Le minacce interne sono minacce alla sicurezza informatica che hanno origine da utenti autorizzati (dipendenti, appaltatori, partner commerciali) che intenzionalmente o accidentalmente abusano del loro accesso legittimo o subiscono il controllo dei loro account da parte di criminali informatici.
Mentre le minacce esterne sono più comuni e fanno notizia quando si tratta di attacchi informatici, le minacce interne, siano esse dannose o frutto di negligenza, possono essere più costose e pericolose. Secondo il Cost of a Data Breach Report 2023 di IBM, le violazioni di dati iniziate da insider malevoli sono state le più costose: 4,90 milioni di dollari in media, ovvero il 9,5% in più rispetto ai 4,45 milioni di dollari del costo medio della violazione di dati. Inoltre, un recente rapporto di Verizon ha rivelato che, mentre la minaccia esterna media compromette circa 200 milioni di record, gli incidenti che coinvolgono un autore interno della minaccia hanno portato all'esposizione di 1 miliardo o più di record.1
Scopri come IBM Security® QRadar® SIEM identifica e analizza il comportamento anomalo.
Gli insider malevoli sono solitamente ex dipendenti o dipendenti attuali insoddisfatti le cui credenziali di accesso non sono state revocate, che intenzionalmente abusano del loro accesso per vendetta, guadagno finanziario o entrambi. Alcuni insider malevoli "lavorano" per un outsider malevolo, come un hacker, un concorrente o un attore a livello nazionale, per ostacolare le operazioni aziendali (impiantando malware o manomettendo file o applicazioni) o per far trapelare informazioni sui clienti, proprietà intellettuale, segreti commerciali o altri dati sensibili.
Alcuni attacchi recenti da parte di insider malevoli:
All'inizio della pandemia da COVID-19, un ex dipendente insoddisfatto di un'azienda di confezioni mediche ha utilizzato un account amministratore creato in precedenza per creare un nuovo account utente falso, quindi ha alterato migliaia di file al fine di ritardare o interrompere le spedizioni di dispositivi di protezione individuale a ospedali e operatori sanitari (link esterno a ibm.com).
Nel 2022 un dipendente di Twitter è stato arrestato per aver inviato informazioni private di utenti di Twitter a funzionari del Regno dell'Arabia Saudita e della famiglia reale saudita in cambio di tangenti (link esterno a ibm.com). Secondo il Dipartimento di Giustizia degli Stati Uniti, il dipendente "... ha agito in segreto come agente di un governo straniero che prende di mira le voci dissenzienti".
Gli insider negligenti non hanno intenti dannosi, ma creano minacce alla sicurezza per ignoranza o disattenzione, ad esempio cadendo in un attacco di phishing, aggirando i controlli di sicurezza per risparmiare tempo, perdendo un laptop che potrebbe essere utilizzato da un criminale informatico per accedere alla rete dell'organizzazione o inviando file sbagliati (ad esempio file contenenti informazioni sensibili) a soggetti esterni all'organizzazione.
Tra le aziende intervistate nel Ponemon Cost of Insider Threats Global Report 2022, la maggior parte delle minacce interne (il 56%) derivava da insider imprudenti o negligenti.2
Gli insider compromessi sono utenti legittimi le cui credenziali sono state rubate da attori esterni alle minacce. Le minacce lanciate tramite insider compromessi sono le minacce interne più costose e, secondo il rapporto Ponemon, costano alle vittime in media 804.997 dollari per essere riparate.3
Spesso, gli insider compromessi sono il risultato di un comportamento negligente degli insider. Ad esempio, nel 2021 un truffatore ha utilizzato una tattica di ingegneria sociale, in particolare una telefonata di phishing vocale (vishing) per ottenere credenziali di accesso ai sistemi di assistenza clienti sulla piattaforma di trading Robinhood. Più di 5 milioni di indirizzi e-mail dei clienti e 2 milioni di nomi di clienti sono stati rubati nell'attacco (link esterno a ibm.com).
Poiché le minacce interne vengono eseguite in parte o per intero da utenti con credenziali complete e talvolta da utenti privilegiati, può essere particolarmente difficile separare gli indicatori o i comportamenti di minacce interne negligenti o dannose dalle azioni e dai comportamenti degli utenti regolari. Secondo uno studio, i team di sicurezza impiegano in media 85 giorni per rilevare e contenere una minaccia interna4, sebbene alcune minacce interne non sono state rilevate per anni (link esterno a ibm.com).
Per rilevare, contenere e prevenire meglio le minacce interne, i team di sicurezza si affidano a una combinazione di pratiche e tecnologie.
La formazione continua di tutti gli utenti autorizzati sulle politiche di sicurezza (es. igiene delle password, corretta gestione dei dati sensibili, segnalazione di dispositivi smarriti) e sulla consapevolezza della sicurezza (ad esempio, come riconoscere una truffa di phishing, come instradare correttamente le richieste di accesso al sistema o di dati sensibili) può contribuire a ridurre il rischio di minacce interne negligenti. La formazione può anche attenuare l’impatto complessivo delle minacce. Ad esempio, secondo il Cost of a Data Breach Report 2023, il costo medio di una violazione dei dati nelle aziende con formazione dei dipendenti è stato di 232.867 dollari in meno, ovvero il 5,2% in meno rispetto al costo medio complessivo di una violazione.
La gestione dell'identità e degli accessi (IAM) si concentra sulla gestione delle identità degli utenti, dell'autenticazione e delle autorizzazioni di accesso, in modo da garantire che gli utenti e i dispositivi giusti possano accedere ai motivi giusti al momento giusto. (La gestione degli accessi privilegiati, una sottodisciplina della gestione delle identità e degli accessi (IAM), si concentra su un controllo più dettagliato dei privilegi di accesso concessi a utenti, applicazioni, account amministrativi e dispositivi.)
Una funzione chiave della gestione delle identità e degli accessi (IAM) per prevenire gli attacchi interni è la gestione del ciclo di vita dell'identità. Limitare le autorizzazioni di un dipendente scontento in partenza o disattivare immediatamente gli account degli utenti che hanno lasciato l'azienda sono esempi di azioni di gestione del ciclo di vita dell'identità che possono ridurre il rischio di minacce interne.
L'analisi del comportamento degli utenti (UBA) applica l'analisi avanzata dei dati e l'intelligenza artificiale (AI) per modellare i comportamenti degli utenti di base e rilevare anomalie che possono indicare minacce informatiche emergenti o in corso, comprese potenziali minacce interne. (Una tecnologia strettamente correlata, l'analisi del comportamento degli utenti e delle entità o UEBA, amplia queste funzionalità per rilevare comportamenti anomali nei sensori IoT e in altri dispositivi endpoint).
L'UBA viene spesso utilizzato insieme al SIEM (Security Information and Event Management), che raccoglie, correla e analizza i dati relativi alla sicurezza provenienti da tutta l'azienda.
La sicurezza offensiva (o OffSec) utilizza tattiche contraddittorie, le stesse tattiche utilizzate dai malintenzionati negli attacchi del mondo reale per rafforzare la sicurezza della rete piuttosto che comprometterla. La sicurezza offensiva è condotta tipicamente da hacker etici, professionisti della sicurezza informatica che utilizzano le loro capacità di hacking per individuare e correggere non solo i difetti dei sistemi IT, ma anche i rischi per la sicurezza e le vulnerabilità nel modo in cui gli utenti rispondono agli attacchi.
Le misure di sicurezza offensive che possono aiutare a rafforzare i programmi di minacce interne includono simulazioni di phishing e red teaming, in cui un team di hacker etici lancia un attacco informatico simulato e mirato all'organizzazione.
Le minacce interne possono essere difficili da rilevare: la maggior parte dei casi passa inosservata per mesi o anni. Proteggi la tua organizzazione da minacce dannose o non intenzionali provenienti da insider con accesso alla tua rete.
Offri agli analisti della sicurezza gli strumenti necessari per migliorare in modo significativo le percentuali di rilevamento e accelerare i tempi per rilevare e indagare sulle minacce. I dati sugli eventi normalizzati QRadar SIEM consentono agli analisti di utilizzare semplici query per trovare attività di attacco correlate tra fonti di dati eterogenee.
Proteggi le risorse critiche e gestisci l'intero ciclo di vita delle minacce con un approccio intelligente e unificato per la gestione delle minacce che aiuta a rilevare minacce avanzate, rispondere rapidamente con precisione e recuperare in caso di interruzioni.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.
Conosci la minaccia per sconfiggerla: ottieni informazioni utili che ti aiutano a capire come gli autori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
Comprendi lo scenario di sicurezza della tua azienda e assegna priorità alle iniziative insieme ad architetti e consulenti IBM esperti in una sessione gratuita di design thinking, virtuale o di persona, della durata di tre ore.
La gestione delle minacce è un processo utilizzato dai professionisti della sicurezza informatica per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere agli incidenti di sicurezza
Scopri le ultime tendenze sulle minacce interne e le tecniche di prevenzione su Security Intelligence, il blog degli opinion leader ospitato da IBM Security.
Note a piè di pagina
1 Verizon 2023 Data Breach Investigations Report (link esterno a ibm.com)
2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (per Proofpoint; link esterno a ibm.com)