Fevereiro 4, 2021

Entender as ameaças internas antes da violação

Ankur Chadda

2020 acelerou projetos de transformação digital para muitas organizações. A adoção da nuvem e o acesso remoto aceleram-se, e grandes quantidades de funcionários trabalharam em casa durante muito tempo. Muitas organizações adotaram sistemas de prevenção contra perda de dados para proteger dados. Mas isso é apenas parte da equação—uma implementação de DLP moderna também deve entender a atividade em nível do usuário. Nesse sentido, nem todas as soluções de DLP são equivalentes.

Risk-Adaptive Data Protection: The Behavior-Based Approach

Dois exemplos recentes de ameaça interna mostram como informações erradas podem levar a decisões ruins. Em um caso, uma cientista de dados que monitorava casos de COVID-19 para a Flórida foi acusada recentemente de invadir o sistema de alertas de emergência do estado para enviar uma mensagem perturbadora cinco meses depois de ser demitida.

No outro, dezenas de funcionários dos correios no Reino Unido foram demitidos com acusação de furto. Todos declararam inocência e acusaram o sistema de erros. Os dois casos relembram-nos que o contexto é importante. Um sistema de prevenção contra perda de dados (DLP) que entende o contexto subjacente às interações das pessoas com dados poderia ter validado as preocupações de segurança ou mesmo inocentado funcionários.

O DLP tradicional não entende o contexto por trás das ações de indivíduos. Às vezes, as soluções de segurança têm reputação ruim de serem restritivas demais ou, na outra extremidade do espectro, ineficazes. Os exemplos acima mostram que é necessário um sistema baseado em comportamentos que possa marcar ou permitir automaticamente atividades de usuário com base no nível de risco. Vamos ver um cenário potencial:

E se uma funcionária copiasse milhares de arquivos para um pen drive ou compartilhamento de nuvem? Será que isso era parte do trabalho? Como os administradores de TI e segurança podem identificar a diferença entre atividade aprovada e não aprovada? Uma solução de DLP tradicional que não identifica a diferença simplesmente bloquearia a atividade.

Isso não é uma crítica ao DLP—é o que a tecnologia foi projetada para fazer, especialmente porque a segurança tradicional baseia-se em Indicadores de Comprometimento (IoC). Mas e se a rotina normal de sua funcionária inclui mover com frequência grandes quantidades de dados para uma nuvem de terceiros para análise? Um sistema de DLP com análise inteligente de comportamento reconheceria esse comportamento como normalizado, mas ainda marcaria a atividade como risco potencial, para que a segurança tivesse visibilidade, sem deixar de permitir que a funcionária trabalhasse.

Portanto, agora, vamos voltar aos exemplos do mundo real para ver como podemos tornar as equipes de segurança mais eficazes e eficientes com esse conceito. Na Flórida, o sistema de segurança deveria ter revogado as credenciais assim que a funcionária foi afastada. Contudo, se a conta estava ativa, como a do Reino Unido, um sistema de proteção de dados com base em comportamento elevaria a visibilidade da atividade arriscada. Um sistema baseado em Indicadores de Comportamento (IoBs) teria mostrado que a atividade de usuário estava normal, o que teria validado os argumentos de que os funcionários não fizeram nada errado. Se as ações fossem consideradas de alto risco ou ilegais, o sistema bloquearia o acesso automaticamente e alertaria a equipe de segurança.

Primeiro passo para desenvolver uma abordagem baseada em comportamento: criar um perfil de atividade normal como referência para Indicadores de Comportamento, para analisar as interações de usuários com dados e aplicativos. Essa abordagem permite que as organizações avaliem o risco constantemente, de forma que as equipes de segurança possam observar ou bloquear violações potenciais antes que ocorram. Os IoBs trazem visibilidade para comprometimentos potenciais com contexto muito mais valioso e necessário.

Esse contexto do comportamento fornece insight sobre atividades que geram risco para funcionários, dados críticos e a organização em geral. Mas como as organizações podem dimensionar o monitoramento em tempo real e constante? É onde entra a automação. Nossa solução automatiza o processo, para permitir que as ações normais que apoiam a produtividade possam continuar. Também pode marcar ações questionáveis e responder proativamente a risco potencial sem necessidade de intervenção das equipes de Operações de Segurança. É por isso que os IoBs são importantes. Para a Forcepoint, formam a base do que denominamos Proteção de Dados Adaptável a Riscos. Um DLP corporativo melhor da categoria, turbinado com análise de comportamento, entregue como um serviço ou no local.

Esta é uma visão geral de como a nossa abordagem de proteção de dados adaptável a riscos funciona, por Petko Stoyanov, nosso CTO Global de Governos:

Entender os IoBs e o contexto de cenários como esses é um motivo imenso pelo qual a cibersegurança baseada em comportamento é uma grande melhoria em relação aos métodos tradicionais de proteção de dados. Para saber mais, confira nosso novo eBook sobre proteção de dados adaptável a riscos. Ele explica como a análise de comportamento pode ajudar a identificar comportamentos arriscados que são sinais digitais de violações potenciais.

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.

Ankur Chadda

Ankur serves as Principal Solutions Manager for the company. He brings over 20 years of experience in the technology industry and leads the product marketing efforts for data protection solutions leveraging his UEBA startup experience where he helped global enterprises implement behavior...

Read more articles by Ankur Chadda