Il Data Breach Investigations Report (DBIR) di Verizon ha aperto le porte sul mondo della criminalità informatica – ora, questo set di dati sposta però la prospettiva sul ruolo delle minacce interne, andando a costituire il Verizon Insider Threat Report. Il 20% degli incidenti legati alla cybersecurity e il 15% delle violazioni dei dati analizzati nell’ambito del DBIR 2018 di Verizon provengono da soggetti interni all’organizzazione[1], e i maggiori fattori scatenanti sono il profitto finanziario (47,8%) e il puro divertimento (23,4%). Questi attacchi, che sfruttano i privilegi di accesso ai dati interni e ai sistemi, spesso vengono individuati solo diversi mesi o anni dopo che si sono effettivamente verificati, rendendo significativo il loro effetto potenziale su un’azienda.
Tuttavia, per molte organizzazioni le minacce interne rimangono un argomento tabù. Le aziende si mostrano troppo spesso restìe a riconoscere, segnalare o intraprendere azioni contro i dipendenti che sono diventati una minaccia per la loro organizzazione. È come se una minaccia interna fosse una macchia sui loro processi di gestione e sul loro nome.
L’Insider Threat Report di Verizon punta a cambiare questa percezione, offrendo alle organizzazioni una prospettiva basata sui dati per identificare le aree di rischio tra i dipendenti, scenari di casi reali e strategie di intervento da considerare quando si sviluppa un programma ad hoc, un Insider Threat Program completo.
“Per troppo tempo la violazione dei dati e gli attacchi alla sicurezza informatica interni sono stati tralasciati, e non sono stati presi sul serio. Spesso sono infatti motivo di disagio, o sono visti come un inconveniente per i soli reparti HR”, ha commentato Bryan Sartin, executive director security professional services di Verizon. “Le cose devono cambiare. Le minacce informatiche non provengono solo da fonti esterne, e per combattere la criminalità informatica nella sua interezza dobbiamo anche concentrarci sulle possibili minacce che si trovano tra le mura di un’organizzazione”.
Come riconoscere una minaccia dall’interno
Particolare attenzione è stata dedicata ai tipi di minacce interne che le organizzazioni possono trovarsi ad affrontare. Queste sono state inquadrate all’interno di specifici casi di scenario provenienti dal bagaglio di casi investigativi di Verizon – che vanno dall’individuazione (e convalida), alla risposta e all’indagine, e poi alle lezioni apprese (misure correttive) – sono state individuate quindi cinque personalità che possono minacciare un’azienda dall’interno:
Il lavoratore distratto – Si tratta di dipendenti o partner che si appropriano indebitamente di risorse, violano le politiche di utilizzo, gestiscono dati in modo sbagliato, installano applicazioni non autorizzate e utilizzano soluzioni non approvate. Le loro azioni sono inappropriate ma non malevole, dato che in molti casi rientrano nel mondo dello Shadow IT (cioè al di fuori delle conoscenze e della gestione dell’IT).
L’agente infiltrato – Individui interni all’azienda reclutati, sollecitati o corrotti da soggetti esterni per sottrarre i dati.
Il dipendente insoddisfatto – Insider che cercano di danneggiare la propria organizzazione attraverso la distruzione dei dati o l’interruzione dell’attività aziendale.
La risorsa interna malintenzionata – Si tratta di dipendenti o partner con accesso a risorse aziendali che utilizzano i privilegi esistenti per accedere alle informazioni per guadagno personale.
La terza parte incompetente – Partner commerciali che compromettono la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali.
Gli 11 elementi chiave per un Insider Threat Program efficace
Il rapporto fornisce consigli pratici e contromisure per aiutare le organizzazioni a implementare un Insider Threat Program completo, che dovrebbe comportare uno stretto coordinamento tra tutti i dipartimenti, da quello legale all’IT Security, alle risorse umane, per rispondere agli incidenti e gestire le investigazioni digitali forensi.
Due fattori sono fondamentali per raggiungere questo obiettivo: sapere quali sono le vostre risorse e, in ultima analisi, chi vi ha accesso.
“Individuare e contenere le minacce interne richiede un approccio diverso rispetto alle attività relative alle minacce esterne”, continua Sartin. “Il nostro obiettivo è quello di fornire delle linee guida che consentano alle aziende di essere più proattive in questo processo e di superare la paura, l’incertezza e il disagio che circondano questa forma di criminalità informatica interna. Verizon si frappone quotidianamente fra i responsabili e le vittime della criminalità informatica, e condividendo scenari reali dal nostro database speriamo che le organizzazioni possano imparare e adottare le contromisure da noi consigliate per implementare a loro volta i propri programmi”.
Queste 11 contromisure possono contribuire a ridurre i rischi e migliorare la risposta agli incidenti:
Integrare le strategie di sicurezza e le politiche aziendali – Integrando le altre 10 contromisure (elencate di seguito), o meglio ancora integrando un Insider Threat Program completo con altre strategie già esistenti, come ad esempio un piano per la gestione del rischio, delle risorse umane o della proprietà intellettuale, può contribuire a rafforzare l’efficienza, la coesione e la tempestività nell’affrontare le minacce interne.
Andare a caccia delle minacce – Potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l’analisi comportamentale e le soluzioni EDR (Endpoint Detection and Response) per individuare, monitorare, rilevare e investigare le attività sospette di utenti e account, sia all’interno che all’esterno dell’azienda.
Analizzare le vulnerabilità e condurre penetration test – Utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza, compresi i possibili canali che un criminale può sfruttare per agire all’interno dell’ambiente aziendale.
Implementare le misure di sicurezza del personale – L’implementazione dei controlli delle risorse umane (come i processi di uscita dei dipendenti), l’accesso sicuro e la formazione sulla sicurezza può ridurre il numero di incidenti associati all’accesso non autorizzato ai sistemi aziendali.
Introdurre misure di sicurezza fisica – Utilizzare dispositivi fisici per l’accesso, quali badge identificativi, barriere di sicurezza e sorveglianti per porre limiti fisici, oltre ai metodi utilizzati per l’accesso digitale, come l’impiego di carte magnetiche o rilevatori di movimento e telecamere, al fine di monitorare, allertare e registrare i modelli di accesso e le attività.
Implementare soluzioni per la sicurezza della rete – Attuare misure di sicurezza perimetrale e di segmento, come firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni di Data Loss Prevention (DLP) per rilevare, raccogliere e analizzare il traffico sospetto potenzialmente associato alle attività di minaccia interne. Questo aiuterà a mettere in evidenza qualsiasi attività fuori orario, volumi di attività in uscita e l’uso di connessioni remote.
Utilizzare soluzioni di sicurezza degli endpoint – È opportuno adottare sistemi di sicurezza degli endpoint collaudati, come inventari per gli asset critici, policy sui supporti rimovibili, crittografia dei dispositivi e strumenti di File Integrity Monitoring (FIM) per dissuadere, monitorare, tracciare, raccogliere e analizzare le attività legate agli utenti.
Applicare misure di sicurezza dei dati – Utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l’integrità e la disponibilità, senza dimenticare ovviamente le minacce interne.
Misure di gestione dell’identità e degli accessi – Prendere in considerazione misure di gestione dell’identità, degli accessi e dell’autenticazione per definire i limiti e proteggere gli accessi nell’ambiente aziendale. Tali misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM) per l’accesso privilegiato.
Stabilire le competenze nella gestione degli incidenti – L’istituzione di un processo di gestione degli incidenti, con uno schema per reagire alle minacce interne che indichi anche le risorse, appositamente formate e incaricate di prendervi parte, renderà le attività di intervento nell’ambito della sicurezza informatica più efficienti ed efficaci nell’affrontare le minacce interne.
Affidarsi a risorse dedicate per le investigazioni digitali forensi – Avere a disposizione una risorsa dedicata a queste verifiche, che sia in grado di condurre indagini approfondite e ad ampio raggio, che vanno dall’analisi di log, file, endpoint e traffico di rete, in incidenti di sicurezza informatica spesso delicati e correlati all’attività umana (o all’account utente).