Diferenciar se um ataque partiu de uma ameaça interna ou se veio de um atacante de fora é uma tarefa desafiadora, mas que quando examinada a fundo, pode trazer inúmeras informações valiosas para a segurança da empresa, podendo evitar novos ataques semelhantes no futuro.

Uma das mais velhas e perigosas ameaças são as realizadas por alguém de dentro, considerado confiável. Essas pessoas costumam já possuir os acessos necessários para realizarem as atividades maliciosas, ou então um simples ataque de escala de privilégio local pode fornecer a eles a permissão necessária aos dados sensíveis.

Distinguir a origem de um ataque é difícil. Ataques direcionados realizados por atacantes externos podem se disfarçar como sendo internos, já que uma conta privilegiada pode ser comprometida para a realização do ataque. Se o ataque é genérico e padronizado, ou seja, não é um ataque direcionado, é fácil de saber que foi um ataque externo. Isso porque esses ataques normalmente já foram realizados contra outras empresas, gerando inteligência de segurança para os fabricantes. Já no caso de ataques direcionados e persistentes é difícil, infelizmente, os softwares automáticos não são desenhados para identificar se a ameaça teve origem interna ou externa.

Ameaça interna na prática

Em 2014, uma empresa entrou em contato com a Real Protect para solucionar um grave incidente de segurança. Mais de 1.000 chamados abertos no software de gerenciamento da empresa foram abruptamente encerrados por um único usuário, que possuía uma conta de administrador.

Realizada as investigações iniciais, ficou claro que a pessoa dona dessa conta não era a responsável pelo acontecido. A análise forense identificou que o IP de onde partiu as ordens para o fechamento era externo. Contudo, foi possível identificar que esse IP era de um analista alocado na empresa, que trabalhava para uma terceirizada. Com isso, acessamos o HD da máquina do analista, descobrindo que ele conhecia uma falha no sistema de gerenciamento da empresa, podendo abrir e fechar chamados à vontade, utilizando contas de outros usuários com acessos mais privilegiados que o dele.

A ação da Equipe de Respostas a Incidentes foi fundamental para que o problema fosse resolvido. Não houvesse essa atuação, a empresa poderia concluir que foi um ataque externo, o analista continuaria tendo esse acesso privilegiado sem que ninguém soubesse e poderia causar estragos ainda maiores.

Como então é possível resolver essa questão?

Como vimos no exemplo, para diferenciar um ataque externo de uma ameaça interna é preciso contar com uma inteligência de segurança robusta. Para isso, é imprescindível uma infraestrutura que permita a análise e o correlacionamento dos logs de segurança, que foram fundamentais para que a Equipe de Resposta a Incidentes pudesse atuar corretamente. Quando se conta com uma infraestrutura de monitoramento, ganha-se muito em inteligência de segurança e resposta a incidentes. O Monitoramento Contínuo permite a checagem de logs para se descobrir quem e quando ocorreram autenticações e quais os arquivos foram acessados dentro da infraestrutura. A partir dessas informações é possível rastrear a origem do ataque.

A equipe também é fundamental, somente profissionais experientes e especialistas em segurança podem realizar com precisão esse tipo de investigação e mitigar de forma real esse tipo de risco.

201303151015280rlmmlo2x3ms5ndepgn34aa45