Comprendere le insider threat
Le insider threat (minacce interne) sono potenziali punti deboli in un’organizzazione di qualsiasi dimensione che potrebbero recarle danno attraverso una vulnerabilità umana. Le insider threat sono persone. Persone che usano il loro privilegio in modo malevolo o non intenzionale per causare un incidente di sicurezza informatica.
Gli attori interni conoscono intimamente il panorama di un’azienda e possono scatenare il caos nell’infrastruttura di un’organizzazione. Indipendentemente dalle motivazioni di un attore interno, l’impatto può essere estremo.
Comprendere e gestire il rischio interno è un importante elemento di sicurezza.
Insider threat: significato
La CISA definisce un’insider threat come “il potenziale di un insider di usare il proprio accesso autorizzato o la propria conoscenza di un’organizzazione per recare danno a quest’ultima”. Ciò può essere malevolo e intenzionale oppure accidentale.
Ad esempio, prendiamo in considerazione la triade CIA, che spiega i modi in cui i dati devono essere protetti e in cui potrebbero essere trattati o usati in modo improprio. La triade CIA è un acronimo: la C sta per Confidentiality (Riservatezza), la I sta per Integrity (Integrità) e la A sta per Availability (Disponibilità). All’interno della triade, tutti e tre gli aspetti dei dati devono essere mantenuti e protetti all’interno di un’organizzazione. I dati devono essere disponibili all’occorrenza. Devono essere protetti da coloro che non ne hanno bisogno ed essere riservati, se necessario. I dati devono avere integrità: non devono essere manomessi. Nel caso di un’insider threat, tutti e tre gli aspetti della triade CIA sono a rischio.
Caratteristiche comuni delle insider threat
Le insider threat partono dalle persone in un’organizzazione e si possono trovare in qualsiasi punto al suo interno. Alcune hanno cattive intenzioni. Altre commettono semplicemente errori ad alto costo a causa di disattenzione, ignoranza o ingenuità.
Le insider threat, specialmente quelle malevole, hanno alcune caratteristiche in comune. Si tratta spesso di persone con un’alta conflittualità, che esprimono disinteresse per le attività e gli incarichi. Violano frequentemente le procedure di conformità o le regole per la protezione dei dati. Potrebbero usare in modo improprio le spese autorizzate come quelle per viaggi aerei, hotel, ufficio domestico o pasti. Un’altra caratteristica comune è il fatto che le persone che minacciano un’organizzazione tendono ad avere valutazioni delle prestazioni costantemente scarse e potrebbero essere particolarmente interessate a sapere di più delle attività che non fatto parte del loro ruolo professionale.
Anche le insider threat non intenzionali hanno qualcosa in comune: una mancanza di conoscenza, formazione e pratiche ottimali. Molte persone sono semplicemente ingenue e facilmente manipolabili. Altre sono pigre o gli piace “aggirare il sistema” a proprio vantaggio. Tutte quante comportano un rischio interno.
Impatto delle insider threat sulle organizzazioni
Secondo uno studio di Crowd Research Partners, il 90% dei professionisti della sicurezza informatica ritiene che le organizzazioni siano vulnerabili alle insider threat. IBM ha riscontrato che il costo medio di un incidente informatico dovuto a un’insider threat malevola è di 4,45 milioni di dollari e richiede 314 giorni in media per essere identificato e contenuto. Si tratta di numeri impressionanti.
Tipi di insider threat
Insider malintenzionati e non intenzionali
Gli insider malintenzionati sono determinati a recare danno a un’organizzazione. Potrebbero farlo per profitto, per principio o solamente perché si sentono offesi dall’organizzazione. Alcuni diventano malintenzionati semplicemente per la propria determinazione a completare le attività con il minimo sforzo possibile e ignorare le regole di conformità e i requisiti di sicurezza.
Gli insider non intenzionali potrebbero anche avere un atteggiamento positivo nei confronti dell’organizzazione e avere le migliori intenzioni. Semplicemente, non hanno la consapevolezza, la formazione e la conoscenza necessarie per prevenire un incidente.
Esempi di diversi tipi di insider threat
Una persona che desidera porre fine all’uso degli animali per la sperimentazione potrebbe trovare impiego in un luogo in cui gli animali vengono usati per i test, fare carriera fino a ottenere un ruolo che dà accesso alle gabbie in cui vengono tenuti gli animali e liberarli. Una persona che si sente offesa da un direttore potrebbe rompere il suo computer o colpire il suo veicolo mentre esce, rendendolo inutilizzabile.
Nella sicurezza informatica questo avviene in modo leggermente diverso, ma con lo stesso effetto. Immagina un dipendente contrariato a conoscenza del fatto che verrà presto licenziato. Quella stessa persona ha accesso al download dei contatti dell’azienda o di altri dati per l’uso personale oppure utilizza un accesso non revocato in un modo che lo aiuta nel suo futuro ruolo, recando danno all’azienda.
Immagina un impiegato che prende un congedo parentale sapendo di non avere intenzione di tornare e avendo ancora accesso alla dashboard per dipendenti, che gli permette di usare i fondi dell’azienda per viaggiare.
Ora vai oltre e immagina una persona che vuole rubare i segreti dell’azienda per costruire i propri strumenti o trasferire denaro dall’interno dell’organizzazione a un altro individuo per pagare un debito personale. Gli insider malintenzionati possono avere l’impatto o recare il danno che desiderano e coloro che dispongono di competenze tecniche possono recare gravi danni.
Le insider threat non intenzionali, tuttavia, solitamente creano un incidente di sicurezza in modo involontario, ad esempio copiando dati sensibili e perdendoli in un bar pubblico sulla strada di casa oppure concedendo l’accesso a un malintenzionato o scaricando malware senza rendersene conto.
Motivazioni alla base degli attacchi interni
Come per molti crimini, gli insider malintenzionati sono motivati da un guadagno finanziario, dalla soddisfazione emotiva o da ragioni politiche.
Le insider threat non intenzionali non sono animate da queste motivazioni, ma possono causare problemi lasciando i dispositivi incustoditi nei veicoli o negli uffici non chiusi a chiave, sacrificando le pratiche ottimali per la sicurezza a favore della comodità o per una semplice mancanza di formazione in merito ai concetti di sicurezza. Le insider threat non intenzionali rientrano in due categorie: negligenti o accidentali. Entrambe possono recare danno.
Come avviene un’insider threat?
Scoprire i metodi e le tecniche usati dagli insider per compiere gli attacchi
Le insider threat possono far trapelare dati privati e importanti, sabotare le apparecchiature e persino rubare proprietà o dati dell’azienda. Possono farlo in modo diretto o attraverso una parte terza a cui danno l’accesso.
Analizzare le vulnerabilità comuni che permettono il verificarsi delle insider threat
Le backdoor tramite accesso remoto sono una vulnerabilità comune che permette il verificarsi delle insider threat. Un’altra vulnerabilità diffusa è la presenza di un’impostazione di sicurezza disabilitata o uno strumento di sicurezza inutilizzato o rimosso. Talvolta, gli insider possono manomettere gli hardware o disabilitare manualmente impostazioni o configurazioni. È importante osservare ogni componente di un sistema e verificare la presenza di vulnerabilità.
Esaminare i casi aziendali degli incidenti dovuti a insider threat
Edward Snowden è un classico esempio di insider threat che ha diffuso milioni di file a cui ha avuto accesso attraverso il suo ruolo di committente per la NSA nei primi anni 2000. Un altro caso dello stesso periodo è quello di Chelsea Manning, un ex militare statunitense che ha rilasciato in modo simile informazioni privilegiate, oltre 500.000 documenti, a WikiLeaks. Più recentemente, due ex impiegati di Tesla hanno diffuso informazioni private, tra cui il codice fiscale, di oltre 75.000 dipendenti. In tutti questi casi si trattava di insider threat.
Identificare gli identificatori delle insider threat
Indicatori comportamentali delle potenziali insider threat
Coloro che commettono atti di violenza sul posto di lavoro o hanno spesso conflitti con i colleghi dovrebbero essere tenuti sotto controllo, se non allontanati. Le persone che stanno per conto loro o sono molto riservate dovrebbe essere anch’esse motivo di preoccupazione. Altri indicatori comportamentali potrebbero essere la mancanza di conoscenza in merito alle pratiche ottimali per la sicurezza informatica, il mancato rispetto delle linee guida, frequenti problemi con la direzione o valori in conflitto con quelli dell’organizzazione.
Indicatori tecnici a cui fare attenzione
Ci sono alcuni semplici indicatori che contribuiscono a facilitare il monitoraggio delle insider threat.
Per prima cosa, è necessario fare attenzione a pattern di traffico insoliti, accessi tardivi o ad orari strani e pattern di accesso a dati sensibili al di fuori della norma. Un altro indicatore tecnico comune è la tendenza a utilizzare dispositivi personali al posto di quelli aziendali approvati dal reparto IT. Verifica la presenza di eventuali insider threat quando trovi delle backdoor, così come quando trovi impostazioni disabilitate o strumenti inutilizzati. È utile rispettare sempre il concetto di privilegio minimo e tenere particolarmente sotto controllo la gestione degli accessi, in quanto un’insider threat potrebbe richiedere l’accesso ad applicazioni o unità al di fuori del suo ambito di lavoro.
Ruolo del monitoraggio degli impiegati nel rilevamento delle insider threat
Il monitoraggio degli impiegati è una parte essenziale dell’identificazione e del rilevamento di potenziali rischi e insider threat. Un ottimo modo per raggiungere questo obiettivo consiste nel creare una cultura aziendale di consapevolezza della sicurezza informatica, uno spazio sicuro per le segnalazioni e un senso di lavoro di squadra in cui le persone che non condividono gli stessi valori possono facilmente distinguersi ed essere incoraggiate a parlare con qualcuno in caso di rimostranze, tutto ciò per filtrare le potenziali minacce. Una chiara comprensione delle dinamiche psico-sociali che contribuiscono a comportamenti malevoli è utile per coloro in posizioni di direzione.
Prevenire le insider threat
Implementare il controllo degli accessi e il privilegio minimo
I controlli degli accessi sono un processo di gestione e protezione dell’accesso a dati e risorse. I responsabili IT dovrebbero implementare scrupolosamente i controlli degli accessi. Occorre attenersi al principio del privilegio minimo (PoLP): concedere autorizzazioni solo entro l’ambito della descrizione del ruolo di una persona. È importante agire in modo proattivo contro le insider threat rispettando questi principi.
Importanza della formazione e della consapevolezza dei dipendenti
La formazione sulla sicurezza informatica e sulla consapevolezza dei dipendenti tramite canali delle risorse umane relativi ai comportamenti adeguati è un altro modo per essere proattivi. Indipendentemente dal fatto che un’organizzazione istituisca corsi di formazione o si affidi a un’azienda di formazione, una delle soluzioni più semplici per prevenire le minacce consiste nell’investire nella formazione e aumentare la consapevolezza degli impiegati.
Ruolo delle soluzioni tecnologiche nella mitigazione delle insider threat
Esistono delle soluzioni tecnologiche per mitigare il rischio delle insider threat. Un gestore di password è un elemento importante per garantire che le pratiche ottimali vengano seguite. Nel mondo di oggi esistono strumenti e opzioni praticamente per ogni budget per migliorare la sicurezza, raccogliere informazioni, rilevare e stanare le minacce e rispondere rapidamente.
Rispondere alle insider threat
Sviluppare un piano di risposta agli incidenti
Un piano di risposta agli incidenti è fondamentale per ogni organizzazione. Ciò include stabilire quali aspetti di una rete costituiscono un’infrastruttura critica e individuare quali punti potrebbero non funzionare. Effettuare regolarmente il backup dei dati dovrebbe essere parte del piano. Monitora periodicamente tutti i dispositivi e i sistemi e riesamina il piano dopo ogni incidente per capire cosa si è appreso e cosa può essere adattato o modificato.
Azioni da compiere quando viene identificata un’insider threat
Se viene identificata un’insider threat, ottieni più informazioni possibile sull’accesso e i privilegi dell’insider. La priorità è quella di determinare l’impatto e affrontarlo. Il più rapidamente possibile, contieni la minaccia e adoperati per mitigarla. Una volta concluso l’incidente, esamina e analizza quanto appreso e adegua il piano di risposta agli incidenti per garantire una risposta più rapida e incisiva la volta successiva.
Collaborare con forze dell’ordine e autorità giudiziarie
È utile consultare le forze dell’ordine e le organizzazioni di sicurezza nazionale per apprendere le pratiche ottimali che possono supportare imprenditori e responsabili IT nella creazione e implementazione di una strategia per la prevenzione dei rischi e delle insider threat. Quando è necessario coinvolgere le forze dell’ordine, è opportuno avere una documentazione completa e assicurarsi che questa sia ben organizzata, leggibile e di facile comprensione.
Contatta regolarmente queste organizzazioni per porre domande e segui le pratiche ottimali consigliate. Assicurati che il piano di risposta agli incidenti rispetti pienamente le norme sulla produzione di prove e l’ambito della documentazione di cui avranno bisogno per procedere.
Pratiche ottimali per l’insider threat management
Creare una cultura della sicurezza all’interno dell’organizzazione
La sicurezza è una cultura. Creare un ambiente che insiste sulle pratiche ottimali per la sicurezza e le promuove regolarmente, un ambiente sicuro per le segnalazioni e la conoscenza degli standard e le aspettative di comportamento è il miglior modo per sviluppare una cultura che tiene alla larga le insider threat.
Un ottimo team building e un senso di connessione con la direzione, insieme a una cultura che premia e celebra i successi, è un altro modo per ridurre il rischio di insider threat e assicurarsi che questo venga riscontrato e gestito immediatamente.
Stabilire politiche e procedure chiare
Una volta predisposto un piano, sono necessari degli standard operativi di modo che all’interno dell’organizzazione siano tutti in sintonia. È inoltre utile contattare i fornitori degli strumenti o dei sistemi utilizzati dall’organizzazione per verificare se hanno stabilito delle pratiche ottimali per la sicurezza, di modo che possano essere applicate. Infine, occorre disporre di chiare procedure per l’identificazione, la segnalazione, il monitoraggio e la risoluzione delle insider threat, che vanno seguite da tutte le persone all’interno dell’organizzazione, sempre utilizzando il principio del privilegio minimo.
Monitoraggio e auditing continui degli account privilegiati
Tutti gli account dovrebbero essere monitorati e sottoposti regolarmente ad audit. La gestione degli accessi privilegiati (PAM) e la gestione delle identità privilegiate (PIM) sono soluzioni di sicurezza simili a supporto del miglioramento della sicurezza contro le insider threat.
Inoltre, un’organizzazione che utilizza un gestore di password come LastPass potrà usufruire del modello basato sul principio della conoscenza zero (in cui la società di sicurezza non ha accesso alle credenziali), nonché dell’implementazione dell’autenticazione a più fattori (MFA).
Gli strumenti di monitoraggio, la crittografia di livello militare e l’auditing e la certificazione di terze parti effettuati regolarmente possono aumentare notevolmente il livello di sicurezza di un’organizzazione. LastPass offre tutto ciò, insieme a strumenti di monitoraggio per aiutare ad aggiornare le password vulnerabili o riutilizzate, valutare e migliorare la sicurezza complessiva, riempire i moduli in modo sicuro e persino controllare le informazioni che potrebbero essere coinvolte in una violazione.
Con una pianificazione attenta e gli strumenti giusti, è possibile gestire e rilevare le insider threat. Inizia la prova gratuita di LastPass.
