Attacchi interni e minacce interne alla cybersecurity spiegati
Le organizzazioni di solito si concentrano sulle minacce informatiche che sono di origine esterna. Queste includono l’anti-malware, i firewall esterni, la mitigazione degli attacchi DDoS, la prevenzione esterna della perdita di dati e la lista continua. È fantastico, gli attacchi informatici esterni sono molto comuni, quindi è vitale proteggere le reti da accessi non autorizzati e penetrazioni maligne. Internet e l’accesso fisico non autorizzato alle vostre strutture saranno sempre dei rischi e devono essere monitorati e gestiti. Ma è facile perdere di vista una superficie di attacco informatico spesso trascurata, ed è quella all’interno. Gli attacchi informatici interni sono più comuni di quanto molti pensino, e ignorare questa realtà sarebbe a vostro rischio e pericolo. Ecco perché dovreste essere preparati alle minacce informatiche interne e cosa potete fare al riguardo.
L’impatto e l’importanza degli attacchi interni
Le minacce interne alla vostra rete coinvolgono tipicamente persone che lavorano come dipendenti o collaboratori della vostra azienda. Appartengono alle vostre strutture e spesso hanno account utente nelle vostre reti. Conoscono cose della vostra organizzazione che gli esterni di solito non conoscono: il nome del vostro amministratore di rete, quali applicazioni specifiche utilizzate, che tipo di configurazione di rete avete, con quali fornitori lavorate. I cyber-attaccanti esterni di solito hanno bisogno di prendere le impronte digitali della vostra rete, ricercare informazioni sulla vostra organizzazione, ingegnare socialmente i dati sensibili dei vostri dipendenti, acquisire l’accesso malevolo a qualsiasi account utente, anche quelli con il minor numero di privilegi. Quindi gli attaccanti interni hanno già dei vantaggi che gli attaccanti esterni non hanno.
Inoltre, alcune minacce interne non provengono da attori maligni. Alcune minacce interne sono puramente accidentali. Forse un dipendente lascerà accidentalmente una chiavetta USB piena di documenti sensibili nel bagno di un ristorante, o cliccherà su un collegamento ipertestuale dannoso che introduce malware web nella vostra rete. Secondo lo studio di Ponemon Institute dell’aprile 2018 Cost of Insider Threats, gli incidenti di insider threat costano alle 159 organizzazioni che hanno esaminato una media di 8,76 milioni di dollari in un anno. Le minacce insider dannose sono più costose delle minacce insider accidentali. Gli incidenti causati da dipendenti o appaltatori negligenti costano in media 283.281 dollari ciascuno, mentre il furto malevolo di credenziali degli insider costa in media 648.845 dollari per incidente. Ma la linea di fondo è che tutti questi incidenti sono molto costosi e devono essere prevenuti.
Confronto insider vs. outsider minacce e attacchi di cybersecurity
Quindi le minacce insider possono essere molto più pericolose delle minacce outsider. Per quanto riguarda gli attaccanti malintenzionati, gli insider hanno già accesso autorizzato ai vostri edifici e agli account utente. Un attaccante esterno deve lavorare per trovare un vettore di attacco esterno nelle vostre reti e strutture fisiche. Questi sono passi che gli attaccanti interni di solito possono saltare. È molto più facile fare un’escalation di privilegi da un account utente che hai già, piuttosto che entrare in qualsiasi account utente in primo luogo. Una guardia di sicurezza scruterà un individuo non familiare, mentre saluterà con la mano un dipendente conosciuto.
Lo stesso vale per gli incidenti accidentali. Non conosco alcuna informazione sensibile sulle aziende per cui non ho mai lavorato. Un dipendente attuale o ex dipendente spesso lo sa, e può essere socialmente ingegnerizzato da loro.
A causa dell’accesso privilegiato che gli insider hanno già, possono essere molto più difficili da rilevare e fermare rispetto alle minacce esterne. Quando un dipendente lavora con dati sensibili, è molto difficile sapere se sta facendo qualcosa di dannoso o meno. Se un insider si comporta maliziosamente all’interno della vostra rete, può affermare che si è trattato di un errore onesto e quindi può essere difficile dimostrare la colpevolezza. Le minacce interne possono essere molto più difficili da contenere rispetto alle minacce esterne. Secondo lo studio 2018 Cost of Insider Threats del Ponemon Institute, ci sono voluti in media 73 giorni per contenere gli incidenti insider. Solo il 16% degli incidenti insider sono stati contenuti in meno di 30 giorni. Anche se una minaccia alla tua rete durasse 20 giorni, immagina quanto danno potrebbe essere fatto in quel tempo.
Lockheed Martin ha sviluppato il framework Cyber Kill Chain come modello per identificare e prevenire le intrusioni informatiche. È un sistema eccellente, ma è meglio orientato a determinare le minacce esterne. Fortunatamente abbiamo adattato un modo di implementare la Cyber Kill Chain dalla prospettiva delle minacce interne. Controlla!
Servizio di simulazione avanzata
Consente ai clienti di testare le loro operazioni di sicurezza e le loro capacità di rilevamento contro tecniche avanzate di penetrazione.
Per saperne di più
Indicatori di minacce insider da tenere d’occhio
Perché le minacce insider possono essere molto più difficili da individuare e contenere, è fondamentale sapere a quali indicatori bisogna prestare attenzione.
I dipendenti scontenti a volte diventano malintenzionati insider.
I più pericolosi sono quelli che hanno ricevuto un avviso di licenziamento. Possono decidere che non hanno niente da perdere perché non sono più preoccupati di essere licenziati. A seconda della natura della vostra organizzazione e del lavoro che fate, potrebbe essere una buona idea per loro smettere di lavorare per la vostra azienda nel momento in cui sanno di essere stati licenziati. Fatevi dare tutte le chiavi fisiche che potrebbero avere e disabilitate subito i loro account utente. Alla fine potrebbe costare alla vostra organizzazione meno soldi per dare al vostro dipendente licenziato la sua liquidazione piuttosto che pagarlo per lavorare qualche settimana in più. Ma se devono lavorare per un po’ di tempo dopo essere stati licenziati, guardateli con particolare attenzione.
Anche i dipendenti scontenti che non sono destinati ad essere licenziati possono rappresentare una minaccia. I segni di dipendenti scontenti che possono diventare malintenzionati includono quelli che hanno frequenti conflitti con i supervisori e i colleghi, e quelli che dimostrano un declino delle prestazioni e un ritardo generale. Le visite a siti web con annunci di lavoro sono un’altra chiara indicazione di un dipendente scontento.
Interessante, un altro tipo di indicazione di un dipendente o di un appaltatore che potrebbe essere un insider maligno è quando sembrano insolitamente entusiasti del loro lavoro. Possono offrirsi come volontari per più lavoro o compiti aggiuntivi non perché vogliono un aumento, ma perché vogliono espandere il loro accesso ai dati sensibili. Sì, lavoro all’helpdesk ma ho molta esperienza nella gestione delle reti! Posso sostituire l’amministratore di rete quando si prende del tempo libero!
I viaggi frequenti in altre città o paesi possono essere un segno di spionaggio industriale. Potrebbero condividere informazioni sensibili e proprietarie con un’altra azienda.
Un altro importante indicatore di attori della minaccia insider sono i dipendenti o il personale che hanno avuto cambiamenti significativi e inspiegabili nella loro situazione finanziaria. Perché quel dipendente che guadagna 40.000 dollari all’anno guida una Bentley all’improvviso? Oppure gli indicatori potrebbero essere molto più sottili di così. In entrambi i casi, il denaro extra potrebbe provenire dallo spionaggio industriale, dal malware di criptovaluta o dal furto di denaro dai conti aziendali.
Insider attacks in the cloud
Sempre più organizzazioni hanno implementato reti cloud. Possono essere più economiche da gestire e consentono alla rete di espandersi senza dover acquisire locali più grandi, inoltre sono molto più scalabili delle reti on-premises. Ma le reti cloud pongono sfide uniche alle minacce interne.
Secondo il comunicato primaverile Threatbusters: Bitglass’ 2019 Insider Threat Report, il 41% degli intervistati afferma che le risorse migrate nel cloud non sono monitorate per attività anomale. Questo rende gli attacchi insider nel cloud più difficili da rilevare. La vostra organizzazione di solito non ha accesso fisico alle reti in cloud e potrebbe essere necessario un po’ di tempo per acquisire familiarità con l’implementazione dei controlli di sicurezza del vostro fornitore di cloud. Quindi è facile capire perché.
Il vostro ambiente in-the-cloud si interfaccia con tutti i vostri stack di infrastrutture e applicazioni, quindi è molto importante osservare eventuali minacce interne che possono esistere lì.
Al fine di aiutare a prevenire le minacce interne al vostro cloud, è necessario assicurarsi che sia configurato correttamente per una sicurezza ottimale. Le zone di atterraggio Secure-by-default possono prevenire l’apertura di nuove superfici di attacco negli ambienti di sviluppo, staging e produzione. È inoltre necessario implementare una gestione dell’accesso all’identità che sia adatta al cloud. Il principio del minimo privilegio può anche essere utile per proteggere le reti in cloud come lo è per le reti on-premises. Nessun utente dovrebbe avere più privilegi di quelli di cui ha assolutamente bisogno per svolgere il proprio lavoro.
Conclusione: Non sottovalutate l’importanza delle minacce interne
È chiaro che le minacce e gli attacchi interni sono un problema significativo per le reti della vostra organizzazione, indipendentemente dal vostro settore o dalle configurazioni di rete. Una formazione adeguata e frequente è la chiave per mitigare le minacce interne. Le persone nella vostra azienda dovrebbero conoscere le indicazioni delle minacce interne e fare attenzione ad esse. Per aiutare a prevenire le minacce accidentali, gli utenti dovrebbero essere addestrati ad essere resistenti all’ingegneria sociale e ad essere molto attenti a come gestiscono i dati sensibili. Le persone imparano meglio quando la formazione è frequente e coerente. Pertanto le sessioni di formazione dovrebbero avere luogo almeno due o tre volte all’anno, piuttosto che una sola volta.
La consapevolezza e la vigilanza sono della massima importanza. Le organizzazioni spesso sottovalutano il rischio di minacce interne. La conoscenza è potere!