empresa).
Treinamento, análise de comportamentos e medidas administrativas são tão importantes
quanto o uso intensivo de tecnologia para evitar o inimigo interno. Hackers estão refinando as
técnicas de engenharia social com e-mails e web sites fraudulentos para conseguirem informações
sensíveis e credenciais de acesso, iludindo pessoas desavisadas. Os ataques baseados em phishing4
e pharming5 estão entre as maiores preocupações dos profissionais de segurança, segundo a
pesquisa da Ernest Young. A eficácia destes ataques em funcionários mal treinados é alarmante. A
educação dos funcionários inclui a divulgação das políticas de segurança e as consequências
relacionadas com o descuido no trato de dados corporativos ou dos recursos de rede.
Procedimentos como ausência de exceções na política de privilégio mínimo (usuários, incluindo
administradores, com acesso limitado aos recursos necessários para a sua atividade), endereços IP
restritos e uso intensivo de relatórios de ocorrências (logs) para monitorar tentativas de conexão
sem sucesso com aplicações, mais que recomendados, são obrigatórios.
4
Fraude eletrônica caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, contas bancárias ou número de
cartões de crédito.
5
Corromper o DNS (Sistema de Nomes de Domínio) de uma rede, fazendo com que a URL(Localizador de Recursos) de um site passe a
apontar para um servidor diferente do original.
Pag2

3. Educação, capacitação e imposição são provavelmente os meios mais críticos para criar
um ambiente de segurança para usuários e administradores. A divulgação continuada que todos
na organização são responsáveis pela segurança das informações é importante.
TI – Um Caso Especial
Equipes de TI administram a criação de credenciais de acesso e isto pode ser um problema.
Pelo modo como o tratamento da informação é realizado, o maior risco à segurança pode
estar localizado no departamento de Tecnologia da Informação. É normal em corporações
diretores e gerentes não terem acesso a tipos de serviços que são usados livremente por
funcionários ou mesmo estagiários da TI. O pessoal responsável pela disponibilidade e integridade
dos dados pode acessar praticamente qualquer coisa na rede, quase sempre sem supervisão. Não
é sem motivo que os malwares mais populares elejam como prioridade obter perfis
administrativos, uma forma de ter acesso a um sistema sem ser detectado.
Para administrar esta ameaça, empresas estão tendo cuidados extrascom suas equipes de
TI, estabelecendo controles mais eficientes. Se algo der errado, é natural que as primeiras
suspeitas sejam endereçadas aos que tem maior desenvoltura com privilégios de acesso.Já
existem tecnologias que analisam o tráfego de rede e sinalizam eventos anormais, como
funcionários abrindo arquivos não relacionados com sua atividade normal ou quando um
colaborador que trabalha entre 8 da manhã e seis da tarde utiliza suas credenciais de acesso
durante a madrugada. Existem também procedimentos que permitem analisar mudanças ao longo
do tempo na linguagem utilizada para comunicação, mudanças do padrão podem sinalizar uma
motivação para desviar dados ou sabotar a rede.É surpreendente como a linguagem muda quando
pessoas estão descontentes, umindicador simples é o tamanho dos e-mails, por exemplo, alguém
com um padrão de mensagens prolixas começa a redigir mails com meia dúzia de palavras. Outro
indicador é o aumento do número de frases relacionadas com raiva, maior uso da palavra "eu", e
sinais de pensamento polarizado, como uso das palavras "nunca" e "sempre".
Who WatchestheWatchman?6
Onde as pessoas recebem mais responsabilidades e têm autoridade para executar ações
diferenciadas ou conceder privilégios, o controle deve ser mais abrangente. Administradores com
privilégios especiais com certeza estão capacitados para, caso acessem recursos protegidos, cobrir
seus rastros. A política mais eficiente, neste caso, é sempre a dupla autorização, ou seja, ninguém
está habilitado para, isoladamente, alterar os registros de acesso a arquivos com dados sensíveis.
6
Quemvigia o vigilante?
Pag3