O Inimigo InternoCarlos Alberto Goldani

Fevereiro de 2013

O receio de que os dados corporativos possam vazar acidentalmente ou serem roubados por ação de usuários internos tira o sono dos responsáveis por segurança em infraestruturas de TI. Detectar e inibir estes eventos são desafios crescentes, especialmente para organizações que operam redes distribuídas ou que já migraram para a Nuvem. O problema é complexo porque ameaças não são restritas a empregados maliciosos, incluem funcionários descuidados, intrusos simulando usuários confiáveis e outros com acesso à rede, como fornecedores, parceiros e provedores de serviços. Como consequência, as empresas estão empenhadas em desenvolver soluções para endereçar ameaças internas com novas tecnologias, processos e controles administrativos.

Um número crescente de administradores de segurança está atento para os controles necessários para administrar as ameaças originadas por público interno. De acordo com o Global Information Security Survey1, uma pesquisa realizada pela Ernest Young2 em 2012, na área financeira os ataques com origem na rede interna já ultrapassam em número (e em valor) aos conduzidos por agentes externos. A proteção contra ataques internos é complexa porque são usuários utilizando acessos autorizados para propósitos não apropriados. O impacto é maior porque o atacante conhece o sistema e sabe que informações são valiosas.

O funcionário descontente, embora seja um risco latente, não é a maior preocupação. A grande incidência de ataques está relacionada com cessão ou roubo de credenciais de usuários legítimos, utilizadas para obter acesso a recursos específicos da rede. Malwares3 plantados seletivamente são usados para coletar identificações e senhas de usuários com privilégios para acesso a sistemas críticos. Estes tipos de ataques geram pouco tráfego e são difíceis de detectar utilizando as ferramentas tradicionais como antivírus e filtros de e-mails.

O crescimento das redes interconectadas também significa que não apenas os funcionários têm acesso aos recursos corporativos, qualquer um conectado na rede corporativa, consultor, auditor, funcionário terceirizado ou parceiro, mesmo que seja só para fazer uma consulta pela Internet ou o download de uma apresentação comercial, pode plantar um “back door” que possa ser usado posteriormente.

Identificar indícios destas atividades requer análises de tráfego mais profundas que as disponíveis nas técnicas de proteção tradicionais. Para estes casos são indicados recursos com capacidade de verificar o tráfego da rede nos níveis de pacote, seção e aplicação. Esta monitoração permite identificar atividades suspeitas como fluxo de dados na direção errada, servidores consumindo dados quando devia produzi-los e conexões entre equipamentos sem razão aparente. O uso dos recursos por usuários maliciosos difere sutilmente dos usuários normais

1 Pesquisa Global sobre Segurança da Informação.2 Uma das empresas líderes na prestação de serviços profissionais de auditoria. É considerada como uma das Big Four ou quatro

maiores empresas internacionais do setor: as outras são Deloitte, PricewaterhouseCoopers e KPMG.3 Código malicioso criado para infiltrar-se em um equipamento de forma ilícita, com o objetivo de causar algum dano ou roubo de

informações (confidenciais ou não).

Pag 1

e as ferramentas de detecção devem ter a capacidade de identificar movimentos ilegais em uma rede e eventualmente falhas em configurações de firewalls.

Filtrar o tráfego enviado é outra maneira de verificar se dados protegidos estão saindo ilegalmente para fora dos limites da rede. Esta tecnologia utiliza uma combinação de comparação exata de textos parciais (por exemplo, se está escrito no documento “Circulação Interna”), análise contextual e políticas de informações para alertar ao administrador quando documentos protegidos estão sendo enviados para além da área de abrangência da rede. O processo identifica tráfego malicioso e ocorrências acidentais como, por exemplo, um funcionário enviando um arquivo para o seu e-mail pessoal para poder trabalhar em casa. Esta técnica parece ser ideal, mas exige atenção aos resultados para filtrar falsos positivos e é inócua quando a criptografia está envolvida.

Incidentes intencionais com origem interna são planejados com antecedência e podem ser evitados com controles adequados. Práticas consistentes de administração e configurações adequadas permitem identificar alterações em aplicações ou a criação de autorizações para acessos remotos, condições que indicam a eminência de um incidente de segurança. A segregação das atribuições entre administradores e usuários com privilégios é uma forma de não permitir que uma só pessoa, independente da sua classificação na hierarquia, possa criar condições que permitam um ataque.

Os processos para desabilitar credenciais de acesso quando um empregado é desligado são importantes no contexto de segurança. Incidentes originados por funcionários insatisfeitos ou ex-colaboradores que ainda mantém acessos válidos continuam a existir, mas podem ser evitados por políticas de recursos humanos para monitorar e administrar o descontentamento ou comportamento suspeito de colaboradores e procedimentos automatizados que identificam credenciais órfãs (sem contrapartida na relação de funcionários da empresa).

Treinamento, análise de comportamentos e medidas administrativas são tão importantes quanto o uso intensivo de tecnologia para evitar o inimigo interno. Hackers estão refinando as técnicas de engenharia social com e-mails e web sites fraudulentos para conseguirem informações sensíveis e credenciais de acesso, iludindo pessoas desavisadas. Os ataques baseados em phishing4 e pharming5 estão entre as maiores preocupações dos profissionais de segurança, segundo a pesquisa da Ernest Young. A eficácia destes ataques em funcionários mal treinados é alarmante. A educação dos funcionários inclui a divulgação das políticas de segurança e as consequências relacionadas com o descuido no trato de dados corporativos ou dos recursos de rede. Procedimentos como ausência de exceções na política de privilégio mínimo (usuários, incluindo administradores, com acesso limitado aos recursos necessários para a sua atividade), endereços IP restritos e uso intensivo de relatórios de ocorrências (logs) para monitorar tentativas de conexão sem sucesso com aplicações, mais que recomendados, são obrigatórios.

4 Fraude eletrônica caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, contas bancárias ou número de cartões de crédito.

5 Corromper o DNS (Sistema de Nomes de Domínio) de uma rede, fazendo com que a URL (Localizador de Recursos) de um site passe a apontar para um servidor diferente do original.

Pag 2

Educação, capacitação e imposição são provavelmente os meios mais críticos para criar um ambiente de segurança para usuários e administradores. A divulgação continuada que todos na organização são responsáveis pela segurança das informações é importante.

TI – Um Caso Especial

Equipes de TI administram a criação de credenciais de acesso e isto pode ser um problema.

Pelo modo como o tratamento da informação é realizado, o maior risco à segurança pode estar localizado no departamento de Tecnologia da Informação. É normal em corporações diretores e gerentes não terem acesso a tipos de serviços que são usados livremente por funcionários ou mesmo estagiários da TI. O pessoal responsável pela disponibilidade e integridade dos dados pode acessar praticamente qualquer coisa na rede, quase sempre sem supervisão. Não é sem motivo que os malwares mais populares elejam como prioridade obter perfis administrativos, uma forma de ter acesso a um sistema sem ser detectado.

Para administrar esta ameaça, empresas estão tendo cuidados extras com suas equipes de TI, estabelecendo controles mais eficientes. Se algo der errado, é natural que as primeiras suspeitas sejam endereçadas aos que tem maior desenvoltura com privilégios de acesso. Já existem tecnologias que analisam o tráfego de rede e sinalizam eventos anormais, como funcionários abrindo arquivos não relacionados com sua atividade normal ou quando um colaborador que trabalha entre 8 da manhã e seis da tarde utiliza suas credenciais de acesso durante a madrugada. Existem também procedimentos que permitem analisar mudanças ao longo do tempo na linguagem utilizada para comunicação, mudanças do padrão podem sinalizar uma motivação para desviar dados ou sabotar a rede. É surpreendente como a linguagem muda quando pessoas estão descontentes, um indicador simples é o tamanho dos e-mails, por exemplo, alguém com um padrão de mensagens prolixas começa a redigir mails com meia dúzia de palavras. Outro indicador é o aumento do número de frases relacionadas com raiva, maior uso da palavra "eu", e sinais de pensamento polarizado, como uso das palavras "nunca" e "sempre".

Who Watches the Watchman?6

Onde as pessoas recebem mais responsabilidades e têm autoridade para executar ações diferenciadas ou conceder privilégios, o controle deve ser mais abrangente. Administradores com privilégios especiais com certeza estão capacitados para, caso acessem recursos protegidos, cobrir seus rastros. A política mais eficiente, neste caso, é sempre a dupla autorização, ou seja, ninguém está habilitado para, isoladamente, alterar os registros de acesso a arquivos com dados sensíveis.

6 Quem vigia o vigilante?

Pag 3