A espionagem é uma ameaça real para muitas empresas.
Há muito tempo se sabe que os funcionários representam uma das maiores ameaças à segurança cibernética, seja ela mal-intencionada ou simplesmente negligente. No entanto, menos empresas podem imaginar que seus funcionários estão sendo manipulados por um Estado estrangeiro.
Um artigo recente do Senado dos Estados Unidos sugere que diversas empresas agora regularmente plantam indivíduos em grandes organizações, com o objetivo de roubar dados e pesquisas que podem ser usados para ganhos econômicos, científicos ou militares.
Diz-se que a China, por exemplo, opera mais de 200 programas de recrutamento diferentes, o mais elaborado dos quais é o Plano dos Mil Talentos, que estima ter recrutado 7.000 operários ou mais. E a China não é de forma alguma o único país a se engajar nesses comportamentos.
De acordo com a empresa de segurança Mandiant, as empresas precisam levar a ameaça de espionagem mais a sério, da mesma forma que fariam com qualquer outro tipo de ameaça cibernética, e melhorar sua capacidade de detectar os sinais de alerta com antecedência.
“O acesso domina o cenário”, explicou Johnny Collins, que chefia a divisão de ameaças internas da Mandiant. “Cada insider tem e todo atacante quer.”
“Ao longo dos anos, trabalhei com todo tipo de organização que você possa imaginar, de cassinos a entidades governamentais. Existe sempre a actividade [espionagem]; se você não encontrou, está lá. ”
Espionagem
O objetivo dessas campanhas estaduais é efetivamente cortar na linha; é mais rápido e mais barato roubar a pesquisa e a propriedade intelectual de outra pessoa do que construir um produto ou medicamento competitivo do zero.
Os métodos usados para acessar as informações que procuram variam, mas a realidade da espionagem é muito menos glamorosa do que a cultura pop pode sugerir. Em muitos casos, o espião nem sabe que está espionando.
Muitas pessoas não entendem que a maioria dos funcionários são vítimas dessa equação. Eles não sabem que estão fazendo algo errado, porque são levados a pensar que estão fazendo algo para o bem maior.
Uma estratégia comum entre os recrutadores é convidar o alvo para participar de um evento do setor, onde são abordados e convidados a trabalhar como professor adjunto ou endossar uma determinada iniciativa; em suma, entrar em um acordo. A beleza dessa abordagem pessoal é que não há nenhum registro de papel para alertar a empresa sobre uma ameaça potencial.
Recrutadores estaduais também são conhecidos por abordar funcionários em plena luz do dia, por meio de sua caixa de entrada corporativa, contas de mídia social ou por telefone. Mas, quando a empresa percebe que há um problema, dezenas ou até centenas de e-mails podem ter sido trocados entre si a qualquer momento, os recrutadores provavelmente têm como alvo dezenas de funcionários diferentes em qualquer empresa, usando uma abordagem dispersa para aumentar a probabilidade de sucesso, não muito diferente do phishing.
Pesquisadores e administradores são alvos importantes, pessoas com acesso privilegiado, mas [o recrutamento] acontece em toda a gama. Depende apenas do tipo de informação que o agente da ameaça busca e da rapidez com que pretende extraí-la.
Em casos raros, quando os recrutadores não conseguem obter acesso a um funcionário, eles treinam um indivíduo especificamente para a tarefa. Conhecidos como “Insiders”, esses impostores são muito mais próximos dos espiões tradicionais e têm plena compreensão das ambições de seus manipuladores.
Às vezes, esses encaixes são silenciosos por um longo tempo, até anos. Então, de repente, eles ganham acesso às informações que foram recrutados para caçar, antes de desaparecer no ar. Há outro nível de habilidade em exibição aqui.
Configurando uma defesa
A pesquisa da Mandiant sugere que os infiltrados (insiders) serão responsáveis por mais de um terço dos incidentes de segurança em 2021, contra cerca de 20% nos anos anteriores.
Um dos principais problemas para as equipes de segurança, no entanto, é que diferenciar entre um incidente interno e um ataque de terceiros mal-intencionados pode ser extremamente difícil.
Por exemplo, muitas empresas estavam convencidas de que o agora infame ataque da SolarWinds foi obra de um interno. De que outra forma alguém saberia tanto sobre seu ambiente, eles perguntaram.
No entanto, atores avançados muitas vezes são capazes de “viver da terra”; usar as ferramentas já incorporadas ao sistema em vez de trazer as suas próprias, de modo a não disparar nenhum alarme.
Como um infiltrado, esses atores sabem como se mover furtivamente pela rede, talvez suprimindo alertas de segurança ou removendo palavras-chave dos dados que pretendem roubar para não acionar soluções de prevenção de perda de dados (DLP).
Para diagnosticar ataques internos com eficácia, as empresas precisam combinar tecnologia com vigilância e um compromisso de educar os funcionários sobre os perigos que os possíveis aliciadores.
Do ponto de vista da tecnologia, trata-se de ter a capacidade de identificar atividades na rede (por exemplo, transferências de arquivos ou duplicação de dados) que estão fora do normal. E quando essa atividade for descoberta, ser capaz de explicá-la ou encerrá-la.
“Você precisa garantir que tem tecnologia que permite coletar certas informações. Um dos problemas mais comuns que encontramos são os funcionários criando regras de caixa de entrada para encaminhar e-mail para seus endereços pessoais, mas as detecções devem estar disponíveis para manter o controle sobre esse tipo de atividade ”, disse Collins.
“É sobre ter o insight para poder dizer: isso não faz sentido. Muitas empresas podem reconhecer a ‘maldade’ tradicional, mas não conseguem distinguir entre atividades que podem ser legítimas ou ilegítimas, dependendo do contexto. ”
Tão importante quanto, no entanto, é treinar os funcionários para reconhecer uma interação incomum com terceiros e estabelecer um mecanismo simples para relatar encontros suspeitos. Um erro comum é as empresas se concentrarem em um desses fatores, mas não no outro, tornando o sistema ineficaz.
Em última análise, as empresas estão fadadas a enfrentar ameaças internas como resultado do recrutamento de um concorrente ou até mesmo uma Nação, da mesma forma que ataques cibernéticos são considerados inevitáveis. A capacidade de se defender adequadamente depende da energia que eles dedicam para aumentar a conscientização e colocar proteções no lugar.
1 comentário
LUIS FERNANDO BAPTISTELLA · outubro 4, 2021 às 4:00 pm
Excelente. Obrigado por postar. Com certeza este tema vai deixar de ser um “fantasma” no meio corporativo.
Vou procurar o relatório da MANDIANT.