Ameaça interna -Insider threat

Uma ameaça interna é uma ameaça maliciosa a uma organização que vem de pessoas dentro da organização, como funcionários, ex-funcionários, contratados ou parceiros de negócios, que possuem informações privilegiadas sobre as práticas de segurança, dados e sistemas de computador da organização. A ameaça pode envolver fraude, roubo de informações confidenciais ou comercialmente valiosas, roubo de propriedade intelectual ou sabotagem de sistemas de computador.

Visão geral

Os Insiders podem ter contas que lhes dão acesso legítimo a sistemas informáticos, sendo que esse acesso lhes foi originalmente concedido para servir no desempenho das suas funções; essas permissões podem ser abusadas para prejudicar a organização. Os insiders geralmente estão familiarizados com os dados e a propriedade intelectual da organização, bem como com os métodos usados ​​para protegê-los. Isso torna mais fácil para o insider burlar quaisquer controles de segurança dos quais ele esteja ciente. A proximidade física com os dados significa que o insider não precisa invadir a rede organizacional através do perímetro externo atravessando firewalls; ao contrário, eles já estão no prédio, muitas vezes com acesso direto à rede interna da organização. Ameaças internas são mais difíceis de defender do que ataques externos, pois o interno já tem acesso legítimo às informações e ativos da organização.

Um insider pode tentar roubar propriedade ou informações para ganho pessoal ou para beneficiar outra organização ou país. A ameaça à organização também pode ser por meio de software malicioso executado em seus sistemas de computador por ex-funcionários, a chamada bomba lógica .

Pesquisar

A ameaça interna é uma área ativa de pesquisa na academia e no governo.

O Centro de Coordenação CERT da Carnegie-Mellon University mantém o CERT Insider Threat Center, que inclui um banco de dados de mais de 850 casos de ameaças internas, incluindo instâncias de fraude, roubo e sabotagem; o banco de dados é usado para pesquisa e análise. A equipe de ameaças internas do CERT também mantém um blog informativo para ajudar organizações e empresas a se defenderem contra crimes internos.

O Laboratório de Ameaças e o Centro de Pesquisa de Segurança e Pessoal de Defesa (DOD PERSEREC) também surgiram recentemente como recursos nacionais nos Estados Unidos da América. O Threat Lab hospeda uma conferência anual, o SBS Summit. Eles também mantêm um site que contém recursos desta conferência. Complementando esses esforços, um podcast complementar foi criado, Voices from the SBS Summit. Em 2022, o Threat Lab criou uma revista interdisciplinar, Counter Insider Threat Research and Practice (CITRAP), que publica pesquisas sobre detecção de ameaças internas.

Descobertas

De acordo com o Information Commissioners Office do Reino Unido, 90% de todas as violações relatadas a eles em 2019 foram resultado de erros cometidos por usuários finais. Este foi um aumento de 61% e 87% nos dois anos anteriores.

Um white paper de 2018 relatou que 53% das empresas pesquisadas confirmaram ataques internos contra sua organização nos 12 meses anteriores, com 27% dizendo que os ataques internos se tornaram mais frequentes.

Um relatório publicado em julho de 2012 sobre ameaças internas no setor financeiro dos Estados Unidos fornece algumas estatísticas sobre incidentes de ameaças internas: 80% dos atos maliciosos foram cometidos no trabalho durante o horário de trabalho; 81% dos perpetradores planejaram suas ações com antecedência; 33% dos perpetradores foram descritos como "difíceis" e 17% como "descontentes". O insider foi identificado em 74% dos casos. O ganho financeiro foi motivo em 81% dos casos, a vingança em 23% dos casos, e 27% das pessoas que praticaram atos maliciosos estavam com dificuldades financeiras na época.

O Centro de Pesquisa de Segurança de Pessoal do Departamento de Defesa dos EUA publicou um relatório que descreve abordagens para detectar ameaças internas. Anteriormente, publicou dez estudos de caso de ataques internos por profissionais de tecnologia da informação .

Os especialistas em segurança cibernética acreditam que 38% dos internos negligentes são vítimas de um ataque de phishing , por meio do qual recebem um e-mail que parece vir de uma fonte legítima, como uma empresa. Esses e-mails normalmente contêm malware na forma de hiperlinks

Tipologias e ontologias

Vários sistemas de classificação e ontologias foram propostos para classificar ameaças internas.

Os modelos tradicionais de ameaças internas identificam três grandes categorias:

• Insiders mal-intencionados, que são pessoas que se aproveitam de seu acesso para infligir danos a uma organização;
• Insiders negligentes, que são pessoas que cometem erros e desrespeitam políticas, que colocam em risco suas organizações; e
• Infiltradores, que são atores externos que obtêm credenciais de acesso legítimas sem autorização.

Críticas

A pesquisa de ameaças internas foi criticada.

• Os críticos argumentaram que a ameaça interna é um conceito mal definido.
• A investigação forense do roubo de dados internos é notoriamente difícil e requer novas técnicas, como forense estocástica .
• Os dados que suportam ameaças internas geralmente são proprietários (ou seja, dados criptografados ).
• Modelos teóricos/conceituais de ameaças internas geralmente são baseados em interpretações vagas de pesquisas nas ciências comportamentais e sociais, usando "princípios dedutivos e intuições de especialistas no assunto".

Adotando abordagens sociotécnicas, a pesquisa também defendeu a necessidade de considerar a ameaça interna da perspectiva de um sistema social. Schoenherr passou a argumentar que "a vigilância requer uma compreensão de como os sistemas de sanção são enquadrados, como os funcionários responderão à vigilância, quais normas do local de trabalho são consideradas relevantes e o que 'desvio' significa, por exemplo, desvio de uma norma organizacional justificada ou falha conformar-se com uma norma organizacional que entra em conflito com os valores sociais gerais”. Ao tratar todos os funcionários como potenciais ameaças internas, as organizações podem criar condições que criem ameaças internas.

Veja também

• Segurança do computador
• Toupeira (espionagem)
• Serviço de Investigação Criminal Naval
• Ameaça (computador)
• Truque de confiança
• Enxerto (política)
• Encolhimento (contabilidade)

Referências

links externos

• Como são as ameaças internas nesta década? [ShadowSight]
• Espionagem Naval - Parando uma Ameaça Interna Perigosa FBI
• Relatório de custo de uma ameaça interna do Instituto Ponemon
• Relatório de ameaças internas de 2020 - Gurucul