L’importanza del rilevamento delle minacce interne

Gli incidenti derivanti da minacce interne (Insider Threats) sono aumentati del 44% negli ultimi due anni ed il costo di un incidente, secondo il rapporto 2022 Cost of Insider Threats di Ponemon, supera i 15,3 milioni di dollari. Per difendersi da questo pressante rischio di sicurezza e di business, le organizzazioni hanno bisogno di una strategia completa di rilevamento delle minacce interne. Questo articolo fornisce indicazioni dettagliate per aiutarti ad iniziare a creare un programma efficace.

Insider threats: Con cosa abbiamo a che fare?

Il rapporto Ponemon delinea tre tipi di minacce interne:

• Un dipendente o un consulente sbadato o negligente. Gli utenti interni possono fare del male senza alcun intento doloso, a causa di negligenza, ignoranza o errore. Ad esempio, qualcuno potrebbe ignorare le installazioni di aggiornamento, inviare accidentalmente via e-mail informazioni sensibili ai destinatari sbagliati o cadere preda di uno schema di phishing.
• Un criminale o un malintenzionato. Gli insider malintenzionati agiscono deliberatamente per danneggiare la loro organizzazione. I motivi più comuni includono il desiderio di vendetta per le ingiustizie percepite e quello di ottenere qualche beneficio o profitto. Le azioni spesso includono la perdita di dati sensibili, il sabotaggio dei sistemi o il furto di proprietà intellettuale nella speranza di far progredire la propria carriera.
• Un ladro di credenziali. Un attore esterno che ruba le credenziali di un utente legittimo ottenendo l’accesso alla rete aziendale e quindi diventa una minaccia interna.

Quali sono gli indicatori comuni di una minaccia interna?

A volte un comportamento personale insolito può indicare il potenziale di una minaccia interna. Gli esempi includono segnali di maggiore nervosismo da parte del dipendente, risentimento nei confronti dell’azienda – specialmente da parte di dipendenti che stanno per lasciare l’azienda, che sono le principali fonti di furto di dati interni – e intenzioni di vendetta o possibile guadagno.

Segnali generali come quelli sopra elencati possono servire come segnali di avvertimento precoci che un insider potrebbe sviluppare intenti dannosi, ma comportamenti più specifici possono essere indicatori di un complotto già avviato. Alcuni degli indicatori di minaccia interna più comuni sono:

• Richieste di accesso non necessarie.  Ogni utente ha bisogno di accedere solo a determinati dati. Ad esempio, i contabili non hanno bisogno di file di progettazione e gli sviluppatori di sistemi non hanno bisogno di record finanziari. Se un dipendente o un consulente tenta di accedere a dati che non riguardano il proprio lavoro, potrebbe essere in corso una minaccia.
• Escalation non autorizzata dell’utente. Maggiore è l’accesso di un insider, più facile è rubare dati o nascondere le proprie azioni. Quando i dipendenti tentano inutilmente di aumentare i propri privilegi, potrebbero aprire la strada ad un attacco.
• Utilizzo di supporti di memorizzazione non autorizzati.  I tentativi di utilizzare dispositivi di archiviazione dati vietati possono essere un chiaro segno che gli addetti ai lavori stiano cercando di acquisire dati senza trasferire i file attraverso un server, questo perché quest’ultima attività viene regolarmente monitorata.

• Invio di messaggi di posta elettronica a destinatari esterni all’organizzazione. Le e-mail inviate a destinatari diversi da clienti, fornitori o altri partner commerciali, soprattutto se contengono allegati, potrebbero rappresentare una minaccia interna. Si noti che l’azione potrebbe essere dannosa o negligente e l’attore potrebbe essere un dipendente o un competitor che ha assunto il controllo di un account utente.
• Accesso ad informazioni e sistemi fuori dall’orario lavorativo o durante le vacanze.  I dipendenti dovrebbero accedere ai dati solo durante l’orario lavorativo. Tuttavia bisogna tenere a mente che il lavoro remoto e le pianificazioni ventiquattr’ore su ventiquattro rendono più difficili individuare i tempi di accesso anormali. Se questi accessi dovessero essere continui, allora possono essere considerati un segno di un attacco.

Quali sono i passaggi necessari per creare un programma efficace di rilevamento delle minacce interne?

Il rilevamento delle minacce interne è un processo complesso che include il monitoraggio continuo delle attività, l’analisi del comportamento e la gestione delle minacce. Ecco i passaggi che le organizzazioni dovrebbero intraprendere per creare un programma efficace:

1. Avviare il programma. Convincere i dirigenti e le altre parti interessate dell’importanza del programma di rilevamento delle minacce interne. Assembla un team che si occuperà della tua missione di rilevamento delle minacce interne e consenti loro di impostare le regole per il resto dell’organizzazione.

2. Valuta la tua infrastruttura IT. Assicurati di includere:

• Utenti, inclusi consulenti, fornitori e partner, in modo da conoscere tutti i potenziali punti di compromissione da cui può provenire una minaccia
• Autorizzazioni efficaci, in modo da sapere chi abbia accesso a cosa e se l’accesso di ciascun utente sia in linea con le proprie responsabilità lavorative
• Archivi di dati, in modo da sapere quali risorse critiche devono essere protette
• Sistemi di controllo degli accessi, come router, switch, VPN
• Sistemi di sicurezza e prevenzione delle minacce installati, in modo da poter valutare quali di essi potrebbero essere utili per il rilevamento delle minacce in futuro

3. Identifica e assegna priorità alle minacce interne.  Scopri i punti deboli conducendo una valutazione del rischio, analizzando la tua capacità di gestire un attacco, rivedendo gli incidenti passati e identificando le aree di miglioramento. Sii il più completo possibile, considerando tutto, dal furto di dati da parte di account compromessi a errori o abusi di privilegi da parte di addetti ai lavori. Dai priorità alle minacce in base alla probabilità e all’impatto in modo da poterti concentrare prima su quelle più importanti.

4. Educa i dipendenti.  Creare un programma di formazione sulla consapevolezza delle minacce interne per tutti i dipendenti, con l’obiettivo di coltivare una cultura della sicurezza digitale. Aiuta tutti a comprendere le best practice di sicurezza e i rischi comuni come schemi di phishing e indirizzi IP ingannevoli, nonché le conseguenze del mancato rispetto delle best practice.

5. Documenta i tuoi criteri. Crea policy chiare in modo che tutti sappiano cosa è richiesto da loro. Assicurati di includere procedure per la segnalazione di minacce e incidenti

6. Schiera. Gli strumenti di sicurezza possono aiutarti a rilevare e bloccare le minacce interne, con funzionalità come il monitoraggio dell’attività degli utenti, l’analisi del comportamento degli utenti basata sull’apprendimento automatico e sofisticati avvisi e indagini sulle minacce.  Se disponi già di una  soluzione di prevenzione della perdita di dati (DLP), gestione delle informazioni e degli eventi di sicurezza (SIEM) o di rilevamento e risposta degli endpoint (EDR), assicurati che la tua soluzione di rilevamento delle minacce interne possa sfruttare gli avvisi che genera.

7. Monitora. Controlla il tuo ambiente IT per scoprire le tendenze ed individuare eventuali eventi sospetti. Ad esempio, un picco nell’attività di download dei file dovrebbe generare un avviso immediato. Assicurati di monitorare l’intero ambiente IT, inclusi file server, SharePoint e Teams, Exchange e database. Suggerimento: non provare subito ad inserire tutti i dati in tuo possesso nella tua soluzione di rilevamento delle minacce interne. Inizia con un’origine dati e verifica se soddisfa le tue aspettative: simula attività interne dannose e verifica se la tua soluzione sia in grado di rilevarla, quanto tempo ci vuole per farlo e come presenta i dettagli di questa attività sospetta per la tua revisione. Quando si implementa questo processo per una base dati, utilizza lo stesso processo per aggiungere altre origini dati, una alla volta ovviamente.

8. Rivaluta. Ricorda che sia il panorama delle minacce che il tuo ambiente IT sono in continua evoluzione. Ciò significa che avrai bisogno di un ciclo di feedback continuo per aiutarti a prendere in considerazione le minacce ed i rischi. Assicurati che il tuo programma possa evolversi con i tuoi processi aziendali e i pericoli emergenti.

Le migliori tecniche per rilevare le minacce interne

Identifica una specifica minaccia interna per attivare il rilevamento.  Può trattarsi di attività interne dannose già verificatesi nell’organizzazione o di attività anomale che si sa di voler rilevare. Assicurati che il tuo modello di rilevamento possa rilevare e avvisare su questa minaccia con un livello accettabile di falsi positivi.

Monitora i picchi di attività.  L’attività anomala più semplice da individuare è un picco di attività, ad esempio un numero elevato di tentativi di accesso da parte di un particolare account o un numero elevato di modifiche ai file. Quando si rileva un picco anomalo, è necessario indagare tempestivamente. Se l’indagine rivela che l’attività non era in realtà una minaccia, modificare la linea di base per ridurre i falsi avvisi in futuro.

Rimani aggiornato su attività insolite.  Controllare i modelli di accesso che sono anormali per un determinato utente, in particolare i seguenti:

• Un numero elevato di eventi di accesso: tieni d’occhio la frequenza e il volume degli accessi, sia riusciti che non riusciti, in un breve periodo di tempo. Più eventi in un breve periodo di tempo, più sospetta è l’attività. Ad esempio, un numero enorme di letture di file può essere un segno di comportamento dannoso da parte, ad esempio, di un utente che sta per lasciare l’azienda o è stato recentemente terminato. (Leggi di più su come i dipendenti in partenza possono trasformarsi nel tuo peggior incubo per la sicurezza.)
• Accesso a file diversi: i tentativi di un utente (riusciti o meno) di leggere file e cartelle a cui non ha avuto accesso prima può anche essere un segno di intento dannoso; l’utente potrebbe essere alla ricerca di dati preziosi che possono essere venduti, utilizzati contro il datore di lavoro, pubblicati sul Web, ecc. Concentrati sull’attività dopo l’orario di lavoro e su altre deviazioni dal normale comportamento degli utenti, come l’accesso ai dati aziendali archiviati.

Misura gli utenti rispetto ai loro pari.  Un’insidia comune nel rilevamento delle minacce è un’ampia analisi che include utenti con diversi set di responsabilità, come uno specialista delle risorse umane e un amministratore IT. Invece, assicurati di confrontare l’attività di ciascun utente con il proprio gruppo di peer. Ad esempio, gli accessi da altre città potrebbero essere di routine per i venditori ma insoliti per il personale addetto alla manutenzione degli edifici.

Identifica e monitora gli account condivisi. Monitorare attentamente gli account condivisi è vitale per una forte posizione di sicurezza informatica. Tieni traccia degli accessi da parte di questi account e analizza il rischio utilizzando fattori come il tempo di accesso e la posizione geografica della macchina. Più accessi da macchine diverse dallo stesso account condiviso possono essere un segno che l’account è stato compromesso.

Monitora attentamente gli account di servizio e gli account privilegiati.  Le procedure consigliate richiedono che gli account con privilegi elevati vengano utilizzati raramente e solo per attività specifiche che altri account non possono eseguire. Mantieni aggiornato il tuo inventario di questi account e monitora attentamente la loro attività. Cerca segni di  violazioni dei criteri di sicurezza o abuso di privilegi, come l’uso dell’account per eseguire attività sospette o sessioni insolitamente lunghe.

Correla i dati provenienti da più origini. Individuare alcune minacce alla sicurezza richiede di sfruttare più origini dati. Ad esempio, un accesso VPN anomalo potrebbe non allarmarti, ma se vedi che lo stesso utente inizia ad accedere a cartelle con dati sensibili a cui non ha mai avuto accesso prima, potresti voler indagare in modo da poter rispondere rapidamente.

Tieni d’occhio le risorse dell’infrastruttura. Oltre a monitorare l’attività degli utenti, assicurati di tenere sotto controllo l’attività relativa alle condivisioni file, ai database, ai server e così via. Devi essere in grado di individuare qualsiasi attività sospetta e sapere chi l’ha eseguita. Ad esempio, più accessi a un server da parte di account diversi potrebbero indicare un attacco da parte di un intruso con credenziali rubate o di un dipendente fidato che è diventato infedele.

Come può aiutare Netwrix?

Le soluzioni Netwrix offrono un approccio olistico che aiuta a proteggere la tua organizzazione su tutte le principali superfici di attacco: dati, identità e infrastruttura.

Con le loro funzionalità avanzate, puoi:

• Limita i danni che un insider potrebbe fare, accidentalmente o deliberatamente, monitorando i diritti di accesso degli utenti e identificando i dati sovraesposti.
• Organizza i tuoi dati, rendendoli individuabili e più sicuri.
• Monitora continuamente l’attività degli utenti regolari e privilegiati e ricevi avvisi su comportamenti anomali.
• Riduci il rischio derivante dalle attività degli utenti privilegiati.
• Rileva i tentativi di escalation delle autorizzazioni

• Indaga sugli incidenti in modo efficiente e trova rapidamente la migliore risposta a ciascun attacco