Le minacce interne sono le minacce alla sicurezza informatica che hanno origine da utenti autorizzati, quali dipendenti, appaltatori e partner commerciali, che intenzionalmente o accidentalmente abusano del loro accesso legittimo o che subiscono la violazione dei loro account da parte di criminali informatici.
Mentre le minacce esterne sono più comuni e fanno notizia sugli attacchi informatici, le minacce interne, siano esse dannose o causate da negligenza, possono essere più costose e pericolose. Secondo il Cost of a Data Breach Report 2023 di IBM, le violazioni di dati iniziate da insider malevoli sono state le più costose, circa 4,90 milioni di dollari in media o il 9,5% in più rispetto ai 4,45 milioni di dollari del costo medio della violazione di dati. Un recente rapporto di Verizon ha rivelato che, mentre la minaccia esterna media compromette circa 200 milioni di record, gli incidenti che coinvolgono un operatore interno della minaccia hanno portato all'esposizione di 1 miliardo o più di record.1
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM® Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Gli insider malevoli sono solitamente dipendenti attuali insoddisfatti, o ex dipendenti malevoli le cui credenziali di accesso non sono state ritirate, che intenzionalmente abusano del loro accesso per vendetta, guadagno finanziario o entrambi. Alcuni insider malevoli "lavorano" per un outsider malevolo, come un hacker, un concorrente o un attore a livello nazionale, per interrompere le operazioni aziendali (impiantando malware o manomettendo file o applicazioni) o per perdere informazioni sui clienti, proprietà intellettuale, segreti commerciali o altri dati sensibili.
Alcuni attacchi recenti da parte di insider malevoli:
All'inizio della pandemia da COVID-19, un ex dipendente insoddisfatto di un'azienda di confezioni mediche ha utilizzato un account amministratore creato in precedenza per creare un nuovo account utente falso, quindi ha alterato migliaia di file al fine di ritardare o interrompere le spedizioni di dispositivi di protezione individuale a ospedali e operatori sanitari (link esterno a ibm.com).
Nel 2022, un dipendente di X è stato arrestato per aver inviato informazioni private di X utenti a funzionari del Regno dell'Arabia Saudita e della famiglia reale saudita in cambio di tangenti (link esterno a ibm.com). Secondo il Dipartimento di Giustizia degli Stati Uniti, il dipendente "... ha agito in segreto come agente di un governo straniero che prende di mira le voci dissenzienti".
Gli insider negligenti non hanno intenti dannosi, ma creano minacce alla sicurezza per ignoranza o disattenzione, ad esempio cadendo in un attacco di phishing, aggirando i controlli di sicurezza per risparmiare tempo, perdendo un laptop che può essere utilizzato da un criminale informatico per accedere alla rete dell'organizzazione o inviando file sbagliati (ad esempio file contenenti informazioni sensibili) a soggetti esterni all'organizzazione.
Tra le aziende intervistate nel Ponemon Cost of Insider Threats Global Report 2022, la maggior parte delle minacce interne, il 56%, derivava da insider imprudenti o negligenti.2
Gli insider compromessi sono utenti legittimi le cui credenziali sono state rubate da attori esterni alle minacce. Le minacce lanciate tramite insider compromessi sono le minacce interne più costose e costano alle vittime in media 804.997 dollari per essere riparate secondo il rapporto Ponemon.3
Spesso, gli insider compromessi sono il risultato di un comportamento negligente degli insider. Ad esempio, nel 2021 un truffatore ha utilizzato una tattica di ingegneria sociale, in particolare una telefonata di phishing vocale (vishing) per ottenere credenziali di accesso ai sistemi di assistenza clienti sulla piattaforma di trading Robinhood. Più di 5 milioni di indirizzi e-mail dei clienti e 2 milioni di nomi di clienti sono stati rubati nell'attacco (link esterno a ibm.com).
Poiché le minacce interne vengono eseguite in parte o per intero da utenti con credenziali complete e talvolta da utenti privilegiati, può essere particolarmente difficile separare gli indicatori o i comportamenti di minacce interne cariche o nocive dalle azioni e dai comportamenti degli utenti regolari. Secondo uno studio, i team di sicurezza impiegano in media 85 giorni per rilevare e contenere una minaccia interna 4, ma alcune minacce interne non sono state rilevate per anni (link esterno a ibm.com).
Per rilevare, contenere e prevenire meglio le minacce interne, i team di sicurezza si affidano a una combinazione di pratiche e tecnologie.
La formazione costante di tutti gli utenti autorizzati sulle politiche di sicurezza (come igiene delle password, corretta gestione dei dati sensibili e segnalazione di dispositivi smarriti) e sulla consapevolezza della sicurezza (come riconoscere una truffa di phishing, come instradare correttamente le richieste di accesso al sistema o di dati sensibili) può contribuire a ridurre il rischio di minacce interne negligenti. La formazione può anche attenuare l’impatto complessivo delle minacce. Ad esempio, secondo il Cost of a Data Breach Report 2023, il costo medio di una violazione dei dati nelle aziende con formazione dei dipendenti è stato di 232.867 dollari in meno o il 5,2% in meno rispetto al costo medio complessivo di una violazione.
La gestione dell'identità e degli accessi (IAM) si concentra sulla gestione delle identità degli utenti, dell'autenticazione e delle autorizzazioni di accesso in modo da garantire che gli utenti e i dispositivi giusti possano accedere ai motivi giusti al momento giusto. La gestione degli accessi privilegiati, una sottodisciplina dell'IAM, si concentra su un controllo più dettagliato dei privilegi di accesso concessi a utenti, applicazioni, account amministrativi e dispositivi.
Una funzione chiave della gestione delle identità e degli accessi (IAM) per prevenire gli attacchi interni è la gestione del ciclo di vita dell'identità. Limitare le autorizzazioni di un dipendente scontento in partenza o disattivare immediatamente gli account degli utenti che hanno lasciato l'azienda sono esempi di azioni di gestione del ciclo di vita dell'identità che possono ridurre il rischio di minacce interne.
L'analisi del comportamento degli utenti (UBA) applica l'analisi avanzata dei dati e l'intelligenza artificiale (AI) per modellare i comportamenti degli utenti di base e rilevare anomalie che possono indicare minacce informatiche emergenti o in corso, comprese potenziali minacce interne. Una tecnologia strettamente correlata, l'analisi del comportamento degli utenti e delle entità o UEBA, aumenta queste capacità per rilevare comportamenti anomali nei sensori IoT e in altri dispositivi endpoint.
L'UBA viene spesso utilizzato insieme al SIEM (Security Information and Event Management), che raccoglie, correla e analizza i dati relativi alla sicurezza provenienti da tutta l'azienda.
La sicurezza offensiva (o OffSec) utilizza tattiche avversarie, le stesse tattiche utilizzate dai malintenzionati negli attacchi del mondo reale per rafforzare la sicurezza della rete anziché comprometterla. La sicurezza offensiva è condotta tipicamente da hacker etici, professionisti della sicurezza informatica che utilizzano le loro capacità di hacking per rilevare e correggere non solo i difetti dei sistemi IT, ma anche i rischi per la sicurezza e le vulnerabilità nel modo in cui gli utenti rispondono agli attacchi.
Le misure di sicurezza offensive che possono aiutare a rafforzare i programmi di minacce interne includono simulazioni di phishing e l'insegnamento rosso, in cui un team di hacker etici avvia un attacco informatico simulato e mirato all'organizzazione.
Proteggi la tua organizzazione da minacce dannose o non intenzionali provenienti da insider con accesso alla tua rete. Le minacce interne possono essere difficili da rilevare. La maggior parte dei casi non viene notata per mesi o anni.
Proteggi le risorse critiche e gestisci l'intero ciclo di vita delle minacce con un approccio intelligente e unificato per la gestione delle minacce che aiuta a rilevare minacce avanzate, rispondere rapidamente con precisione e recuperare da interruzioni.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
il SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.
Conosci la minaccia per sconfiggerla. Scopri le informazioni utili per capire come gli autori delle minacce conducono attacchi e come proteggere in modo proattivo la tua organizzazione.
Conosci lo scenario di sicurezza della tua azienda e assegna priorità alle iniziative insieme ad architetti e consulenti IBM esperti in una sessione gratuita di design thinking, virtuale o di persona, della durata di tre ore.
La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.
Scopri le ultime tendenze sulle minacce interne e le tecniche di prevenzione su Security Intelligence, il blog degli opinion leader ospitato da IBM Security.
Note a piè di pagina
1 Verizon 2023 Data Breach Investigations Report (link esterno a ibm.com)
2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (per Proofpoint; link esterno a ibm.com)