5 lições de segurança do programa de ameaças internas do FBI
Ameaças internas podem não ter conseguido chamar tanto a atenção quando as APTs conseguiram na Conferência da RSA deste ano. No entanto, duas apresentações realizadas pelo FBI roubaram a cena durante uma sessão que ofereceu aos profissionais de segurança corporativa algumas lições aprendidas na agência depois de mais de uma década de esforços para identificar profissionais internos maliciosos, após o desastroso caso de espionagem de Robert Hanssen.
1. Ameaças internas não são hackers.
Geralmente, as pessoas acham que os insiders mais perigosos são hackers rodando ferramentas tecnológicas especiais em redes internas. Não é bem assim, disse Patrick Reidy, CISO para o FBI.
Geralmente, as pessoas acham que os insiders mais perigosos são hackers rodando ferramentas tecnológicas especiais em redes internas. Não é bem assim, disse Patrick Reidy, CISO para o FBI.
“Você lida com usuários autorizados fazendo coisas autorizadas com objetivos maliciosos”, disse ele. “Na verdade, analisando 20 anos de casos de espionagem, nenhum deles envolvia pessoas rodando ferramentas de hackeamento ou aumentando privilégios com propósito de espionagem”.
Reidy conta que menos de um quarto dos incidentes internos rastreados por ano acabam se comprovando acidentais, ou o que ele chama de “problemas com pessoas tolas”. No entanto, no FBI, a equipe de ameaças internas passa 35% do tempo lidando com esses problemas. Ele acredita que o FBI e outras organizações deveriam buscar maneiras de “automatizar o conjunto de problemas” focando em melhor educação para o usuário. Deixar esses incidentes simples de lado dá mais tempo à equipe de ameaças internas para concentrar em problemas mais complexos com profissionais maliciosos, disse ele.
2. Ameaças internas não são apenas questões técnicas ou de cibersegurança.
Diferente de muitas outras questões envolvendo segurança da informação, o risco de ameaças internas não é um problema técnico, mas problema centrado em pessoas, disse Kate Randal, analista de ameaças internas e pesquisadora-líder do FBI.
“Assim, você precisa buscar soluções centradas em pessoas”, disse ela. “As pessoas são multidimensionais, portanto, você precisa de uma abordagem multidisciplinar”.
Isso começa com esforços focados na identificação e na observação de seus funcionários, seus possíveis inimigos e os dados que podem estar em risco. Em especial, em entender quem seus funcionários realmente são, devendo ser examinados por três importantes ângulos informacionais: virtual, contextual e psicossocial.
“A combinação desses três fatores é a parte mais poderosa dessa metodologia”, disse Randal. “Em um mundo ideal, gostaríamos de coletar o máximo possível sobre essas áreas, mas isso nunca vai acontecer. Então, o mais importante é adotar um método trabalhando com seu departamento jurídico e de gestão para definir o que funciona melhor dentro das limitações de seu ambiente”.
3. Um bom programa de ameaças internas deve focar no desencorajamento, não na detecção.
Durante um tempo, o FBI preferiu utilizar análises preditivas para ajudar a prever comportamento interno antes de atividades maliciosas. Em vez de desenvolver uma poderosa ferramenta para parar criminosos antes do ato, o FBI acabou com um sistema que era estatisticamente pior do que desmascarar comportamento suspeito. Comparada com as habilidades preditivas do Punxsutawney Phil, a marmota do Dia da Marmota (dos EUA), o sistema foi ainda pior para prever atividades maliciosas internas, disse Reidy.
“Teríamos resultados melhores se contratássemos Punxsutawney Phil e colocássemos em frente a todos os funcionários perguntando “este tem ou não comportamento malicioso?””, disse ele.
Em vez de se prender em previsões e detecção, ele acredita que as organizações devem começar com o desencorajamento.
“Temos de criar um ambiente em que seja realmente difícil ou desconfortável ser um insider”, disse ele, explicando que o FBI faz isso de diversas formas, incluindo segurança em crowdsourcing, permitindo que cada usuário criptografe seus próprios dados, classifique como secreto e pense em novas maneiras de protegê-los. Além disso, a agência encontrou maneiras de criar “alertas” para que os usuários saibam que a agência tem essas políticas em vigor e que as interações com os dados são vigiadas.
4. A detecção de ameaças internas deve utilizar técnicas baseadas em comportamento.
Seguindo o fracasso do desenvolvimento de análises preditivas eficientes, o FBI partiu rumo a uma metodologia de detecção comportamental, que se comprovou mais eficiente, disse Reidy. A ideia é detectar comportamento malicioso interno naquele momento crucial em que um bom funcionário se rebela.
“Observamos como as pessoas operam no sistema, dentro de um contexto, e tentamos criar linhas de partida e procuramos anomalias”, disse ele.
Qualquer que seja o tipo de análise utilizada pela organização, seja um arquivo comportamental ou dados sobre interações com arquivos, Reidy recomenda um mínimo de seis meses de linhas de partida antes de sequer tentar qualquer análise de detecção.
“Mesmo que tudo que você possa medir seja telemetria para ver impressões em um servidor, você pode analisar coisas como volume, quantos arquivos e qual o tamanho dos arquivos e com que frequência eles imprimem”, disse ele.
5. A ciência do desencorajamento e da detecção de ameaças internas está no inicio.
De acordo com Randal, foi uma ciência fraca que levou o FBI ao ponto de utilizar análises preditivas piores do que aleatórias. Parte do problema é que, até agora, a ciência do desencorajamento e da detecção de ameaças internas está apenas no início. Um dos problemas com o lento crescimento é que muito da pesquisa existente foca apenas nos dados dos vilões.
“O que o FBI tem feito é tentar levar essa abordagem de diagnóstico de coleta de dados e compara-la entre grupos de vilões conhecidos e grupos de possíveis vilões e tentar aplicar a metodologia nas três áreas: virtual, contextual e psicossocial”.
Em especial, um pouco da pesquisa realizada pelo FBI, relacionada ao diagnóstico de indicadores psicossociais foram um pouco surpreendente, disse ela.
“O que aprendemos com esse estudo é que algumas coisas que pensávamos ser as mais diagnósticas em termos de insatisfação ou problemas no ambiente de trabalho, na verdade não são tanto”, conta, explicando que fatores de risco psicológicos inatos entram na questão. Por exemplo, estresse devido a um divórcio, inabilidade para trabalhar em grupo e a exibição de comportamento vingativo pontuaram alto como indicadores de risco quanto comparamos uns com os outros.
Empresas não serão capazes de fazer os mesmos testes psicológicos que o FBI realiza em seus funcionários, mas existem formas de incorporar esse conhecimento em programas de prevenção de ameaças internas.
“É possível conseguir essas informações de outras formas: manifestações comportamentais observáveis, tornando supervisores mais cientes do problema da ameaça interna, e criando um ambiente em que eles se sintam mais à vontade para relatar alguns desses comportamentos quando virem”, disse ela. “Um dos melhores recursos que seu programa de segurança pode ter é a colaboração com o departamento de RH.”