Secondo Verizon, un attacco informatico ogni cinque, il 20%, arriva da soggetti interni alle aziende; quasi la metà degli incidenti legati alla cybersecurity e delle violazioni dei dati nasce dalla volontà di avere profitti finanziari ma non mancano, e rappresentano quasi un caso ogni cinque, anche quelli dettati dal semplice divertimento. A causare problemi ci sono varie tipologie di persone che variano dal lavoratori distratto o insoddisfatto fino a chi si riesce ad infiltrare nelle società con lo scopo di sottrarre dati.
Sono solo alcune delle informazioni emerse dal Verizon Insider Threat Report, un report che sposta la prospettiva sul ruolo delle minacce interne. Un argomento che è ancora un tabù per molte aziende che, spesso, hanno difficoltà a riconoscere, segnalare o intraprendere azioni contro i dipendenti che sono diventati una minaccia per la loro organizzazione.
Indice degli argomenti
Sartin: “Non sottovalutare la minaccia interna”
Attraverso l’Insider Threat Report, quindi, Verizon prova a offrire una prospettiva basata sui dati per identificare le aree di rischio e le strategie di intervento. “Per troppo tempo gli attacchi alla sicurezza informatica interni sono stati tralasciati – spiega Bryan Sartin, executive director security professional services di Verizon – e non sono stati presi sul serio. Spesso sono infatti motivo di disagio, ma le cose devono cambiare. Le minacce informatiche non provengono solo da fonti esterne, e per combattere la criminalità informatica nella sua interezza dobbiamo anche concentrarci sulle possibili minacce che si trovano tra le mura di un’organizzazione”.
Come riconoscere una minaccia che arriva dall’interno
Dal bagaglio di casi investigativi di Verizon, quindi, emergono numerosi dati che possono essere utili sia per riconoscere gli scenari che le organizzazioni possono trovarsi ad affrontare, che per individuare le personalità che possono minacciare un’azienda dall’interno:
- Il lavoratore distratto – Si tratta di dipendenti o partner che si appropriano indebitamente di risorse, violano le politiche di utilizzo, gestiscono dati in modo sbagliato, installano applicazioni non autorizzate e utilizzano soluzioni non approvate. Le loro azioni sono inappropriate ma non malevole, dato che in molti casi rientrano nel mondo dello Shadow IT (cioè al di fuori delle conoscenze e della gestione dell’IT).
- L’agente infiltrato – Individui interni all’azienda reclutati, sollecitati o corrotti da soggetti esterni per sottrarre i dati.
- Il dipendente insoddisfatto – Insider che cercano di danneggiare la propria organizzazione attraverso la distruzione dei dati o l’interruzione dell’attività aziendale.
- La risorsa interna malintenzionata – Si tratta di dipendenti o partner con accesso a risorse aziendali che utilizzano i privilegi esistenti per accedere alle informazioni per guadagno personale.
- La terza parte incompetente – Partner commerciali che compromettono la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali.
Le 11 contromisure per avere una difesa efficace
Una volta individuate le fonti di minaccia, quindi, il rapporto offre anche consigli pratici e contromisure per aiutare le organizzazioni a implementare un Insider Threat Program completo. Un intervento che dovrebbe comportare uno stretto coordinamento tra tutti i dipartimenti, da quello legale all’IT Security, alle risorse umane, e che deve partire da due fattori fondamentali: sapere quali sono le vostre risorse e chi vi ha accesso. “Il nostro obiettivo è quello di fornire delle linee guida che consentano alle aziende di essere più proattive in questo processo – prosegue Sartin – e di superare la paura, l’incertezza e il disagio che circondano questa forma di criminalità informatica interna”.
Verizon, quindi, condividendo scenari reali, punta ad aiutare le organizzazioni ad adottare contromisure che possono contribuire a ridurre i rischi e migliorare la risposta agli incidenti:
- Integrare le strategie di sicurezza e le politiche aziendali – Integrando un Insider Threat Program completo con altre strategie già esistenti, come ad esempio un piano per la gestione del rischio, delle risorse umane, che può contribuire a rafforzare l’efficienza, la coesione e la tempestività nell’affrontare le minacce interne.
- Andare a caccia delle minacce – Potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l’analisi comportamentale e le soluzioni EDR (Endpoint Detection and Response) per individuare, monitorare, rilevare e investigare le attività sospette di utenti e account, sia all’interno che all’esterno dell’azienda.
- Analizzare le vulnerabilità e condurre penetration test – Utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza, compresi i possibili canali che un criminale può sfruttare per agire all’interno dell’ambiente aziendale.
- Implementare le misure di sicurezza del personale – L’implementazione dei controlli delle risorse umane (come i processi di uscita dei dipendenti), l’accesso sicuro e la formazione sulla sicurezza può ridurre il numero di incidenti associati all’accesso non autorizzato ai sistemi aziendali.
- Introdurre misure di sicurezza fisica – Utilizzare dispositivi fisici per l’accesso, quali badge identificativi, barriere di sicurezza e sorveglianti per porre limiti fisici, oltre ai metodi utilizzati per l’accesso digitale, come l’impiego di carte magnetiche o rilevatori di movimento e telecamere, al fine di monitorare, allertare e registrare i modelli di accesso e le attività.
- Implementare soluzioni per la sicurezza della rete – Attuare misure di sicurezza perimetrale e di segmento, come firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni di Data Loss Prevention (DLP) per rilevare, raccogliere e analizzare il traffico sospetto potenzialmente associato alle attività di minaccia interne. Questo aiuterà a mettere in evidenza qualsiasi attività fuori orario, volumi di attività in uscita e l’uso di connessioni remote.
- Utilizzare soluzioni di sicurezza degli endpoint – È opportuno adottare sistemi di sicurezza degli endpoint collaudati, come inventari per gli asset critici, policy sui supporti rimovibili, crittografia dei dispositivi e strumenti di File Integrity Monitoring (FIM) per dissuadere, monitorare, tracciare, raccogliere e analizzare le attività legate agli utenti.
- Applicare misure di sicurezza dei dati – Utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l’integrità e la disponibilità, senza dimenticare ovviamente le minacce interne.
- Misure di gestione dell’identità e degli accessi – Prendere in considerazione misure di gestione dell’identità, degli accessi e dell’autenticazione per definire i limiti e proteggere gli accessi nell’ambiente aziendale. Tali misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM) per l’accesso privilegiato.
- Stabilire le competenze nella gestione degli incidenti – L’istituzione di un processo di gestione degli incidenti, con uno schema per reagire alle minacce interne che indichi anche le risorse, appositamente formate e incaricate di prendervi parte, renderà le attività di intervento nell’ambito della sicurezza informatica più efficienti ed efficaci nell’affrontare le minacce interne.
- Affidarsi a risorse dedicate per le investigazioni digitali forensi – Avere a disposizione una risorsa dedicata a queste verifiche, che sia in grado di condurre indagini approfondite e ad ampio raggio, che vanno dall’analisi di log, file, endpoint e traffico di rete, in incidenti di sicurezza informatica spesso delicati e correlati all’attività umana (o all’account utente).