Le minacce degli "insider IT" fanno sudare freddo molti reparti di sicurezza IT. E giustamente, perché sono già saldamente ancorati all'IT aziendale. Rappresentano quindi un rischio particolarmente elevato dopo una compromissione perché difficilmente possono essere rilevati dai normali meccanismi di sicurezza che sono diretti verso l'esterno.
È quindi difficile proteggersi completamente dalle minacce interne utilizzando i mezzi tradizionali. Per proteggersi dalle minacce interne e scoprire cosa sta accadendo all'interno dell'organizzazione, le organizzazioni hanno bisogno delle giuste strategie e soluzioni tecniche che vadano oltre i tradizionali metodi di sicurezza IT.
75% delle violazioni della sicurezza da parte di addetti ai lavori
Se si osservano quali minacce alla fine hanno successo e riescono a penetrare nell'IT di un'azienda, allora le minacce interne non sono affatto un rischio da trascurare. Infatti, secondo l'Information Risk Research Team di Gartner, le minacce interne sono responsabili del 50-70% di tutti gli incidenti di sicurezza e, quando si tratta specificamente di violazioni della sicurezza, gli addetti ai lavori sono responsabili di tre quarti di essi.
Le conseguenze possono essere gravi: il Ponemon Institute stima che le minacce interne costino 8,76 milioni di dollari all'anno e per azienda colpita. Questo non è da ultimo perché occorrono in media 280 giorni per identificare e contenere ogni violazione: uno scenario spaventoso per qualsiasi azienda.
Le tre principali forme di minacce interne
L'esempio più famoso di minaccia interna è sicuramente Edward Snowden.
Ma le sue attività, anche se sono le più conosciute, non sono affatto tipiche degli scenari che la maggior parte delle organizzazioni deve affrontare, soprattutto in ambito commerciale. Nella maggior parte dei casi, le minacce interne assumono tre forme principali: insider "accidentali", "compromessi" o "dannosi".
1. Come suggerisce il nome, è l'insider "dannoso". tipicamente un dipendente o un appaltatore che ruba informazioni. Edward Snowden è probabilmente l'esempio più famoso di questo, con molti altri malintenzionati che rubano informazioni non come informatori ma per guadagno finanziario, come i ladri di dati bancari svizzeri qualche anno fa.
2. L'insider "compromesso". è considerata da molti la forma più problematica, poiché tutto ciò che è stato tipicamente fatto da quella persona è cliccare innocentemente su un collegamento o digitare una password. Questo è spesso il risultato di campagne di phishing, in cui agli utenti viene presentato un collegamento a un sito Web dall'aspetto autentico per indurli con l'inganno a inserire credenziali o altre informazioni sensibili.
3. Non meno pericoloso è l'insider “accidentale” o “negligente”. Scoprire questi insider può essere particolarmente impegnativo, perché non importa quanto le aziende e i dipendenti siano attenti alla sicurezza informatica, gli errori possono capitare.
Opzioni di difesa tecnologica
Per evitare errori così semplici ma nel peggiore dei casi di vasta portata, molte organizzazioni stanno già utilizzando corsi di formazione intensivi per sensibilizzare i propri dipendenti in questa direzione. Indubbiamente, alcuni attacchi interni accidentali e compromessi possono essere prevenuti semplicemente addestrando gli utenti finali a riconoscere ed evitare i tentativi di phishing. Ma al di là dell'istruzione, ci sono opportunità tecnologiche che si concentrano sul comportamento degli utenti per proteggersi meglio dalle minacce interne.
Analisi del comportamento degli utenti e delle entità (UEBA)
Sfruttare le tradizionali soluzioni di sicurezza informatica rivolte verso l'esterno crea un punto cieco molto ampio. Per affrontare la sfida multiforme delle minacce interne, i team di sicurezza hanno bisogno dell'infrastruttura tecnologica e degli strumenti per vedere il quadro completo di tutte le minacce, comprese quelle dall'interno. È qui che entra in gioco User and Entity Behavior Analysis (UEBA). Comprendendo i comportamenti tipici, i team di sicurezza possono identificare più facilmente quando si verifica un problema. Soluzioni corrispondenti basate su AI e machine learning sono già utilizzate da molte organizzazioni per una protezione efficace e proattiva.
Conclusione: strategia proattiva con analisi
Le organizzazioni hanno bisogno dell'infrastruttura tecnologica e degli strumenti per vedere il quadro completo delle minacce. I SOC moderni utilizzano quindi User and Entity Behavior Analysis (UEBA) all'interno dei propri sistemi SIEM per proteggersi dall'interno da errori umani, negligenza e malintenzionati. Una tale strategia proattiva, combinata con la formazione, può ridurre drasticamente l'angolo cieco interno e identificare in anticipo molte minacce interne.
Ulteriori informazioni su Exabeam.com[stellaboxid=17]