Le minacce interne non sono una novità e, anzi, stanno assumendo sempre maggiore rilevanza parlando di sicurezza informatica nell’attuale contesto di massiccio ricorso al lavoro ibrido.
Si stima che gli attacchi interni costino alle aziende circa 11,45 milioni di dollari all’anno e, mentre molte organizzazioni si stanno progressivamente rendendo conto della minaccia rappresentata dagli insider, la modalità in cui oggi molti di noi lavorano rende la prevenzione ancora più difficile.
Negli ultimi anni, questa tipologia di incidenti insider è aumentata con grande rapidità, crescendo quasi del 50% tra il 2018 e il 2020.
La conseguente dipendenza dal cloud, il cambiamento di orari di lavoro e comportamenti, nonché la mancanza di visibilità da parte dell’IT, rendono le minacce interne, siano esse dovute a dolo o negligenza, ancora più ostiche da contrastare. Forrester ha stimato che nel 2021 un terzo di tutti i cyberattacchi mondiali registrati saranno guidati da insider, rispetto al 25% attuale. E, in questo scenario, la necessità di una soluzione completa di Insider Threat Management (ITM) è indiscutibile.
Ora più che mai, le organizzazioni devono implementare robusti programmi di Insider Threat Management ITM, combinando strumenti, tecnologia, processi e, forse l’elemento più importante, le persone.
Indice degli argomenti
Sicurezza e lavoro ibrido: conoscere le minacce interne
Le minacce interne – intenzionali o meno – non possono essere completamente evitate. Questo non significa, tuttavia, che le aziende debbano accettare questi costi. Adottando un approccio proattivo, con strumenti e formazione efficaci dal punto di vista dei costi, è possibile ridurre al minimo gli incidenti e controllare i costi.
Si profila così la necessità di un approccio diverso, costruito su un mix personalizzato di strumenti, strategie e formazione della consapevolezza – elementi ancora trascurati da un numero preoccupante di organizzazioni.
Le insider threat si presentano sotto molte forme, da chi cerca intenzionalmente di danneggiare l’organizzazione a chi agisce per errore, fino ad altri che non sono affatto “insider”. Come per le minacce esterne, le tattiche e le motivazioni degli aggressori sono diverse.
A differenza degli attacchi dall’esterno, gli aggressori non hanno bisogno di violare le difese, e molti non sono affatto consapevoli di essere una minaccia – il che li rende difficili da profilare, individuare e contrastare.
Le tipologie di minacce interne
Le minacce più comuni sono dettate dalla negligenza e rappresentano quasi due terzi di tutti gli incidenti: si verificano quando un utente permette involontariamente a un malintenzionato di accedere a dati e sistemi, cliccando su un link pericoloso, usando in modo improprio la password o esponendo accidentalmente dati sensibili.
Anche se meno comuni, le minacce dolose sono spesso più dannose – costando in media 755.760 dollari per incidente rispetto ai 307.111 dollari dei casi di negligenza. Queste minacce possono trovare origine in dipendenti in cerca di vendetta, guadagno finanziario o da criminali informatici che ne hanno compromesso gli account legittimi per entrare in rete.
Il terzo tipo di insider threat è rappresentato dai casi di compromissione degli account, con un costo medio di 871.686 dollari per incidente. Risultano la tipologia più costosa di minaccia insider e si verificano nel momento in cui un impostore o un ladro di credenziali prende di mira le credenziali di accesso di un utente per ottenere l’accesso non autorizzato ad applicazioni e sistemi.
In ogni caso, individuare e difendersi dalle minacce interne è notoriamente complesso: se insider negligenti e privi di intenzioni malevole possono mostrare pochi segnali di avvertimento, chi attacca in modo organizzato e con dolo farà di tutto per coprire le sue tracce ed evitare di destare sospetti.
Se aggiungiamo a questo quadro un modo relativamente nuovo di lavorare, che può generare insicurezza presso i dipendenti, una forza lavoro sempre più distribuita e il forte incremento del numero dei punti di attacco potenziale, ecco che la sfida che i team di cybersecurity devono affrontare diventa ancor più evidente.
Il lavoro ibrido e l’aumento del rischio
Gli ambienti ibridi non solo aumentano il rischio di minacce interne, ma senza un programma di Insider Threat Management (ITM) completo in atto, le rendono anche molto più difficili da rilevare.
I team di cyber security stanno ancora apprendendo la telemetria dei loro log, con gli utenti che accedono alle reti da vari luoghi e dispositivi, anche in momenti in precedenza considerati insoliti.
Il moltiplicarsi dei punti di accesso aumenta notevolmente la potenziale superficie di attacco delle organizzazioni. C’è, inoltre, l’impatto sociale e psicologico, dal momento che, fuori dall’ufficio, gli utenti possono essere più inclini a non seguire le best practice per portare a termine le proprie attività, usando dispositivi personali per comodità o aziendali per scopi personali, annotando le password in qualche luogo o ancora accedendo impropriamente a sistemi e dati.
Lavorare fuori dall’ufficio porta con sé anche un’inevitabile quantità di distrazioni, dalle faccende quotidiane alle comodità di casa, che possono rendere gli utenti più inclini a semplici ma costosi errori. Chi invece è malintenzionato ha la sensazione di poter operare più liberamente al di fuori dell’atmosfera aziendale.
Gli ambienti di lavoro ibridi a lungo termine rappresentano una nuova sfida per i CISO italiani, con il 58% che concorda sul fatto che il lavoro remoto abbia reso la loro organizzazione più vulnerabile ai cyber attacchi mirati, con tre manager su cinque che sostengono di aver osservato un aumento degli attacchi mirati negli ultimi 12 mesi.
Di fronte a un panorama di attacchi incessanti, la preoccupazione è evidente, tanto che il 64% dei CISO italiani percepisce il rischio di subire un cyber attacco materiale nei prossimi 12 mesi.
Per quanto riguarda la tipologia di rischio che si aspettano di affrontare, le risposte hanno incluso diverse minacce, che vedono sul podio: Business Email Compromise (34%), Cloud Account Compromise (Office365 o G suite compromessi, 33%) e minacce interne (31%).
Inoltre, per il 58% dei CISO globali l’errore umano è ancora la maggiore vulnerabilità IT della loro organizzazione e hanno indicato la perdita di dati intenzionale (attacco insider) e l’apertura di link pericolosi o il download di file compromessi come i modi più probabili in cui i dipendenti mettono a rischio l’azienda.
Se rilevare e scoraggiare efficacemente le minacce interne nell’ambiente di lavoro moderno può essere difficile, non è per forza impossibile.
Conclusioni
Quando si tratta di prevenire le minacce interne, la maggior parte delle aziende opta per una combinazione di consapevolezza della formazione degli utenti, prevenzione della perdita di dati e analisi del comportamento degli utenti per educare e preparare il personale.
Sia la formazione che l’analisi del comportamento degli utenti sono altamente efficaci dal punto di vista dei costi e un programma di Insider Threat Management (ITM) completo, focalizzato sulle persone, che combini controlli, processi e persone, iniziando con la definizione di un monitoraggio dedicato alle minacce interne per controllare e indagare sulle attività sospette è la chiave.
Inoltre, bisognerà sviluppare e distribuire chiare best practice per il lavoro ibrido, che includano l’accesso a sistemi e reti, i privilegi degli utenti, l’igiene delle password, le applicazioni non autorizzate, il BYOD, la protezione dei dati e altro ancora.
