O documento discute o conceito de insider threat, classificando-os em três categorias principais: roubo ou alteração de informações críticas, roubo de informações estratégicas e sabotagem em TI. Ele também fornece melhores práticas para prevenir insider threats, como monitorar comportamentos suspeitos, limitar privilégios de acesso e implementar regras e treinamentos de segurança rígidos.
3. Instituto de Pesquisa
Existe desde 1988
Executa pesquisas para:
• USA Depto. De Defesa
• USA Dept de Segurança Interna
Tem foco na temática do Insider Threat
4. Conceito
Um funcionário ou ex-funcionário, ou um fornecedor, ou
um parceiro, o qual:
• Possuiu ou Possui acessos a redes, sistemas, etc.
• Intencionalmente faz mal uso destes recursos,
impactando negativamente a confidencialidade, a
integridade ou a disponibilidade.
5. Conceito
• O conceito de Insider Threat extrapola os limites da
organização
• Fusões e aquisições de empresas são grandes geradores de
motivos para ação dos Insiders.
• Diferenças culturais em empresas transnacionais também
são grandes geradores de motivos
6. Relevância
Apesar de existirem em menor quantidade,
os danos causados por Insider Threats são
muito mais custosos e complexos de se
identificar.
7. Caso UBS
Mr. Adoboli ao fazer transações falsas
causou ao banco um prejuízo de U$ 2.3
bilhões
9. Caso Brown
Lennon Ray Brown apagou os arquivos
de configuração de roteadores e causou
a perda de conectividade de 90% de toda
a rede do Citibank.
10. Classificação dos Insider Threats
• Roubo ou Alteração de Informações
Críticas
• Roubo de Informações Estratégicas
• Sabotagem em TI
11. Roubo ou Alteração de Informações Críticas
Trata-se da alteração ou roubo simples de dados:
• Quem são eles:
– Normalmente são funcionários atuais (não ex-funcionários)
– Tanto homens quanto mulheres
– Baixo nível de conhecimento técnico
– Baixo nível hierárquico
• Qual a motivação:
– Ganhos financeiros (para si ou familiares)
– Foram pagos por terceiros para agir
• Como são descobertos:
– Por inconsistência de dados (não por alertas de TI)
12. Roubo de Informações Estratégicas
Trata-se do vazamento de informações secretas com valor
estratégico:
• Tais como:
– Planilhas de Preço;
– Dados de clientes de serviços;
• Quem são eles:
– Normalmente são funcionários atuais (não ex-funcionários)
– Tanto homens quanto mulheres
– 71% dos casos são usuários técnicos
– 29% de equipes comerciais
• Qual a motivação:
– Ganhos financeiros
– Conseguir vantagem de mercado para algum concorrente
• Como são descobertos:
– Em grande quantidade dos casos não são descobertos
– DLPs
13. Sabotagem em TI
Trata-se do uso do acesso privilegiado de TI para prejudicar a
empresa, pessoas ou projetos:
• Quem são eles:
– Normalmente homens
– Funcionários ou ex-funcionários
– Normalmente possuem grande conhecimento técnico
• Qual a motivação:
– Disputas com lideranças, vinganças
• Como são descobertos:
– Normalmente as falhas causadas em sistemas acabam fazendo a equipe buscar por logs de
alterações, etc
14. Sabotagem em TI
Observações importantes:
• Na totalidade dos casos estudados:
– O funcionário vinha apresentando comportamento social estranho
– O funcionário possuía histórico de quebra de regras
– Tiveram expectativas não correspondidas com relação a empresa;
• Na maioria dos casos estudados:
– O usuário está passando por disputas com colegas ou superiores;
– Colegas e superiores percebem algo estranho acontecendo, mas deixam
de agir por não saberem o que fazer
15. Melhores Práticas
1. Entenda quais são seus sistemas e informações mais críticos
• Que informação de sua empresa alguém pagaria para obter?
• Que sistemas tem maior impacto no negócio?
16. Melhores Práticas
2. Documente e Imponha regras e procedimentos de segurança
• Ter regras claras e descritas desmotiva o infrator que não terá
nenhuma desculpa para ações suspeitas
17. Melhores Práticas
3. Execute treinamentos periódicos com todos os funcionários
• Todos devem saber que existe uma área de segurança atuante
na empresa. Isso por si só desencoraja a ação;
18. Melhores Práticas
4. Monitorar comportamentos estranhos, agressivos ou de alto
nível de críticas a organização
• Incentivar os funcionários a conversarem com as lideranças a
perceberem tais comportamentos;
• Ao se perceber o problema, monitorar e tentar reverter com
apoio do RH;
19. Melhores Práticas
5. Antecipe e gerencie problemas do dia-a-dia no trabalho
• A organização deve ter bem documentado suas políticas de
relacionamento e regras, bem como punições a quebra de
regras.
• Encorajar os funcionários a conversar com o RH sempre que
estiver em situações de disputa, ou incomodo;
20. Melhores Práticas
6. Monitore os sistemas mais críticos
• Limite os acessos, ative logs, grave vídeos de contas
privilegiadas e faça com que os funcionários saibam que tudo
está sendo monitorado;
21. Melhores Práticas
7. Implemente regras severas
• Elimine contas compartilhadas ou genéricas pelo uso de
políticas adequadas;
• Crie sansões contra o compartilhamento de senhas entre
funcionários e outras práticas inseguras;
22. Melhores Práticas
8. Utilize a política do mínimo privilégio (least privilege)
• Todos devem ter a quantidade mínimas de acessos
necessários para executarem suas funções
23. Melhores Práticas
9. Considere a possibilidade de Insider Threats no ciclo da
equipe de desenvolvimento
• Utilize as práticas do Ciclo de desenvolvimento seguro (SDLC)
pra coibir a possibilidade de alterações de código maliciosas.