Insider Threats: Detecção e Prevenção de Ameaças Internas

Insider threat é o risco de segurança que nasce de dentro: colaboradores, prestadores de serviço e ex-funcionários com acesso legítimo que — por intenção, descuido ou credencial comprometida — expõem dados, sistemas e operações críticas da organização. É a ameaça que mais tarde a equipe de segurança detecta e, proporcionalmente, mais caro custa: segundo o Cost of Insider Threats Global Report 2023 da Ponemon Institute, o custo médio anual de um programa mal gerenciado de insider threat chega a US$ 16,2 milhões por organização, com tempo médio de contenção de 86 dias.

O que é insider threat e por que é diferente

Um atacante externo precisa superar firewalls, EDR, autenticação multifator e detecção de intrusão antes de alcançar o ativo que deseja. O insider já está do outro lado de todos esses controles. Ele conhece os sistemas, sabe onde os backups ficam, entende os processos de aprovação e — na maioria dos casos — tem permissões que o SOC consideraria normais para o seu papel.

Isso não significa que insider threats sejam indetectáveis. Significa que a detecção precisa de uma camada diferente de análise: não o que o usuário está fazendo, mas se o que está fazendo é consistente com o que sempre fez, com o que seu papel exige e com o que acontece ao redor dele no mesmo período.

O MITRE ATT&CK documenta dezenas de técnicas usadas por insiders, especialmente nos clusters de Collection (T1530, T1213), Exfiltration (T1048, T1052) e Defense Evasion (T1070). A diferença em relação a um atacante externo é que o insider raramente precisa explorar vulnerabilidades técnicas — ele simplesmente usa o acesso que já tem.

Três tipos de insider threat

O CERT Insider Threat Center da Carnegie Mellon University, referência global no tema desde 2001, classifica os insiders em três categorias funcionais com implicações distintas para detecção e resposta:

Tipo Motivação Sinais comportamentais Controle prioritário
Malicioso Ganho financeiro, vingança, espionagem, sabotagem Acesso a dados fora do escopo, downloads volumosos antes do desligamento, criação de contas ocultas, exfiltração via canais pessoais UEBA + DLP + revisão de acessos + offboarding seguro
Negligente Descuido, falta de treinamento, comodidade Clique em phishing, uso de dispositivos não autorizados, compartilhamento de credenciais, shadow IT, senhas fracas Treinamento contínuo + MFA + DLP + EDR
Comprometido Credencial roubada por agente externo (stealer, phishing, engenharia social) Login em horário/localização atípicos, múltiplos recursos acessados em sequência incomum, comportamento divergente da linha de base histórica UEBA + MFA resistente a phishing + PAM + monitoramento de sessão

O insider negligente representa a maior fatia dos incidentes (cerca de 62% dos casos na base do CERT/CMU), mas o insider malicioso causa o dano mais profundo e deliberado. O insider comprometido é tecnicamente o mais difícil de detectar porque o comportamento pode ser calibrado pelo atacante externo para imitar padrões normais.

Indicadores comportamentais: o que o SOC deve observar

Indicadores de insider threat se dividem em dois planos: digital e não digital. O SOC opera no plano digital, mas a equipe de RH e gestores diretos precisam reportar sinais do plano humano para que a correlação seja completa.

Indicadores digitais de risco elevado:

  • Acesso a sistemas ou arquivos nunca visitados nos últimos 90 dias, especialmente fora do horário comercial
  • Volume de download significativamente acima da linha de base pessoal (ex.: 10x a média semanal)
  • Uso de dispositivos de armazenamento removível em endpoints que nunca utilizaram USB
  • Envio de e-mails com anexos para contas pessoais (Gmail, Hotmail) a partir de endereços corporativos
  • Tentativas de acesso a recursos privilegiados sem requisição formal no sistema de tickets
  • Instalação de ferramentas de compressão, criptografia ou tunelamento não autorizadas
  • Consultas incomuns ao diretório de usuários (LDAP enumeration)
  • Múltiplas falhas de autenticação seguidas de sucesso em conta de alto privilégio

Indicadores não digitais relevantes para correlação:

  • Desligamento anunciado ou em negociação — período de maior risco para exfiltração de dados
  • Conflito disciplinar recente com gestão ou RH
  • Dificuldades financeiras documentadas (pode indicar motivação para venda de dados)
  • Acesso físico a áreas restritas fora do horário padrão

Detecção: as quatro camadas técnicas

1. UEBA — User and Entity Behavior Analytics

UEBA é hoje o controle mais eficaz contra insider threats porque opera sobre padrões, não sobre regras estáticas. O motor coleta logs de fontes heterogêneas — Active Directory, VPN, aplicações SaaS, CASB, endpoints, banco de dados — e constrói modelos de comportamento por usuário, por papel e por departamento. Quando um usuário desvia da própria linha de base ou da linha de base do grupo de pares (peer group), o score de risco sobe.

Técnicas de machine learning comuns em UEBA incluem isolation forest para detecção de anomalias pontuais, LSTM (redes neurais recorrentes) para séries temporais de acesso, e clustering (k-means ou DBSCAN) para identificar grupos de comportamento atípico. O NIST SP 800-92 (Guide to Computer Security Log Management) e o NIST SP 800-137 (Information Security Continuous Monitoring) fornecem a base normativa para essa arquitetura de coleta e análise.

2. DLP — Data Loss Prevention

DLP monitora e bloqueia transferências de dados por canais controlados: e-mail corporativo, uploads para serviços web, dispositivos USB, impressão, compartilhamento de tela. A eficácia depende diretamente da qualidade da classificação de dados — sem saber o que é confidencial, o DLP gera falsos positivos em volume que o time não consegue triar.

A arquitetura recomendada pelo NIST SP 800-53 Rev. 5 (controles SI-3, SI-4 e SI-12) combina DLP em endpoint (agente instalado) com DLP em rede (inline ou ICAP) e inspeção de conteúdo em gateways de e-mail e CASB para cobertura de SaaS.

3. Monitoramento de Acesso Privilegiado (PAM)

Privileged Access Management registra e audita cada sessão de usuários com acesso administrativo — seja a um servidor, banco de dados, firewall ou sistema SCADA. A sessão é gravada (video replay), os comandos são logados e, opcionalmente, a sessão pode ser encerrada automaticamente se comandos proibidos forem detectados (ex.: DROP TABLE em produção sem ticket de mudança aprovado).

PAM implementa também o modelo just-in-time (JIT): o usuário solicita acesso privilegiado, o sistema concede por tempo limitado (ex.: 2 horas), e o acesso é automaticamente revogado ao término. Isso elimina o risco de contas privilegiadas permanentemente abertas — a principal porta de entrada para escalonamento de privilégios tanto por insiders maliciosos quanto por atacantes com credenciais comprometidas.

4. SIEM com correlação de indicadores de insider

O SIEM (Security Information and Event Management) agrega todos os logs e aplica regras de correlação para identificar sequências de eventos que, isoladamente, parecem normais mas em conjunto indicam atividade de insider. Exemplo de regra de correlação: usuário acessou RH_confidencial às 23h + fez download de 2 GB + tentou enviar e-mail com arquivo .zip para domínio externo, tudo em uma janela de 40 minutos. Cada evento separado poderia ser ignorado; a cadeia completa dispara um alerta P1.

Prevenção: controles estruturais

Least privilege e segregação de funções

O princípio de least privilege (menor privilégio) determina que cada usuário tenha acesso apenas ao que precisa para executar seu papel, nada além. Na prática, a maioria das organizações acumula permissões ao longo do tempo — um colaborador muda de área, herda os acessos antigos e acumula novos. As revisões periódicas de acesso (Access Reviews), exigidas pelo NIST SP 800-53 (AC-2) e pela ISO 27001 (A.9.2.5), corrigem esse acúmulo trimestralmente ou semestralmente.

Segregação de funções (SoD) impede que uma única pessoa controle um processo inteiro de alto risco — por exemplo, ninguém que pode aprovar pagamentos deve também poder cadastrar fornecedores. Esse controle é especialmente relevante para prevenção de fraude financeira interna.

Offboarding seguro

Segundo o CERT/CMU, 25% dos incidentes maliciosos documentados envolvem ex-funcionários que mantiveram acesso ativo após o desligamento — seja por falha no processo de revogação ou por backdoors criados previamente. O offboarding seguro precisa ser um processo executado no mesmo dia do desligamento, antes da pessoa sair do prédio ou encerrar a sessão remota, cobrindo: revogação de contas (AD, VPN, SSO, SaaS, tokens de API), recuperação de dispositivos, rotação de segredos compartilhados e monitoramento de tentativas de acesso por 30 dias após a saída.

Cultura e canais de denúncia

Programas de insider threat que funcionam combinam tecnologia com cultura. Isso significa: comunicar claramente aos colaboradores que o monitoramento existe e qual é seu escopo (requisito da LGPD e da CLT); criar canais anônimos de denúncia para que colegas reportem comportamentos suspeitos sem medo de retaliação; e integrar a equipe de RH, jurídico e gestores na cadeia de resposta, não apenas o SOC.

LGPD e limites legais do monitoramento

O monitoramento de comportamento digital de colaboradores é legalmente permitido no Brasil, desde que obedecidas as condições da LGPD (Lei 13.709/2018) e da legislação trabalhista. Os requisitos mínimos são:

  1. Base legal documentada: o monitoramento de equipamentos corporativos se enquadra no interesse legítimo do empregador (art. 7º, IX da LGPD) para fins de segurança da informação e prevenção de fraude.
  2. Transparência: a política de monitoramento deve ser comunicada ao colaborador antes do início, idealmente no contrato de trabalho ou em política interna assinada.
  3. Proporcionalidade: coletar apenas o dado necessário para a finalidade declarada; não interceptar conteúdo de comunicações pessoais (ex.: WhatsApp pessoal, e-mail Gmail pessoal).
  4. Segurança dos dados coletados: logs de monitoramento são dados pessoais e precisam de controles adequados de acesso, retenção definida e descarte seguro.
  5. Registro no RoPA: a atividade de monitoramento deve constar no Registro de Operações de Tratamento (Record of Processing Activities), exigido pelo art. 37 da LGPD para controladores de médio e grande porte.

A ANPD (Autoridade Nacional de Proteção de Dados) ainda não emitiu orientação específica sobre monitoramento de funcionários no contexto de segurança da informação. Até que o faça, recomenda-se adotar as diretrizes do Comitê Europeu de Proteção de Dados (EDPB) como parâmetro de boa prática — em especial as Guidelines 5/2022 sobre o uso de tecnologia no ambiente de trabalho.

Resposta a incidentes de insider threat

A resposta a um incidente de insider segue a estrutura do NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide), com adaptações para o contexto legal e de RH:

  1. Detecção e triagem: o alerta do UEBA/SIEM é validado pelo analista de SOC para eliminar falsos positivos antes de qualquer ação.
  2. Contenção silenciosa: diferente de ataques externos, em insider threats a contenção precipitada pode destruir evidências e alertar o suspeito. A estratégia inicial geralmente é monitoramento aumentado sem bloqueio imediato.
  3. Preservação de evidências: logs, capturas de sessão PAM e metadados de acesso são coletados com cadeia de custódia para uso em processo disciplinar ou judicial.
  4. Envolvimento de RH e jurídico: antes de confrontar ou bloquear o colaborador, o jurídico avalia o acervo de evidências e define o procedimento adequado (advertência, demissão por justa causa, notificação ao MP).
  5. Contenção ativa e remediação: revogação de acesso, rotação de credenciais, avaliação do dano e notificação de partes afetadas conforme exigências da LGPD (art. 48 — notificação à ANPD em até 2 dias úteis para incidentes com risco relevante).
  6. Lições aprendidas: revisão do processo de detecção, ajuste de regras UEBA/SIEM e atualização de políticas.

Referências

  • CERT Insider Threat Center / Carnegie Mellon University. Common Sense Guide to Mitigating Insider Threats, 10ª edição, 2022.
  • NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations (controles AC-2, SI-3, SI-4, SI-12).
  • NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide.
  • NIST SP 800-92 — Guide to Computer Security Log Management.
  • MITRE ATT&CK — técnicas T1530, T1213, T1048, T1052, T1070 e detecção DS0002.
  • Ponemon Institute. 2023 Cost of Insider Threats Global Report.
  • EDPB — Guidelines 05/2022 on the use of tracking technologies.
  • Lei 13.709/2018 (LGPD) — arts. 7º, 37 e 48.

Perguntas frequentes

O que é um insider threat e por que é mais perigoso que ataques externos?

Insider threat é qualquer risco de segurança originado por pessoa com acesso legítimo aos sistemas da organização — colaboradores, prestadores de serviço ou ex-funcionários com credenciais ativas. O perigo é maior porque o insider já ultrapassou os controles de perímetro: conhece os ativos críticos, sabe onde estão os dados sensíveis e tem permissões que permitem agir sem levantar alertas imediatos. O CERT/Carnegie Mellon aponta que o tempo médio para detectar um incidente interno é de 85 dias, contra cerca de 20 dias para ataques externos com uso de credenciais comprometidas.

Quais são os três tipos principais de insider threat?

O CERT Insider Threat Center classifica os insiders em: (1) Malicioso — age com intenção deliberada de causar dano ou roubar dados; representa cerca de 26% dos casos. (2) Negligente — não tem intenção maliciosa, mas causa incidentes por descuido (phishing, shadow IT, senhas fracas); responsável por cerca de 62% dos incidentes segundo a Ponemon (2023). (3) Comprometido — o colaborador não agiu de má-fé, mas um agente externo obteve suas credenciais e opera disfarçado de usuário legítimo.

Como o UEBA detecta comportamento anômalo de um insider?

UEBA constrói uma linha de base do comportamento normal de cada usuário ao longo de semanas e calcula um score de risco quando o usuário desvia da própria linha de base: acesso a recursos nunca visitados, login em horário atípico, volume de download anormalmente alto, ou escalada lateral de privilégio. O UEBA não dispara por regra fixa — ele contextualiza: um download de 10 GB pode ser normal para um engenheiro de dados e anômalo para um analista jurídico.

DLP é suficiente para prevenir vazamentos causados por insiders?

Não. DLP intercepta transferências por canais conhecidos, mas não detecta exfiltração por canais não monitorados (fotografar tela, VM pessoal, tunelamento), nem acesso sem transferência (visualização de segredos). O DLP precisa operar em conjunto com UEBA, PAM e classificação de dados para fechar as lacunas. O NIST SP 800-53 Rev. 5 recomenda essa abordagem em camadas.

A empresa pode monitorar o comportamento digital dos funcionários sem violar a LGPD?

Sim, com base legal adequada e proporcionalidade. O monitoramento de equipamentos corporativos se enquadra no interesse legítimo (art. 7º, IX da LGPD) para fins de segurança da informação, desde que haja: política documentada e comunicada ao colaborador; finalidade legítima; minimização de dados; e registro no RoPA. Não é permitido interceptar conteúdo de comunicações pessoais do colaborador.

O que deve acontecer no processo de offboarding para eliminar risco de insider?

O offboarding seguro exige um checklist executado no mesmo dia do desligamento: revogação imediata de todas as contas (AD, VPN, SSO, SaaS, tokens de API); recuperação de dispositivos; rotação de segredos compartilhados que o colaborador conhecia; e alerta ao SOC para monitorar tentativas de acesso pós-desligamento por 30 dias. O CERT/CMU documenta que 25% dos incidentes maliciosos envolvem ex-funcionários com acesso ativo após o desligamento.

Detecção comportamental de insiders com o SOC da Decripte

A Decripte opera um SOC 24×7 especializado em detecção comportamental de ameaças internas para empresas de 1 a mais de 100.000 colaboradores. Nossa plataforma correlaciona sinais de UEBA, DLP, PAM e SIEM em um único painel, com triagem humana por analistas certificados e playbooks de resposta adaptados ao contexto jurídico brasileiro — incluindo conformidade com LGPD e suporte à produção de evidências para processos disciplinares e judiciais.

Empresas que querem entender sua exposição atual a insider threats podem começar com um diagnóstico gratuito de ameaças pela plataforma. Para organizações com requisitos enterprise, o plano de Gestão de Ameaças inclui monitoramento contínuo, revisões periódicas de acesso e resposta a incidentes com SLA definido.