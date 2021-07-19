Le minacce interne sono le minacce alla sicurezza informatica che hanno origine da utenti autorizzati, quali dipendenti, appaltatori e partner commerciali, che intenzionalmente o accidentalmente abusano del loro accesso legittimo o che subiscono la violazione dei loro account da parte di criminali informatici.
Mentre le minacce esterne sono più comuni e fanno notizia quando si tratta di attacchi informatici, le minacce interne, siano esse dannose o frutto di negligenza, possono essere più costose e pericolose. Secondo il report Cost of a Data Breach di IBM, le violazioni di dati iniziate da insider malevoli sono state le più costose, con un costo medio di 4,99 milioni di dollari. Un recente report di Verizon ha rivelato che, mentre la minaccia esterna media compromette circa 200 milioni di record, gli incidenti che coinvolgono minacce condotte da un operatore interno hanno portato all'esposizione di 1 miliardo o più di record.1
Gli insider malevoli sono solitamente dipendenti attuali insoddisfatti, o ex dipendenti malevoli le cui credenziali di accesso non sono state ritirate, che intenzionalmente abusano del loro accesso per vendetta, guadagno finanziario o entrambi. Alcuni insider malevoli "lavorano" per un outsider malevolo, come un hacker, un concorrente o un attore a livello nazionale, per interrompere le operazioni aziendali (impiantando malware o manomettendo file o applicazioni) o per perdere informazioni sui clienti, proprietà intellettuale, segreti commerciali o altri dati sensibili.
Alcuni attacchi recenti da parte di insider malevoli:
All'inizio della pandemia da COVID-19, un ex dipendente insoddisfatto di un'azienda di confezioni mediche ha utilizzato un account amministratore creato in precedenza per creare un nuovo account utente falso, quindi ha alterato migliaia di file al fine di ritardare o interrompere le spedizioni di dispositivi di protezione individuale a ospedali e operatori sanitari (link esterno a ibm.com).
Nel 2022, un dipendente di X è stato arrestato per aver inviato informazioni private di X utenti a funzionari del Regno dell'Arabia Saudita e della famiglia reale saudita in cambio di tangenti (link esterno a ibm.com). Secondo il Dipartimento di Giustizia degli Stati Uniti, il dipendente "... ha agito in segreto come agente di un governo straniero che prende di mira le voci dissenzienti".
Gli insider negligenti non hanno intenti dannosi, ma creano minacce alla sicurezza per ignoranza o disattenzione, ad esempio cadendo in un attacco di phishing, aggirando i controlli di sicurezza per risparmiare tempo, perdendo un laptop che può essere utilizzato da un criminale informatico per accedere alla rete dell'organizzazione o inviando file sbagliati (ad esempio file contenenti informazioni sensibili) a soggetti esterni all'organizzazione.
Tra le aziende intervistate nel Ponemon Cost of Insider Threats Global Report 2022, la maggior parte delle minacce interne, il 56%, derivava da insider imprudenti o negligenti.2
Gli insider compromessi sono utenti legittimi le cui credenziali sono state rubate da attori esterni alle minacce. Le minacce lanciate tramite insider compromessi sono le minacce interne più costose e costano alle vittime in media 804.997 dollari per essere riparate secondo il rapporto Ponemon.3
Spesso, gli insider compromessi sono il risultato di un comportamento negligente degli insider. Ad esempio, nel 2021 un truffatore ha utilizzato una tattica di ingegneria sociale, in particolare una telefonata di phishing vocale (vishing) per ottenere credenziali di accesso ai sistemi di assistenza clienti sulla piattaforma di trading Robinhood. Più di 5 milioni di indirizzi e-mail dei clienti e 2 milioni di nomi di clienti sono stati rubati nell'attacco (link esterno a ibm.com).
Poiché le minacce interne vengono eseguite in parte o per intero da utenti con credenziali complete e talvolta da utenti privilegiati, può essere particolarmente difficile separare gli indicatori o i comportamenti di minacce interne cariche o nocive dalle azioni e dai comportamenti degli utenti regolari. Secondo uno studio, i team di sicurezza impiegano in media 85 giorni per rilevare e contenere una minaccia interna 4, ma alcune minacce interne non sono state rilevate per anni (link esterno a ibm.com).
Per rilevare, contenere e prevenire meglio le minacce interne, i team di sicurezza si affidano a una combinazione di pratiche e tecnologie.
La formazione costante di tutti gli utenti autorizzati sulle politiche di sicurezza (come igiene delle password, corretta gestione dei dati sensibili e segnalazione di dispositivi smarriti) e sulla consapevolezza della sicurezza (come riconoscere una truffa di phishing, come instradare correttamente le richieste di accesso al sistema o di dati sensibili) può contribuire a ridurre il rischio di minacce legate a insider negligenti. La formazione può anche attenuare l’impatto complessivo delle minacce. Ad esempio, secondo il report Cost of a Data Breach, il costo medio di una violazione dei dati nelle aziende che avevano provveduto alla formazione dei dipendenti è stato di 285.629 dollari in meno rispetto alle aziende senza formazione.
La gestione dell'identità e degli accessi (IAM) si concentra sulla gestione delle identità degli utenti, dell'autenticazione e delle autorizzazioni di accesso in modo da garantire che gli utenti e i dispositivi giusti possano accedere ai motivi giusti al momento giusto. La gestione degli accessi privilegiati, una sottodisciplina dell'IAM, si concentra su un controllo più dettagliato dei privilegi di accesso concessi a utenti, applicazioni, account amministrativi e dispositivi.
Una funzione chiave della gestione delle identità e degli accessi (IAM) per prevenire gli attacchi interni è la gestione del ciclo di vita dell'identità. Limitare le autorizzazioni di un dipendente scontento in partenza o disattivare immediatamente gli account degli utenti che hanno lasciato l'azienda sono esempi di azioni di gestione del ciclo di vita dell'identità che possono ridurre il rischio di minacce interne.
L'analisi del comportamento degli utenti (UBA) applica l'analisi avanzata dei dati e l'intelligenza artificiale (AI) per modellare i comportamenti degli utenti di base e rilevare anomalie che possono indicare minacce informatiche emergenti o in corso, comprese potenziali minacce interne. Una tecnologia strettamente correlata, l'analisi del comportamento degli utenti e delle entità o UEBA, aumenta queste capacità per rilevare comportamenti anomali nei sensori IoT e in altri dispositivi endpoint.
L'UBA viene spesso utilizzato insieme al SIEM (Security Information and Event Management), che raccoglie, correla e analizza i dati relativi alla sicurezza provenienti da tutta l'azienda.
La sicurezza offensiva (o OffSec) utilizza tattiche avversarie, le stesse tattiche utilizzate dai malintenzionati negli attacchi del mondo reale per rafforzare la sicurezza della rete anziché comprometterla. La sicurezza offensiva è condotta tipicamente da hacker etici, professionisti della sicurezza informatica che utilizzano le loro capacità di hacking per rilevare e correggere non solo i difetti dei sistemi IT, ma anche i rischi per la sicurezza e le vulnerabilità nel modo in cui gli utenti rispondono agli attacchi.
Le misure di sicurezza offensive che possono aiutare a rafforzare i programmi di minacce interne includono simulazioni di phishing e l'insegnamento rosso, in cui un team di hacker etici avvia un attacco informatico simulato e mirato all'organizzazione.
Proteggi la tua organizzazione da minacce dannose o non intenzionali provenienti da insider con accesso alla tua rete. Le minacce interne possono essere difficili da rilevare. La maggior parte dei casi non viene notata per mesi o anni.
Proteggi le risorse critiche e gestisci l'intero ciclo di vita delle minacce con un approccio intelligente e unificato per la gestione delle minacce che aiuta a rilevare minacce avanzate, rispondere rapidamente con precisione e recuperare da interruzioni.
IBM Security Verify è una piattaforma di gestione delle identità e degli accessi (IAM) leader del settore che offre funzionalità basate su AI per la gestione della forza lavoro e delle esigenze dei clienti. Unifica i silo di identità, riduci il rischio di attacchi basati sull'identità e fornisci un'autenticazione moderna, incluse le funzionalità senza password.
1 Verizon 2023 Data Breach Investigations Report (link esterno a ibm.com)
2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (per Proofpoint; link esterno a ibm.com)