Insider Threats

Estamos convidando os inimigos a entrar?

Miriam von Zuben

miriam@cert.br
!

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil

Ncleo de Informao e Coordenao do Ponto BR
Comit Gestor da Internet no Brasil

GTS-23, Itaja, SC, 15/05/2014

Agenda
Introduo
Problemas causados
Exemplos
Categorias
Deteco e preveno
Leituras recomendadas

GTS-23, Itaja, SC, 15/05/2014

Introduo

GTS-23, Itaja, SC, 15/05/2014

O que um insider threat?

Insider threat (atacante interno) um:
funcionrio ou ex-funcionrio
prestador de servio, parceiro ou funcionrio terceirizado

que possui/possuiu acesso a dados, sistemas ou rede de uma

organizao
que de forma intencional ou no intencional:
excede
mal utiliza
no utiliza esse acesso

ocasionando no prejuzo ou na possibilidade de prejuzo de

informaes e sistemas desta empresa

http://resources.sei.cmu.edu/asset_files/TechnicalReport/2012_005_001_34033.pdf
GTS-23, Itaja, SC, 15/05/2014

Principais caractersticas (1/2)

Insiders possuem direito de acesso a:
informaes, sistemas, bases de dados

Esto um passo a frente em relao aos atacantes externos

conhecem as jias da coroa

Podem contornar mecanismos de segurana

acessos legtimos
difceis de serem detectados
envolvem fatores humanos
como saber se uma empresa j teve problema ou no?
como saber se algo no foi detectado?

Ataques externos X internos:

externos: maior quantidade
internos: causam mais danos

GTS-23, Itaja, SC, 15/05/2014

Principais caractersticas (2/2)

Motivao:
financeiras
extorso

vingana
expectativas no atendidas
ideolgicas
conluio com underground ou crime organizado
falta de conhecimento, ingenuidade (no intencional)

GTS-23, Itaja, SC, 15/05/2014

Problemas causados

GTS-23, Itaja, SC, 15/05/2014

Problemas causados por insider threats (1/4)

2013 US State of Cybercrime Survey
53% tiveram problemas com insider threats
53% tiveram problemas mais graves com insider threats do que com
ataques externos
incidentes mais comuns

Exposio no intencional de dados privados ou sensveis 34%

Furto de propriedade intelectual 34%
Acesso no autorizado a informaes, sistemas e redes 30%
Furto de informaes de clientes ou financeiras 31%

82% resolveram os problemas internamente

http://www.pwc.com/us/en/increasing-it-effectiveness/publications/us-state-of-cybercrime.jhtml
http://resources.sei.cmu.edu/asset_files/Presentation/2013_017_101_58739.pdf
GTS-23, Itaja, SC, 15/05/2014

Problemas causados por insider threats (2/4)

2013
Privilege Gone Wild Report
BeyondTrust
28% acessaram informaes
no relevantes ao trabalho
relatrios financeiros, salrios,
RH, docs pessoais

65% das empresas possuem

mecanismos de controle
54% sabem como despist-los

44% possuem acessos

desnecessrios

http://www.infosecurity-magazine.com/view/35273/insiders-with-privileged-accounts-often-accesssensitive-info-they-dont-need/
GTS-23, Itaja, SC, 15/05/2014

Problemas causados por insider threats (3/4)

2014
Reporte do MI5
empresas estrangeiras de
inteligncia visando
profissionais de TI para obter
dados sensveis
the abuse of privileged credentials
is the next frontier for cyber-crime
against enterprises Paul Ayers,
vice presidente da EMEA

http://www.infosecurity-magazine.com/view/38296/mi5-spies-and-thieves-are-target
GTS-23, Itaja, SC, 15/05/2014

Problemas causados por insider threats (4/4)

Cloud Computing
The Notorious Nine - Cloud Computing Top Threats in 2013
Acesso de informaes
quem possuiu acesso?
informaes criptografadas?
quem possui acesso s chaves?

https://downloads.cloudsecurityalliance.org/initiatives/top_threats/
The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf
GTS-23, Itaja, SC, 15/05/2014

Exemplos

GTS-23, Itaja, SC, 15/05/2014

Exemplos de insider threats (1/6)

Difceis de serem achados
Organizaes no tornam casos pblicos
problemas so tratados internamente

falta de evidncias e provas

dano insuficiente
dificuldade de identificar o(s) autor(es)
preocupao com publicidade negativa

EUA: leis obrigando empresas a notificarem vazamento de

informaes de identificao pessoal

GTS-23, Itaja, SC, 15/05/2014

Exemplos de insider threats (2/6)

2009
Funcionrio da Abin
238 senhas hackeadas
detectado por um fluxo
atpico de dados em uma
estao de trabalho

http://www.correiobraziliense.com.br/app/noticia/politica/2012/09/21/interna_politica,323675/
planalto-se-cala-sobre-espiao-preso-apos-roubar-informacoes-dos-colegas.shtml
GTS-23, Itaja, SC, 15/05/2014

Exemplos de insider threats (3/6)

2014
Detran AM
Instalao de spyware
Fraude:
retirada de pontos de CNH

http://g1.globo.com/am/amazonas/transito/noticia/2014/02/detran-am-descobre-programa-espiaoem-sistema-e-afasta-estagiarios.html
GTS-23, Itaja, SC, 15/05/2014

Exemplos de insider threats (4/6)

2014
Administrador de redes
Alvo: Marinha americana e
diversas empresas
Objetivo:
furtar dados pessoais
danificar computador
protegido

Informaes coletadas
postadas via Twitter
Membro do grupo hacker
Team Digi7al

http://www.govinfosecurity.com/navy-systems-admin-faces-hacking-charge-a-6816
GTS-23, Itaja, SC, 15/05/2014

Exemplos de insider threats (5/6)

2013
Edward Snowden
vazamento de informaes
uso de senhas de colegas
de trabalho

http://www.govinfosecurity.com/navy-systems-admin-faces-hacking-charge-a-6816
GTS-23, Itaja, SC, 15/05/2014

Exemplos de insider threats (6/6)

2008
Administrador era o nico a
possuir a senha de acesso ao
roteador
insubordinao

http://www.govinfosecurity.com/navy-systems-admin-faces-hacking-charge-a-6816
GTS-23, Itaja, SC, 15/05/2014

Categorias

Fonte: The CERT Guide to Insider Threats

http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=30310

GTS-23, Itaja, SC, 15/05/2014

Categorias (1/5)
Sabotagem
Causar danos organizao
Perfil:
posies tcnicas: administradores de redes, sistemas e dados
motivaes:
descontentamento, falta de reconhecimento, sentir-se injustiado

costumam ocorrer logo aps a demisso

mas podem ter sido preparados h muito tempo

Forma:

implantao de bombas lgicas (logic bomb)

incluso de backdoors e outros malware
mudana de senhas
explorao de vulnerabilidades
instalao de ferramentas maliciosas, de acesso remoto
desativao de logs e antivrus
extorso

GTS-23, Itaja, SC, 15/05/2014

Categorias (2/5)
Fraude
Manipulao de dados para ganhos prprios
Vazamento de dados
Perfil:
funcionrios ativos
durante horrio de trabalho
conluio com atacantes externos

Pode ficar muito tempo at ser detectado

Quanto mais alto o cargo maiores podem ser os danos
Espionagem
Entre pases e empresas

GTS-23, Itaja, SC, 15/05/2014

Categorias (3/5)
Furto de propriedade intelectual
Espionagem industrial
Informaes furtadas para:
conseguir novo emprego
abrir negcio prprio
vender para outras empresas

Envio de informaes

e-mail, pen-drive, CDs

acessos indevidos
notebooks, dispositivos mveis
ssh, ftp, telnet

GTS-23, Itaja, SC, 15/05/2014

Categorias (4/5)
No intencionais
Causadas por uma ao:
uso de engenharia social
exemplos:
vazamento de informaes
instalao de cdigos maliciosos
APT, malware, phishing
descarte de discos, pen-drives, papis
perda de equipamentos

GTS-23, Itaja, SC, 15/05/2014

Categorias (5/5)
No intencionais
Causadas por falta de ao
omisso, desleixo, falta de comprometimento

NO instalao de correes de segurana

NO fazer backups
NO utilizar criptografia
NO utilizar tcnicas de programao segura
NO configurar os sistemas corretamente
NO usar senhas fortes
NO bloquear estao de trabalho

BYOD, pode facilitar:

vazamento de dados
perda de dados
propagao de malware

GTS-23, Itaja, SC, 15/05/2014

Deteco e
Preveno

Fonte: The CERT Guide to Insider Threats

http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=30310

GTS-23, Itaja, SC, 15/05/2014

Deteco e preveno (1/4)

Empresas com dificuldade em perceber a extenso do problema
preocupadas mais com ameaas externas que internas

Difceis de serem prevenidos

atacantes exercendo aes autorizadas
possuem acesso legtimo a dados, sistemas e equipamentos
possuem conhecimento sobre sistemas, computadores, topologia,
infra-estrutura, etc.

Apenas indicadores tcnicos so insuficientes

precisam ser combinados com indicadores comportamentais

Criar grupo multidepartamental para lidar com esses casos

TI, RH, jurdico, etc
antecipar comportamentos negativos

GTS-23, Itaja, SC, 15/05/2014

Deteco e preveno (2/4)

Modo de operao:
a partir do momento que um atacante externo possui acesso interno a
uma rede/sistema pode agir da mesma forma que um atacante interno
proteo contra atacantes internos tambm previnem contra
atacantes externos

Devem ser includos na anlise de risco

Definio de polticas
separao de tarefas, privilgio mnimo
desligamento de funcionrios
backup e recuperao de dados
BYOD

Acordos claros com servios de cloud computing

GTS-23, Itaja, SC, 15/05/2014

Deteco e preveno (3/4)

Gerenciamento de contas e senhas
controle de acesso restrito a usurios com acessos privilegiados

Uso de ferramentas de correlao de logs

Estabelecer o que um comportamento normal de rede
Controle e monitorao
logs, auditorias, firewall
acessos remotos
deteco pode ocorrer via relato de outros funcionrios
desconfiana, mudanas comportamentais

Ficar a atento a:
redes sociais
data exfiltration (pen-drives, HDs, CDs)

GTS-23, Itaja, SC, 15/05/2014

Deteco e preveno (4/4)

No intencionais:
treinamento constante contra:
engenharia social
malware, phishing
proteo de informaes

custos com treinamento e conscientizao de usurios podem ser

baixos se comparados com os danos que podem causados

GTS-23, Itaja, SC, 15/05/2014

Leituras Recomendadas

GTS-23, Itaja, SC, 15/05/2014

The CERT Guide to Insider Threats

http://www.cert.org/insider-threat/

GTS-23, Itaja, SC, 15/05/2014

Perguntas?
Miriam von Zuben.
miriam@cert.br
CGI.br Comit Gestor da Internet no Brasil
http://www.cgi.br/
NIC.br Ncleo de Informao e Coordenao do .br
http://www.nic.br/
CERT.br Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil
http://www.cert.br/
Cartilha de Segurana para Internet
http://cartilha.cert.br/

GTS-23, Itaja, SC, 15/05/2014