Cosa sono le minacce interne?
Iscriviti alla newsletter IBM Esplora IBM Security QRadar
Primo piano di un uomo pensieroso il cui schermo del computer si riflette sulle lenti degli occhiali

Le minacce interne sono minacce alla sicurezza informatica che hanno origine da utenti autorizzati (dipendenti, appaltatori, partner commerciali) che intenzionalmente o accidentalmente abusano del loro accesso legittimo o subiscono il controllo dei loro account da parte di criminali informatici.

Mentre le minacce esterne sono più comuni e fanno notizia quando si tratta di attacchi informatici, le minacce interne, siano esse dannose o frutto di negligenza, possono essere più costose e pericolose. Secondo il Cost of a Data Breach Report 2023 di IBM, le violazioni di dati iniziate da insider malevoli sono state le più costose: 4,90 milioni di dollari in media, ovvero il 9,5% in più rispetto ai 4,45 milioni di dollari del costo medio della violazione di dati. Inoltre, un recente rapporto di Verizon ha rivelato che, mentre la minaccia esterna media compromette circa 200 milioni di record, gli incidenti che coinvolgono un autore interno della minaccia hanno portato all'esposizione di 1 miliardo o più di record.1

Demo via clic

Scopri come IBM Security® QRadar® SIEM identifica e analizza il comportamento anomalo.

Tipi di minacce interne
Insider malevoli

Gli insider malevoli sono solitamente ex dipendenti o dipendenti attuali insoddisfatti le cui credenziali di accesso non sono state revocate, che intenzionalmente abusano del loro accesso per vendetta, guadagno finanziario o entrambi. Alcuni insider malevoli "lavorano" per un outsider malevolo, come un hacker, un concorrente o un attore a livello nazionale, per ostacolare le operazioni aziendali (impiantando malware o manomettendo file o applicazioni) o per far trapelare informazioni sui clienti, proprietà intellettuale, segreti commerciali o altri dati sensibili.

Alcuni attacchi recenti da parte di insider malevoli:

Insider negligenti

Gli insider negligenti non hanno intenti dannosi, ma creano minacce alla sicurezza per ignoranza o disattenzione, ad esempio cadendo in un attacco di phishing, aggirando i controlli di sicurezza per risparmiare tempo, perdendo un laptop che potrebbe essere utilizzato da un criminale informatico per accedere alla rete dell'organizzazione o inviando file sbagliati (ad esempio file contenenti informazioni sensibili) a soggetti esterni all'organizzazione.

Tra le aziende intervistate nel Ponemon Cost of Insider Threats Global Report 2022, la maggior parte delle minacce interne (il 56%) derivava da insider imprudenti o negligenti.2

Insider compromessi

Gli insider compromessi sono utenti legittimi le cui credenziali sono state rubate da attori esterni alle minacce. Le minacce lanciate tramite insider compromessi sono le minacce interne più costose e, secondo il rapporto Ponemon, costano alle vittime in media 804.997 dollari per essere riparate.3

Spesso, gli insider compromessi sono il risultato di un comportamento negligente degli insider. Ad esempio, nel 2021 un truffatore ha utilizzato una tattica di ingegneria sociale, in particolare una telefonata di phishing vocale (vishing) per ottenere credenziali di accesso ai sistemi di assistenza clienti sulla piattaforma di trading Robinhood. Più di 5 milioni di indirizzi e-mail dei clienti e 2 milioni di nomi di clienti sono stati rubati nell'attacco (link esterno a ibm.com).

Armi nella lotta contro le minacce interne

Poiché le minacce interne vengono eseguite in parte o per intero da utenti con credenziali complete e talvolta da utenti privilegiati, può essere particolarmente difficile separare gli indicatori o i comportamenti di minacce interne negligenti o dannose dalle azioni e dai comportamenti degli utenti regolari. Secondo uno studio, i team di sicurezza impiegano in media 85 giorni per rilevare e contenere una minaccia interna4, sebbene alcune minacce interne non sono state rilevate per anni (link esterno a ibm.com).

Per rilevare, contenere e prevenire meglio le minacce interne, i team di sicurezza si affidano a una combinazione di pratiche e tecnologie.

Formazione per dipendenti e utenti

La formazione continua di tutti gli utenti autorizzati sulle politiche di sicurezza (es. igiene delle password, corretta gestione dei dati sensibili, segnalazione di dispositivi smarriti) e sulla consapevolezza della sicurezza (ad esempio, come riconoscere una truffa di phishing, come instradare correttamente le richieste di accesso al sistema o di dati sensibili) può contribuire a ridurre il rischio di minacce interne negligenti. La formazione può anche attenuare l’impatto complessivo delle minacce. Ad esempio, secondo il Cost of a Data Breach Report 2023, il costo medio di una violazione dei dati nelle aziende con formazione dei dipendenti è stato di 232.867 dollari in meno, ovvero il 5,2% in meno rispetto al costo medio complessivo di una violazione.

Gestione di identità e accessi

La gestione dell'identità e degli accessi (IAM) si concentra sulla gestione delle identità degli utenti, dell'autenticazione e delle autorizzazioni di accesso, in modo da garantire che gli utenti e i dispositivi giusti possano accedere ai motivi giusti al momento giusto. (La gestione degli accessi privilegiati, una sottodisciplina della gestione delle identità e degli accessi (IAM), si concentra su un controllo più dettagliato dei privilegi di accesso concessi a utenti, applicazioni, account amministrativi e dispositivi.)

Una funzione chiave della gestione delle identità e degli accessi (IAM) per prevenire gli attacchi interni è la gestione del ciclo di vita dell'identità. Limitare le autorizzazioni di un dipendente scontento in partenza o disattivare immediatamente gli account degli utenti che hanno lasciato l'azienda sono esempi di azioni di gestione del ciclo di vita dell'identità che possono ridurre il rischio di minacce interne.

Analisi del comportamento degli utenti

L'analisi del comportamento degli utenti (UBA) applica l'analisi avanzata dei dati e l'intelligenza artificiale (AI) per modellare i comportamenti degli utenti di base e rilevare anomalie che possono indicare minacce informatiche emergenti o in corso, comprese potenziali minacce interne. (Una tecnologia strettamente correlata, l'analisi del comportamento degli utenti e delle entità o UEBA, amplia queste funzionalità per rilevare comportamenti anomali nei sensori IoT e in altri dispositivi endpoint).

L'UBA viene spesso utilizzato insieme al SIEM (Security Information and Event Management), che raccoglie, correla e analizza i dati relativi alla sicurezza provenienti da tutta l'azienda.

Sicurezza offensiva

La sicurezza offensiva (o OffSec) utilizza tattiche contraddittorie, le stesse tattiche utilizzate dai malintenzionati negli attacchi del mondo reale per rafforzare la sicurezza della rete piuttosto che comprometterla. La sicurezza offensiva è condotta tipicamente da hacker etici, professionisti della sicurezza informatica che utilizzano le loro capacità di hacking per individuare e correggere non solo i difetti dei sistemi IT, ma anche i rischi per la sicurezza e le vulnerabilità nel modo in cui gli utenti rispondono agli attacchi.

Le misure di sicurezza offensive che possono aiutare a rafforzare i programmi di minacce interne includono simulazioni di phishing e red teaming, in cui un team di hacker etici lancia un attacco informatico simulato e mirato all'organizzazione.

Soluzioni correlate
Soluzioni di sicurezza contro le minacce interne

Le minacce interne possono essere difficili da rilevare: la maggior parte dei casi passa inosservata per mesi o anni. Proteggi la tua organizzazione da minacce dannose o non intenzionali provenienti da insider con accesso alla tua rete.

Esplora le soluzioni per la sicurezza contro le minacce interne
Individuazione delle minacce con IBM Security QRadar SIEM

Offri agli analisti della sicurezza gli strumenti necessari per migliorare in modo significativo le percentuali di rilevamento e accelerare i tempi per rilevare e indagare sulle minacce. I dati sugli eventi normalizzati QRadar SIEM consentono agli analisti di utilizzare semplici query per trovare attività di attacco correlate tra fonti di dati eterogenee.

Esplora l'individuazione delle minacce con IBM QRadar
Servizi di gestione delle minacce

Proteggi le risorse critiche e gestisci l'intero ciclo di vita delle minacce con un approccio intelligente e unificato per la gestione delle minacce che aiuta a rilevare minacce avanzate, rispondere rapidamente con precisione e recuperare in caso di interruzioni. 

Esplora i servizi di gestione delle minacce
Risorse Cost of a data breach 2023

Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.

Cos'è il SIEM?

SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.

IBM Security X-Force Threat Intelligence Index 2023

Conosci la minaccia per sconfiggerla: ottieni informazioni utili che ti aiutano a capire come gli autori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.

Workshop IBM Security Framing and Discovery

Comprendi lo scenario di sicurezza della tua azienda e assegna priorità alle iniziative insieme ad architetti e consulenti IBM esperti in una sessione gratuita di design thinking, virtuale o di persona, della durata di tre ore.

Cos'è la gestione delle minacce?

La gestione delle minacce è un processo utilizzato dai professionisti della sicurezza informatica per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere agli incidenti di sicurezza

Tieniti aggiornato sulle minacce interne

Scopri le ultime tendenze sulle minacce interne e le tecniche di prevenzione su Security Intelligence, il blog degli opinion leader ospitato da IBM Security.

Fai il passo successivo

Le minacce alla sicurezza informatica stanno diventando sempre più evolute e persistenti e richiedono un maggiore impegno da parte degli analisti di sicurezza nel vagliare gli innumerevoli avvisi e incidenti. IBM Security QRadar SIEM semplifica l'eliminazione delle minacce in modo più rapido, preservando i profitti. QRadar SIEM assegna la priorità agli avvisi ad alta fedeltà per aiutarti a individuare le minacce che altri non vedono.

Ulteriori informazioni su QRadar SIEM Richiedi una dimostrazione QRadar SIEM
Note a piè di pagina

Verizon 2023 Data Breach Investigations Report (link esterno a ibm.com)

2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (per Proofpoint; link esterno a ibm.com)