Strategie per Rilevare e Mitigare le Minacce Interne – SentinelOne

Negli ultimi dieci anni, il panorama digitale ha subìto una rapida trasformazione, rimodellando il modo in cui le aziende operano e interagiscono con i dati. Con questo cambiamento di paradigma, anche la natura e la portata delle minacce interne si sono evolute in modo significativo.

L’aumento dei tassi di adozione del cloud e della dipendenza da fornitori di terze parti ha ampliato la superficie di attacco per i criminali informatici. Con un maggiore accesso ai sistemi interni, i criminali informatici sono in grado di sfruttare sofisticate tecniche di attacco, mettendo a rischio i dati sensibili e le infrastrutture critiche.

L’ambito di riferimento delle minacce interne comprende il furto di proprietà intellettuale, l’insider trading, la collusione con attori esterni e la frode finanziaria. Man mano che gli addetti ai lavori diventano sempre più abili nell’eludere le misure di sicurezza tradizionali, i leader della sicurezza implementano solide strategie per affrontare questi rischi in evoluzione.

Questo articolo di SentinelOne approfondisce il modo in cui le minacce interne si sono evolute negli ultimi dieci anni, facendo luce sulle sfide emergenti affrontate dalle aziende di tutto il mondo. Esplora anche esempi del mondo reale, mostrando l’importanza di un approccio olistico che combini tecnologia, policy e formazione dei dipendenti per mitigare efficacemente le minacce interne.

Minacce Interne: Come si Sono Evolute

Le minacce interne non sono un concetto nuovo. In effetti, esistono da tanto tempo quanto le aziende. Ciò che è cambiato è l’ampiezza e la profondità che un attacco interno riuscito può causare. Nel panorama digitale di oggi, la posta in gioco è molto più alta.

Considera quanto segue:

  • Il 60% di tutti i dati aziendali sono archiviati a livello globale in varie soluzioni basate su cloud;
  • Un'organizzazione media si interfaccia con 11 terze parti;
  • Si prevede che il numero di dispositivi connessi raggiungerà circa 75 miliardi entro il 2025;
  • Nel 2022 sono state identificate più di 24.000 vulnerabilità ed esposizioni comuni (CVE).

Una minaccia interna può essere chiunque all'interno di un'organizzazione abbia accesso a informazioni e sistemi sensibili. Ciò include utenti e amministratori privilegiati, appaltatori, fornitori di terze parti e persino partner commerciali.

Nel suo più recente report sul costo delle minacce interne, il Ponemon Institute ha confermato che gli utenti negligenti, malintenzionati e compromessi rappresentano una grave minaccia informatica, con incidenti in aumento del 44% negli ultimi due anni e costi per le aziende di oltre 15 milioni di dollari. Queste cifre ricordano chiaramente il rischio significativo che le minacce interne comportano per le organizzazioni di tutte le dimensioni.

Altri report dichiarano che oltre il 34% delle aziende è colpito ogni anno da tali minacce e che il 68% dei leader della sicurezza considera gli attacchi interni e le violazioni accidentali più probabili degli attacchi esterni.

I Diversi Volti dell’“Insider” dietro la Minaccia

Le minacce interne possono manifestarsi in varie forme e possono essere inserite in una delle tre categorie in base all'intento o al motivo dietro l'insider stesso.

Insider Malevoli | Segreti Commerciali di Yahoo Rubati da un Dipendente in Uscita

Gli insider malevoli agiscono intenzionalmente contro gli interessi dell’organizzazione e cercano di causare danni. Potrebbero impossessarsi di dati per venderli o utilizzarli come leva per guadagni personali. Potrebbero anche derivare da dipendenti, appaltatori, partner scontenti che desiderano causare danni finanziari e reputazionali all'organizzazione. Tale tipologia di insider abusa intenzionalmente del proprio accesso ai sistemi e alle informazioni dell’organizzazione.

Nel maggio 2022, un ricercatore di Yahoo si sarebbe impossessato di informazioni proprietarie sul prodotto AdLearn dell’azienda dopo aver ricevuto un’offerta di lavoro da un concorrente. L'insider malintenzionato ha scaricato quasi 570.000 pagine di proprietà intellettuale (IP) di Yahoo sul proprio dispositivo personale, inclusi codice sorgente, algoritmi di posizionamento degli annunci e documenti strategici interni.

Insider Negligenti | Dipendente Microsoft Espone Credenziali di Accesso

Gli insider negligenti in genere sono dipendenti, fornitori o partner che adottano comportamenti rischiosi a causa di un senso generale di disimpegno. Sebbene decidano consapevolmente di agire in modo inappropriato, non vi è alcun intento dannoso dietro le loro azioni.

Gli insider negligenti sono utenti che spesso smarriscono o condividono credenziali sensibili, ignorano le policy IT, utilizzano dispositivi non protetti e trascurano la propria formazione sulla sicurezza.

Nell’agosto del 2022, un certo numero di dipendenti Microsoft ha caricato credenziali di accesso sensibili sull’infrastruttura GitHub dell’azienda, consentendo a potenziali aggressori di accedere ai server Azure e ad altri sistemi interni. Si è scoperto che tutte le credenziali identificate erano associate a un tenant ID Microsoft ufficiale e che alcune erano ancora attive al momento della scoperta.

Insider Accidentali | Staff di Twitter Vittima di una Campagna di Spear Phishing

Gli insider accidentali o compromessi non mostrano alcuna decisione consapevole di agire in modo inappropriato. Questi casi sono spesso attribuiti a semplici errori commessi da un dipendente nel corso del proprio lavoro quotidiano. Ciò potrebbe includere il cadere in una truffa di ingegneria sociale, l'apertura o l'inoltro di e-mail di phishing e malware, la configurazione errata dei sistemi o la gestione impropria di informazioni sensibili.

I criminali informatici hanno lanciato una truffa di spear phishing telefonica contro i dipendenti di Twitter nel luglio 2020, chiamando i team del servizio consumatori e del supporto tecnico e chiedendo loro di reimpostare le proprie password. Dopo aver fornito le proprie credenziali e i codici MFA su un sito controllato dagli aggressori, gli aggressori hanno ottenuto l'accesso alla rete interna di Twitter e ad alcuni strumenti di supporto interni. Con un accesso così privilegiato gli aggressori sono riusciti a prendere il controllo di diversi account noti e a diffondere la loro campagna di truffa.

La Protezione dalle Minacce Interne Inizia con il Rilevamento Efficace

A differenza degli autori di minacce esterne, gli interni hanno già un accesso legittimo ai sistemi e ai dati di un’organizzazione, rendendo le attività dannose più difficili da rilevare. Nei giorni, settimane o addirittura mesi necessari per distinguere un’attività benigna da un’attività sospetta, una minaccia potrebbe già aver causato danni irreversibili.

Gli strumenti di sicurezza tradizionali sono spesso inadeguati a gestire questo tipo di minaccia, poiché sono progettati principalmente per rilevare intrusioni esterne note. Un rilevamento efficace delle minacce interne richiede strumenti in grado di tenere traccia di comportamenti anomali come accessi insoliti ai file, trasferimenti irregolari di dati e anomalie nei modelli di accesso. Inoltre, anche i cambiamenti nelle abitudini lavorative e i segnali di malcontento possono fornire segnali di allarme.

Conosci le Tue Persone

Il rilevamento delle minacce interne richiede che le organizzazioni siano vigili nell’individuare cambiamenti comportamentali che potrebbero segnalare potenziali intenti dannosi o attività non autorizzate da parte dei dipendenti. Cambiamenti improvvisi nei modelli di lavoro o nelle prestazioni, soprattutto se accompagnati da stress finanziario inspiegabile o problemi personali, ad esempio, possono essere segnali di problemi futuri.

Gli insider possono anche mostrare un interesse insolito nell'accesso a informazioni sensibili al di fuori del loro ruolo lavorativo o mostrare un uso eccessivo dei diritti di accesso privilegiati. Potrebbero anche avere la tendenza a violare le policy di sicurezza, come condividere password o aggirare i controlli di sicurezza.

Sfruttare la Tecnologia

Gli indicatori digitali sono fondamentali per rilevare le minacce interne poiché forniscono preziosi indizi su attività potenzialmente dannose o accesso non autorizzato a informazioni sensibili. Un indicatore digitale significativo è l'attività di accesso anomala o sospetta. Ciò potrebbe includere ripetuti tentativi di accesso non riusciti, più sessioni di accesso da luoghi diversi contemporaneamente o attività di accesso in orari insoliti.

Anche modelli insoliti di traffico di rete, come trasferimenti di dati di grandi dimensioni o accesso ad aree riservate della rete, possono essere indicatori digitali di minacce interne. Gli addetti ai lavori potrebbero mostrare un utilizzo anomalo di dispositivi di archiviazione rimovibili, tentando di copiare o trasferire dati sensibili al di fuori dei canali autorizzati.

Inoltre, la presenza di software o strumenti non autorizzati sulla postazione di un dipendente può essere un potenziale indicatore digitale di intenti dannosi. Anche l’uso insolito o eccessivo dei privilegi amministrativi può essere un indicatore di rischio interno.

Come Prevenire le Minacce Interne? Best Practice per le Aziende di Oggi

Poiché le minacce interne ampliano le superfici di attacco, i leader aziendali possono implementare un approccio olistico che combini policy di sicurezza, formazione continua e tecnologia per prevenire e mitigare questi tipi di attacchi nel lungo termine.

Applicare Policy Attuabili Incentrate sull’Accesso

Limitare l’accesso alle informazioni sensibili in base alla necessità di conoscerle è un passo fondamentale per mitigare le minacce interne. Ciò include la progettazione di policy per:

  • Controllo degli accessi - Definisci chiaramente i privilegi e le autorizzazioni di accesso in base ai ruoli e alle responsabilità lavorative. Implementare i principi dei privilegi minimi per garantire che i dipendenti abbiano il livello adeguato di accesso a sistemi, dati e risorse.
  • Utilizzo accettabile - Comunicare chiaramente l'uso accettabile delle risorse aziendali, inclusi computer, reti e risorse. Specificare attività vietate come l'accesso non autorizzato ai dati, la condivisione di credenziali o l'utilizzo di risorse aziendali per guadagno personale.
  • Gestione dei dati - Stabilire linee guida per la gestione delle informazioni sensibili durante tutto il loro ciclo di vita. Specificare come i dati devono essere classificati, protetti, trasmessi ed eliminati. Applicare misure di crittografia e prevenzione della perdita di dati (DLP).
  • Accesso di fornitori e terze parti - Stabilire linee guida per il controllo, il monitoraggio e la gestione dei rapporti con fornitori e partner terzi che hanno accesso a informazioni o sistemi sensibili. Attuare accordi contrattuali e misure di sicurezza adeguati per mitigare i rischi associati a soggetti esterni.

Proteggi Tutte le Risorse Aziendali Critiche

Inizia identificando le risorse più cruciali, inclusi i dati sensibili su personale, reti aziendali, sistemi, proprietà intellettuale e software proprietario. Una volta identificati questi asset, diventa fondamentale dare loro la priorità in base al loro livello di criticità.

Fornire Programmi Regolari di Formazione e Sensibilizzazione per Tutti i Dipendenti

I dipendenti rappresentano la prima linea di difesa contro le minacce interne. Una formazione regolare può aiutarli a comprendere i rischi e a riconoscere i segnali di minacce interne. La formazione dovrebbe includere un’ampia gamma di argomenti legati alla cyber security, come la sicurezza delle password e dell’autenticazione, la consapevolezza dell’ingegneria sociale, le pratiche sicure su Internet e sulla posta elettronica, le procedure di segnalazione degli incidenti, le policy relative al lavoro a distanza e la sicurezza dei dispositivi mobile.

Creare una Cultura Incentrata sulla Fiducia, sulla Trasparenza e sul Rispetto

La promozione di un ambiente di lavoro positivo può contribuire notevolmente a mitigare le minacce interne. I dipendenti che si sentono apprezzati e rispettati hanno meno probabilità di rappresentare una minaccia per l’organizzazione e si assumono maggiori responsabilità nel proteggere i suoi interessi.

Implementa una Soluzione di Rilevamento e Risposta Basata su IA e ML

Le soluzioni di sicurezza come XDR di SentinelOne forniscono una visione olistica del livello di sicurezza dell’organizzazione, consentendo un migliore rilevamento e monitoraggio delle minacce interne.

XDR sfrutta le informazioni contestuali, come ruoli utente, privilegi di accesso e comportamento storico, per fornire informazioni migliori sulle potenziali minacce interne. Questo contesto aiuta i team di sicurezza a prendere decisioni informate e a dare priorità agli sforzi di risposta.

Stabilendo linee di base di comportamento normale, XDR è in grado di rilevare attività sospette, accesso non autorizzato ai dati o tentativi insoliti di esfiltrazione di dati da parte di addetti ai lavori. XDR utilizza algoritmi di analisi avanzata, intelligenza artificiale (IA) e machine learning (ML) per analizzare i modelli di comportamento degli utenti e identificare anomalie che potrebbero indicare minacce interne.

XDR monitora inoltre le attività degli utenti su endpoint, reti e ambienti cloud per identificare potenziali minacce interne. Può rilevare accessi non autorizzati, trasferimenti anomali di file, modifiche ai livelli di privilegio o tentativi di disabilitare i controlli di sicurezza. Il monitoraggio e gli avvisi in tempo reale consentono una risposta tempestiva per mitigare i rischi.

In Conclusione

Dalla maggiore connettività alla diffusione del lavoro a distanza, i progressi tecnologici hanno presentato sia opportunità che vulnerabilità che gli insider possono sfruttare. Per stare al passo con i tempi, molte aziende si rivolgono all’analisi comportamentale e al machine learning per rilevare anomalie nel comportamento degli utenti, consentendo il rilevamento precoce e la prevenzione delle minacce interne.

Proteggere le aziende dalle minacce interne richiede un approccio articolato che combini misure tecniche, solide policy di sicurezza e una forte cultura della sicurezza. Le organizzazioni che implementano sistemi di monitoraggio avanzati, come XDR, sono meglio attrezzate per rilevare comportamenti anomali e potenziali minacce interne.

Con una strategia completa che combina tecnologia, policy e coinvolgimento dei dipendenti, le aziende possono migliorare le proprie difese e proteggersi dall’impatto dannoso delle minacce interne.

Scopri come Singularity XDR di SentinelOne può estendere la protezione a livello di endpoint, massimizzare la visibilità su tutti gli ambienti e automatizzare una potente risposta contro le minacce interne. Invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250 per avere maggiori informazioni.

In alternativa, puoi compilare il form sottostante con la tua domanda.