written by
Flavio Bruzzone

Come Proteggere l’Infrastruttura Cloud dalle Minacce Interne – SentinelOne

Cyber Security 8 min read
Come Proteggere l’Infrastruttura Cloud dalle Minacce Interne – SentinelOne
Come Proteggere l’Infrastruttura Cloud dalle Minacce Interne – SentinelOne

Una delle minacce alla sicurezza più significative per l'infrastruttura cloud sono le minacce interne. Man mano che sempre più aziende passano ad ambienti cloud e ibridi, i dipendenti che inviano dati sensibili a cloud non protetti o configurati in modo errato rischiano di esporre la propria organizzazione a minacce informatiche avanzate.

L'importanza dell'infrastruttura cloud per le aziende di tutte le dimensioni, insieme all'accesso privilegiato che spesso hanno gli addetti ai lavori, significa che la mitigazione del rischio di minacce interne è ora in cima all'elenco delle priorità per i team di sicurezza maturi.

In questo articolo, SentinelOne descrive ed esplora le best practice che i team di sicurezza possono implementare per salvaguardare le infrastrutture cloud dalle minacce interne.

Perché gli Insider sono Considerati un Rischio Principale per il Cloud?

Che si tratti di negligenza o di intenti dannosi, le minacce interne rappresentano un serio rischio per la sicurezza del cloud in quanto sono più difficili da rilevare e combattere. A differenza di un intruso esterno, gli addetti ai lavori non devono violare le misure di sicurezza esterne per accedere alle risorse sensibili.

I rischi interni possono derivare da moltissime ragioni. Gli insider malintenzionati, ad esempio, possono essere motivati a danneggiare un sistema in cambio di una tangente o come ritorsione per una presunta offesa.

I loro obiettivi possono variare dal furto intenzionale di dati, alla distruzione di dati, allo spionaggio o al vantaggio personale. Poiché gli addetti ai lavori malintenzionati hanno il vantaggio del tempo, sono in grado di studiare il sistema e creare un attacco basato su punti deboli specifici nell'infrastruttura di cui sono a conoscenza.

In una recente ricerca di Ponemon sulle minacce interne, i risultati rivelano che sia i rischi interni negligenti che quelli malintenzionati, nonché il furto di credenziali, sono cresciuti del 44% solo negli ultimi due anni. Da allora gli incidenti che coinvolgono utenti compromessi hanno accumulato costi pari a oltre 15 milioni di dollari a livello globale.

In molti di questi incidenti, le infrastrutture cloud sono state l'obiettivo principale con il report di Ponemon che indica che il 52% delle aziende indica la sicurezza del cloud come uno dei maggiori rischi.

Le seguenti best practice possono aiutare i team di sicurezza a mitigare questi rischi.

1. Implementare il Controllo degli Accessi con Privilegi Minimi

La difesa dalle minacce interne è una sfida persistente che richiede un monitoraggio continuo. Uno dei modi principali per difendere i dati e i sistemi sensibili è limitare il numero di utenti che vi hanno accesso e le autorizzazioni di cui dispongono durante l'esercizio di tale accesso. Per ridurre al minimo l'accesso di potenziali rischi interni, le imprese possono implementare il principio del privilegio minimo (PoLP).

Il principio del privilegio minimo è un concetto di sicurezza che afferma che ogni utente, programma o componente di sistema dovrebbe avere accesso solo alle risorse di cui ha bisogno per svolgere la propria funzione e non di più. Questo consente di ridurre al minimo il potenziale danno che può verificarsi a seguito di una violazione della sicurezza o di una configurazione errata.

L'idea alla base del principio del privilegio minimo è che limitando l'accesso alle risorse, si riduce la superficie di attacco. Limitando le risorse a cui un utente o un programma può accedere, rende più difficile per gli aggressori ottenere l'accesso a informazioni riservate. Ad esempio, un utente che deve solo leggere i file in una directory specifica non dovrebbe avere accesso in scrittura a quella directory. Allo stesso modo, un programma che deve accedere solo a determinati file di sistema non dovrebbe avere accesso ad altre parti del sistema.

2. Condurre una Regolare Formazione sulla Sensibilizzazione alla Sicurezza

Il report Ponemon ha citato il 56% degli incidenti legati alla negligenza rispetto al 26% relativo agli insider criminali.

Ciò rende la negligenza una causa principale nella maggior parte degli incidenti di sicurezza informatica e varia ovunque da dispositivi non protetti, password non protette, mancato rispetto delle politiche di sicurezza dell'organizzazione o dimenticanza di applicare patch o aggiornare il proprio software.

Le minacce interne involontarie possono derivare dalla più piccola delle azioni, come fare clic su collegamenti dannosi o condividere informazioni sensibili con persone non autorizzate. I leader aziendali possono combattere questo tipo di minaccia interna implementando una formazione regolare e accessibile sulla consapevolezza della sicurezza e promuovendo una cultura di buona igiene informatica.

I dipendenti che sono formati su come riconoscere i segnali e le conseguenze dei rischi interni possono aiutare a prevenirli in primo luogo. I programmi di formazione sulla consapevolezza della sicurezza spesso coprono un'ampia gamma di argomenti, tra cui phishing, igiene delle password, riconoscimento dell'ingegneria sociale e come segnalare correttamente i comportamenti anomali rilevati.

3. Utilizzo dell'Analisi Comportamentale

L'analisi comportamentale può essere un potente strumento per i team di sicurezza che lavorano per mitigare i rischi interni nei loro ambienti cloud. Misurando i comportamenti in tempo reale rispetto a uno stato di normalità predeterminato, l'analisi può aiutare a segnalare eventuali anomalie che potrebbero indicare potenziali attività dannose.

Ad esempio, l'analisi comportamentale può monitorare le attività degli utenti come gli orari di accesso, posizioni e modelli di accesso per rilevare eventuali modifiche sospette o deviazioni dal loro comportamento normale. Può anche rilevare tentativi di accesso a risorse non autorizzate, eseguire azioni non autorizzate o esfiltrare dati.

L'analisi comportamentale è fondamentale per il modo in cui i team di sicurezza semplificano la ricerca di potenziali minacce interne. Più tempo viene risparmiato durante quella fase cruciale di ricerca, più efficace può essere la risposta nell'impedire che gli incidenti diventino crisi di sicurezza in piena regola.

Anche nei processi post-evento, l'analisi comportamentale fornisce preziose informazioni sulle motivazioni e sui modelli delle minacce interne, aiutando i team a sviluppare o migliorare le politiche e le procedure di sicurezza esistenti. Imparare dall'analisi è spesso una solida base sulla quale possono essere creati programmi di formazione.

4. Implementare DSPM (Gestione della Posizione di Sicurezza dei Dati)

La pianificazione della sicurezza dei dati business-critical richiede un approccio completo alla sicurezza e alla privacy dei dati. L'implementazione della gestione della posizione di sicurezza dei dati (DSPM) può aiutare le aziende a gestire l'accesso ai dati e prevenire la perdita degli stessi implementando policy e controlli per proteggere i dati sensibili da accessi non autorizzati, condivisione ed esfiltrazione.

Nelle infrastrutture cloud, DSPM è progettato per aiutare a prevenire le minacce interne rilevando e bloccando i tentativi di trasmettere dati sensibili all'esterno dell'infrastruttura.

Le funzioni sono le seguenti:

Controllo dell'accesso - il DSPM può aiutare a rafforzare i criteri di controllo dell'accesso, assicurando che solo gli utenti autorizzati abbiano accesso ai dati sensibili. Ciò può includere l'implementazione di controlli di accesso basati sui ruoli, autenticazione a più fattori e altri controlli di gestione degli accessi.

Classificazione dei dati - DSPM può aiutare a classificare i dati in base al loro livello di sensibilità e applicare controlli di sicurezza appropriati per proteggerli. Ciò può includere tecnologie di crittografia, mascheramento dei dati e prevenzione della perdita di dati (DLP).

Monitoraggio e registrazione - le soluzioni DSPM possono monitorare e registrare tutti gli accessi e l'utilizzo dei dati, consentendo ai team di sicurezza di rilevare qualsiasi attività sospetta in tempo reale. Ciò può includere il monitoraggio dei modelli di accesso, dei trasferimenti di dati e di altre attività degli utenti.

Supporto della risposta agli incidenti - il DSPM può aiutare le organizzazioni a rispondere agli incidenti di sicurezza in modo rapido ed efficace. Ciò può includere flussi di lavoro di risposta agli incidenti automatizzati, nonché avvisi e notifiche in tempo reale ai team di sicurezza.

5. Condurre Audit Regolari

Prolunga l'efficacia delle politiche di controllo degli accessi attraverso audit regolari. I team di sicurezza possono efficacemente bloccare i comportamenti sospetti sul nascere quando sono in grado di identificare potenziali minacce interne nelle prime fasi.

Gli audit dovrebbero essere condotti su base regolare e coprire tutte le aree dell'infrastruttura cloud, compresi i controlli di accesso, l'attività degli utenti e la trasmissione dei dati.

La pianificazione di audit regolari consente ai team di rilevare sottili anomalie nel comportamento degli utenti e nell'attività dell'infrastruttura cloud come la normale condivisione di file, la copia o l'eliminazione.

Scoprire le lacune e le vulnerabilità della sicurezza che un malintenzionato potrebbe sfruttare è spesso il primo passo per migliorare le politiche e i processi di sicurezza e costruire un ciclo di miglioramento continuo.

In Conclusione

Poiché il cloud computing viene adottato in tutti i principali settori verticali, i leader della sicurezza stanno esaminando il quadro più ampio dei rischi informatici incentrati sul cloud su tutte le possibili superfici di attacco - endpoint, identità e rete - per proteggersi dalle minacce sia esterne che interne.

Poiché la protezione di un'infrastruttura cloud dalle minacce interne richiede un approccio multiforme, i leader si affideranno a soluzioni di sicurezza incentrate sul cloud in grado di combinare la ricerca autonoma delle minacce, il rilevamento degli endpoint e la capacità di risposta e l'intelligenza artificiale o l'analisi machine-powered per supportare tutte le aree del cloud sicurezza.

SentinelOne aiuta i leader aziendali a rafforzare le proprie strategie di difesa del cloud con il controllo degli accessi con privilegi minimi, l'analisi comportamentale, la prevenzione della perdita di dati e la protezione dei carichi di lavoro nel cloud.

Contattaci o richiedi una demo per vedere in che modo Singularity™ for Cloud di SentinelOne sfrutta il machine learning per fornire rilevamento, risposta e ricerca delle minacce su endpoint utente, container, carichi di lavoro cloud e dispositivi IoT.

Invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. In alternativa, puoi compilare il form sottostante con la tua risposta.

cyber security sentinelone insider threat sentinelone insider threat protezione infrastruttura cloud best practice protezione minacce interne