A inspeção em detalhes está disponível para o comportamento do pacote, mas, infelizmente, não há possibilidade ou meio de inspecionar a intenção de uma pessoa. (Triângulo da CIA)
A razão pela qual selecionei este título “Ponto cego no triângulo das Bermudas (CIA)” é que todos sabemos que o triângulo de segurança CIA é o conceito central de qualquer sistema de segurança.
Na maioria dos casos, os eventos e incidentes de ameaças internas podem afetar qualquer lado do triângulo e desaparecem misteriosamente, sem deixar pistas sobre os eventos.
Ainda acredita-se que o triângulo das Bermudas seja um mistério não resolvido !! Da mesma forma, qualquer pessoa de dentro pode invadir não apenas os cantos do triângulo e danificá-lo mas pode derrubar o triângulo completo e torná-lo uma linha reta.
Os controles, políticas, estrutura, tecnologia e programas são muito insignificantes quando comparados com outras ameaças à empresa.
O elemento humano é o elo mais fraco da cadeia de segurança. Isso acaba em quebra de confiança, SLA, ajustes, conflitos internos e concorrência que levam à ameaça do insider.
Neste artigo, não há dados estatísticos, mas as possibilidades e a intenção do insider são descritas em detalhes.
Homem / mulher com máscara de camuflagem
A ameaça do insider é severa, de fato, dificuldade em identificar o mesmo. Os insiders podem criar estragos no sistema, um verdadeiro desafio para identificar. Diferenciar o usuário interno do usuário genuíno será uma tarefa tediosa, como diferenciar entre o bem e a aparência do bem-mal.
A empresa ou a equipe de segurança da informação deve entender que a ameaça Insiders não é uma ameaça técnica. Esses tipos de ameaças podem ocorrer de maneira consciente ou inconsciente, intencional ou não intencional, mas o resultado desse ataque é catastrófico.
O ataque Insiders pode fazer com que o público e os clientes percam o interesse nos negócios, perdam a confiança na tecnologia.
Se a tecnologia / produto estiver comprometida, ela pode ser retificada ou convencida pelo grupo de pessoas e pode ser comprovada com o tempo necessário. Um exemplo dessa instância são ataques de ransomware e outros ataques.
Leia também Risco com esteganografia e importância da execução da análise esteganográfica com sistemas de rede
É muito difícil identificar o invasor interno e a intenção por trás desse ataque. Se a intenção do invasor for apenas reiniciar um serviço ou servidor por um minuto, apenas uma vez, o dano será menor.
Mas se o mesmo membro interno tiver uma vingança ou envolvimento monetário ou qualquer outra intenção ruim, o dano será grave.
Vingança com Vingança
Existem situações que não podem evitar funcionários insatisfeitos, mas podem ser tratadas. sim!! É desenvolvendo um programa de ameaças internas e uma equipe de avaliação de ameaças internas para o mesmo.
Também em todas as equipes, é necessário criar um “ambiente livre de conflitos”. Papel adicional para o líder da equipe com conhecimento do programa de ameaças internas é realmente uma necessidade da hora.
A equipe é como uma mão e os membros da equipe são como os dedos, nem todos os dedos são iguais, e precisamos lidar com uma abordagem diferente. Trate-os da mesma forma com a mesma oportunidade e incentive a não voltar a esfaquear com comunicação aberta.
Haverá uma melhoria drástica no funcionário descontente. Ouvi dizer “Vou derrubar tudo um dia”, o que foi dito por um engenheiro que tinha acesso completo à maioria dos dispositivos de segurança !!!
Trate-os da mesma forma com a mesma oportunidade e incentive a não fazer facadas nas costas com comunicação aberta.
Haverá uma melhoria drástica no funcionário descontente. Ouvi dizer “Vou derrubar tudo um dia”, o que foi dito por um engenheiro que tinha acesso completo à maioria dos dispositivos de segurança !!!
Você acha que pode parar com isso ??? Sim, mas não completamente, mas sim !! Mas como? Não completamente com nenhuma tecnologia ou qualquer autoridade, o melhor é ter uma conversa aberta com ele que ajude a entender, identificar e avaliar o problema, bem como o problema do funcionário.
A partir de agora, ele é um funcionário frustrado. Não lhe dar a chance de se tornar um funcionário descontente, desrespeitando seus pensamentos e oferecendo oportunidades, reduzirá sua frustração. Basicamente, faça-o sentir e perceber que ele é o melhor em seu trabalho e aprecie-o por trazer à tona a questão que ajudará o funcionário a se livrar do mau pensamento.
Se ainda estiver na avaliação, os resultados serão negativos e, se o funcionário for avaliado como uma ameaça, o melhor é substituí-lo. Verifique se todo o acesso foi revogado corretamente e se todas as credenciais foram removidas.
Seus outros dispositivos acessíveis, acesso móvel e identificação de e-mail precisam ser bloqueados e informados a toda a equipe de que ele não faz mais parte da organização ou do projeto, incluindo os clientes.
Imagine uma situação, com a chance do administrador de segurança de uma empresa querer fazer o backup da configuração do firewall, mas o cenário não estava favorecendo a empresa em vez do funcionário.
Talvez ele seja um bom funcionário com intenções corretas, mas a curiosidade priorize seu pensamento. Ele tinha um relacionamento muito bom com o gerente da equipe de segurança e conseguiu a aprovação para fazer o backup em sua unidade flash para restaurar em caso de desastre durante a atividade.
Esse privilégio foi concedido com base na confiança, mas ele foi capaz de carregar todos os dados da empresa nos bolsos das calças! Há muitas chances de que esses dados possam ser usados de maneira errada.
Hoje, um bom funcionário pode se transformar em ameaça interna meses ou anos depois, pois não há confirmação. As circunstâncias fazem o homem !! Inconscientemente, se foi perdido e roubado de alguém ou vazou para o lado, será um desastre irrecuperável.
Isso se aplica a todos os meios de armazenamento, incluindo e-mails, caixa de depósito etc. etc. Sempre: “Nenhum modelo de confiança” é o melhor modelo para evitar esse tipo de ataque, mas ainda assim, isso poderia ter sido evitado por controles, políticas de monitoramento e conscientização. Por exemplo, nesse caso, a unidade flash pode ser fornecida ao funcionário pela própria empresa com uma opção criptografada.
Ter um servidor de backup secundário na rede ou qualquer outro local seguro dentro da rede corporativa ou adiar a atividade até que o servidor de backup fosse disponibilizado poderia ter evitado essa situação.
Existem inúmeras maneiras de proteger os ativos da empresa, mas a falta de conhecimento será a principal causa desse tipo de ataque. Alguns não fazem e fazem sobre isso são:
- Alguns anos atrás, havia outra instância: a maioria das senhas de administrador do firewall foram alteradas pelo administrador do X e ele deixou o emprego. Aqui ele só queria mostrar sua influência e queria se vingar.
- Os scripts automáticos instalados no servidor são reinicializados por si mesmos durante um período específico.
- As regras foram desabilitadas no firewall e o nome foi alterado para confundir o administrador.
- NÃO É
- Conversando sobre o cliente nos terminais de ônibus e compartilhando informações sobre o mesmo.
- Falando mal das políticas de clientes e empresas nos espaços públicos.
- Fazendo o backup completo do laptop no site do cliente para futuras referências
Existem muito mais exemplos e casos no setor, não seja vítima e torne-se o estudo de caso.
Ator de Estado Interno no triângulo da CIA
Pode ser um pouco engraçado dizer Ator de Estado Interno mas eles estão tendo acesso a todas as máquinas. Caso contrário, do ponto de vista do Insiders, eles têm a licença para invadir. A porcentagem do incidente é mais ou igual às ameaças técnicas.
Existem mais soluções para evitar ameaças técnicas, mas há muito menos ou zero soluções para a ameaça do indivíduo.
Não há bala de prata ou correção imediata. Na maioria dos casos, é uma etapa reativa. Após o incidente, eles removem os IDs dos funcionários e começam a monitorar a atividade. A ameaça mais privilegiada acontece com forte determinação em criar um problema.
Eles terão a forte intenção em mente, tentando todas as possibilidades e de qualquer forma. Mas pode ser controlado até certo ponto.
Imagine um desenvolvedor da empresa de pesquisa e desenvolvimento móvel tirando a foto do código-fonte que ele desenvolveu ou desenvolveu por alguém e vazando para fora ou usando-o para sua própria pesquisa …
O dano é para a empresa e como você o impede? Outro exemplo de esteganografia, incorporando os dados confidenciais na música ou no videoclipe ou em outros dados. Esses profissionais intencionais trabalharão por muito tempo ou pouco tempo para ganhar confiança para roubar os dados.
A negligência da equipe de segurança principal e nenhum investimento da empresa para proteger e detectar tecnologias pode ser outro grande motivo para invasores internos.
Os controles, conscientização e treinamento para todos os funcionários da empresa podem parar a ameaça interna em algum nível. Nem toda a equipe pode ser atacante do Insider; portanto, será fácil para uma equipe de segurança lidar uma vez identificado.
Programa de ameaças internas da CIA Triângulo
Existe alguma solução para essa ameaça? Alguma maneira de se livrar completamente desse problema? A resposta é NÃO a partir de agora, Não há como escapar deles.
Porém, como prática de segurança, o programa Insider Threat Program e a avaliação de Insider Threat podem reduzir o risco e aumentar gradualmente a conscientização.
Em todos os níveis, deve haver um membro da equipe de ameaças internas e a equipe completa deve estar vinculada entre si e conectada ao líder da equipe, para que haja menos chances de ataque.
Políticas atualizadas de tecnologia, monitoramento e controle, conscientização, treinamento para membros de todos os níveis, incluindo contratados, funcionários móveis, funcionários em período integral e remoto, incluindo membros da equipe de segurança física para zeladores, etc., podem impedir tais incidentes.
Discutir os problemas nas reuniões, discutir os logs, alertas, atividades compartilhadas pelos membros da equipe com o gerente do programa de ameaças pode ajudar a tomar as medidas necessárias.
Planejar a correção, planejar planos de mitigação, auditoria e avaliação de recursos individuais, concentrando-se mais nos recursos de risco identificados e realizando um monitoramento rigoroso, pode atenuar esses incidentes.
Trata-se de reconhecer indicadores técnicos e comportamentais e delinear as estratégias de mitigação de forma consistente que evitam tais ameaças.
Existem programas disponíveis no setor por determinados institutos, como executar e o que executar, e eles nos ajudam a alcançar a meta e as melhores práticas do setor.
Esse tipo de programa cria conscientização entre os funcionários e os faz repensar antes de iniciar qualquer uma dessas atividades.
É nosso dever e responsabilidade educar nossos associados, assim como ensinar nossos filhos sobre o bom e o mau toque! Também os educaremos sobre as leis, punições e penalidades por esses atos perniciosos.
Em todo projeto, deve haver treinamento para as equipes do ODC, avaliações periódicas e reuniões. Um novo colaborador do projeto ou da empresa deve assinar a cláusula e receber o treinamento específico para ameaças internas e permanecer no mesmo. Isso faz com que o funcionário sinta que é igualmente responsável pelos ativos de informações da empresa.
Conclusão
este ponto cego é muito perigoso No triângulo da segurança – falta de conscientização, falta de monitoramento de atividades comportamentais, intenção do funcionário, atitude, mudanças de humor são desencadeadas como uma ameaça interna. No Triângulo de segurança Confidencialidade, disponibilidade e integridade, o vínculo entre esses três principais conceitos de segurança pode ser quebrado por alguém interno.
O dano é insuportável e passa despercebido ou misterioso. O insider terá acesso completo, visibilidade e controle sobre o triângulo de segurança e poderá derrubar os serviços disponíveis, quebrando a integridade e a confidencialidade.
Este é o ponto cego assustador para qualquer agente de segurança e empresa, e deve ser tratado com uma combinação de pessoas e tecnologia, como sempre enfatizo “A segurança é uma camada de defesa”.
Essa camada de defesa é mais crítica e importante. Em países como os EUA, o próprio governo introduz a ordem executiva para essas ameaças críticas. Por exemplo, Edward Snowden é comemorado por poucos, mas ele é acusado de um ato criminoso por prejudicar a privacidade do país. Vamos nos unir e resolver o mistério de “Ponto cego no triângulo das Bermudas“
Créditos: Este artigo é Originalmente Escrito por Vijay Nagaraj. Todo o conteúdo deste artigo pertence ao autor original. O GBHackers on Security não aceita créditos.
Você pode nos seguir no Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética, você também pode fazer os melhores cursos de segurança cibernética on-line para manter sua atualização automática.