Il buon funzionamento delle moderne imprese di oggi dipende da un gran numero di dipendenti. Tuttavia, ciò implica che le informazioni aziendali sensibili siano sempre accessibili a centinaia o migliaia di dipendenti, fornitori, partner o appaltatori attuali o precedenti. "minaccia interna" è ciò che i professionisti della sicurezza informatica chiamano questo. Queste persone sono insider perché possono accedere a informazioni, dati o risorse che potrebbero essere condivise o utilizzate per danneggiare l'organizzazione. L'intero argomento delle minacce interne nella sicurezza informatica sarà trattato in questo saggio, incluso cosa sono, come identificarle, perché sono programmi pericolosi e come prevenirli.
Cosa sono le minacce interne nella sicurezza informatica?
Una persona che lavora per la tua azienda che compromette la disponibilità, la riservatezza o l'integrità delle informazioni critiche è considerata una minaccia interna. Potrebbero farlo rivelando involontariamente informazioni private, cadendo in una bufala, rompendo proprietà, perdendo attrezzature aziendali o interrompendo intenzionalmente i sistemi.
Una possibile minaccia interna è qualcuno che ha accesso a dati o risorse sensibili. Inclusi in questo sono il personale, i subappaltatori e i partner. Se gli ex lavoratori continuano ad avere accesso a informazioni riservate dopo aver lasciato l'azienda, potrebbero costituire una minaccia interna.
Tipi di minacce interne
Le minacce interne alla sicurezza informatica possono essere classificate come attori malintenzionati o personale negligente. In questa parte, discutiamo in che modo differiscono l'uno dall'altro e perché rappresentano una minaccia.
#1. Insider maligni
Un insider malintenzionato è qualcuno che ottiene intenzionalmente informazioni riservate o danneggia un'azienda. Spesso lo fanno a scopo di lucro, utilizzando i dati rubati per perpetrare frodi o vendendoli a terzi, come un'azienda rivale o una banda di hacker.
La ritorsione è un'altra forza trainante dietro gli addetti ai lavori malintenzionati. Ciò si verifica più frequentemente con individui licenziati di recente che nutrono risentimento nei confronti della loro ex azienda. È probabile che l'individuo causi problemi se ha ancora accesso a sistemi importanti, sia perché la chiave del suo edificio è ancora in suo possesso o perché le sue credenziali di accesso al posto di lavoro sono ancora valide.
La vendetta potrebbe anche ispirare i lavoratori attuali. Ciò si verifica spesso quando si sentono sottovalutati o sono stati ignorati per una promozione. Possono interrompere le operazioni o rubare dati riservati utilizzando il loro accesso ai sistemi dell'azienda.
#2. Insider negligenti
Gli errori dei dipendenti, come la perdita di un dispositivo di lavoro o la caduta in una truffa di phishing, potrebbero comportare rischi interni per negligenza. Questi episodi possono essere suddivisi in due sottocategorie. In primo luogo, alcuni lavoratori usano il buon senso ma violano le leggi sulla sicurezza dei dati a causa di circostanze attenuanti. Ad esempio, potrebbero aver commesso un errore a causa del sovraccarico di lavoro o della distrazione.
Al contrario, alcuni insider negligenti infrangono costantemente la legge e mostrano scarso interesse per i programmi di sensibilizzazione del personale. Usano spesso l'argomentazione secondo cui le politiche ei processi dell'organizzazione sono indebitamente burocratici o troppo scomodi per difendere il loro comportamento.
Potrebbero persino citare l'assenza di una violazione dei dati a sostegno delle loro affermazioni. In tal caso, a un certo punto si verificherà quasi sicuramente una violazione dei dati, ed è più probabile che sia dovuta alla fortuna che al giudizio.
Quanto sono comuni le minacce interne?
Le minacce interne sono una preoccupazione costante per la sicurezza informatica. Nel 2021 Insider Threat Report di Cybersecurity Insiders, quasi tutte le aziende (98%) hanno dichiarato di sentirsi esposte ad attacchi interni.
Anche se questi eventi sono frequenti, è difficile interpretarli. In molti casi, la fonte precisa della violazione dei dati è sconosciuta ed è difficile stimare il danno. Secondo uno studio di Cybersecurity Insiders, solo il 51% delle aziende è stato in grado di identificare le minacce interne, oppure ha potuto farlo solo dopo che i dati erano stati compromessi.
Nel frattempo, l'89% degli intervistati ha affermato di non ritenere efficace la propria capacità di monitorare, rilevare e rispondere alle minacce interne e l'82% ha affermato che è difficile valutare il vero costo di un'aggressione.
Come rilevare le minacce interne
Il modo migliore per individuare i rischi interni, sia che tu stia cercando una condotta dolosa o negligente, è fare attenzione a comportamenti insoliti dei dipendenti.
Un dipendente potrebbe comportarsi in modo meno professionale di persona e scrivere se sembra essere infelice al lavoro, ad esempio. Potrebbero anche produrre un lavoro tutt'altro che eccezionale e mostrare altri atti di disobbedienza, come arrivare in ritardo o partire presto per andare al lavoro.
Lavorare in orari strani a volte può essere un segnale di sospetto. Un dipendente potrebbe fare qualcosa che non vuole che la sua azienda sappia se accede ai propri sistemi nel cuore della notte.
Analogamente all'ultimo esempio, se c'è molto traffico, può significare che un dipendente sta copiando dati privati su un disco rigido personale in modo da poterlo utilizzare in modo fraudolento.
Tuttavia, l'utilizzo da parte del dipendente di risorse di cui normalmente non avrebbe bisogno per il proprio lavoro è ciò che è più illuminante. Ciò implica che stanno utilizzando le informazioni per scopi impropri, come la frode, o condividendole con terzi.
Come prevenire le minacce interne
Puoi difendere le risorse digitali della tua azienda dai pericoli interni. Come? Continuare a leggere.
#1. Salvaguardare beni importanti
Determina le risorse logiche e fisiche più importanti per la tua azienda. Questi consistono in reti, sistemi, informazioni private (come dati dei clienti, informazioni sui dipendenti, schemi e piani aziendali complessi), risorse fisiche e personale. Determina lo stato attuale della protezione di ciascun asset, classifica gli asset in ordine di importanza e comprendi ogni asset chiave. Naturalmente, il massimo livello di protezione dalle minacce interne dovrebbe essere fornito per le risorse con la massima priorità.
#2. Stabilire una media della normale attività dell'utente e del dispositivo.
Il software di monitoraggio delle minacce interne è disponibile in una varietà di forme. Questi sistemi funzionano raccogliendo inizialmente dati da record di accesso, autenticazione, modifiche dell'account, endpoint e reti private virtuali (VPN) per centralizzare le informazioni sulle attività degli utenti. Utilizza queste informazioni per modellare il comportamento dell'utente associato a eventi particolari, come il download di informazioni private su supporti portatili o la posizione insolita di accesso di un utente, e assegna punteggi di rischio a tale comportamento.
#3. Maggiore consapevolezza
Più di un terzo degli intervistati a un sondaggio SANS del 2019 sulle minacce avanzate ha riconosciuto di non avere visibilità sull'uso improprio da parte di insider. L'implementazione di strumenti che tracciano continuamente il comportamento degli utenti, nonché la compilazione e la correlazione dei dati sulle attività provenienti da varie fonti è fondamentale. Ad esempio, è possibile utilizzare strumenti di inganno informatico che creano trappole per attirare malintenzionati interni, monitorare il loro comportamento e dedurre le loro motivazioni. Per riconoscere o prevenire attacchi esistenti o futuri, questi dati verrebbero successivamente forniti ad altre soluzioni di sicurezza aziendale.
#4. Applicare le politiche
Le politiche di sicurezza dell'organizzazione dovrebbero essere definite, documentate e condivise. Crea inoltre il quadro adeguato per l'applicazione, prevenendo l'incertezza. Nessun dipendente, appaltatore, fornitore o partner dovrebbe essere incerto su quale condotta sia appropriata per la politica di sicurezza della propria azienda. Dovrebbero essere consapevoli del loro obbligo di astenersi dal condividere informazioni privilegiate con persone non autorizzate.
#5. Incoraggiare i cambiamenti culturali
Sebbene l'identificazione dei rischi interni sia fondamentale, è più saggio e meno costoso scoraggiare gli utenti da comportamenti impropri. L'obiettivo in questo senso è incoraggiare un cambiamento culturale verso la consapevolezza della sicurezza e la trasformazione digitale. Instillare i valori corretti può aiutare a prevenire la negligenza e ad affrontare le cause del comportamento dannoso. La soddisfazione dei dipendenti dovrebbe essere continuamente misurata e migliorata per rilevare i primi segnali di malcontento. I dipendenti e le altre parti interessate dovrebbero partecipare frequentemente a programmi di formazione e sensibilizzazione sulla sicurezza che li informano sui problemi di sicurezza.
Programma per le minacce interne
Un metodo collaudato per identificare i primi segnali di allarme delle minacce interne, prevenire le minacce interne o minimizzarne gli effetti è lo sviluppo di un programma di minacce interne efficace e coerente. Secondo la pubblicazione speciale 800-53 del National Institute of Standards and Technology (NIST), un programma di minaccia interna è "un gruppo coordinato di capacità sotto una gestione centralizzata che è organizzato per rilevare e prevenire la divulgazione non autorizzata di informazioni sensibili". Spesso viene definito "programma di gestione delle minacce interne" o "framework".
Un programma di minacce interne spesso consiste in passaggi per identificare i rischi interni, affrontarli, mitigarne gli effetti e aumentare la consapevolezza delle minacce interne all'interno di un'organizzazione. Ma prima, diamo un'occhiata al motivo per cui vale la pena investire tempo e denaro in un programma del genere prima di approfondire i componenti di un programma di minacce interne e le migliori pratiche per metterlo in atto.
Passi per creare un efficiente programma di minacce interne
Abbiamo sviluppato questo elenco di controllo in 10 passaggi per aiutarti a ottenere il massimo dal tuo programma di minacce interne. Ecco 10 metodi che puoi adottare per salvaguardare la tua azienda dalle minacce interne.
#1. Preparati a creare un programma per combattere i rischi interni.
Costruire con successo un programma di minacce interne richiede una preparazione, che ti farà anche risparmiare un sacco di tempo e lavoro a lungo termine. Raccogli quanti più dati possibile sulle attuali misure di sicurezza informatica, standard di conformità e parti interessate durante questa fase e decidi quali risultati desideri che il programma fornisca.
#2. Fai un'analisi dei rischi.
La base di un programma di minacce interne è la definizione delle risorse che consideri sensibili. Queste risorse, come le informazioni sui clienti e sui dipendenti, i segreti commerciali tecnologici, la proprietà intellettuale, i prototipi, ecc., possono essere sia tangibili che intangibili. Il modo migliore per trovare tali beni e potenziali pericoli per loro è condurre una valutazione del rischio di minaccia esterna o interna.
#3. Determina la quantità di fondi necessari per sviluppare il programma.
Ci vogliono tempo e impegno per creare un programma di minacce interne di successo. Prima di iniziare, è fondamentale rendersi conto che l'implementazione di questo tipo di programma richiede più di un semplice dipartimento di sicurezza informatica.
#4. Ottenere il sostegno dell'alta dirigenza.
In questa fase, è possibile utilizzare i dati acquisiti nelle fasi precedenti per ottenere il sostegno delle principali parti interessate per l'attuazione del programma. Il CEO, il CFO, il CISO e il CHRO sono spesso nell'elenco delle parti interessate importanti.
#5. Crea un team per rispondere alle minacce interne
Un team di lavoratori incaricati di tutte le fasi della gestione delle minacce, dal rilevamento alla correzione, è noto come "team di risposta alle minacce interne". Contrariamente alla credenza popolare, questo team non dovrebbe essere composto solo da professionisti IT.
#6. Determinare i modi migliori per rilevare le minacce interne.
L'aspetto più cruciale della tua difesa contro le minacce interne è l'identificazione precoce poiché consente un'azione rapida e riduce i costi di riparazione. Ecco perché il software per la conformità PCI DSS, HIPAA e NIST 800-171 include spesso un componente di rilevamento delle minacce.
#7. Creare piani di reazione agli incidenti.
Il tuo team di risposta deve mettere in pratica i tipici scenari di attacco interno per rispondere rapidamente a un pericolo che è stato riconosciuto. L'aspetto più cruciale di una strategia di risposta alle minacce interne è che dovrebbe essere pratica e semplice da attuare.
#8. Pianificare le indagini e la risoluzione degli incidenti.
Pianifica il tuo processo per esaminare i problemi di sicurezza informatica e le potenziali misure correttive per mitigare i rischi interni.
#9. Informa il tuo personale.
Gli argomenti di un corso di formazione variano a seconda delle minacce alla sicurezza, delle risorse e dei metodi impiegati da una determinata azienda. La valutazione del successo della formazione sulla consapevolezza delle minacce interne è l'ultimo passo. Puoi farlo conducendo interviste ai dipendenti, creando test o simulando un attacco interno per osservare come reagiscono i membri del tuo staff.
#10. Rivedi regolarmente il tuo programma.
Realizzare un programma di minaccia interna è un processo continuo. Affinché il tuo programma sia efficace, le minacce interne devono cambiare e diventare più sofisticate e pericolose.
Perché le minacce interne sono così pericolose
Secondo un rapporto SANS sulle minacce avanzate, sono state rilevate gravi lacune nella difesa dalle minacce interne. Queste lacune sono causate dalla mancanza di dati di base sulla normale condotta degli utenti e da una scarsa gestione del controllo degli accessi degli account utente con privilegi, che sono i principali obiettivi di attacchi di forza bruta e di ingegneria sociale come il phishing.
I migliori team di sicurezza hanno ancora difficoltà a identificare le minacce interne. Per definizione, gli insider hanno accesso legale ai beni e alle informazioni dell'azienda. È difficile distinguere tra attività legittime e comportamenti dannosi.
La gestione degli accessi basata sui ruoli è un controllo inadeguato poiché gli addetti ai lavori spesso sanno dove sono conservati i dati sensibili e possono avere richieste di accesso legittime, il che aggrava il problema.
Pertanto, una violazione dei dati causata da un insider è sostanzialmente più costosa di una causata da attori di minacce esterne. I ricercatori hanno scoperto che il costo medio per record per un attacco dannoso o criminale era di $ 166, rispetto ai $ 132 per bug di sistema e $ 133 per errori umani, nel Rapporto sul costo di una violazione dei dati del Ponemon Institute del 2019.
Puoi capire perché la creazione di un programma di minacce interne è un investimento saggio se consideri che le minacce interne sono responsabili di circa un terzo delle violazioni dei dati (Verizon) e del 60% degli attacchi informatici (IBM).
Soluzioni di rilevamento delle minacce interne
Poiché sono nascoste dalle tipiche soluzioni di sicurezza come firewall e sistemi di rilevamento delle intrusioni, che si concentrano su minacce esterne, le minacce interne potrebbero essere più difficili da rilevare o prevenire rispetto agli attacchi esterni. Le misure di sicurezza in atto non potrebbero rilevare il comportamento insolito se un utente malintenzionato ha approfittato di un accesso autorizzato. Inoltre, se i malintenzionati interni hanno familiarità con i protocolli di sicurezza di un'organizzazione, possono eludere il rilevamento più facilmente.
Invece di fare affidamento su un'unica soluzione, dovresti diversificare la tua strategia di rilevamento delle minacce interne per salvaguardare tutte le tue risorse. Un efficiente sistema di rilevamento delle minacce interne integra diversi metodi non solo per monitorare l'attività interna, ma anche per eliminare i falsi positivi da un gran numero di avvisi.
Le applicazioni per l'apprendimento automatico (ML) possono essere utilizzate per valutare il flusso di dati e classificare gli avvisi più importanti. Per facilitare l'identificazione, l'analisi e la notifica al team di sicurezza di eventuali potenziali rischi interni, è possibile utilizzare tecnologie di digital forensics e analisi come User and Event Behavior Analytics (UEBA).
Mentre il monitoraggio dell'attività del database può aiutare a individuare le infrazioni alle policy, l'analisi del comportamento degli utenti può creare una linea di base per le tipiche attività di accesso ai dati.
Qual è la minaccia interna più comune?
Le minacce interne più tipiche
- Accesso privilegiato eccessivo
- Abuso di privilegio
- SQL Injection
- Pista di controllo debole
- Incoerenze del database
- Attacchi di phishing
Quali sono le 3 principali motivazioni per le minacce interne?
- Malizioso: perseguire un guadagno finanziario o cercare una punizione per un reato
- Negligente: negligente o ignorante
- Compromesso: Ignaro del pericolo che rappresentano
Quali sono le 3 fasi di una minaccia interna?
I passaggi chiave per mitigare le minacce interne sono definire, rilevare, identificare, valutare e gestire.
Quali sono i 5 principali indicatori di un attore di minacce interne?
- Tipi di minacce interne
- Formazione inadeguata
- Processi inefficaci.
- Insoddisfazione sul lavoro.
- Difficoltà finanziarie.
Quali sono i tre principali tipi di minacce?
Le minacce naturali (come i terremoti), le minacce alla sicurezza fisica (come le interruzioni di corrente che distruggono le apparecchiature) e le minacce umane (come gli aggressori blackhat che possono essere interni o esterni) sono le tre categorie più ampie.
Cosa non è considerato una minaccia interna?
Un attacco non è considerato una minaccia interna se proviene da una fonte esterna inaffidabile, non identificata. Per identificare eventuali abitudini di traffico anomale, sono necessari sistemi di monitoraggio e registrazione avanzati per proteggersi dagli attacchi interni.
Articoli Correlati
- INTELLIGENZA DELLE MINACCE CYBER: significato, strumenti, analista e stipendio
- INSIDER TRADING: significato, esempi e azioni
- Idee e programmi fedeltà per i clienti (+Programmi più votati nel 2023)
- Cos'è la contabilità forense: panoramica e come funziona
Riferimenti
