Máquina Virtual e Proxy Server: armas usadas pelo agente malicioso interno para atacar a organização e o mundo

Por Arley Brogiato – Diretor da SonicWall América Latina e Caribe

Salvador, 13/04/2023 – É comum que a estratégia de cibersegurança das organizações esteja mais voltada para as ameaças externas do que internas. Neste modelo, o time que responde ao CISO trabalha sem cessar para bloquear o mal que vem de fora, violações que tentam explorar vulnerabilidades técnicas e de comportamento dos usuários. É nesta categoria de ameaças que se encaixa, por exemplo, a explosão de Ransomware no Brasil. A edição 2023 do Relatório de Ameaças Cibernéticas SonicWall revela que o Brasil é o quarto maior alvo deste tipo de ataques no mundo, atrás somente dos EUA, Reino Unido e Espanha. Os experts da SonicWall identificaram mais de 21 milhões de tentativas de Ransomware contra o país.

Ao longo dos últimos anos têm crescido também a importância estratégica de se lutar em outra frente de batalha: os ataques gerados dentro de casa.

O estudo Cost of Insider Threats: Global Report, realizado em 2020 pela IBM/Instituto Ponemon a partir de entrevistas com os líderes de tecnologia de 204 grandes organizações de todo o mundo revela dados impactantes. 60% das organizações pesquisadas tiveram mais de 20 incidentes relacionados a agentes internos por ano; 23% dos incidentes relacionados a violações foram atribuídos a agentes internos criminosos. O estudo mostra, ainda, que as empresas gastam, em média, USD 755.760 a cada incidente relacionado a agentes internos.

O perfil do agente interno malicioso

É importante, no entanto, discernir o que é um usuário negligente, que faz seu trabalho sem buscar o alinhamento às melhores práticas de segurança digital, e o que é um agente interno malicioso.

Este segundo perfil diz respeito a pessoas que usam indevidamente os dados e a rede corporativa com o propósito de realizar ações ilícitas. O foco pode ser tanto em prejudicar a própria empresa onde trabalha ou, então, usar os recursos digitais da organização para disparar ataques contra outros alvos.

Em todos os casos, agentes internos maliciosos são mais difíceis de se detectar do que as ameaças externas, porque eles se esforçam ao máximo para não deixar pistas – sua presença dentro da empresa depende de não serem pegos. Eles são mais difíceis de se identificar também por terem acesso legítimo a recursos digitais devido à função que exercem na empresa.

Os ataques internos acontecem em todas as verticais e regiões do mundo.

•  Facebook: Em 2018, a Facebook descobriu que um engenheiro de segurança estava usando ferramentas e dados internos para assediar mulheres.

•  Coca-Cola: Uma investigação interna revelou que um funcionário da Coca Cola copiou dados de aproximadamente 8.000 funcionários para um disco externo pessoal.

•  Suntrust Bank: Um ex-funcionário do SunTrust roubou 1,5 milhão de nomes, endereços, números de telefone e saldos de contas de clientes do banco.

Um agente interno malicioso utiliza várias estratégias para apagar seus rastros. Mas há alterações do ambiente que podem indicar uma ameaça em potencial.

• Múltiplas tentativas de acessar websites bloqueados.
• Desativação não autorizada de configurações de firewall.
• Instalação de malware.
• Instalação de software não autorizado.
• Acesso remoto à rede e a dados fora do horário comercial ou em horário de trabalho irregular.
• Levar para casa máquinas corporativas sem permissão.
• Instalação de hardware ou software para acessar remotamente o sistema.
• Troca de senhas de contas não autorizadas.

Proxy para acessar a Dark Web a partir da rede corporativa

No ano passado, no evento RSA Conference USA, falava-se nos corredores e nas breaking sessions sobre uma nova tendência em ataques internos: profissionais que utilizam o ambiente digital da empresa onde trabalham para disparar ataques criminosos contra outras empresas do mercado. Trata-se de um fato novo que ainda não conta com estudos estatísticos analisando essa questão.

Mas os vestígios eram claros. Era o caso de uma empresa norte-americana que não realizava negócios com a Rússia, o Vietnã ou os Países Baixos subitamente passar a trocar dados com endereços IP criptografados nestas regiões. Outro indício comentado nas conversas da RSA 2022 era o crescimento exponencial de uso de banda da rede, inclusive fora do horário comercial.

Quando a empresa usuária trabalha com firewalls de gerações anteriores, é comum que o uso de um Proxy Server para acesso indevido a sites e organizações da Dark Web passe desapercebido. É impossível ser um criminoso digital e ficar à margem da Dark Web. Para evitar que o Proxy utilizado pelo agente interno malicioso engane o firewall e permita o acesso à Dark Web, seria estratégico utilizar um Firewall Next Generation que identifique usuários acessando a Internet por meio de um Proxy Server.

Máquinas virtuais a serviço do crime

Ao realizar a engenharia reversa destes crimes, o time de cibersegurança de algumas empresas identificou, ainda, que muitos dos Endpoints dos agentes internos maliciosos eram configurados como a base de máquinas virtuais. São sistemas virtuais com alto poder de processamento que podem estar completamente fora do radar do time de TI.

Para enfrentar essa ameaça, é recomendável contar com os recursos de proteção de soluções sob medida para a defesa de Endpoints. Trata-se de plataformas de segurança “clientless” – ou seja, não possuem componentes instalados no Endpoint, o que preserva a performance desse computador – que protegem o PC a partir de análises comportamentais muito sofisticadas. Essa inteligência efetivamente identifica as tentativas de acesso indevido ou a configuração de máquinas virtuais para fins espúrios. No caso de haver a suspeita de um cibercrime, a solução coloca imediatamente esse PC em quarentena, evitando que o agente malicioso siga usando os recursos digitais da empresa para cometer violações.

O menu de crimes digitais está em constante expansão. O colaborador que se transforma em criminoso digital pode ter muitas motivações – ressentimento contra a organização, busca do lucro a qualquer preço, simples falta de caráter. Soluções de segurança que lançam luz sobre atos espúrios cometidos no ambiente corporativo são essenciais para evitar este quadro. Mas é fundamental, também, construir políticas de cibersegurança que engajem todo o corpo de colaboradores. Vestir a camisa da empresa significa, hoje, ser um aliado do CISO.

Últimas notícias

Mídia
Guia TI Bahia é única mídia que indica negócios para os seus parceiros

Salvador, 24/04/2024 – No Instagram, a concorrência é realmente acirrada, e muitas empresas buscam se destacar nessa plataforma. No entanto, é importante considerar outras estratégias além das redes sociais para promover o seu negócio. O Guia TI Bahia é uma excelente opção para empresas de tecnologia que desejam ampliar sua visibilidade. Com 16 anos de […]
Artigos
Tecnologia, conexões humanas e vulnerabilidade: reflexões para o futuro da inovação

Por Ornella Nitardi, head de Inovação Aberta e Ecossistemas Digitais para América do Sul da BASF Salvador, 24/04/2024 – Os grandes eventos do ecossistema de inovação são sempre um imenso caldeirão de ideias, pessoas interessantes, conteúdos muito ricos e das mais diversas temáticas, além inúmeras atividades acontecendo ao mesmo tempo. Houve vários nessa primeira parte […]
Educação
CESAR School oferece quase 2 mil vagas gratuitas em cursos de tecnologia

Estão abertas as inscrições para o FAST Aceleração de Carreiras, em que profissionais de inovação serão capacitados, e para o FAST Transição de Carreiras, que ajuda na mudança para o setor de tecnologia Salvador, 24/04/2024 – A oportunidade de se aprofundar em áreas altamente requisitadas pelo mercado de tecnologia, de maneira ágil e com instrutores […]
Segurança
Aumentam ataques cibernéticos com alvo a instalações físicas

Em todo o mundo, grupos de ransomware têm intensificado ataques em redes de tecnologia operacional; especialistas alertam sobre medidas de prevenção Salvador, 24/04/2024 – As redes de tecnologia operacional (TO) estão cada vez mais na mira dos criminosos em todo o mundo – e também no Brasil. Ao menos 68 ataques a essas redes foram […]
Artigos
Como a Inteligência Artificial pode reduzir os falsos alarmes?

Por Camila Rissi, Cofundadora e CEO da Monuv Salvador, 24/04/2024 – A inteligência artificial (IA) tem se estabelecido como uma das tecnologias mais impactantes do século XXI, oferecendo inúmeras possibilidades de automação, otimização e aprimoramento em diversos setores da sociedade. Uma das áreas em que a IA tem demonstrado um impacto especialmente significativo é na […]

Menu