3 approcci comuni alla minaccia insider e come non funzionano

La mitigazione delle minacce interne è una priorità per la maggior parte dei team di sicurezza da diversi anni. Ma più recentemente, si sta facendo strada nella C-suite, in quanto i leader aziendali di alto livello riconoscono che capire come fermare le minacce interne è fondamentale sia per proteggere che per consentire la crescita dell'azienda. Nonostante la maggiore consapevolezza, la spaventosa realtà è che il problema delle minacce interne non sta rallentando. Gli incidenti di minacce interne stanno aumentando e sono sempre più costosi da gestire.

Ogni settimana, un nuovo caso di alto profilo fa notizia, in tutti i settori: Un dipendente diPfizerin partenza ha portato i segreti dei vaccini a un'azienda rivale. Apple è stata impantanata in varie cause per furto di proprietà intellettuale con ex dipendenti, mentre Yahoo ha portato in tribunale un ex dipendente per furto di segreti commerciali. Tesla ha citato in giudizio un altro ex ingegnere per aver rubato del codice prezioso. Infine, l'azienda fintech Block ha subito un'attività maligna da parte di insider che ha portato a una violazione dei dati nella sua filiale Cash App, mettendo l'organizzazione a rischio di non conformità.

Le minacce interne stanno danneggiando le aziende in modo misurabile, con una frequenza sempre maggiore. Quindi, cosa sta facendo la maggior parte dei team di sicurezza? Diamo un'occhiata a tre degli approcci più comuni all'attuale prevenzione delle minacce insider - e a come non funzionano nel mondo reale:

1. Puntare tutto sull'approccio di blocco (DLP)

Naturalmente, la prima risposta a una minaccia è cercare di fermarla. La strategia più comune che i team di sicurezza di oggi adottano è quella di cercare di sfruttare le soluzioni DLPesistenti e di integrarle con CASB e User Entity Behavior Analytics (UEBA), nel tentativo di tracciare in modo granulare - e prevedere - il comportamento potenzialmente dannoso degli insider.

L'essenza della DLP convenzionale consiste nell'identificare un utente che sta facendo qualcosa di ritenuto sbagliato o rischioso e bloccare tale attività. Arriviamo subito al punto: negli ambienti di lavoro del cloud ibrido di oggi, non si può semplicemente guidare con il blocco. Incoraggiamo i dipendenti a trovare modi creativi per aggirare le barriere nel loro lavoro - e anche loro trovano modi creativi per aggirare le regole della DLP. La forza lavoro di oggi si affida a un portachiavi sempre più grande di strumenti non autorizzati, non monitorati e potenzialmente vulnerabili per collaborare in modo produttivo al lavoro, il che significa che ci sono sempre nuovi modi di spostare i dati di cui le regole DLP non tengono conto. 

Gli strumenti di prevenzione convenzionali come la DLP cercano solo ciò che lei dice loro di cercare. In breve, tra la portabilità dei dati e la creatività degli utenti, i team di sicurezza non riescono a pensare a tutto ciò che devono controllare. Quindi, i rischi, compresi il codice sorgente, gli elenchi dei clienti, le roadmap dei prodotti e i piani di ingegneria, possono facilmente sfuggire alle maglie dell'approccio di prevenzione-alone. E poiché gli strumenti DLP non sanno quando sono stati battuti, non è il team di sicurezza ad avvertire l'azienda delle fughe di dati: è il team legale, oppure un titolo di giornale imbarazzante, o ancora un anno dopo, quando un concorrente arriva sul mercato con un prodotto imitativo.

Come se non bastasse, gli strumenti di prevenzione convenzionali non solo non riescono a bloccare ogni azione rischiosa, ma spesso interrompono anche le attività di collaborazione legittime. L'eccesso di compensazione con rigide politiche DLP finisce per soffocare la produttività, la collaborazione e l'innovazione degli utenti - impatti che causano danni all'azienda. A causa del modo in cui la DLP blocca o segnala le azioni senza un contesto completo, spesso finisce per inquadrare un'azione non dannosa di un utente autorizzato come un'azione dannosa di un utente con intenzioni pericolose. Questo non è solo uno spreco di tempo per la sicurezza e per gli utenti, ma è anche un approccio privo di empatia per i dipendenti e può danneggiare in modo significativo la cultura e la fiducia all'interno del luogo di lavoro.

La prevenzione da sola non è sufficiente.

La DLP convenzionale, il CASB e altri strumenti di prevenzione possono svolgere un ruolo nella protezione dei dati regolamentati e strutturati. Ma non possono fermare tutto - e quando un'azione rischiosa sfugge alle maglie, un approccio di sola prevenzione lascia i team di sicurezza alla cieca, incapaci di rilevare, indagare e rispondere prima che il danno sia fatto. Ecco perché il 76% delle organizzazioni subisce ancora una violazione dei dati, nonostante la presenza di una soluzione DLP.

2. Concentrarsi sull'utente invece che sui dati

Quando i team di sicurezza si rendono conto che le rigide politiche DLP non sono in grado di gestire i dati non strutturati in evoluzione e gli utenti dinamici e creativi, si rivolgono a strumenti incentrati sull'utente (ad esempio, UAM, UEBA) per ottenere una visibilità granulare sull'attività degli utenti. Ha senso: sono i suoi utenti a perpetrare il furto di insider; i dati non si rubano da soli.

Il problema è che gli utenti fanno così tante cose ogni single giorno - e il 99% di queste è completamente legittimo e innocuo. Gli strumenti per il comportamento degli utenti cercano di utilizzare l\'intelligenza artificiale per distinguere i comportamenti normali da quelli anormali, il che sembra ottimo in teoria. Tuttavia, in assenza di un contesto completo dell\'attività dell\'utente e di personale qualificato, i team di sicurezza finiscono per essere bombardati da avvisi e da troppo rumore. Anche se identificano correttamente il comportamento normale rispetto a quello anormale, anormale non è sinonimo di rischioso. Quindi, i team di sicurezza sono ancora sovraccaricati di falsi positivi e potrebbero potenzialmente essere distratti dai pericoli sbagliati, mentre le vere fughe di dati sfuggono al controllo.

Ma non si può ignorare l'altro problema principale degli strumenti di monitoraggio degli utenti: la privacy dei dipendenti. L'evoluzione delle normative sulla privacy come il GDPR e il CCA mettono in discussione molte pratiche di monitoraggio degli utenti. Poi ci sono le implicazioni del Grande Fratello. La sorveglianza degli utenti implica un sospetto ingiustificato e danneggia indiscutibilmente la cultura aziendale e del luogo di lavoro, danneggiando la fiducia e la responsabilizzazione dei dipendenti in un momento in cui l'adozione e il sostegno di nuove modalità di lavoro possono fornire un potente vantaggio competitivo per un'azienda. 

Molti lo vedranno come un approccio poco empatico alla sicurezza, potenzialmente in grado di innescare un rapporto conflittuale tra i team di sicurezza, la direzione e gli utenti, mettendo a repentaglio l'elemento più critico di qualsiasi programma contro le minacce interne: il coinvolgimento e l'adesione dei dipendenti.

È un problema di tecnologia, non di persone.

Alla fine dei conti, un approccio solo per l'utente cade a pezzi a causa di una semplice verità: gli strumenti incentrati sull'utente guardano nella direzione sbagliata. Ai team di sicurezza non interessa molto ciò che i dipendenti fanno sul cloud o sul web, bensì dove vanno a finire i dati dell'azienda. Per impostazione predefinita, siamo tutti addetti ai lavori accidentali, che lo si voglia ammettere o meno. Qualcuno ha inconsapevolmente premuto "invia" su quell'e-mail contenente informazioni riservate, qualcuno ha creato un link accessibile pubblicamente su Box, qualcuno ha trasportato i dati a un'altra fonte non attendibile con l'intento di portare a termine il proprio lavoro e, naturalmente, qualcuno è caduto vittima di tecniche avanzate di phishing. 

Gli incidenti accadono e alla base di questi incidenti ci sono le persone. Per troppo tempo abbiamo sbagliato a collocare il problema come un problema di "persone" rispetto a un problema di "tecnologia".

3. Eliminare i dati

Il terzo approccio più comune alla minaccia insider - e una risposta diretta al problema del "troppo rumore" - consiste nell'eliminare o filtrare i dati "non importanti". Ciò richiede il temuto esercizio di classificazione dei dati, doloroso, lungo e costoso. Ma come discusso in precedenza, la realtà è che i team di sicurezza non possono pensare a tutto. In questo caso, è sempre più impossibile tenere conto di tutti i suoi dati preziosi e vulnerabili in tempo reale. Questo perché i dati non strutturati non sono statici: si evolvono, si muovono, vengono condivisi e iterati come parte della moderna cultura della collaborazione. E il valore e la vulnerabilità cambiano al variare dei dati.

Certo, un'azienda potrebbe cercare di tenere conto della natura dinamica dei suoi dati con una classificazione regolare dei dati. Ma la maggior parte dei leader della sicurezza si spaventano di fronte ai tempi e ai costi di un solo esercizio di classificazione dei dati. Inoltre, a prescindere dalla recente classificazione dei suoi dati, la natura dinamica dei suoi preziosi dati non strutturati le lascia la netta possibilità che qualcosa che ha ignorato come "non importante" finisca per diventare incredibilmente prezioso per la sua azienda. 

Troppo spesso, la prima volta che il team di sicurezza si accorge della svista è quando scopre che sono stati sottratti dati preziosi e trascurati. A quel punto, è troppo tardi: sono stati colti alla sprovvista dalla minaccia insider. La dura verità: le minacce ai dati guidate dai dipendenti hanno superato i programmi, le politiche e gli strumenti in vigore oggi.

In definitiva, è tutta una questione di contesto

La cultura della collaborazione è alimentata dalla rapida evoluzione dei dati non strutturati. Le aziende non possono più distinguere tra dati "importanti" e "non importanti". Devono catturare e monitorare tutti i dati per rilevare quando e come i file di valore si spostano in luoghi in cui non dovrebbero, tra endpoint e cloud, senza interruzioni e con molte messe a punto. Inoltre, considerando che abbiamo raggiunto un'era di archiviazione veramente illimitata, la logica che sta dietro l'abbattimento della classificazione dei dati è ormai fallace. La velocità di indagine e di risposta è la stessa, se non più veloce, quindi perché filtrare quelli che potrebbero diventare prove di dati critici in un secondo momento? 

Ma quando si raccolgono così tanti dati, sapere quali file sono andati dove, quando e da chi sono stati catalizzati è essenziale. Il contesto dovrebbe estendersi alla conoscenza dell'organizzazione, come ad esempio "quando si prevede che gli utenti lavorino" in base al reparto e "quali tipi di file sono considerati importanti dai manager di linea?". Le risposte a queste domande rientrano nell'ambito del "contesto" che i team di sicurezza devono avere per poter prevenire le minacce interne.

È necessario trattare i singoli utenti e le organizzazioni in modo diverso, in base al loro ruolo lavorativo. Per esempio, se un venditore venisse penalizzato per aver caricato una presentazione su Dropbox di un potenziale cliente, ciò limiterebbe la sua capacità di svolgere il proprio lavoro. Tuttavia, se improvvisamente iniziassero a caricare una marea di file su GitHub o mega.co, potrebbe esserci un problema.

Gestire l'inevitabile minaccia insider

Le aziende di ogni settore oggi si sforzano di raggiungere il tipo di cultura dinamica, agile e flessibile che incoraggia, abilita e potenzia nuovi modi di lavorare e sblocca una potente innovazione. In questo ambiente, è un errore considerare la crescente minaccia insider come un problema che può essere completamente eliminato. In effetti, la minaccia insider è un sottoprodotto naturale di una cultura di collaborazione di successo. Si tratta di una minaccia seria per l'azienda, che deve essere monitorata e mitigata in modo proattivo e diligente.

La prevenzione è senza dubbio il primo passo di un programma di prevenzione delle minacce interne. Senza una forma di barriera attorno ai suoi dati preziosi e vulnerabili, la sua organizzazione è completamente esposta agli attacchi - dall'interno o dall'esterno. Ma la prevenzione da sola non è sufficiente e il blocco prioritario è un approccio troppo rigido, che lascia un'enorme lacuna nello stack della sicurezza.

Avete bisogno di un rilevamento e di una risposta alle minacce interne costruiti ad hoc.

I team di sicurezza del XXI secolo hanno bisogno di una soluzione che li aiuti a stabilire facilmente le priorità tra gli errori a basso rischio e le minacce reali, in modo rapido e preciso. Devono essere in grado di prevenire la perdita di dati e di correggere i comportamenti, senza sottrarre tempo alla sicurezza e alla produttività degli utenti. E poiché il rischio non sta rallentando, non avete tempo per un roll-out lungo e complicato. Ha bisogno di uno strumento che si installa in pochi giorni - e che le dia la visibilità di cui ha bisogno in pochi secondi.

Cosa le serve per risolvere il problema

Oltre ad avere la visibilità per monitorare dove si muovono i dati non strutturati e la capacità di dare priorità contestuale alle minacce, i team di sicurezza devono anche essere in grado di affrontare la causa principale delle minacce interne: i dipendenti stessi. Le soluzioni moderne come Mimecast Incydr si distinguono da quelle convenzionali perché offrono ai team di sicurezza un'ampia gamma di risposte azionabili e adeguate alla gravità del rischio. Un piano ideale di rilevamento dei rischi e di risposta dovrebbe:

• Stabilire politiche di utilizzo adeguate, piani di comunicazione, procedure di escalation e di gestione degli incidenti e processi di documentazione.
• Affrontare, correggere e modificare il comportamento degli utenti attraverso lezioni appropriate e reattive sulle migliori pratiche di sicurezza. 
• Contenere le minacce e imporre la prevenzione di ulteriori azioni rischiose da parte degli utenti tramite i controlli di accesso degli utenti, le procedure di quarantena e i protocolli di sicurezza.

Queste risposte dovrebbero in ultima analisi concentrarsi sull'educazionemirata ed empatica degli utenti, informandoli sull'impatto a lungo termine delle loro azioni immediate, mentre i team di sicurezza si concentrano sulla determinazione dell'entità di qualsiasi violazione e sulla chiusura di ulteriori lacune nella sicurezza.

Trattare i dipendenti come preziosi stakeholder della sicurezza organizzativa - piuttosto che come potenziali minacce da sottoporre a un microscopio - non è solo un approccio più empatico alla gestione del rischio di minaccia insider. È anche un modo proattivo per i team di sicurezza di tagliare il rumore - riducendo la probabilità di azioni accidentali da parte degli utenti - in modo da poter dare priorità alle risorse e all'energia per identificare e rispondere alle vere minacce interne che si nascondono nell'ambiente di dati in continua evoluzione e crescita della sua organizzazione.