Menu

Insiders maliciosos: tipos, características e indicadores

Embora as organizações estejam investindo bastante dinheiro protegendo seus dados contra acesso não autorizado externo, ameaças internas maliciosas podem causar o mesmo dano. De acordo com o “Relatório de Investigações de Violações de Dados da Verizon de 2024”, 35% de todas as violações de dados sofridas por grandes organizações em 2023 foram causadas por agentes internos.

Organizações que se tornam vítimas de ameaças internas maliciosas enfrentam muitas consequências negativas: desde a perda de dados confidenciais, receita e clientes até danos à reputação ou até mesmo a falência. Vamos analisar mais detalhadamente como sua organização pode detectar ameaças internas maliciosas antes que elas causem danos.

O que é um insider malicioso?

O Centro de Ameaças Internas das Equipes de Resposta a Emergências de Computadores (CERT) define um insider malicioso como um funcionário, contratado ou parceiro comercial atual ou antigo de uma organização que intencionalmente excede ou faz mau uso de seu acesso autorizado de uma maneira que afeta negativamente a confidencialidade, integridade ou disponibilidade das informações ou sistemas de informação da organização.

Invasores internos mal-intencionados são mais difíceis de detectar do que invasores externos, pois têm acesso legítimo aos dados de uma organização e passam a maior parte do tempo realizando tarefas regulares de trabalho. Portanto, detectar ataques internos mal-intencionados exige muito tempo e esforço. O Relatório Global de Custo de Riscos Internos de 2025, do Ponemon Institute, afirma que leva em média 81 dias para detectar e conter um incidente de segurança relacionado a um invasor interno.

Tipos de atividade maliciosa

No Guia de senso comum para mitigar ameaças internas, o CERT classifica as atividades de pessoas mal-intencionadas da seguinte forma:

Types of malicious insider activity

Intellectual property theft

Sabotage

Fraud

Espionage

  • Roubo de propriedade intelectual (PI) é a aquisição não autorizada de informações comerciais sensíveis, como segredos comerciais, código-fonte, pesquisas científicas ou designs proprietários. De acordo com pesquisadores do CERT, mais da metade dos casos de roubo de PI envolvem pessoal técnico — desenvolvedores, pesquisadores, engenheiros — cujas habilidades e nível de acesso permitem extrair discretamente grandes volumes de dados. Os gatilhos comuns incluem necessidade financeira, insatisfação com o trabalho, desejo de ajudar um novo empregador ou a crença de que o trabalho roubado lhes pertence.
  • Sabotagem de TI é o abuso da tecnologia da informação para causar danos específicos a uma organização ou indivíduo. Esses ataques também costumam ser realizados por administradores de sistemas, programadores ou outros funcionários com conhecimento técnico que conseguem ocultar suas ações maliciosas e desativar as operações de uma organização. Essas pessoas geralmente são motivadas pelo desejo de se vingar de uma experiência profissional negativa e geralmente executam seus ataques durante o período de emprego ou logo após a demissão.
  • Fraud envolve obter acesso não autorizado ou modificar os dados de uma organização. Normalmente, a motivação para a fraude é ganho pessoal ou roubo de dados com a intenção de roubo de identidade ou fraude de cartão de crédito. Esses ataques geralmente são cometidos por funcionários de finanças, contabilidade ou cargos executivos, que podem manipular registros, emitir pagamentos não autorizados ou acessar informações de identificação pessoal (PII). Na maioria dos casos, essas pessoas são motivadas por ganância ou pressão financeira.
  • Espionage é a coleta e transferência não autorizadas de informações sensíveis de uma organização, como segredos comerciais, dados de clientes ou planos estratégicos, em benefício de um governo estrangeiro ou entidade concorrente. A espionagem é normalmente conduzida por pessoas de confiança com acesso legítimo, como engenheiros, pesquisadores ou líderes de projeto, e pode ser motivada por ideologia, pressão ou lucro.

É importante entender que ataques de insiders mal-intencionados raramente são cometidos aleatoriamente, pois os insiders geralmente planejam suas ações com antecedência ou agem após um evento desencadeador. Entender o caminho percorrido por um usuário até cometer um ato malicioso é fundamental para identificar potenciais ameaças de insiders mal-intencionados precocemente e prevenir danos antes que eles ocorram.

Como usuários confiáveis se tornam insiders maliciosos

O folheto informativo Insider Threat 101 da CISA descreve seis estágios distintos que marcam o caminho de um insider até um incidente malicioso.

 

1. Queixa e ideação

As intenções maliciosas de um usuário contra sua organização são frequentemente desencadeadas por uma resposta emocional a uma injustiça ou a um revés pessoal. Isso pode resultar de rejeição profissional, problemas financeiros, conflitos sociais ou diferenças ideológicas. Com o tempo, o usuário se apega a essas emoções negativas e começa a acreditar que causar danos à sua organização é justificável. Se as frustrações do usuário não forem abordadas, ele pode dar o primeiro passo para cometer um ato malicioso.

 

2. Preparação

Nesta fase, o usuário supera a frustração e começa a planejar como causar o máximo de dano. Ele pode começar identificando ferramentas, coletando informações ou procurando por fragilidades em seus sistemas ou fluxos de trabalho. Atores mal-intencionados também podem começar a roubar arquivos confidenciais ou manipular processos. Enquanto alguns indivíduos abandonam seus planos nesta fase, outros se sentem cada vez mais comprometidos — especialmente se a raiz de suas emoções negativas permanecer sem solução.

3. Exploração

O que distingue esta etapa das demais é a mudança do planejamento para o teste de como, quando e onde podem agir com a menor chance de detecção. Pessoas de dentro podem investigar vulnerabilidades do sistema e avaliar quais ativos da sua organização são mais valiosos. Às vezes, elas tentam envolver outros funcionários.

4. Experimentação

Nesse ponto, o insider pode começar a testar partes do seu plano em condições reais. Ele pode tentar acessar áreas restritas, executar scripts ou simular ataques hostis para ver como o sistema de segurança da sua organização responde. Esses testes o ajudam a avaliar os riscos e ajustar o plano de acordo. Se não houver resposta, o insider pode se sentir encorajado a prosseguir com suas ações maliciosas.

5. Execução

O insider executa seu plano nesta fase. Ele usa seu acesso e conhecimento dos seus sistemas internos para roubar dados, sabotar operações, danificar infraestrutura, etc. Ele escolhe o momento do ataque cuidadosamente para evitar ser detectado e causar o máximo de dano. Se você ainda não detectou nenhum sinal de alerta, pode não descobrir a ameaça até que ela já tenha causado danos.

6. Fuga

Após o incidente, o insider malicioso concentra-se em evitar consequências. Ele pode tentar adulterar evidências ou enganar os investigadores. Alguns podem deixar a organização imediatamente, enquanto outros permanecem para continuar a explorar seu acesso. Com este plano em mente, vamos agora analisar vários indicadores comportamentais e técnicos importantes de um funcionário desonesto que pode representar uma ameaça maliciosa à sua organização.

Indicadores comportamentais de insiders maliciosos

Nem todos os funcionários se tornam insiders maliciosos, então não há necessidade de levantar suspeitas sobre todos. Ao contratar, preste atenção aos seguintes sinais de um insider potencialmente perigoso:

  • Verificações de antecedentes, incluindo registros oficiais de prisões, assédio, invasão ou violações de segurança em antigos locais de trabalho
  • Histórico de descumprimento de políticas corporativas
  • Falsificação de informações de contratação
  • Casos de comportamento antiprofissional
  • Comportamento abusivo em relação a outros funcionários
  • Conflitos de personalidade
  • Uso indevido de viagens, tempo ou despesas em antigos locais de trabalho
  • Conflitos com ex-colegas de trabalho ou supervisores

Indicadores comportamentais também podem surgir durante o período de emprego na sua organização e sinalizar a insatisfação do funcionário e a potencial prontidão para tomar ações maliciosas. O seu departamento de recursos humanos (RH) deve prestar mais atenção aos funcionários ou contratados que:

  • Violar as políticas corporativas
  • Ter conflitos com colegas
  • Ter baixo desempenho
  • Estão profundamente interessados em projetos nos quais não estão envolvidos
  • Use licenças médicas com muita frequência
  • Trabalhe sem férias

Nesses casos, o departamento de RH deve discutir os motivos desse comportamento com o funcionário e tentar facilitar uma solução. Deve também informar os responsáveis pela segurança para que possam realizar um monitoramento técnico direcionado dos funcionários em questão. Embora possa não haver sinais de um ataque em andamento durante esses períodos, é importante monitorar constantemente eventos suspeitos e detectar anomalias.

Indicadores técnicos de insiders maliciosos

Indicadores tecnológicos de uma ameaça interna maliciosa em seu meio incluem ações que envolvem computadores ou mídia eletrônica. Para executar seus ataques, pessoas de dentro da empresa podem usar indevidamente o acesso legítimo autorizado a dados corporativos críticos ou criar um novo caminho para acessar ativos não autorizados e ocultar sua identidade ou ações. Vejamos alguns indicadores de diferentes tipos de atividades internas maliciosas — roubo de propriedade intelectual, sabotagem, fraude e espionagem — e exemplos de violações reais.

Indicadores de roubo de PI

Em casos de roubo de propriedade intelectual, pessoas de dentro da empresa tentam acessar, roubar e compartilhar dados críticos com concorrentes ou futuros empregadores, ou mantê-los para uso pessoal. Como pessoas de dentro da empresa podem ter acesso regular aos dados durante o desempenho de suas funções, pode ser bastante difícil detectar o roubo de dados. No entanto, os responsáveis pela segurança devem estar atentos às seguintes ações que podem ser um sinal de exfiltração de dados:

1 Portrait of Malicious Insiders

Em 2024, o Google processou o ex-engenheiro Harshit Roy por vazar designs proprietários de chips. Roy, que havia trabalhado em hardware para dispositivos Google Pixel, deixou a empresa e, mais tarde, começou a compartilhar especificações detalhadas da tecnologia de chips do Google no X e no LinkedIn. Ele chegou a marcar concorrentes do Google, como Apple e Qualcomm, para agravar os danos causados pela divulgação de propriedade intelectual.

Indicadores de sabotagem

Em casos de sabotagem, pessoas de dentro da organização visam prejudicar os sistemas, as operações ou a reputação de uma organização. Certas atividades podem servir como sinais de alerta precoce de uma potencial sabotagem:

A sabotagem pode causar sérios danos operacionais e à reputação. Em 2023, a Tesla foi alvo de um incidente no qual dois ex-funcionários vazaram dados confidenciais de funcionários para um veículo de comunicação estrangeiro. A violação comprometeu nomes, endereços, números de telefone, históricos de emprego e números de Seguro Social de mais de 75.000 pessoas. Este caso ilustra como a sabotagem interna nem sempre envolve danos diretos ao sistema — ela também pode resultar em exposição de dados em larga escala.

Indicadores de fraude

Normalmente, a fraude envolve alterações em arquivos de dados que beneficiam o invasor mal-intencionado por meio de uma pequena recompensa financeira. Embora essas ações sejam difíceis de detectar, a fraude pode continuar pelo tempo que o invasor desejar. Usuários internos também podem abusar de seus privilégios de acesso legítimos e vender dados a terceiros, que podem então realizar roubo de identidade.

3 Portrait of Malicious Insiders

Em 2024, Paul Steed, Gerente Global de Risco de Preços da Global Cocoa Enterprise, da Mars Wrigley, explorou sua posição para desviar mais de US$ 28 milhões da empresa. Ele executou um plano complexo, criando faturas falsas e utilizando indevidamente créditos de exportação, usando o dinheiro roubado para comprar itens pessoais e enviando mais de US$ 2 milhões para contas na Argentina.

Indicadores de espionagem

Pessoas envolvidas em espionagem usam seu acesso para coletar e vazar dados internos valiosos para grupos externos. As ações do usuário listadas abaixo podem indicar possíveis tentativas de espionagem:

4 Portrait of Malicious Insiders

Em 2025, Keith O’Brien, um ex-funcionário da empresa de tecnologia de RH Rippling, usou seu acesso para espionar para uma empresa concorrente, a Deel. Ele foi secretamente recrutado pelo CEO da Deel e pagou € 5.000 (~US$ 5.500) por mês em criptomoeda para roubar informações confidenciais. O’Brien estava obtendo informações de serviços como Slack, Salesforce e Google Drive — principalmente sobre planos de folha de pagamento e detalhes de clientes — até ser descoberto pela equipe de segurança da Rippling. Felizmente, com a ajuda de ferramentas dedicadas para monitoramento de atividades de funcionários e detecção de ameaças internas, operadores de segurança e administradores de sistema podem detectar os primeiros sinais de atividade maliciosa antes que ocorram danos irreversíveis.

Evite atividades maliciosas internas com a Syteca

A Syteca é uma plataforma de segurança cibernética que protege organizações contra ameaças internas. A Syteca garante proteção robusta de sistemas e ativos internos, permitindo que você controle as permissões de acesso, obtenha visibilidade em tempo real das ações dos usuários e detecte e responda rapidamente a atividades suspeitas.

5 Portrait of Malicious Insiders

A Syteca limita a exposição a ameaças internas, controlando granularmente quem pode acessar sistemas e dados sensíveis e em quais circunstâncias. Com a Syteca, você pode aplicar os princípios de privilégio mínimo, acesso just-in-time e segurança de confiança zero para dificultar o uso indevido de permissões de acesso por pessoas mal-intencionadas ou o aumento do nível de acesso. O Syteca Privileged Access Management (PAM) permite que você:

O Syteca User Activity Monitoring (UAM) ajuda você a supervisionar todas as atividades dentro da sua infraestrutura e a identificar eventos incomuns, respeitando a privacidade do usuário. Ao monitorar continuamente a atividade do usuário em todos os endpoints, a Syteca permite que as equipes de segurança identifiquem os primeiros sinais de ameaças internas maliciosas. Com o Syteca UAM, você pode:

Quando ocorrem atividades suspeitas, a Syteca não apenas envia notificações em tempo real para sua equipe de segurança, como também facilita a tomada de medidas rápidas e eficazes. Alertas baseados em regras e ações de resposta capacitam as equipes de segurança a lidar com incidentes causados por pessoas mal-intencionadas antes que causem danos à sua organização. A Syteca permite que você:

  • Use uma biblioteca de alertas pré-configurados que podem detectar:
    • implantação de software de hacking
    • compartilhamento de arquivos por meio de serviços baseados em nuvem
    • visitas a sites FTP, etc.
  • Personalize alertas para atender às suas necessidades de segurança exclusivas
  • Automatize a resposta a incidentes configurando regras que podem:
    • exibir mensagens de aviso aos usuários
    • bloquear dispositivos USB não autorizados
    • bloquear usuários mal-intencionados
    • eliminar processos nocivos

Seja implantado no local, na nuvem ou em ambientes híbridos, o Syteca integra-se facilmente à sua infraestrutura. A plataforma foi projetada para implantação rápida e escalabilidade, permitindo que você proteja seu ambiente com rapidez e se adapte com eficiência à evolução da sua organização. Ao utilizar o Syteca, você pode fortalecer suas defesas de segurança cibernética e reduzir os riscos de ataques de invasores mal-intencionados aos seus ativos organizacionais.

Conclusão

Detectar um ataque interno malicioso é uma tarefa complexa para as organizações. No entanto, com a colaboração estreita entre as equipes de segurança e outros departamentos da sua organização, você pode identificar os primeiros indicadores de um ataque interno e impedi-lo antes que qualquer dano ocorra. Com a plataforma de segurança cibernética da Syteca, você não apenas detecta rapidamente ameaças internas, como também aprimora as medidas preventivas que sua organização adota para combater atividades maliciosas.

Você gostaria de leer

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle