La maggior parte delle aziende si concentra sugli aggressori esterni nella lotta al crimine informatico. Ma una minaccia crescente è in agguato anche tra le loro stesse fila. Gli esperti di sicurezza IT di FireEye Mandiant prevedono che il 33% di tutti gli incidenti di sicurezza nel 2021 sarà dovuto a minacce interne. Cosa possono fare le aziende per proteggersi?
L'accesso legittimo è fondamentale: i dipendenti lo hanno e gli aggressori lo vogliono. La migliore serratura di sicurezza sulla porta è inutile se il criminale è già dentro. Ogni fanatico del crimine lo sa. La situazione è simile con gli attacchi informatici che provengono dall'interno dei ranghi dell'azienda. Sono particolarmente pericolosi perché gli autori sono persone di cui ci fidiamo davvero. È tanto più preoccupante che il numero di minacce interne stia aumentando in modo significativo. Nel 2019 e nel 2020, i team Mandiant hanno visto più casi che mai di insider che compromettevano sistemi business-critical, esponevano dati riservati o ricattavano i loro datori di lavoro. Tali incidenti possono causare danni finanziari significativi e danneggiare la reputazione.
Chi c'è dietro gli attacchi dall'interno
La maggior parte delle minacce interne può essere ricondotta a dipendenti negligenti che non hanno intenzioni malvagie, ma forniscono invece agli hacker un passaggio attraverso la disattenzione. Tuttavia, ci sono anche attacchi mirati da parte di insider. Proprio come gli attacchi di attori esterni, questi spesso avvengono per un periodo di tempo più lungo. Gli aggressori di solito cercano di passare inosservati e di nascondere le loro attività. In alcuni casi, usano persino gli account di altri dipendenti per distogliere l'attenzione da se stessi.
Dietro gli attacchi dall'interno non c'è più solo l'ex dipendente scontento che vuole vendicarsi del suo ex datore di lavoro o rubargli. In sostanza, chiunque abbia accesso a reti, sistemi e dati rappresenta un rischio potenziale, ad esempio il tuo dipendente, la tua azienda o il tuo partner della catena di fornitura. Le organizzazioni con una proprietà intellettuale significativa o le società che si fondono, vengono acquisite o subiscono modifiche e sfide significative corrono un rischio maggiore di diventare vittime di malintenzionati interni.
Contrariamente a quanto ci si potrebbe aspettare, gli attori oggi spesso non agiscono da soli, ma in gruppi che includono amministratori IT e membri del team di minacce interne che impediscono allarmi e indagini. Membri parziali di questo gruppo sono al di fuori delle società, come organizzazioni criminali e persino affiliate al governo che svolgono attività tecniche per consentire l'accesso ai dati e il furto.
Le quattro minacce interne più comuni
Gli investigatori Mandiant hanno esaminato nella pratica vari tipi di attacchi interni. Stanno emergendo quattro tendenze:
Ricatto digitale
L'insider malintenzionato minaccia di rilasciare dati rubati e potrebbe fingere di essere un hacker esterno. L'insider di solito richiede un riscatto in una valuta digitale come Bitcoin.
spionaggio industriale
In questo scenario, l'insider malintenzionato ruba la proprietà intellettuale e condivide i dati con terze parti, inclusi attori governativi, per un compenso o un'opportunità di lavoro.
Distruzione di beni
L'insider malintenzionato tenta di interrompere i sistemi business-critical, causare un errore operativo o distruggere importanti stock di dati.
Stalking
Jon Ford, amministratore delegato dei servizi governativi globali e delle soluzioni di sicurezza per le minacce interne presso Mandiant (Immagine: FireEye).
L'insider malintenzionato ottiene l'accesso ai dati sensibili dei dipendenti o agli account utente dei colleghi per ottenere informazioni personali.
Quando si tratta di tentativi di ricatto, le aziende subiscono un'enorme pressione: devono soddisfare le richieste o devono cercare di identificare l'insider il più rapidamente possibile? E se ciò non accade in tempo? Comprendere gli scenari di attacco e rintracciare gli autori è complesso. Le sfide principali per i team di sicurezza in un tentativo di estorsione sono: 1) determinare se i dati sono stati effettivamente rubati e 2) distinguere tra un incidente interno e un attacco da parte di terzi malintenzionati. Ciò richiede una combinazione di tecniche forensi, informazioni sulle minacce e metodi investigativi tradizionali. Specialisti esterni forniscono analisi indipendenti e competenze significative per questo.
In questo modo le aziende possono proteggersi dai rischi interni
Le organizzazioni devono combinare tecnologia e vigilanza ed educare i propri dipendenti sui pericoli delle minacce interne attraverso una formazione regolare per rilevare efficacemente gli attacchi interni. Per evitare che le cose accadano in primo luogo, le aziende dovrebbero essere consapevoli del pericolo rappresentato dalle minacce interne e adottare misure di protezione adeguate. Cinque consigli per ridurre al minimo i rischi:
- Investi in una soluzione per la prevenzione della perdita di dati da minacce interne. Riconosce il comportamento dannoso, lancia un allarme e può bloccare le azioni se necessario. La soluzione dovrebbe funzionare sia con che senza una connessione Internet.
- Proteggi tutti gli ambienti nelle tue reti con controlli di accesso. Ogni utente, sviluppatore e amministratore dovrebbe avere solo i diritti di cui ha assolutamente bisogno per il suo lavoro quotidiano. Limita al minimo il numero di dipendenti autorizzati a creare nuovi account in ambienti locali e cloud.
- Invia i dati di registro e l'aggregazione degli eventi a un SIEM (Security Information and Event Management). Ciò garantisce l'autenticità dei registri e impedisce a un utente malintenzionato di eliminarli o manipolarli.
- Implementare la segmentazione della rete. Separando le aree di rete con controlli di sicurezza, impedisci a un utente malintenzionato di diffondersi senza restrizioni. Dovresti anche limitare il traffico non necessario tra ambienti altamente sensibili e meno affidabili. Tutti i sistemi che non devono necessariamente essere accessibili al pubblico dovrebbero essere separati dall'accesso pubblico.
- Garantire un offboarding sicuro. Se un dipendente lascia l'azienda, è necessario bloccare immediatamente il suo accesso alla rete. Tutte le chiavi SSH, i file PEM e le password a cui la persona ha avuto accesso devono essere modificate per tutti gli ambienti. Anche l'autenticazione a più fattori (MFA) dovrebbe essere disabilitata immediatamente.
Le valutazioni regolari sono importanti
Per mitigare il rischio di minacce interne, le organizzazioni hanno bisogno di processi di prevenzione della perdita di dati, funzionalità SIEM, analisi comportamentale e un team dedicato. Le tre aree principali di persone, processi e strumenti dovrebbero essere considerate qui. Le indagini sulle minacce interne dovrebbero basarsi su prove che confutano la profilazione e resistono al controllo legale. Gli specialisti esterni possono rivedere le capacità esistenti per massimizzare gli investimenti, accelerare la creazione di un nuovo programma di minacce interne o migliorare un programma esistente basato su anni di catalogazione delle migliori pratiche nel settore. Poiché i requisiti possono cambiare rapidamente, è importante eseguire regolarmente valutazioni della sicurezza. Consentono di scoprire le vulnerabilità e migliorare continuamente il livello di sicurezza. In questo modo, le aziende ricevono una tabella di marcia individuale per proteggersi efficacemente dagli attacchi interni e dai loro effetti.
Altro su FireEye.com
A proposito di Trellix Trellix è un'azienda globale che ridefinisce il futuro della sicurezza informatica. La piattaforma XDR (Extended Detection and Response) aperta e nativa dell'azienda aiuta le organizzazioni che affrontano le minacce più avanzate di oggi a ottenere la certezza che le loro operazioni siano protette e resilienti. Gli esperti di sicurezza di Trellix, insieme a un vasto ecosistema di partner, accelerano l'innovazione tecnologica attraverso l'apprendimento automatico e l'automazione per supportare oltre 40.000 clienti aziendali e governativi.