ir-insider-threat - RunkIntel

# IR Playbook - Ameaça Interna (Insider Threat) > [!danger] Atenção Legal e de RH — Leitura Obrigatória Antes de Qualquer Ação > **Este playbook exige coordenação imediata com Jurídico/DPO e Recursos Humanos antes de qualquer ação de contenção ou investigação.** Investigações de ameaça interna envolvem dados de funcionários protegidos pela **LGPD** e pela **CLT** (Consolidação das Leis do Trabalho). Ações precipitadas — como bloquear acesso sem autorização, monitorar comúnicações pessoais ou coletar evidências sem cadeia de custódia adequada — podem **inválidar provas** em processos trabalhistas, expor a organização a ações judiciais e configurar violação de privacidade. **NUNCA bloqueie a conta de um funcionário sem alinhamento prévio com RH e Jurídico.** --- ## Visão Geral A ameaça interna (insider threat) é uma das mais complexas do espectro de segurança cibernética: o ator malicioso já possui acesso legítimo aos sistemas, conhece os processos da organização e muitas vezes opera abaixo do threshold de alertas convencionais configurados para ameaças externas. ### Tipologia de Ameaças Internas | Tipo | Perfil | Motivação Principal | |------|--------|---------------------| | **Malicioso** | Funcionário que age deliberadamente | Ganho financeiro, vingança, espionagem corporativa, recrutamento por concorrente ou grupo de ameaça | | **Negligente** | Funcionário descuidado ou sem treinamento | Erro humano, phishing, uso de dispositivos não autorizados, shadow IT | | **Comprometido** | Funcionário com credenciais roubadas | Atacante externo operando com identidade legítima via [[t1078-valid-accounts\|T1078 - Valid Accounts]] | > [!info] Distinção Crítica > Antes de escalar como ameaça interna maliciosa, sempre investigue se a conta pode estar **comprometida por atacante externo**. A resposta técnica pode ser similar, mas o processo legal e de RH é radicalmente diferente. ### Por que este playbook é único Diferentemente de um incidente de [[ir-ransomware-lockbit|Ransomware]], a ameaça interna requer: 1. **Sigilo absoluto da investigação** - qualquer vazamento pode alertar o suspeito e destruir evidências 2. **Envolvimento precoce de RH e Jurídico** - obrigatório pela CLT e LGPD antes de qualquer ação disciplinar 3. **Proporcionalidade das medidas** - monitoramento deve ser autorizado e documentado 4. **Preservação rigorosa da cadeia de custódia** - evidências devem ser admissíveis em juízo 5. **Avaliação de impacto LGPD** - dados pessoais de funcionários são protegidos ### Implicações da LGPD A **Lei 13.709/2018 (LGPD)** protege dados pessoais de funcionários. Monitoramento de atividade de colaboradores precisa de: - Base legal adequada (legítimo interesse ou obrigação legal - Art. 7º, IX e II) - Comúnicação prévia ao funcionário sobre políticas de monitoramento (pode ser via política interna aceita na admissão) - Minimização - coletar apenas dados necessários para a investigação - DPO deve ser notificado sobre a investigação **Notas relacionadas:** [[t1078-valid-accounts\|T1078 — Valid Accounts]] · [[t1567-exfiltration-over-web-service\|T1567 — Exfiltration Over Web Service]] · [[t1052-exfiltration-over-physical-medium\|T1052 — Exfiltration Over Physical Medium]] · [[t1074-data-staged\|T1074 — Data Staged]] · [[t1114-email-collection\|T1114 — Email Collection]] · [[t1005-data-from-local-system\|T1005 — Data from Local System]] · [[t1070-indicator-removal\|T1070 — Indicator Removal]] · [[_defenses\|Hub Defensivo]] · [[_playbooks\|Playbooks de IR]] --- ## Fluxo de Resposta ```mermaid flowchart TD A([🚨 Alerta: Comportamento Anômalo de Usuário Interno]) --> B{Classificar Tipo de Ameaça} B -->|Conta possívelmente comprometida| C[Verificar Acesso Externo Simultâneo] B -->|Comportamento deliberado| D[ACIONAR RH + JURÍDICO em até 2 horas] B -->|Negligência / Erro humano| E[Avaliar Impacto e Iniciar Resposta Educativa] C -->|Acesso externo confirmado| F[Tratar como Compromisso de Conta — Playbook Externo] C -->|Sem acesso externo| D D --> G{Autorização Formal de Investigação} G -->|Aprovado por RH + Jurídico| H[Abrir Investigação Sigilosa com IR Lead + CISO] G -->|Aguardando aprovação| I[Monitoramento Passivo Apenas — Sem Bloqueio] H --> J[COLETA DE EVIDÊNCIAS com Cadeia de Custódia] J --> J1[Exportar Logs DLP UEBA e CASB] J1 --> J2[Capturar Metadados de Transferências] J2 --> J3[Preservar Emails e Comúnicações] J3 --> K{Exfiltração de Dados em Curso?} K -->|Sim — Urgente| L[Contenção Coordenada com RH — Revogar Acesso] K -->|Suspeita / Histórica| M[Estimar Escopo de Dados Afetados] L --> N[CONTENÇÃO GRADUADA] M --> N N --> N1[Bloquear Fontes de Exfiltração — USB/Cloud/Email] N1 --> N2[Revogar Acessos Privilegiados Primeiro] N2 --> N3[Notificar Desligamento via RH se Necessário] N3 --> O[REMEDIAÇÃO] O --> O1[Avaliação de Impacto e Notificação LGPD/ANPD] O1 --> O2[Revisar Controles de Acesso e DLP] O2 --> O3[Post-Mortem com RH + Jurídico + IR] O3 --> P([✅ Incidente Encerrado e Documentado]) style A fill:#ff8800,color:#fff style D fill:#cc0000,color:#fff style G fill:#9900cc,color:#fff style H fill:#ff6600,color:#fff style N fill:#ffaa00,color:#000 style O fill:#0066cc,color:#fff style P fill:#00aa44,color:#fff style F fill:#666666,color:#fff ``` --- ## Diagrama de Comúnicação ```mermaid sequenceDiagram participant SOC as SOC Analyst participant IR as IR Lead participant HR as RH / People Ops participant Legal as Jurídico / DPO participant CISO as CISO participant Mgmt as Diretoria / C-Level SOC->>IR: T+0: Anomalia comportamental detectada (UEBA / DLP alert) IR->>CISO: T+30min: Briefing inicial — suspeita de insider threat Note over IR,CISO: Canal seguro — não usar email corporativo CISO->>HR: T+1h: Coordenação obrigatória antes de qualquer ação CISO->>Legal: T+1h: Avaliação LGPD e base legal para monitoramento HR->>Legal: T+2h: Alinhamento sobre direitos do funcionário (CLT) Legal->>CISO: T+3h: Autorização formal e escopo do monitoramento CISO->>IR: T+3h: Autorização para investigação ativa IR->>SOC: T+3h: Iniciar coleta de evidências com cadeia de custódia Note over SOC,IR: Investigação sigilosa — circle of trust restrito IR->>Legal: T+24h: Relatório preliminar de evidências coletadas Legal->>HR: T+24h: Parecer sobre medidas disciplinares possíveis HR->>Mgmt: T+48h: Briefing executivo — decisão sobre desligamento Mgmt->>HR: T+48h: Decisão formal sobre medidas a tomar HR->>IR: T+48h: Coordenar revogação de acesso com desligamento IR->>Legal: T+72h: Relatório forense completo para eventual processo Legal->>Mgmt: T+72h: Avaliação de notificação ANPD (se dados expostos) ``` --- ## Indicadores Comportamentais > [!warning] Indicadores Isolados Não São Prova > Nenhum indicador abaixo, de forma isolada, é conclusivo. Contextualize cada anomalia com o histórico do funcionário, função, projeto atual e ciclo de vida na empresa. Correlação de múltiplos indicadores aumenta a confiança do diagnóstico. ### Exfiltração de Dados | Indicador | Sinal Técnico | Urgência | |-----------|--------------|----------| | Transferência volumosa para USB | DLP alert - `removable_media_write > 500MB` | Alta | | Upload para serviço de nuvem pessoal | CASB alert - destino fora da whitelist (Google Drive pessoal, Dropbox, WeTransfer) | Alta | | Envio de e-mail com anexos para conta pessoal | Regra de e-mail - destinatário `@gmail.com / @hotmail.com` com attachments | Alta | | Impressão em volume incomum | Log de impressão - `pages_printed > 100` em um dia, fora do padrão | Média | | Download massivo do SharePoint/OneDrive | CASB / M365 log - `DownloadCount > threshold` em janela curta | Alta | | Compressão de arquivos sensíveis | DLP / EDR - criação de `.zip` / `.7z` com dados classificados | Média | | Sincronização de repositórios internos | Git log - clone de repos confidenciais para dispositivo pessoal | Alta | ### Anomalias de Acesso | Indicador | Sinal Técnico | Urgência | |-----------|--------------|----------| | Acesso fora do horário comercial | SIEM - `login_hour NOT IN (07:00-20:00)` repetido | Média | | Acesso a sistemas não relacionados à função | IAM log - acesso a recursos fora do perfil histórico | Alta | | Escalada de privilégio não autorizada | AD log - `EventID 4728` (adição a grupo privilegiado) | Alta | | Múltiplas tentativas de acesso negado | SIEM - `EventID 4625` em sistemas sensíveis | Média | | VPN ativa fora do país | MDM / VPN log - geolocalização atípica | Média | | Criação de contas de serviço ou tokens | IAM - criação não-aprovada de service accounts | Alta | | Acessos via credenciais de colega | IAM - uso de credenciais compartilhadas (policy violation) | Alta | ### Indicadores de Pré-Saída > [!info] Jánela de Risco Elevado > Pesquisas do CERT/CC indicam que **60-80% das exfiltrações por insiders maliciosos ocorrem nos 30 dias anteriores ao desligamento** — sejá por demissão voluntária, involuntária ou fim de contrato. | Indicador | Sinal | |-----------|-------| | Comúnicação de demissão + pico de acesso a dados | Correlação RH + DLP na semana seguinte ao aviso de demissão | | Encaminhamento de e-mails para conta pessoal após aviso | Regra criada em Outlook/Gmail corporativo pós-notificação | | Download de lista de clientes ou base de contatos | CRM log - export de grandes volumes antes da saída | | Acesso a projetos não atribuídos ao funcionário | SharePoint / JIRA - acesso fora do escopo do cargo | | Alteração de senhas de sistemas antes da saída | IAM - mudanças de senha em sistemas críticos na última semana | ### Indicadores de Sabotagem | Indicador | Sinal Técnico | Urgência | |-----------|--------------|----------| | Deleção em massa de arquivos | DLP / SIEM - `delete_count > threshold` em tempo curto | Crítica | | Modificação não autorizada de configurações | SIEM - `EventID 4657` (alteração de registry) ou mudança em config crítica | Alta | | Inserção de código malicioso (logic bomb) | Code review / SAST - commits anômalos em horários atípicos por funcionário em saída | Alta | | Desabilitação de sistemas de monitoramento | SIEM - agente EDR desativado ou log forwarding interrompido | Crítica | | Exclusão de logs ou trilhas de auditoria | [[t1070-indicator-removal\|T1070 - Indicator Removal]] - alteração de logs de sistema | Crítica | --- ## Ferramentas Recomendadas ### DLP - Data Loss Prevention | Ferramenta | Capacidade Principal | Uso no Contexto | |------------|---------------------|-----------------| | **Microsoft Purview** | DLP integrado ao M365 - email, SharePoint, Teams, OneDrive | Alertas de transferência de dados classificados, exportação de custódia de evidências | | **Forcepoint DLP** | Endpoint + rede + nuvem - análise comportamental integrada | Monitoramento de USB, capturas de tela, impressão | | **Symantec DLP** | Conteúdo sensível em endpoint e rede | Fingerprinting de documentos corporativos | | **Nightfall AI** | DLP para SaaS e nuvem - GitHub, Slack, GDrive | Detecção de segredos e dados PII em canais colaborativos | ### UEBA - User and Entity Behavior Analytics | Ferramenta | Capacidade Principal | |------------|---------------------| | **Microsoft Sentinel UEBA** | Baseline de comportamento por usuário - anomalias de acesso, geolocalização, horário | | **Splunk UBA** | ML para detecção de anomalias - peer group analysis, risco por usuário | | **Varonis DatAdvantage** | Monitoramento de acesso a arquivos - quem acessou o quê, quando e de onde | | **Exabeam** | UEBA + SIEM - timeline de sessão completa por usuário | ### CASB - Cloud Access Security Broker | Ferramenta | Capacidade Principal | |------------|---------------------| | **Microsoft Defender for Cloud Apps** | Visibilidade de Shadow IT, controle de upload para nuvem não-corporativa | | **Netskope** | Inspeção inline de tráfego nuvem - bloquear upload para destinos não-aprovados | | **Zscaler CASB** | Controle por política de acesso à nuvem - integrado ao ZIA | | **Palo Alto Prisma Access** | CASB + SASE - cobertura para acesso remoto | ### Forense | Ferramenta | Uso | |------------|-----| | **Magnet AXIOM** | Forense de endpoint - recuperação de artefatos de exfiltração (USB history, cloud sync) | | **Cellebrite UFED** | Forense mobile - se dispositivo corporativo envolvido | | **EnCase** | Imagem forense admissível em juízo - geração de relatório com hash verification | | **Autopsy** | Análise open-source de imagem forense | | **Velociraptor** | Coleta remota e em escala - preservar artefatos sem alertar o suspeito | --- ## Queries de Detecção ### KQL - Microsoft Sentinel - Anomalia de Volume de Download (SharePoint/OneDrive) ```kql // Detectar downloads massivos de SharePoint/OneDrive acima do percentil 95 do usuário let baseline = OfficeActivity | where TimeGenerated > ago(30d) | where Operation in ("FileDownloaded", "FileSyncDownloadedFull") | summarize avg_downloads = avg(1), p95_downloads = percentile(1, 95) by UserId, bin(TimeGenerated, 1d); OfficeActivity | where TimeGenerated > ago(1d) | where Operation in ("FileDownloaded", "FileSyncDownloadedFull") | summarize daily_downloads = count() by UserId, bin(TimeGenerated, 1h) | join kind=inner baseline on UserId | where daily_downloads > p95_downloads * 3 | project TimeGenerated, UserId, daily_downloads, p95_downloads | order by daily_downloads desc ``` ### KQL - Microsoft Sentinel - Regras de Encaminhamento de E-mail para Externo ```kql // Detectar criação de regras de encaminhamento para domínios externos (fora do tenant) OfficeActivity | where Operation == "New-InboxRule" | extend RuleParams = parse_json(Parameters) | where RuleParams has_any ("ForwardTo", "RedirectTo", "ForwardAsAttachmentTo") | extend ForwardTarget = tostring(RuleParams) | where ForwardTarget !contains "@suaempresa.com.br" // [VALIDAR NO SEU AMBIENTE] | project TimeGenerated, UserId, ForwardTarget, ClientIP | order by TimeGenerated desc ``` ### KQL - Microsoft Sentinel - Uso de USB / Mídia Removível (Defender for Endpoint) ```kql // Detectar eventos de escrita em mídia removível acima de threshold DeviceEvents | where ActionType == "UsbDriveMount" or ActionType == "RemovableStorageFileEvent" | summarize MountCount = countif(ActionType == "UsbDriveMount"), WriteEvents = countif(ActionType == "RemovableStorageFileEvent") by DeviceName, AccountName, bin(Timestamp, 1h) | where WriteEvents > 50 or MountCount > 3 | order by WriteEvents desc ``` ### KQL - Microsoft Sentinel - Acesso Fora de Horário por Usuário de Alto Risco ```kql // Logins bem-sucedidos de usuários em horário atípico (22h-6h BRT) SigninLogs | where TimeGenerated > ago(7d) | where ResultType == 0 // sucesso | extend BrazilHour = hourofday(datetime_add('hour', -3, TimeGenerated)) // UTC-3 | where BrazilHour between (22 .. 23) or BrazilHour between (0 .. 6) | summarize OffHoursLogins = count() by UserPrincipalName, bin(TimeGenerated, 1d) | where OffHoursLogins > 2 | order by OffHoursLogins desc ``` ### SPL - Splunk - Detecção de Exfiltração via Upload para Nuvem Não-Aprovada ```spl index=proxy (dest IN ("drive.google.com", "dropbox.com", "wetransfer.com", "mega.nz", "sendspace.com")) /* [VALIDAR NO SEU AMBIENTE] */ method=POST OR method=PUT | stats sum(bytes_out) AS total_upload_bytes count AS requests by src_user, dest, _time | where total_upload_bytes > 52428800 /* 50MB */ | eval total_upload_mb = round(total_upload_bytes / 1048576, 2) | sort -total_upload_bytes | table _time, src_user, dest, total_upload_mb, requests ``` ### SPL - Splunk - Deleção em Massa de Arquivos (Indicador de Sabotagem) ```spl index=windows EventCode=4663 Object_Type=File Accesses="DELETE" | stats count AS delete_count by ComputerName, Account_Name, bin(_time, 5m) | where delete_count > 100 | sort -delete_count | table _time, ComputerName, Account_Name, delete_count ``` ### SPL - Splunk - UEBA Simples - Score de Risco por Usuário ```spl index=windows OR index=proxy OR index=dlp | eval risk_score = case( match(source, "dlp") AND bytes > 52428800, 30, match(source, "proxy") AND match(dest, "dropbox|drive\.google|mega\.nz"), 25, EventCode == 4625 AND count > 10, 15, EventCode == 4624 AND hour(_time) < 6, 10, 1=1, 0 ) | stats sum(risk_score) AS total_risk by user | where total_risk > 40 | sort -total_risk ``` --- ## Investigação ### Princípios de Investigação de Insider Threat > [!danger] Cadeia de Custódia Obrigatória > Toda evidência coletada deve ser registrada com: **timestamp de coleta**, **coletor responsável**, **método de coleta**, **hash de integridade (SHA256)** e **localização de armazenamento**. Sem cadeia de custódia adequada, evidências podem ser inadmissíveis em processos trabalhistas ou criminais brasileiros. ### Protocolo de Coleta de Evidências **1. Antes de coletar — documentar** - Registrar o estado do sistema antes de qualquer interação (screenshots, hashes de logs) - Designar um único responsável pela custódia das evidências - Usar mídias de armazenamento novas e higienizadas (formatadas com zero-fill) **2. Coleta não-intrusiva (preferencial)** - Priorizar coleta de logs de sistemas centralizados (SIEM, CASB, DLP) - **sem tocar na máquina do suspeito** - Logs de acesso do AD/LDAP, Exchange, SharePoint, VPN são obtidos via consoles administrativos - Metadados de e-mail via eDiscovery do Microsoft Purview ou Google Vault **3. Coleta forense de endpoint (se necessário e autorizado)** - Somente após autorização de Jurídico e RH - Imagem forense com **EnCase** ou **FTK Imager** - preservar antes de análise - Hash SHA256 da imagem deve ser documentado imediatamente **4. Preservação** - Evidências digitais em mídia write-protected ou ambiente de armazenamento imutável - Log de cadeia de custódia em documento físico assinado ### Legislação Brasileira sobre Monitoramento | Aspecto | Referência Legal | Implicação Prática | |---------|-----------------|-------------------| | Monitoramento de e-mail corporativo | TST (Tribunal Superior do Trabalho) - precedente consolidado | E-mail **corporativo** pode ser monitorado com política prévia comunicada ao empregado | | Monitoramento de dispositivos pessoais | Código Civil, Art. 5º CF/88 (inviolabilidade) | **NUNCA** - requer ordem judicial | | Acesso a dados pessoais do funcionário | LGPD Art. 7º | Exige base legal (legítimo interesse documentado) + minimização | | Prova em processo trabalhista | CLT + CPC/2015 | Evidência digital deve ter integridade verificável (hash) e origem rastreável | | Demissão por justa causa com base em monitoramento | CLT Art. 482 | Requer documentação robusta e imune a contestação; envolver jurídico desde o início | ### Questões-Chave a Responder na Investigação 1. **Escopo:** Quais sistemas e dados foram acessados além do necessário para a função? 2. **Volume:** Qual volume de dados foi potencialmente exfiltrado? Para onde? 3. **Temporalidade:** Quando começou a atividade anômala? Coincide com algum evento organizacional (aviso de demissão, conflito, revisão de salário)? 4. **Intenção:** Há evidências de planejamento (pesquisa sobre ferramentas de exfiltração, contato com concorrentes)? 5. **Impacto:** Os dados exfiltrados incluem dados pessoais (LGPD), segredos industriais, dados de clientes ou informações estratégicas? 6. **Cumplicidade:** Há outros funcionários envolvidos? --- ## Contenção > [!warning] Resposta Graduada — Nunca Ação Unilateral > A contenção de insider threat é diferente de outros incidentes. Bloquear abruptamente pode destruir evidências, gerar passivo trabalhista ou alertar o suspeito. Siga a graduação abaixo, sempre com RH e Jurídico alinhados. ### Nível 1 - Monitoramento Intensificado (sem bloqueio) Quando: suspeita inicial, investigação em curso, ainda sem evidências conclusivas. - [ ] Aumentar granularidade de logging para o usuário suspeito (sem notificá-lo) - [ ] Ativar alertas de DLP específicos para a conta - [ ] Solicitar ao CASB relatório histórico de uploads do usuário - [ ] Preservar logs existentes - garantir que não serão sobre-escritos por rotação - [ ] Revisar manualmente logs da última semana em busca de padrão ### Nível 2 - Restrição Seletiva (autorizado por RH + Jurídico) Quando: evidências preliminares de exfiltração em andamento ou iminente saída do funcionário. - [ ] Bloquear acesso a destinos de exfiltração específicos (CASB / proxy - bloquear domínios identificados) - [ ] Desabilitar sincronização OneDrive/SharePoint para o endpoint do suspeito (via Intune/MDM) - [ ] Revogar acesso a sistemas sensíveis não relacionados à função principal - [ ] Bloquear portas USB via política de endpoint (MDM / GPO) **sem notificar o usuário** - [ ] Aplicar hold de eDiscovery na caixa de e-mail (Microsoft Purview Litigation Hold) ### Nível 3 - Revogação Total (desligamento coordenado com RH) Quando: evidências conclusivas, decisão de desligamento tomada pela diretoria. - [ ] **Coordenar horário exato** com RH para revogação simultânea ao comúnicado de desligamento - [ ] Desabilitar conta do AD, Entra ID/Azure AD e todos os sistemas federados simultaneamente - [ ] Revogar todos os tokens OAuth, sessões ativas e certificados pessoais - [ ] Resetar senha de sistemas compartilhados que o funcionário possa ter acessado - [ ] Recuperar equipamentos corporativos (laptop, celular, token MFA físico) imediatamente - [ ] Verificar se o funcionário tinha acesso a ambientes de cloud (AWS, Azure, GCP) - revogar chaves de API > [!danger] Timing Crítico > A revogação de acesso DEVE ocorrer no momento exato do comúnicado de desligamento pelo RH. Acesso mantido após o comúnicado é risco imediato. Revogação antes do comúnicado pode alertar o suspeito e causar sabotagem de último momento. ### Casos Especiais **Funcionário com acesso privilegiado (admin, DevOps, DBA):** - Escopo de dano potencial é maior - escalar imediatamente ao CISO - Verificar se criou backdoors (contas de serviço, scripts agendados, chaves SSH extras) - Auditoria de todos os sistemas que o usuário administrava **Fornecedor ou terceiro com acesso:** - Revogar acesso imediatamente (não há restrições de CLT para prestadores PJ) - Notificar o contato jurídico da empresa fornecedora - Revisar contrato para cláusulas de NDA e propriedade intelectual --- ## Remediação ### Pós-Contenção - Avaliação de Impacto - [ ] Catalogar todos os dados potencialmente exfiltrados (tipo, volume, classificação, dados pessoais?) - [ ] Identificar clientes, parceiros ou pessoas físicas cujos dados possam ter sido expostos - [ ] Avaliar se a exposição configura incidente LGPD reportável à **ANPD** (dados pessoais afetados) - [ ] Verificar se há obrigações contratuais de notificação a clientes ou parceiros - [ ] Avaliar exposição a segredos industriais - possível ação judicial por concorrência desleal ### Hardening Pós-Incidente - [ ] Revisar e atualizar política de Acceptable Use (AUP) - garantir ciência formal de todos os funcionários - [ ] Implementar ou ajustar DLP com classificação de dados (Confidencial, Restrito, Público) - [ ] Habilitar bloqueio de USB para todos os endpoints via MDM/GPO (com exceções aprovadas por processo formal) - [ ] Revisar permissões no princípio do menor privilégio - remover acessos acumulados ao longo do tempo - [ ] Implementar ou expandir UEBA - configurar alertas de anomalia por peer group - [ ] Criar processo formal de offboarding com checklist de revogação de acesso auditável - [ ] Revisar access reviews periódicos - quem tem acesso a quê, com válidade de 90 dias - [ ] Configurar alertas automáticos no RH → IR quando funcionário entra em período de aviso prévio ### Processo de Offboarding Seguro | Etapa | Responsável | Prazo | |-------|-------------|-------| | Notificação de desligamento ao time de TI/Segurança | RH | No mesmo dia do comunicado | | Revogação de acesso corporativo (AD, e-mail, VPN) | IAM / TI | Simultânea ao comunicado | | Revogação de sistemas SaaS (Salesforce, GitHub, Jira) | TI | Até 2 horas após comunicado | | Recuperação de equipamentos | RH / TI | No mesmo dia | | Auditoria de acesso dos últimos 30 dias | SOC | Até 5 dias úteis após saída | | Revisão de permissões concedidas pelo funcionário | IAM | Até 5 dias úteis após saída | | Revogação de chaves e tokens de cloud | DevOps/Cloud | Até 24 horas após saída | --- ## Contexto LATAM / Brasil ### Restrições da CLT ao Monitoramento A **Consolidação das Leis do Trabalho (CLT)** e a jurisprudência do **TST** estabelecem limites claros ao monitoramento de funcionários no Brasil: | Aspecto | Regra | Referência | |---------|-------|-----------| | E-mail corporativo | Monitorável com **política prévia comúnicada** | TST-RR-613/2000-013-10-00.7 | | E-mail pessoal (Gmail, Yahoo) | **Não monitorável** - inviolabilidade de correspondência | CF/88, Art. 5º, XII | | Rede corporativa (tráfego) | Monitorável com política e aviso ao funcionário | TST - jurisprudência consolidada | | Câmeras de vigilância no local de trabalho | Permitidas em áreas comuns com aviso | Súmula TST | | Keyloggers / software espião não declarado | **Ilegal** - pode configurar crime | CP Art. 154-A | | Monitoramento de dispositivo pessoal | **Ilegal sem ordem judicial** | CF/88 + LGPD | > [!warning] Armadilha Jurídica > Instalar software de monitoramento em dispositivo pessoal de funcionário (mesmo que corporativizado via BYOD sem política formal) pode resultar em **ação trabalhista por assédio** e **ação criminal** por violação de dispositivo informático (Lei 12.737/2012). ### LGPD e Dados de Funcionários - Dados de funcionários são **dados pessoais** sob a LGPD - A empresa pode tratar esses dados com base no **legítimo interesse** (Art. 7º, IX) para fins de segurança - mas deve documentar o interesse e garantir proporcionalidade - O DPO deve ser informado sobre investigações de insider threat - Se dados de terceiros (clientes, parceiros) foram exfiltrados pelo insider, a notificação à ANPD pode ser obrigatória (Art. 48, LGPD) - prazo máximo de **72 horas** após confirmação ### ANPD - Quando Notificar | Situação | Notificação Obrigatória? | |----------|------------------------| | Funcionário exfiltrou dados pessoais de clientes | Sim - Art. 48 LGPD | | Funcionário exfiltrou dados pessoais de outros funcionários | Sim - Art. 48 LGPD | | Funcionário exfiltrou apenas dados corporativos (segredos de negócio, sem dados pessoais) | Não obrigatório pela LGPD (pode haver outras obrigações contratuais) | | Conta comprometida por atacante externo via funcionário | Sim, se dados pessoais afetados | ### Precedentes Brasileiros Relevantes - **TST-RR-613/2000** - E-mail corporativo pode ser monitorado; funcionário não tem expectativa de privacidade no uso de recursos da empresa para fins particulares - **STJ REsp 1.963.756** (2022) - Fortaleceu proteção de dados pessoais de trabalhadores; exige base legal clara para monitoramento - **Lei 14.167/2021** - Proteção do trabalho em home office; reforçou necessidade de política clara de monitoramento - Para processos trabalhistas, evidências digitais precisam de **ata notarial** ou **perícia técnica** para ter plena válidade probatória ### CERT.br e Notificação de Incidentes Para ameaças internas que resultaram em exposição de dados de infraestrutura crítica ou afetaram terceiros, considerar notificação voluntária ao **[[cert-br\|CERT.br]]** (https://www.cert.br/incidentes/). Embora não obrigatória em todos os casos, fortalece a postura colaborativa com o ecossistema nacional de segurança. --- ## Checklist - Validação Final do Incidente - [ ] Todas as evidências coletadas com cadeia de custódia documentada - [ ] Jurídico e RH envolvidos desde o início e cientes de todas as ações tomadas - [ ] Relatório forense completo entregue ao jurídico para eventual processo - [ ] Avaliação LGPD concluída - DPO notificado - [ ] Notificação ANPD realizada (se aplicável) dentro do prazo de 72h - [ ] Acesso do funcionário revogado em todos os sistemas (incluindo SaaS e cloud) - [ ] Hardening aplicado nos vetores de exfiltração identificados - [ ] Processo de offboarding revisado e atualizado - [ ] Post-mortem com RH, Jurídico e IR Lead realizado - [ ] Treinamento de conscientização agendado para equipes afetadas --- ## Referências - [[t1078-valid-accounts\|T1078 - Valid Accounts]] - técnica de uso de credenciais legítimas - [[t1567-exfiltration-over-web-service\|T1567 - Exfiltration Over Web Service]] - exfiltração via serviços web - [[t1052-exfiltration-over-physical-medium\|T1052 - Exfiltration Over Physical Medium]] - exfiltração via USB - [[t1114-email-collection\|T1114 - Email Collection]] - coleta de e-mails antes da saída - [[t1074-data-staged\|T1074 - Data Staged]] - preparação de dados para exfiltração - [[t1005-data-from-local-system\|T1005 - Data from Local System]] - coleta de dados do sistema local - [[t1070-indicator-removal\|T1070 - Indicator Removal]] - remoção de rastros - [[_mitigations\|Hub de Mitigações MITRE ATT&CK]] - [[_defenses\|Hub Defensivo RunkIntel]] - [[ir-ransomware-lockbit\|IR Playbook - Ransomware LockBit]] - playbook complementar - [CERT/CC Insider Threat Center - Best Practices](https://www.sei.cmu.edu/our-work/insider-threat/) - [CISA Insider Threat Mitigation](https://www.cisa.gov/insider-threat-mitigation) - [LGPD - Lei 13.709/2018](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) - [TST - Jurisprudência sobre monitoramento de e-mail corporativo](https://www.tst.jus.br/) - [ANPD - Guia de Boas Práticas para Notificação de Incidentes](https://www.gov.br/anpd/pt-br) --- *Última revisão: 2026-03-26 | Próxima revisão recomendada: 2026-09-26*