Introdução
A trajetória interna, seja de um funcionário insatisfeito ou negligente, é algo familiar para muitas organizações. O Relatório de Ameaças Internas da Securonix de 2020 constatou que 60% dos casos de ameaças internas com os quais lidaram envolviam um funcionário com "risco de fuga" ou um indivíduo que estava se preparando para deixar o emprego. No ecossistema cibernético de hoje, identificar essas ameaças se tornou mais importante do que nunca, uma vez que mais organizações são responsáveis por informações de identificação pessoal (PII) e propriedade intelectual (IP) do que nunca. Como toda organização provavelmente é responsável por dados confidenciais e tem esses usuários com "risco de fuga", é necessária uma estratégia para lidar com as ameaças internas.
Neste blog, vamos resumir um estudo que realizamos com 58.314 pessoas que deixaram seus empregos, os comportamentos que elas apresentaram antes de deixá-los e a natureza dos dados que tentaram levar com elas. Além disso, descreveremos algumas técnicas que você pode usar em seu próprio ambiente para encontrar casos semelhantes de exfiltração de dados via aplicações na nuvem.
Descobrimos que durante os últimos 50 dias de contratação ocorre a maior parte da movimentação de dados.
A análise apresentada no blog post é baseada em dados anônimos coletados pela plataforma Netskope Security Cloud para um subconjunto de clientes Netskope com autorização prévia.
Scope
Ameaça interna pode significar uma variedade de coisas, mas por uma questão do escopo desta pesquisa, quando dizemos usuário interno, nos referimos a um indivíduo que exfiltrou dados corporativos confidenciais usando aplicações na nuvem, em que dados confidenciais são definidos como dados que poderiam prejudicar uma organização caso fossem vazados para o público ou para um concorrente.
Nosso foco não está nos usuários internos que fazem qualquer uma das seguintes coisas:
- Uso de uma unidade USB para mover dados
- Imprimir documentos e sair do prédio com eles
- Tirar fotos de um monitor com seus telefones
Visão geral de nossa abordagem
Nossa abordagem para lidar com esse tipo de ameaça pode ser baseada em três coisas:
- Ter a arquitetura correta para monitorar o tráfego na nuvem
- Aplicar rótulos aos dados que estão sendo movidos
- Analisar os dados em busca de comportamentos anômalos
Arquitetura
Para identificar com sucesso o movimento de dados do ambiente corporativo para a nuvem, monitoramos os logs de forward proxy e os logs de auditoria de API. Os logs de forward proxy são capazes de identificar a movimentação de dados para aplicações na nuvem gerenciadas e não gerenciadas. E os logs de auditoria identificam o acesso de dispositivos gerenciados e não gerenciados. Todas essas informações são anonimizadas e analisadas em busca de anomalias.
Aplicação de rótulos
O tráfego na nuvem precisa ser rotulado por meio de dois mecanismos para que possamos obter o máximo de informações sobre os logs.
Aplicação de rótulos nas instâncias
Aplicamos rótulos de instância observando a própria aplicação, o nome da instância extraída pelo proxy e o domínio do nome de usuário usado para logar nela. Por exemplo, um usuário chamado John, que trabalha na Acme, usa o Google Gmail para correspondência pessoal, e a Acme fornece a ele uma conta do Google Gmail para correspondência comercial. Consideramos essas duas instâncias do mesmo aplicativo: a pessoal de John e a da organização Acme.
| Aplicação | Domínio | Rótulo |
|---|---|---|
| Google Drive | acme.com | Negócios |
| Google Drive | gmail.com | Pessoal |
| Google Drive | foobar.com | Desconhecido |
Aplicação de rótulos nos dados
Para aplicar rótulos nos dados, os arquivos no tráfego são enviados ao DLP para garantir a conformidade com as políticas de DLP configuradas pela organização. Quando os arquivos que violam as políticas definidas pela organização são movidos, um alerta é emitido.
Quando esses rótulos são aplicados aos dados, o resultado se parece com o seguinte:
| Usuário | App | Rótulo da instância do aplicativo | Activity | Nome do arquivo | Violação de DLP |
|---|---|---|---|---|---|
| [email protected] | Google Drive | pessoal | upload | black_project.docx | Secret project code names |
Detecção de Anomalias
Todos os eventos acima são então enviados a uma ferramenta de detecção de anomalias que é capaz de identificar desvios incomuns do comportamento base dos indivíduos. É considerada como anomalia a movimentação de dados que viola a política corporativa de DLP.
A detecção de anomalias procura picos de atividades que sejam diferentes do comportamento base do usuário. Por exemplo, se um usuário normalmente faz upload de menos de 2 MB para aplicações pessoais, mas de repente faz upload de 2 TB para seu Google Drive pessoal em um dia, isso é considerado um comportamento anômalo.
A chave para detectar com precisão as ameaças internas que exfiltram dados para aplicações na nuvem é ter todos os três componentes: rótulos de instância, rótulos de dados e detecção de anomalias. A omissão de um ou mais deles resulta em uma diminuição significativa da eficácia da detecção.
Exfiltração de dados
15% dos funcionários com "risco de fuga" transferiram dados para aplicações pessoais na nuvem, mas apenas 2% deles violaram as políticas corporativas.
Os 2% de "riscos de fuga" que violaram as políticas corporativas mudaram:
- 94% dos arquivos nos últimos 91 dias
- 84% dos arquivos nos últimos 49 dias
- 74% dos arquivos nos últimos 28 dias
- 49% dos arquivos nos últimos 14 dias
Portanto, se você monitorar os últimos 14 dias de trabalho, poderá detectar cerca de metade dos arquivos que estão sendo exfiltrados. Para detectar todos os 2% dos usuários, você precisaria de uma análise proativa por um período mais longo.
Conclusão
Neste blog, analisamos os insights que obtivemos ao acompanhar mais de 58 mil usuários que deixaram seus empregos. Vimos que cerca de 2% deles manipularam mal os dados corporativos antes de sair. Embora 2% possam não parecer muito, os dados visados por esses indivíduos acabam sendo cerca de 70% IP e PII. Para mitigar isso, precisamos:
- Entender que 2% dos usuários de "riscos de fuga" levam dados confidenciais consigo
- E que 75% dos dados são carregados nos últimos 50 dias, antes do aviso típico de 14 dias
- Mas, ao monitorar a natureza, o volume,e a direção dos dados movidos, pudemos detectar esses casos.
Se você gostou dos insights desta postagem do blog, acompanhe as últimas novidades do Netskope Threat Labs aqui.
