Rilevare e reagire all'accesso non autorizzato

Il modo più semplice di pensare alla sicurezza dei dati si riduce al controllo degli accessi e degli accessi non autorizzati. Sotto forma di accesso non autorizzato ai dati o di accesso non autorizzato a una rete di computer, è l'archetipo del rischio di sicurezza dei dati. Sebbene sia un'idea semplice, la sfida consiste nel definire cosa costituisce un accesso non autorizzato, come prevenirlo e come rilevare e rispondere all'accesso non autorizzato quando inevitabilmente si verifica.

Che cos'è l'accesso non autorizzato? Definizione e approfondimenti chiave

L'accesso non autorizzato comprende ogni volta che un individuo - un attore interno o esterno - accede a dati, reti, endpoint, applicazioni o dispositivi senza autorizzazione. Esistono diverse cause o scenari comuni di accesso non autorizzato ai dati e alle reti informatiche: dalle password deboli che vengono facilmente indovinate o violate, agli schemi sofisticati di ingegneria sociale come il phishing che ingannano gli utenti autorizzati per esporre le credenziali, agli account compromessi che sono stati violati e presi in consegna da attori illegittimi.

Quali sono i rischi di un accesso non autorizzato ai dati?

Una volta che un individuo ha ottenuto un accesso non autorizzato ai dati o alle reti informatiche, può causare danni all'organizzazione in diversi modi. Possono rubare direttamente file, dati o altre informazioni. Possono sfruttare l'accesso non autorizzato per compromettere ulteriormente i conti. Possono distruggere informazioni o sabotare sistemi e reti. Tutti questi scenari comportano rischi intrinseci, costi e potenziali multe per l'azienda - ma il danno a lungo termine di un accesso non autorizzato può continuare in modo insidioso sotto forma di reputazione e fiducia danneggiate, nonché di impatti continui sui ricavi.

5 strategie per prevenire gli accessi non autorizzati

1. Adottare il Principio del Minimo Privilegio (POLP).

Un rapporto del 2020 ha rilevato che la metà delle organizzazioni ha utenti con privilegi di accesso superiori a quelli necessari per svolgere il proprio lavoro. L'approccio POLP mira a verificare regolarmente i privilegi di accesso degli utenti interni per garantire il livello minimo necessario di accesso ai dati, ai sistemi, alle reti e ai dispositivi, affinché l'individuo possa svolgere le responsabilità fondamentali del suo ruolo. Una chiave è concentrarsi sull'idea delle "responsabilità principali"; l'accesso temporaneo può essere concesso in casi eccezionali, mantenendo comunque l'accesso meno privilegiato per il lavoro quotidiano.

2. Metta in atto una politica di password forte

Le password forti sono una delle migliori protezioni contro gli accessi non autorizzati. Ciò significa sviluppare e applicare una politica di password forti che richiede a tutti gli utenti di seguire le best practice stabilite per la creazione - e la modifica regolare - di password forti, oltre a garantire che le password non vengano riutilizzate tra i dispositivi, le app o altri account. Uno dei modi più semplici per aiutare i suoi utenti a mantenere password forti è quello di utilizzare un password manager in grado di generare (e ricordare) password con una complessità e una casualità molto più profonde di quelle che un essere umano potrebbe mai generare.

3. Utilizzi l'autenticazione a più fattori (MFA).

L'accesso non autorizzato spesso deriva da una single password o credenziale compromessa. Ma se l'individuo ha solo indovinato, hackerato o comunque ottenuto illegalmente la password, l' autenticazione a più fattori può facilmente bloccare l'accesso non autorizzato. L'attore illegittimo non avrà certamente accesso alla forma secondaria (o terziaria) di verifica dell'identità (come un codice di accesso unico inviato al dispositivo mobile dell'utente legittimo). 

4. Mantenga aggiornate le patch di sicurezza

Gli attori esterni spesso ottengono un accesso non autorizzato attraverso vulnerabilità note. Fortunatamente, ciò significa che queste intrusioni possono essere bloccate semplicemente assicurandosi di aggiornare regolarmente tutti i software, di mantenere le patch di sicurezza aggiornate e di impostare gli aggiornamenti di sicurezza in automatico, quando possibile.

5. Non dimentichi la sicurezza fisica

Sebbene la maggior parte degli accessi non autorizzati avvenga in senso digitale - l'attore non autorizzato utilizza una credenziale compromessa per accedere ai dati o alle reti informatiche dal proprio dispositivo - lasicurezza fisicasul posto di lavoro è comunque essenziale. Che si tratti di un attore interno malintenzionato o di un attore esterno che visita il suo posto di lavoro, lasciare i dispositivi sbloccati o le password scritte ben visibili è una ricetta facile per un accesso non autorizzato.

Come rilevare un accesso non autorizzato

La prevenzione è la prima difesa contro gli accessi non autorizzati. Ma quando questi incidenti si verificano, il tempo è fondamentale per mitigare i danni. Quanto più immediatamente è in grado di rilevare un accesso non autorizzato - e quanto più efficientemente è in grado di indagare sull'incidente - tanto più velocemente potrà rispondere efficacemente per bloccare l'accesso, escludere l'attore illegittimo e riprendere il controllo dei suoi dati, sistemi e reti.

Esistono molte tecnologie di sicurezza convenzionali, come DLP e CASB, che promettono di avvisare i team di sicurezza in caso di accesso non autorizzato ai dati o di accesso non autorizzato a una rete informatica. Sfortunatamente, ci sono tre grandi problemi che gli strumenti di sicurezza convenzionali in genere affrontano con difficoltà:

Grande problema n. 1: la maggior parte degli accessi non autorizzati proviene da persone interne.

Chiamare gli incidenti di accesso non autorizzato "intrusioni" è un termine comunemente sbagliato. Questo perché circa due terzi delle violazioni di dati derivano da persone interne. Si tratta di dipendenti, terze parti come i partner fornitori e altri attori interni che hanno già privilegi di accesso significativi all'interno della sua organizzazione. Quindi, non è semplice cercare la bandiera rossa di un attore esterno che non si riconosce.

Grande problema n. 2: molti accessi non autorizzati non vengono forzati

"Ottenere l'accesso senza permesso" ha a che fare con l'hacking o l'intrusione in un sistema o in una rete. Nella maggior parte dei casi, non è così difficile: I file e le informazioni non sono protetti in modo adeguato, sia che ciò significhi non proteggere affatto le informazioni per gli utenti interni o non seguire il principio del minimo privilegio. E anche la parte "senza permesso" della definizione di accesso non autorizzato è ambigua: Se non è protetto o se un dipendente può accedere ai dati o alla rete, deve chiedere un permesso specifico? Gli strumenti di sicurezza convenzionali basati su policy hanno difficoltà a gestire questo tipo di accesso non autorizzato, perché gli utenti interni non violano alcuna regola che farebbe scattare gli avvisi. Ma a prescindere dalle intenzioni, il rischio è sempre presente.

Grande problema #3: un numero sempre maggiore di dati non dispone di autorizzazioni predefinite

Nella tipica azienda dell'"economia della conoscenza", il "lavoro" che i dipendenti svolgono ogni giorno assume la forma di file e dati che creano, condividono e su cui si confrontano tutto il giorno. Questi dati non strutturati vivono sugli endpoint, nello storage cloud e nelle app di sincronizzazione e condivisione come Box o Google Drive, negli allegati delle e-mail, nelle chat di Slack e altro ancora. L'accesso illegittimo a questi dati potrebbe non essere tecnicamente "non autorizzato", perché i dati vengono creati ed evolvono troppo rapidamente per essere ufficialmente classificati come sensibili, protetti o di alto valore. Ma quando questi file si trasformano in informazioni più definitivamente preziose o sensibili, i team di sicurezza devono essere in grado di monitorare (e rintracciare) chi ha avuto accesso a cosa, quando e attraverso quali canali.

Tutti i dati sono importanti - si concentri sui segnali di rischio

Con l'aumento della complessità dei dati, dei sistemi e delle reti nell'azienda moderna, la prevenzione, il rilevamento e la risposta agli accessi non autorizzati richiedono un cambiamento di mentalità: Tutti i dati sono importanti. I team di sicurezza devono avere una visibilità continua su tutti i dati e le attività dei file, attraverso tutti gli utenti e i dispositivi, dentro e fuori la rete.

Questa base di visibilità dei dati consentirà ai team di sicurezza di sintonizzare il rumore dell'attività quotidiana e di identificare un segnale di rischio ad alta fedeltà che potrebbe indicare un accesso non autorizzato non facilmente segnalato o bloccato dagli strumenti di sicurezza convenzionali. Questi segnali di rischio rientrano in alcune categorie principali - attività al di fuori dell'orario di lavoro, attività di dipendenti in partenza, attività di file ad alto volume o attività di file ad alto valore - ma tutto si riduce a un'idea: Gli utenti accedono a sistemi, file o informazioni che di solito non fanno.

Adottare un approccio di dimensioni adeguate alla risposta agli accessi non autorizzati

Non esiste un approccio unico alla risposta agli incidenti in caso di accesso non autorizzato. La risposta dipende da ciò a cui si è avuto accesso, da chi vi ha avuto accesso e da ciò che è successo dopo. La chiave per mitigare i danni è garantire che il suo team di sicurezza possa ottenere risposte rapide a queste domande critiche. Questa stessa base di visibilità completa su tutte le attività degli utenti, dei file e dei dati è la base per accelerare le indagini sugli incidenti, fornendo ai team di sicurezza informazioni contestuali per rispondere a queste domande centrali e fornendo loro le prove forensi per collaborare con le risorse umane, gli uffici legali e l'IT per rispondere in modo rapido ed efficace.

Per saperne di più su come Mimecast Incydr può aiutarla a rilevare e rispondere agli accessi non autorizzati a dati, dispositivi, sistemi e reti della sua organizzazione.