Minaccia insider vs. rischio insider: cosa sta cercando di risolvere?

Le parole sono importanti, soprattutto nell'utopia delle parole d'ordine che è il marketing della sicurezza informatica. Aggiungiamo un altro termine a un elenco in continua crescita: il rischio insider. Sebbene il rischio insider e la minaccia insider siano spesso considerati sinonimi, in realtà c'è una differenza. E la differenza sta proprio nel problema che si sta cercando di risolvere. Ecco la mia opinione.

La minaccia insider è un "problema degli utenti".

Probabilmente la definizione più rispettata è stata scritta (e aggiornata nel 2017) dal CERT Insider Threat Center di Carnegie Mellon:

"Minaccia Insider - la possibilità che un individuo che ha o ha avuto accesso autorizzato alle risorse di un'organizzazione utilizzi il suo accesso, sia in modo malizioso che involontario, per agire in un modo che potrebbe influire negativamente sull'organizzazione".

Secondo il CERT, la minaccia insider riguarda l'individuo, la persona, il dipendente, l'utente. Ogni possibile azione dell'utente che può causare danni all'organizzazione è coperta. Ciò include frode, furto di proprietà intellettuale, sabotaggio, spionaggio, violenza sul posto di lavoro, social engineering, divulgazione accidentale e perdita o smaltimento accidentale di apparecchiature o documenti. 

Data questa definizione user-centrica ampiamente accettata, gli acquirenti di sicurezza spesso si rivolgono a strumenti user-centrici - come l'analisi del comportamento dell'utente (UBA), l'analisi del comportamento dell'utente e dell'entità (UEBA) o il monitoraggio dell'attività dell'utente (UAM). Strumenti come questi raccolgono e analizzano montagne di metadati dell'attività dell'utente che vengono riversati in un SIEM, correlati con altri dati e automatizzati attraverso un SOAR. Voilà: il problema delle minacce interne è risolto. 

Se solo fosse così semplice. La verità è che il comportamento degli utenti e gli strumenti di monitoraggio sono solo un pezzo del puzzle. Affidarsi esclusivamente agli strumenti UBA, UEBA o UAM può farle fare delle congetture su cosa, intendo dire chi, è una minaccia reale. 

Il rischio insider è un "problema di dati".

Il rischio insider è un gioco diverso. Quando si tratta di gestire o mitigare il rischio insider, l'attenzione si sposta dal concentrarsi esclusivamente sull'utente, all'adottare un approccio più ampio e olistico alla comprensione del rischio dei dati. Nessun organismo di standardizzazione, che io sappia (a meno che non consideri Microsoft un "organismo di standardizzazione"), ha definito il rischio insider. Quindi, abbiamo creato una definizione (breve e dolce):

"Il rischio insider si verifica quando l'esposizione dei dati mette a rischio il benessere di un'azienda e dei suoi dipendenti, clienti o partner."

Le parole chiave sono "esposizione dei dati". La minaccia interna è un problema degli utenti. Il rischio insider è un problema di dati. In Code42, risolviamo entrambi i problemi, ma il nostro approccio si concentra sui rischi di esposizione dei dati. Ad esempio, la console del nostro prodotto si chiama "Risk Exposure Dashboard" e il nostro rapporto di ricerca annuale si intitola "Data Exposure Report". La differenza fondamentale tra gli strumenti di insider threat incentrati sull'utente (UBA, UEBA, UAM) e una soluzione di insider risk come la nostra è che questi strumenti adottano un approccio basato sulle policy, mentre noi adottiamo un approccio matematico. Il nostro approccio tiene conto di tutti i lati dell'equazione:

File + Vettore + Utente = Rischio

• Esaminiamo tutti i dati (non solo quelli classificati).
• Prendiamo in considerazione il dettaglio vettoriale (endpoint, cloud, e-mail, domini affidabili e non, aziendali e personali).
• Consideriamo tutti gli utenti (non solo quelli con accesso privilegiato attuale o passato).

Quando si prendono in considerazione tutte e tre le variabili dell'equazione, si ottiene un segnale di rischio insider che è - oserei dire - reale. Ecco un esempio: 

Gli indicatori del rischio insider derivante dall'esposizione dei dati sono più forti quando si tiene conto dei dati, del vettore e dell'attività del file utente (contesto della minaccia). Ci sono decine di casi d'uso del rischio insider come quello sopra descritto che passano completamente sotto il radar della maggior parte degli strumenti di sicurezza, da qui la ragione di affrontare il rischio insider in modo olistico:

• Lo strumento, per regola, guarda i dati etichettati o taggati (ad es. DLP)
• Lo strumento, in base alle regole, osserva i vettori specificati (ad esempio. CASB)
• Lo strumento, in base alle regole, controlla l'utilizzo delle applicazioni dei dipendenti in rete (ad es. UBA, UAM)

Ora, potrebbe prendere le sue soluzioni DLP per gli endpoint e le e-mail, il suo CASB, aggiungere l'UBA per gli utenti e inserire i registri di rete, i registri della gestione delle identità e degli accessi , ecc. nel suo SIEM, eseguire tutti i tipi di correlazioni e query basate sulle policy e dire che è coperto. Questo approccio basato sulle regole è progettato per team di sicurezza grandi, sofisticati e maturi - e anche i team di sicurezza più sofisticati sono a corto di tempo e frustrati da tutto il rumore e la complessità e il rumore che comporta la manutenzione di tali sistemi. E dopo che tutto è stato detto e fatto, i sistemi funzionano? Ci sono innumerevoli esempi che non lo sono. 

Minaccia insider o rischio insider? Si tratta di decidere se adottare un approccio basato sulla politica e sulla previsione umana o un approccio basato sulla matematica e sull'esposizione dei dati. Quando si tratta di risolvere il rischio insider, segua una formula semplice e faccia i conti. Perché alla fine della giornata, la matematica - al contrario delle congetture - vince sempre.