Cosa sono le minacce interne?

Le minacce interne provengono da utenti che hanno accesso autorizzato e legittimo ai beni di un'azienda e ne abusano deliberatamente o accidentalmente.

Primo piano di un uomo pensieroso con lo schermo del computer riflesso nei suoi occhiali

Perché le minacce interne sono particolarmente pericolose?

Gli attacchi informatici attraverso l'abuso di accesso possono danneggiare un'azienda, i suoi dipendenti e i suoi clienti. Secondo il  "2020 IBM X-Force® Threat Intelligence Index", le minacce interne involontarie rappresentano la causa principale per la crescita superiore al 200% del numero di violazioni dei registri tra il 2018 e il 2019. Generalmente, i dipendenti sanno dove risiedono i dati sensibili di un'organizzazione e dispongono di elevati livelli di accesso, indipendentemente dal fatto che abbiano o meno intenzioni dannose.

Anche gli attacchi interni sono costosi per le organizzazioni. Nello studio  2020 Cost of Insider Threats di Ponemon Institute, i ricercatori hanno rilevato che il costo medio annuo della violazione di dati interni era di 11,45 milioni di dollari e che il 63% degli incidenti è causato da negligenza.

Accidentalmente o volontariamente, i dipendenti possono esporre - o aiutare ad esporre - informazioni riservate sui clienti, proprietà intellettuale e denaro.


Tipi di minacce interne

Dipendenti attuali ed ex dipendenti, subappaltatori, business partner o business associate, sono tutti soggetti che potrebbero costituire una minaccia. Tuttavia, qualsiasi persona con il giusto livello di accesso ai dati e ai sistemi  informatici di un'azienda può danneggiare anche un'organizzazione, compresi fornitori e venditori.

Gli insider variano in base a motivazione, consapevolezza, livello di accesso e intento. Ponemon Institute identifica gli insider come negligenti, criminali o credenziali. Gartner raggruppa le minacce interne in quattro categorie: pedine, utenti incompetenti, collaboratori e lupi solitari. Nota: Ponemon Institute e Gartner generano e forniscono report di ricerca, consulenza e formazione a organizzazioni governative e aziendali.

Pedine

Le pedine sono dipendenti che, senza esserne a conoscenza, vengono manipolati e eseguono attività dannose. Le pedine danneggiano l'organizzazione scaricando malware o divulgando credenziali ai truffatori tramite meccanismi di spear phishing o ingegneria social.

Utenti incompetenti

Gli utenti incompetenti sono utenti ignoranti o arroganti che credono di essere immuni dalle politiche di sicurezza. Per convenienza o incompetenza, cercano attivamente di superare i controlli di sicurezza. Ignorando le politiche di sicurezza, questi utenti lasciano risorse e dati vulnerabili senza protezione, offrendo semplice accesso agli aggressori. Secondo il report "Go-to-Market for Advanced Insider Threat Detection" di Gartner, "Il 90% degli incidenti interni è causato da utenti incompetenti."

Collaboratori

I collaboratori cooperano con utenti estranei, come aziende concorrenti o altri stati nazionali, per commettere un crimine. Essi utilizzano i propri diritti di accesso per sottrarre informazioni sui clienti o sulla proprietà intellettuale oppure causare l'interruzione delle operazioni aziendali, spesso in cambio di vantaggi economici o personali.

Lupi solitari

I lupi solitari, spesso in cambio di vantaggi economici, agiscono in modo indipendente e malevolo senza manipolazione o influenza esterna. I lupi solitari sono particolarmente pericolosi quando dispongono di privilegi elevati, come quelli di amministratori di sistema o di database.


In che modo i truffatori utilizzano gli insider vulnerabili

Se l'obiettivo si trova all'interno di un sistema protetto, i truffatori si concentrano sull'acquisizione dei privilegi di accesso di un dipendente. I truffatori ricercano pedine o utenti incompetenti per compiere i propri crimini informatici. Per ottenere le credenziali, essi utilizzano diverse tecniche e tattiche: email di phishig, watering hole e malware, per citarne alcuni. Con tali credenziali, i truffatori possono spostarsi lateralmente all'interno di un sistema, aumentare i propri privilegi, apportare modifiche e accedere a denaro o dati sensibili. I truffatori possono accedere a informazioni o dati da ubicazioni non protette durante le comunicazioni in uscita, utilizzando un server C2 (command-and-control). Possono apportare modifiche ai tentativi in uscita o eseguire trasferimenti di volumi in uscita.

Come attaccano i truffatori:

Ricerca delle vulnerabilità

  • Distribuzione  di email phishing o malware
  • Identificazione  di un utente
  • Acquisizione  di credenziali compromesse

Sfruttamento dell'accesso

  • Spostamento laterale verso la destinazione
  • Aumento dei privilegi in base alle necessità
  • Accesso agli asset

Abuso dell'accesso

  • Oscuramento dell'attività della rete
  • Modifica dei dati
  • Estrazione dei dati

Come mitigare le minacce interne

Per migliorare la rilevazione e la prevenzione con ogni tipo di minaccia interna, le organizzazioni possono adottare diversi controlli tecnici e non.

Ciascun tipo di minaccia interna presenta sintomi diversi che possono essere diagnosticati dai team della sicurezza. Tuttavia, comprendendo le motivazioni degli aggressori, i team della sicurezza possono avere un approccio proattivo alla difesa dalle minacce interne. Per mitigare le minacce interne, le organizzazioni di successo utilizzano approcci completi. Potrebbero utilizzare software di sicurezza che:

  • Associa i dati accessibili
  • Definisce meccanismi di attendibilità: concessione e revoca di accessi e implementazione dell'autenticazione MFA (multifactor authentication)
  • Definisce le politiche relative a dispositivi e storage di dati
  • Monitora le potenziali minacce e i comportamenti a rischio
  • Esegue azioni quando necessario

In un Report SANS sulle minacce avanzate del 2019, i professionisti della sicurezza hanno identificato lacune significative nella sicurezza dalle minacce interne. Il report ha evidenziato che tali lacune sono causate da mancanze in due aree: una relativa a standard di riferimento per il normale comportamento degli utenti, l'altra relativa alla gestione degli account utente privilegiati. Queste lacune diventano obiettivi allettanti per tattiche di phishing e compromissione delle credenziali.

Conosci i tuoi utenti

  1. Chi ha accesso ai dati sensibili?
  2. Chi dovrebbe avere accesso?
  3. Cosa fanno gli utenti finali con i dati?
  4. Cosa fanno gli amministratori con i dati?

Conosci i tuoi dati

  1. Quali dati sono sensibili?
  2. Le informazioni sensibili sono esposte?
  3. Qual è il rischio associato ai dati sensibili?
  4. Gli amministratori possono controllare l'accesso degli utenti privilegiati ai dati sensibili?

Rilevamento e correzione

Una volta stabilito un modello di minaccia, le organizzazioni si concentrano sul rilevamento e sulla correzione delle minacce interne e delle violazioni alla sicurezza.

I team della sicurezza devono distinguere tra l'attività regolare di un utente e un'attività potenzialmente dannosa per rilevare le minacce interne. Per distinguere le attività, le organizzazioni devono innanzitutto chiudere le lacune di visibilità. Quindi, dovrebbero aggregare i dati di sicurezza in una soluzione di monitoraggio centralizzata, che faccia parte di una  piattaforma SIEM (Security Information and Event Management)  o di una soluzione EUBA (user and entity behavior analytics) autonoma. Molti team iniziano con i changelog di accesso, autenticazione e dell'account. Quindi, estendono l'ambito inserendo ulteriori origini dati, come una VPN (virtual private network) e log degli endpoint, man mano che maturano i casi d'uso delle minacce interne.

Le organizzazioni devono adottare una soluzione PAM (privileged-access-management) ed inserire i dati relativi all'accesso agli account privilegiati da tale soluzione nella propria piattaforma SIEM. Una volta centralizzate le informazioni, le organizzazioni possono modellare il comportamento degli utenti e assegnare i punteggi di rischio. I punteggi di rischio sono collegati a specifici eventi di rischio, come la modifica dell'area geografica dell'utente oppure il download di dati su supporti rimovibili. L'assegnazione dei punteggi di rischio consente ai team SOC (security operations center) di monitorare il rischio in tutta l'azienda, creando elenchi di controllo oppure evidenziando gli utenti a maggior rischio nell'organizzazione.

Con una quantità sufficiente di dati cronologici, i modelli di sicurezza possono creare una baseline del normale comportamento di ciascun utente. Questa baseline indica il normale stato operativo di un utente o una macchina, in modo che il sistema possa segnalare le deviazioni. Le deviazioni devono essere tracciate per i singoli utenti e confrontate con altri utenti nella stessa ubicazione, con lo stesso titolo o funzione lavorativa.

Utilizzando una vista basata sugli utenti, i team di sicurezza possono individuare rapidamente l'attività della minaccia interna e gestire il rischio utente da una posizione centralizzata. Ad esempio, un'analisi comportamentale dell'utente può rilevare tentativi di accesso anomali ad un orario insolito o da un'ubicazione insolita oppure più tentativi di immissione di password non riusciti e generare un avviso per la convalida da parte dell'analista. In altre parole, qualsiasi anomalia del comportamento aiuterà ad identificare quando un utente è diventato un insider dannoso oppure se un aggressore esterno ne ha compromesso le credenziali.

Una volta eseguita la convalida, un sistema SOAR (security orchestration, automation and response) può creare un flusso di lavoro di correzione della minaccia interna. Quindi, il playbook può specificare l'azione correttiva necessaria. La potenziale correzione potrebbe includere la sfida dell'insider con MAE o la revoca dell'accesso, che possono essere eseguite entrambe nella soluzione IAM (identity access management).


Come proteggersi dalle minacce interne della forza lavoro remota

Con l'aumento  del lavoro da casa e in remoto, le minacce alla sicurezza sono aumentate e diventate più complesse. Come risultato, il lavoro remoto ha modificato profondamente le priorità della sicurezza e modificato le misure di sicurezza. Questo ha introdotto nuove sfide per i team di sicurezza:

  • Aumento degli incidenti di sicurezza complessivi a causa delle modifiche al comportamento e dell'aumento della superficie di attacco
  • Aumento degli attacchi di phishing
  • Mancanza di visibilità di endpoint e server non connessi alla VPN
  • Cambiamenti nei comportamenti dei dipendenti a causa di orari di lavoro irregolari, luoghi diversi e modifiche del comportamento di navigazione su Web
  • Aumento dell'utilizzo di applicazioni SaaS e mancanza di visibilità

I CISO (Chief information security officer) devono affrontare il rapido cambiamento della sicurezza IT che si sposta al di fuori della rete aziendale. Per proteggere in modo efficace gli asset di un'azienda, il team CISO deve comprendere meglio i comportamenti distinti dei dipendenti remoti e le implicazioni del lavoro remoto rispetto al rilevamento delle minacce interne. Per affrontare le sfide della forza lavoro remota, i CISO devono essere in grado di rispondere alle seguenti domande:

  • Come possiamo verificare che la persona che accede alla VPN aziendale sia il dipendente e non un aggressore che utilizza credenziali rubate?
  • Come possiamo verificare che il comportamento anomalo di un dipendente non sia il risultato del lavoro remoto?
  • Come possiamo aiutare a proteggere i dipendenti che si collegano da postazioni Internet aperte e non protette, come bar e locali pubblici?

Attraverso la comprensione del comportamento dei lavoratori remoti, i team della sicurezza possono rilevare i comportamenti anomali che possono indicare la compromissione delle credenziali o un'intenzione dannosa. Spesso possono rilevare questi comportamenti al confine della VPN, prima che i dipendenti causino potenziali danni. Sul perimetro, i CISO devono determinare se le proprie capacità contro le minacce interne correnti consentono di:

  • Ottenere la visibilità appropriata nei log di accesso, autenticazione e VPN.
  • Determinare se le credenziali di un dipendente vengono utilizzate contemporaneamente in due luoghi diversi o da un'area geografica insolita.
  • Verificare se il dipendente utilizza le credenziali al di fuori del normale orario di lavoro per la città della sede primaria del dipendente o se la durata della connessione è maggiore del solito.
  • Terminare la connessione, bloccare il dispositivo e revocare le credenziali tramite IAM.

Indicatori di minacce interne

Supponiamo che un aggressore riesca ad eludere il rilevamento al perimetro e si trovi all'interno della rete dell'organizzazione. In questo caso, i team della sicurezza dovrebbero convalidare la minaccia ricercando diverse credenziali compromesse o indicatori di abuso.

I team di sicurezza possono individuare gli indicatori delle minacce interne attraverso molti metodi, spesso con l'aiuto del machine learning. Questi metodi possono aiutare a determinare se l'accesso proviene da un dipendente legittimo o da un ladro di credenziali. All'interno della rete dell'organizzazione, i CISO devono valutare se le proprie capacità attuali contro le minacce interne consentono loro di:

  • Creare modelli di attività standard e frequenza distinti per rilevare le deviazioni dalla baseline. Una deviazione può indicare un abuso, sia intenzionale che accidentale.
  • Monitorare i tentativi di estrazione dei dati in base al numero di tentativi di comunicazione o di connessioni in uscita in un determinato giorno. Se il numero di connessioni in uscita di un dipendente aumenta, potrebbe suggerire di monitorare con attenzione le credenziali dell'utente.
  • Identificare trasferimenti anomali di grandi volumi di dati per un determinato dipendente. Il monitoraggio del trasferimento di dati aggregati può offrire una semplice ma potente e tempestiva indicazione di compromissione.
  • Analizzare l'integrità dell'endpoint per ricercare applicazioni sospette, che potrebbero indicare attività di malware. Identificando nuovi processi o esecuzioni di applicazioni, è possibile contenere il applicazioni malware e ridurre il rischio di sicurezza dell'organizzazione.

Regolando in modo proattivo i propri programmi per compensare le modifiche comportamentali dei dipendenti e massimizzare gli investimenti negli strumenti esistenti, i team di sicurezza possono proteggere al meglio una rete aziendale.


Soluzioni correlate

Contrasta l'aumento delle minacce interne per proteggere i tuoi dati

Furto di informazioni, sabotaggi IT e frodi sono sempre più spesso causati da dipendenti interni competenti ed esperti. Con un accesso facilitato alle informazioni utili, chiunque può sfruttare a proprio vantaggio i problemi di sicurezza e causare danni irreparabili alla tua organizzazione.


Ottieni visibilità delle minacce interne

IBM® QRadar User Behavior Analytics (UBA) analizza l'attività dell'utente per rilevare dipendenti sospetti e determinare se le credenziali di un utente sono state compromesse. Gli analisti della sicurezza possono facilmente individuare gli utenti a rischio, visualizzare le relative attività anomale e analizzare in modo approfondito i i dati di log e del flusso sottostanti che contribuiscono al punteggio di rischio di un utente.


Collega in modo sicuro ogni utente al giusto livello di accesso

Concedi i diritti di accesso, fornisci l'accesso SSO (Single Sign-On) da qualsiasi dispositivo, potenzia la sicurezza con l'autenticazione a più fattori, abilita la gestione del ciclo di vita degli utenti, proteggi gli account con privilegi e molto altro.


Centralizza la visibilità delle minacce interne

Ottieni insight concretamente utilizzabili sui dati di sicurezza in silos, identifica rapidamente le principali minacce e riduci il volume totale delle segnalazioni. Con maggiore visibilità negli ambienti on-premises basati su cloud, il tuo team può applicare l'AI per accelerare le indagini ed automatizzare risposta e correzione.


Accelera la risposta agli incidenti

Il rilevamento delle minacce è solo una parte dell'equazione di sicurezza. È necessaria anche una risposta intelligente agli incidenti a fronte del crescente volume di segnalazioni, dei molteplici strumenti e delle carenze di personale. Le organizzazioni mature adottano un'unica piattaforma SOAR (orchestration, automation and response) e utilizzano servizi di consulenza e gestiti per migliorare i propri centri operativi di sicurezza.