Construir defesas proativas é solução para ataques de insiders, afirma Crowdstrike

Imagine um cenário onde uma pessoa se infiltra como funcionário de uma empresa para roubar informações e repassar dados para organizações criminosas. Parece coisa de filme, mas é uma realidade bem presente no mundo da cibersegurança, são os chamados insiders ou ameaças internas.

A prática, apesar de parecer arriscada, foi responsável por mais de 40% dos ciberataques no ano passado, de acordo com a Crowdstrike, empresa de cibersegurança. Ao perceber o crescimento desse tipo de investida, a companhia desenvolveu um serviço de avaliação de risco interno, que auxilia na detecção dos funcionários maliciosos.

Segundo o vice-presidente da Crowstrike na América do Sul, Jeferson Propheta, o que chamou a atenção foi o impacto financeiro que esse tipo de ataque causa às empresas. Um relatório do custo das violações de dados de 2024, realizado pela IBM, apontou que o custo deste tipo de ameaça é maior quando comparado a outros vetores, com uma média de US$ 4,99 milhões.

O gasto elevado se deve a maior dificuldade de identificar e conter os ataques. Muitas vezes, quando a empresa percebe, já é tarde demais. O tempo médio para identificação da infiltração é de 292 dias e a contenção chega a demorar 287 dias, nesses casos. “A maioria dos softwares de cibersegurança alerta o sistema quando tem algo de errado, por isso o que nós criamos é um caçador de ameaça.”, conta Propheta.

O Insider Risk Services combina inteligência artificial com LLM para observar ativamente a telemetria das máquinas e buscar por atividades suspeitas. Para treinar e alimentar a IA, a empresa realiza uma revisão de comprometimento dos clientes, para entender se existe algum comportamento no ambiente que pode trazer risco e traçar um perfil do insider padrão.

Apesar de cada criminoso possuir uma forma de atuação e cada atividade pedir por um tipo de proteção, Propheta afirma que existem alguns vícios no modus operandi das ameaças internas. “Existe uma urgência de fazer a infiltração, porque eles sabem que a qualquer momento podem ser detectados. Então o sistema aponta um volume de trânsito de dados muito maior.”, explica.

Além disso, acessos à plataforma da empresa de lugares diferentes do usual ou buscas por aplicações de setores atípicos, podem ser caracterizados como suspeitos.

Leia mais: Como fica a Cohesity após a aquisição da Veritas

Para se proteger, é importante que as organizações mapeiem suas vulnerabilidades, incluindo a mais forte delas: o erro humano. Ainda conforme a pesquisa da IBM, a falha humana causou quase metade das violações em 2024, sendo responsável por 22% dos ataques, desde abertura de e-mails maliciosos até a falta de atenção com suas credenciais.

No ano passado, o uso de credenciais comprometidas beneficiou os invasores em 16% dos crimes e, em média, podem custar até US$ 4,81 milhões por quebra. Por isso é necessário investir em educação de dados para seus funcionários, incluindo os executivos.

De acordo com o vice-presidente da Crowdstrike, a forma como os tomadores de decisão agem no momento de crise é fundamental para o processo, por isso a empresa sempre faz testes de ataque com seus clientes.

“É durante as simulações que nós identificamos aonde estão os problemas da empresa. É um momento fundamental para definir protocolos” afirma “Quem precisa saber do ataque? Como lidar com ele? Porque vazou? A resposta do executivo, nesse momento, pode piorar tudo se ele não estiver preparado.”

Entre as regulamentos aconselhados pela empresa de cibersegurança, está a classificação de dados. É o estabelecimento de quais deles são mais valiosos que determina suas camadas de segurança, tornando mais fácil de detectar invasores que buscam acessos mais altos.

“No caso do Insider, não estamos falando necessariamente de uma volumetria grande de dados, mas talvez de um acesso a uma aplicação que seja muito importante pra empresa.”, completa Propheta.

Ao utilizar a solução, recentemente, a Crowdstrike revelou táticas usadas pelo grupo Famous Chollima, conhecido por se infiltrar em mais de 200 empresas de tecnologia dos EUA, disfarçando atividades maliciosas como emprego legítimo. Quando pergunto à Propheta sobre o cenário brasileiro de cibersegurança, o executivo afirma que ainda há muito o que melhorar para construir defesas proativas.

“Especialmente na camada executiva, ainda precisamos investir muito em educação para que os orçamentos dos times de segurança sejam vistos com mais cuidado. É necessário dar mais ferramental para eles trabalharem e ampliar o uso da inteligência artificial para cibersegurança.”, finaliza.