O software de Gestão de Ameaças Internas (ITM) é um software de monitoramento de atividades de usuários que ajuda as empresas a prevenir que usuários internos tomem ações maliciosas ou negligentes dentro dos sistemas, como acessar, copiar, remover, adulterar ou destruir dados da empresa ou outros ativos sem permissão. As empresas usam o software ITM para monitorar e registrar as ações dos usuários internos do sistema em seus endpoints, como funcionários atuais e antigos, contratados, parceiros de negócios e outras pessoas autorizadas, a fim de proteger os ativos da empresa, como dados de clientes ou propriedade intelectual. O software ITM é usado por profissionais de TI ou segurança. O software ITM desempenha um papel crítico na estratégia geral de segurança de uma empresa, já que as ferramentas de segurança que se concentram em ameaças externas aos sistemas ou redes muitas vezes não conseguem detectar as ameaças sutis de usuários internos autorizados.
O software ITM frequentemente se integra com ferramentas de software de gerenciamento de identidade e acesso (IAM) para extrair dados de usuários internos. As ferramentas ITM também costumam se integrar com ferramentas de software de gerenciamento de informações e eventos de segurança (SIEM) e outros sistemas de análise de ameaças para centralizar as operações de segurança em um único local. Muitas soluções de software ITM têm funcionalidades que se sobrepõem com o software de gerenciamento de acesso privilegiado (PAM), prevenção de perda de dados (DLP) e análise de comportamento de usuários e entidades (UEBA), no entanto, essas ferramentas têm usos diferentes. O PAM é usado para monitorar as ações de usuários privilegiados. As ferramentas DLP detectam vazamentos de dados sensíveis. O software UEBA usa aprendizado de máquina para detectar anomalias a partir do uso de referência; isso é diferente do software ITM, que utiliza sensores de endpoint e dados contextuais de usuários para descobrir riscos de ameaças internas.
Para se qualificar para inclusão na categoria de Gestão de Ameaças Internas, um produto deve:
Monitorar endpoints de usuários e acionar alertas quando ações de ameaças internas forem realizadas
Detectar movimentação de dados para USBs externos ou drives externos ou upload para armazenamento em nuvem ou e-mails, uso excessivo de impressoras e uso de teclas de copiar/cortar/colar em endpoints de usuários
Fornecer gravação de vídeo de sessão, capturas de tela e registro de teclas como evidência de ação maliciosa ou negligente
