A nessuno piace pensare che nella propria azienda esistano minacce interne che mettano l'organizzazione a rischio di violazione dei dati o che siano la causa di una multa per non conformità del costo di migliaia di sterline. Tuttavia, la minaccia insider è fin troppo reale. Secondo diversi rapporti, le minacce interne sono alla base di molti dei problemi di sicurezza che dobbiamo affrontare oggi. Il "Cybersecurity Insiders Insider Threat Report", ad esempio, ha rilevato che il 68% delle organizzazioni ritiene che le minacce interne stiano aumentando di frequenza. In un sondaggio di Egress, "2020 Insider Data Breach Survey", quasi tutti i responsabili IT che hanno risposto hanno dichiarato che il rischio di violazione da parte di insider è una "preoccupazione significativa".
Nel settore della sicurezza informatica si dice spesso che le minacce interne sono le più difficili da affrontare; dopo tutto, come si può rilevare un'azione malevola o una fuga di dati accidentale? Ecco la nostra guida alle minacce interne e a come prevenirle.
Insider Threat: tipi di minacce interne
Un insider è chiunque stia attualmente lavorando o abbia precedentemente lavorato per la vostra organizzazione. Questa definizione comprende dipendenti e non dipendenti, come gli appaltatori. Gli insider possono anche essere estesi a un socio d'affari o a un'azienda del vostro ecosistema di fornitori. Anche i lavoratori remoti si aggiungono alle preoccupazioni di sicurezza insider di un'azienda, con un sondaggio IBM che ha scoperto che i problemi di sicurezza sono esacerbati dalle aziende che non garantiscono l'applicazione delle politiche di sicurezza del lavoro remoto.
Insider Threat accidentale
In un articolo dell'EC-Council si legge che il 64% degli eventi di perdita di dati è attribuibile a insider che "avevano buone intenzioni", in altre parole, gli incidenti capitano. Il termine "minacce interne accidentali" copre un'ampia gamma di possibili "incidenti o contrattempi". Alcuni di questi incidenti sono dovuti alla semplice mancata comprensione dei rischi per la sicurezza durante l'esecuzione di un compito; altri, come il phishing o l'ingegneria sociale, sono dovuti alla manipolazione degli individui da parte di forze esterne. L'errata configurazione dei sistemi informatici è un'altra area che è accidentale, ma che consente a forze esterne di sfruttare un sistema. L'insider accidentale spesso si riduce a quattro aree problematiche principali:
- Il fattore "oops": Incomprensione o mancanza di conoscenza dei processi e dei rischi di sicurezza. Lo studio Egress ha rilevato che il 31% delle violazioni è stato causato da un dipendente che ha inviato informazioni via e-mail alla persona sbagliata.
- Inganno: Manipolazione da parte di forze esterne, ad esempio il phishing. Lo studio Egress ha scoperto che il 41% dei dati trapelati accidentalmente era dovuto a un'email di phishing.
- Scarsa postura: Scarsa postura di sicurezza da parte di un'azienda e una mancanza di applicazione e di educazione alla sicurezza
- Mancanza di competenze di sicurezza: Configurazione errata dei sistemi a causa della scarsa formazione o della mancanza di comprensione della sicurezza a livello di amministrazione IT
Insider Threat malicioso
Quei dipendenti e non dipendenti che intendono intenzionalmente causare danni ai sistemi IT o rubare dati sono definiti malintenzionati. A differenza degli insider accidentali, le minacce insider malevole sono tipicamente motivate da motivi come il denaro o la vendetta. Un rapporto di Fortinet sulle minacce insider ha rilevato che il 60% delle aziende è preoccupato per la minaccia di una violazione dei dati causata da una minaccia insider malevola. Il sondaggio ha anche esaminato le motivazioni degli insider malintenzionati, con le tre principali ragioni:
- Frode (55%)
- Denaro (49%)
- Furto di proprietà intellettuale (44%)
Gli insider maligni sono persino reclutati sul dark web, con un rapporto che indica un annuncio sul dark web per un impiegato di banca che agisca come insider maligno, il concerto pagato 370.000 rubli (4.400 sterline) al mese per un'ora di lavoro al giorno.
Esempi di minacce interne
Indipendentemente dal fatto che la violazione dei dati o altri eventi di sicurezza siano causati intenzionalmente o accidentalmente, le ripercussioni sono le stesse. Le violazioni dei dati e altri problemi di sicurezza comportano ingenti multe per mancata conformità, la perdita di fiducia dei clienti nella capacità di un'organizzazione di proteggere le informazioni sensibili e persino un calo del valore delle azioni dell'azienda. Di seguito sono riportati tre esempi in cui gli attacchi insider hanno causato danni all'azienda:
Il dipendente scontento: Un'azienda che si occupa della distribuzione di dispositivi di protezione (DPI) durante la pandemia di Covid-19 ha sofferto per mano di un dipendente arrabbiato. L'ex dipendente, "Dobbins", ha creato due account utente falsi prima di perdere il lavoro. Una volta licenziato, Dobbins è entrato nel sistema utilizzando gli account falsi. Ha quindi modificato quasi 12.000 record, cancellandone oltre 2.000. Infine ha disattivato gli account falsi. Apportando queste modifiche, Dobbins ha seriamente compromesso la fornitura di DPI agli operatori sanitari.
Intenzione dolosa a scopo di lucro: Un dipendente di BUPA ha causato una violazione che ha interessato 547.000 clienti, con il risultato che l'ICO del Regno Unito ha multato Bupa per 175.000 sterline. Il dipendente ha utilizzato il sistema CRM dell'azienda per inviarsi i dati personali dei clienti BUPA prima di cercare di vendere gli account compromessi sul dark web.
Gliincidenti accadono, ma spesso sono imperdonabili: L'"Independent Inquiry into Child Sex Abuse" (IICSA) è stata messa sotto esame dopo che un dipendente ha inviato un'e-mail di massa a 90 possibili vittime di abusi sessuali su minori. L'impiegato ha semplicemente usato il campo cc invece del campo bcc per inserire gli indirizzi e-mail. L'ICO del Regno Unito ha multato l'IICSA di 200.000 sterline secondo il Data Protection Act (DPA2018).
Modi per rilevare e mitigare le minacce interne nella vostra organizzazione
Sebbene possa essere difficile individuare e prevenire gli attacchi insider, esistono modi per ridurne al minimo l'impatto. Ecco cinque modi per aiutare la vostra organizzazione a controllare le minacce interne:
Security Awareness Training: come ridurre gli Insider Threat con strategie umane
Poiché molte minacce interne sono accidentali, la formazione sulla consapevolezza della sicurezza può svolgere un ruolo importante nel mitigare questo rischio informatico. La formazione sulla consapevolezza della sicurezza dovrebbe coprire gli aspetti delle minacce interne accidentali come:
- Igiene della sicurezza: per esempio, insegnare ai dipendenti ad essere consapevoli di inviare dati in modo sicuro.
- Phishing: assicurarsi che i dipendenti siano aggiornati sulle e-mail e su altri trucchi di phishing e che siano consapevoli del furto di credenziali tramite siti di phishing.
- Consapevolezza della conformità: assicurarsi che i dipendenti siano consapevoli del loro ruolo nel garantire il rispetto della conformità normativa.
Fiducia zero
Molte minacce interne sono causate dall'abuso o dall'uso improprio dei privilegi e dallo scarso controllo dell'accesso ai dati sensibili. La fiducia zero si basa sul principio "mai fidarsi, sempre verificare". Ciò che si riduce a questo è che i dipendenti e/o i dispositivi utilizzati sono messi alla prova quando tentano di accedere alle risorse.
Queste sfide riflettono la sensibilità delle risorse, quindi dati o applicazioni più sensibili richiedono una maggiore garanzia che la persona che vi accede sia chi dice di essere. Un'architettura a fiducia zero è un mix di tecnologie appropriate e un approccio architettonico che aiuta a compartimentare le aree di una rete. Le tecnologie che supportano un'architettura a fiducia zero includono la gestione delle informazioni e degli eventi di sicurezza (SIEM) e un broker di sicurezza dell'accesso al cloud (CASB).
Autenticazione e autorizzazione
Costruire su un'architettura di fiducia zero è il principio di autenticazione e autorizzazione robusta. L'autenticazione e l'autorizzazione consapevole del contesto aggiungono un importante livello di controllo nell'accesso ai dati sensibili. L'uso di 2FA/MFA per accedere alle app aziendali, specialmente quando si lavora in remoto, dovrebbe essere imposto. Insieme al monitoraggio, questi processi creano un robusto livello di sicurezza.
Cercare segnali di comportamento insolito
Le minacce interne dannose possono essere difficili da individuare, ma alcune tecnologie basate sull'apprendimento automatico (ML) possono aiutare a rilevare le minacce e ad avvisare il team di sicurezza di qualsiasi attività insolita. Una di queste è il monitoraggio dei dipendenti sotto forma di UEBA (User and Entity Behaviour Analytics). L'UEBA è utilizzato per rilevare comportamenti insoliti utilizzando il ML per individuare modelli di comportamento anomali quando gli esseri umani interagiscono con dispositivi e reti.
Controllo Anti-Phishing e Spam
Le tecnologie che impediscono alle e-mail di phishing di entrare nelle caselle di posta dei dipendenti in primo luogo possono aiutare a prevenire le violazioni accidentali degli insider. Le soluzioni possono essere utilizzate per impedire ai dipendenti di navigare verso URL dannosi. Questi servizi software sono in genere forniti come piattaforme basate su cloud. Il filtraggio delle e-mail e la scansione del contenuto degli URL sono utili per fornire una rete di sicurezza per aumentare la formazione sulla consapevolezza della sicurezza.
I nostri dipendenti sono la nostra più grande risorsa, e dobbiamo assicurarci che rimangano tali responsabilizzandoli attraverso l'istruzione e proteggendo loro e la nostra azienda con il meglio che c'è nelle tecnologie di sicurezza.
