Desculpe decepcioná-lo, mas não, a declaração de missão da NSA não é "Em Deus Confiamos, aos outros Monitoramos", mas algo muito menos controverso, embora mais ambicioso, eu acho: "Defendendo nossa Nação. Garantindo o Futuro".
Independentemente disso, senti que esse mito urbano era uma introdução perfeita para este blog, onde eu queria compartilhar algumas ideias sobre como as empresas poderiam lidar com o problema da "ameaça interna".
A ameaça interna, seja intencional ou devido a ações equivocadas de um funcionário atual ou anterior, contratado, etc., é frequentemente citada como a principal fonte de violações de dados.
GRC Tuesdays: Uma Resposta Eficiente de Cibersegurança Requer o Perfil de Violações de Dados
.
Apesar desse achado, que está longe de ser novo e é citado regularmente por analistas especializados, muitas empresas ainda estão na fase inicial de mitigação desse risco.
Neste breve blog, gostaria de sugerir algumas opções que, combinadas, podem ajudar as empresas a proteger melhor as informações armazenadas em seus sistemas. Portanto, não monitorar o perímetro, mas os dados em si.
Claro, minha primeira sugestão seria recomendar um processo de governança de acesso que defina com precisão as políticas de acesso e autorizações dos usuários, mas aqui gostaria de ir um passo além, pois considero que a abordagem de governança de acesso já é perfeitamente compreendida pela maioria das organizações.
Bloquear a informação
O primeiro passo que você poderia considerar é limitar a superfície de ataque ao reduzir o risco de vazamento de dados sensíveis. Para fazer isso, por que não mascarar dados específicos que não são necessários para que os usuários realizem suas tarefas diárias? Em resumo: trabalhar com base na necessidade de saber. Essa proteção pode estar associada a funções ou por meio de atributos para regras mais granulares e precisas, de modo que desmascarar exija direitos de acesso explícitos. Por exemplo, um operador de serviço de suporte de TI que o ajuda a resolver problemas de acesso ao seu portal de seguros precisa poder acessar suas informações médicas detalhadas?
Considere isso como o controle de cruzeiro em seu carro. Se estiver configurado e, a menos que você decida desativá-lo, não será pego por excesso de velocidade.
Registrar as ações dos usuários
Em alguns casos, mascarar a informação não é possível, pois os usuários precisam acessá-la precisamente para realizar seu trabalho. Aqui, a ideia é manter os dados acessíveis, mas registrar o acesso para análise posterior. Chegaremos a esse ponto no próximo item da lista.
Isso ajudará a garantir o acesso de dados conforme, mas também permitirá a identificação rápida e inquestionável de acessos irregulares aos dados, se necessário.
Seguindo minha analogia automobilística anterior, isso seria como a câmera de velocidade. Se você soubesse que há uma câmera de velocidade ativa na parte da estrada em que está dirigindo e que registrará sua placa se você exceder o limite de velocidade, você realmente dirigiria rapidamente na frente dela?
Esta opção de "registro" pode parecer atraente, mas também pode significar que os departamentos de cibersegurança podem rapidamente ficar sobrecarregados com registros para análise em caso de grandes organizações ou empresas que lidam com informações pessoais como parte da maioria dos processos. De fato, isso aumenta o risco de que falsos positivos sejam gerados regularmente em grandes quantidades, e, portanto, poderia exigir muita revisão manual.
Monitorar os registros para identificar anomalias e a extensão de uma violação
Isso nos leva ao nosso 3º e último ponto da lista: monitoramento.
Usando todos os registros anteriores, mas também potencialmente registros de outras soluções, os especialistas em cibersegurança podem executar automaticamente padrões de detecção para identificar anomalias. Com a ferramenta certa de monitoramento de atividades, encontrar a agulha no palheiro realmente se torna possível sem ter que queimar todo o palheiro e revisar as cinzas com um ímã.
Além disso, isso ajuda os investigadores a identificar e interromper os perpetradores de forma oportuna e, se as ações maliciosas já foram realizadas, também os ajuda a entender a extensão da violação de dados para notificar as partes relevantes, incluindo os clientes afetados e os reguladores.
Claro, isso pode incluir registros de ações realizadas com um status de superusuário temporário (também conhecidos como IDs de FireFighter), pois esse é um dos acessos mais sensíveis ao conceder a capacidade de alterar informações críticas diretamente em um sistema produtivo.
A maioria das empresas, é claro, rastreia esses acessos privilegiados, mas algumas podem não obter informações precisas sobre o que realmente foi realizado, exceto no relatório feito pelo superusuário após o fato.