Cosa sono le minacce interne?

Mentre le minacce esterne sono più comuni e fanno notizia quando si tratta di attacchi informatici, le minacce interne possono essere più costose e pericolose. Secondo il report Cost of a Data Breach di IBM, le violazioni di dati iniziate da insider malevoli sono state le più costose, con un costo medio di 4,99 milioni di USD.

Un recente rapporto di Verizon ha rivelato che, mentre la minaccia esterna media compromette circa 200 milioni di record, gli incidenti che coinvolgono un operatore interno della minaccia hanno portato all'esposizione di 1 miliardo o più di record.¹

Non tutte le minacce interne sono dannose. Uno studio dell'IBM Institute for Business Value ha scoperto che i membri del personale, pur senza intenzioni negative, possono condividere dati aziendali privati con prodotti di terze parti senza sapere se tali strumenti soddisfano le proprie esigenze di sicurezza. Lo studio ha anche rilevato che il 41% dei dipendenti ha acquisito, modificato o costruito tecnologie senza che il proprio team IT o di sicurezza ne fosse a conoscenza, creando serie falle nella sicurezza.

Gli insider malevoli sono ex dipendenti o dipendenti attuali insoddisfatti le cui credenziali di accesso non sono state revocate, che intenzionalmente abusano del loro accesso per vendetta, guadagno finanziario o entrambi. Alcuni insider malevoli collaborano con una minaccia esterna, come un hacker, un concorrente o un attore di uno stato nazionale, per interrompere le operazioni aziendali inserendo malware o manomettendo file e applicazioni. Altri si concentrano sulla divulgazione di informazioni sui clienti, proprietà intellettuale, segreti commerciali o altri dati sensibili a beneficio dei loro complici esterni.

Alcuni attacchi recenti da parte di insider malevoli:

• All'inizio della pandemia da COVID-19, un ex dipendente insoddisfatto di un'azienda di confezioni mediche ha utilizzato un account amministratore creato in precedenza per creare un nuovo account utente falso, quindi ha alterato migliaia di file al fine di ritardare o interrompere le spedizioni di dispositivi di protezione individuale a ospedali e operatori sanitari.
   

• Nel 2022, un dipendente di X è stato arrestato per aver inviato informazioni private di X utenti a funzionari del Regno dell'Arabia Saudita e della famiglia reale saudita in cambio di tangenti. Secondo il Dipartimento di Giustizia degli Stati Uniti, il dipendente "... ha agito in segreto come agente di un governo straniero che prende di mira le voci dissenzienti".

Gli insider negligenti non hanno intenzioni malevole, ma creano inavvertitamente minacce alla sicurezza per ignoranza o negligenza, come cadere in un attacco di phishing o aggirare i controlli di sicurezza per risparmiare tempo. Le loro azioni possono anche includere la perdita di un laptop che un criminale informatico potrebbe utilizzare per accedere alla rete dell'organizzazione o l'invio di file sensibili via e-mail a persone esterne all'organizzazione.

Tra le aziende intervistate nel Ponemon Cost of Insider Threats Global Report 2022, la maggior parte delle minacce interne, il 56%, derivava da insider imprudenti o negligenti.²

Gli attori delle minacce rubano le credenziali degli utenti legittimi, trasformandoli in insider compromessi. Le minacce lanciate tramite insider compromessi sono le minacce interne più costose e costano alle vittime in media 804.997 USD per essere riparate secondo il rapporto Ponemon.³

Spesso, gli insider compromessi sono il risultato di un comportamento negligente degli insider. Ad esempio, nel 2021 un truffatore ha utilizzato una tattica di ingegneria sociale, in particolare una telefonata di phishing vocale (vishing) per ottenere credenziali di accesso ai sistemi di supporto clienti sulla piattaforma di trading Robinhood. Più di 5 milioni di indirizzi e-mail dei clienti e 2 milioni di nomi di clienti sono stati rubati nell'attacco.

Le minacce interne vengono eseguite, parzialmente o interamente, da utenti con credenziali complete, inclusi gli utenti privilegiati. Questo approccio rende particolarmente difficile distinguere gli indicatori e i comportamenti di insider malevoli dalle normali azioni degli utenti. Secondo uno studio, i team di sicurezza impiegano in media 85 giorni per rilevare e contenere una minaccia interna ⁴, ma alcune minacce interne sono rimaste non rilevate per anni.

Per rilevare, contenere e prevenire meglio le minacce interne, i team di sicurezza si affidano a una combinazione di pratiche e tecnologie.

La formazione continua di tutti gli utenti autorizzati sulle politiche di sicurezza, come l'igiene delle password, la corretta gestione dei dati sensibili e la segnalazione dei dispositivi smarriti, può aiutare a ridurre il rischio di minacce interne da insider negligenti. Inoltre, la formazione sulla consapevolezza della sicurezza su argomenti come il riconoscimento delle truffe di phishing e l'indirizzamento corretto delle richieste di accesso al sistema o ai dati sensibili può mitigare l'impatto complessivo delle minacce. Ad esempio, secondo il report Cost of a Data Breach, il costo medio di una violazione dei dati nelle aziende che avevano provveduto alla formazione dei dipendenti è stato di 285.629 USD in meno rispetto alle aziende senza formazione.

La gestione dell'identità e degli accessi (IAM) si concentra sulla gestione delle identità degli utenti, dell'autenticazione e delle autorizzazioni di accesso in modo da garantire che gli utenti e i dispositivi giusti possano accedere ai motivi giusti al momento giusto. La gestione degli accessi privilegiati, una sottodisciplina dell'IAM, si concentra su un controllo più dettagliato dei privilegi di accesso concessi a utenti, applicazioni, account amministrativi e dispositivi.

Una funzione chiave della gestione delle identità e degli accessi (IAM) per prevenire gli attacchi interni è la gestione del ciclo di vita dell'identità. Limitare le autorizzazioni di un dipendente scontento in partenza o disattivare immediatamente gli account degli utenti che hanno lasciato l'azienda sono esempi di azioni di gestione del ciclo di vita dell'identità che possono ridurre il rischio di minacce interne.

L'analisi del comportamento degli utenti (UBA) applica analytics avanzati dei dati e l'intelligenza artificiale (AI) per modellare i comportamenti degli utenti di base e rilevare anomalie che possono indicare minacce informatiche emergenti o in corso, comprese potenziali minacce interne. Una tecnologia strettamente correlata, l'analisi del comportamento degli utenti e delle entità (UEBA), aumenta queste capacità per rilevare comportamenti anomali nei sensori IoT e in altri dispositivi endpoint.

L'UBA viene spesso utilizzato insieme al SIEM (Security Information and Event Management), che raccoglie, correla e analizza i dati relativi alla sicurezza provenienti da tutta l'azienda.

La sicurezza offensiva (o OffSec) utilizza tattiche avversarie, le stesse tattiche utilizzate dai malintenzionati negli attacchi del mondo reale per rafforzare la sicurezza della rete anziché comprometterla. Gli hacker etici, esperti di cybersecurity con competenze nelle tecniche di hacking, guidano la sicurezza offensiva identificando e risolvendo difetti nei sistemi IT, rischi di sicurezza e vulnerabilità nel modo in cui gli utenti reagiscono agli attacchi informatici.

Le misure di sicurezza offensive che possono aiutare a rafforzare i programmi di minacce interne includono simulazioni di phishing e l'insegnamento rosso, in cui un team di hacker etici avvia un attacco informatico simulato e mirato all'organizzazione.