Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    Quali sono alcuni potenziali indicatori di minacce interne?

    Una minaccia insider è un rischio per la sicurezza informatica che deriva da una persona che ha accesso legittimo ai dati e ai sistemi di un'organizzazione.

    by Aimee Simpson

    Key Points

    • Questo blog è stato originariamente pubblicato sul sito web di Code42, ma con l'acquisizione di Code42 da parte di Mimecast, ci assicuriamo che sia disponibile anche per i visitatori del sito web di Mimecast.
    • Il rilevamento proattivo delle minacce insider richiede il monitoraggio di tutti i movimenti di dati e la combinazione di analisi contestuale e approfondimenti comportamentali.
    • Un solido programma contro le minacce interne, abbinato a un accesso a fiducia zero e a una formazione adeguata, riduce i rischi e salvaguarda i dati critici.

    Conosce i rischi delle minacce interne e il modo in cui possono trapelare preziosi segreti commerciali, informazioni sulle risorse umane, dati sui clienti e altro ancora - intenzionalmente o meno. Ma qual è il modo migliore per prevenirli?

    Si inizia con la comprensione degli indicatori di minaccia insider.

    In questa guida scoprirà tutto quello che c'è da sapere sugli indicatori di minaccia insider, in modo da evitare le violazioni dei dati e le multe potenzialmente costose, i danni alla reputazione e la perdita di vantaggio competitivo che ne derivano.

    Ma prima, è essenziale coprire alcune nozioni di base.

    Che cos'è una minaccia interna?

    Una minaccia insider è un rischio di sicurezza informatica che deriva da una persona che ha accesso legittimo ai dati e ai sistemi di un'organizzazione. Queste persone includono comunemente dipendenti, stagisti, appaltatori, fornitori, partner e venditori.

    Sebbene un insider con intenti malevoli possa essere la prima situazione che viene in mente, non tutte le minacce insider operano in questo modo.

    Tipi di minacce interne

    Le minacce interne possono causare molte situazioni dannose e derivano da due tipi principali di persone:

    • Insider negligenti. Queste persone espongono involontariamente le informazioni aziendali. Potrebbero trattare i protocolli di sicurezza come una guida leggera piuttosto che come regole rigide, oppure commettere un errore onesto nel tentativo di aderire alle pratiche di sicurezza. 
    • Insider malintenzionati. A differenza degli insider negligenti, gli insider malintenzionati commettono frodi deliberatamente. Le loro motivazioni possono derivare dal guadagno finanziario, dalla vendetta o da altri motivi personali. Sebbene le minacce di insider malintenzionati ricevano maggiore attenzione da parte della stampa, non si verificano con la stessa frequenza: il 78% delle violazioni di dati dovute a insider sono involontarie.

    Indipendentemente dalla loro origine, le minacce interne possono essere difficili da identificare. Per salvaguardare i dati preziosi e proteggere la proprietà intellettuale (IP), le organizzazioni devono riconoscere i segnali delle minacce interne.

    Potenziali indicatori di minacce interne

    Ci sono sei indicatori comuni di minaccia insider, spiegati in dettaglio qui di seguito. Sebbene ognuna di esse possa essere benigna da sola, una combinazione di esse può aumentare la probabilità che si stia verificando una minaccia insider.

    1. Movimento di dati insolito

    Picchi eccessivi di download di dati, l'invio di grandi quantità di dati all'esterno dell'azienda e l'utilizzo di Airdrop per trasferire file possono essere tutti segnali di una minaccia insider. 

    Potreste aver provato a etichettare determinati dati aziendali come sensibili o critici per catturare questi movimenti di dati sospetti. Ma anche con le politiche e gli strumenti di etichettatura dei dati più solidi, la proprietà intellettuale può sfuggire. È più efficace trattare tutti i dati come potenziali IP e monitorare i movimenti dei file verso dispositivi e luoghi non attendibili.

    2. Uso di software e hardware non autorizzato

    Gli insider negligenti e malintenzionati possono installare strumenti non approvati per snellire il lavoro o semplificare l'esfiltrazione dei dati. Per esempio, un project manager può iscriversi a un'applicazione non autorizzata e usarla per seguire i progressi di un progetto interno. Gli attori malintenzionati possono installare l'estensione ProtonMail per crittografare i file che inviano alla loro e-mail personale.

    Indipendentemente dall'intenzione, lo shadow IT può indicare una minaccia insider, perché il software e l'hardware non autorizzati producono una lacuna nella sicurezza dei dati.

    3. Aumento delle richieste di privilegi o autorizzazioni escalation

    Non è insolito che i dipendenti, i fornitori o gli appaltatori abbiano bisogno di un'autorizzazione per visualizzare informazioni sensibili. Diventa un problema quando un numero sempre maggiore di persone vuole accedervi, in quanto ci sono molti più rischi potenziali per i dati sensibili.

    Ad esempio, un insider malintenzionato potrebbe voler raccogliere i dati a cui non aveva accesso in precedenza per poterli vendere sul dark web. In un'altra situazione, un insider negligente che ha avuto accesso da una rete non protetta potrebbe accidentalmente far trapelare le informazioni e causare una violazione dei dati.

    Più sono le persone che hanno accesso a informazioni sensibili, maggiore è il numero di minacce intrinseche che si hanno per le mani.

    4. Accesso a informazioni che non sono essenziali per la loro funzione lavorativa.

    Un altro segnale potenziale di una minaccia insider è quando qualcuno visualizza dati non pertinenti al suo ruolo. Per esempio, sarebbe sospetto se un dipendente del marketing tentasse di accedere ai numeri di previdenza sociale dei suoi colleghi, dato che non ha bisogno di queste informazioni per svolgere il suo lavoro.

    Sebbene questo esempio sia esplicito, altre situazioni potrebbero non essere così ovvie. Se un dipendente lavora su un progetto altamente interfunzionale, l'accesso a dati specifici che non sono fondamentali per la sua funzione lavorativa può sembrare corretto, anche se non ne ha veramente bisogno.

    Queste situazioni, insieme ad altri indicatori, possono aiutare i team di sicurezza a scoprire le minacce interne.

    5. Rinominare file in cui l'estensione del file non corrisponde al contenuto

    Gli insider malintenzionati possono cercare di mascherare l'esfiltrazione dei dati rinominando i file. 

    Per esempio, un dipendente che rinomina un file PowerPoint di una roadmap di prodotto in "2022 biglietti di assistenza" sta cercando di nascondere il suo reale contenuto. La conversione dei file zip in un'estensione JPEG è un altro esempio di attività riguardante. 

    Uno strumento di sicurezza dei dati in grado di trovare questi file ed estensioni non corrispondenti può aiutarla a rilevare attività potenzialmente sospette.

    6. Dipendenti in partenza

    Sia che un dipendente esca da un'azienda volontariamente o involontariamente, entrambi gli scenari possono innescare un'attività di minaccia insider. 

    I dipendenti possono inoltrare piani strategici o modelli su dispositivi personali o sistemi di archiviazione per avere una marcia in più nel loro prossimo ruolo. Altri, con intenzioni più ostili, potrebbero rubare i dati e darli ai concorrenti. 

    La partenza dei dipendenti è un'altra ragione per cui osservare i movimenti dei file degli utenti ad alto rischio, invece di affidarsi alla classificazione dei dati, può aiutare a rilevare le fughe di dati.

    Perché il monitoraggio degli indicatori comportamentali da solo è inefficace

    Le aziende che si limitano ad esaminare il comportamento fisico di un dipendente, piuttosto che una combinazione dei segnali digitali sopra menzionati, potrebbero purtroppo non notare una minaccia insider o identificare erroneamente il vero motivo per cui un dipendente ha sottratto dei dati.

    Alcuni indicatori comportamentali includono il fatto di lavorare a orari strani, di litigare spesso con i colleghi, di avere un cambiamento improvviso nelle finanze, di diminuire le prestazioni o di mancare spesso al lavoro. Sebbene questi segnali possano indicare un comportamento anomalo, non sono particolarmente affidabili da soli per scoprire le minacce interne. Questi segnali potrebbero anche indicare cambiamenti nella vita personale di un dipendente di cui l'azienda potrebbe non essere a conoscenza.

    Il monitoraggio di tutti i movimenti dei file, combinato con il comportamento degli utenti, fornisce ai team di sicurezza un contesto. Possono identificare meglio i modelli e rispondere agli incidenti in base alla loro gravità.

    Strategie per la prevenzione delle minacce interne

    Scoprire le minacce interne nel momento in cui si presentano è fondamentale per evitare multe costose e danni alla reputazione dovuti alle violazioni dei dati. 

    Ecco alcune strategie che può implementare per rilevare gli indicatori di minaccia insider e ridurre le probabilità di una fuga di dati:

    • Implementa i controlli di accesso con una strategia di fiducia zero. Una strategia a fiducia zero limita le autorizzazioni dei dipendenti a quelle necessarie per il loro ruolo. Abbracciare la fiducia zero riduce i danni che gli insider possono fare e rende più evidenti le richieste di potenziamento del loro accesso.
    • Utilizzi una formazione sulla sicurezza reattiva. I video lunghi o i metodi di formazione che i dipendenti cancelleranno come un "punto della lista di controllo" annuale non possono favorire abitudini di lavoro sicure. Istruire i dipendenti in più momenti durante l'anno, soprattutto dopo che hanno commesso un errore, può aiutarli a memorizzare le migliori pratiche di sicurezza.
    • Monitorare e proteggere tutti i dati, non solo quelli classificati come "importanti". Il monitoraggio di tutti i movimenti dei file può aiutare a proteggere i dati e a evitare che i comportamenti rischiosi dei dati passino inosservati, rivelando le minacce interne prima che facciano trapelare i dati. 
    • Creare una linea di base dell'attività di fiducia. È più facile distinguere il comportamento rischioso da quello normale con un parametro di riferimento. Un software di sicurezza informatica ottimale può aiutarla a stabilire quali sono i dispositivi e le destinazioni di cui si fida e a identificare i movimenti di dati sospetti verso luoghi in cui non si fida. 
    • Avviare un programma di minacce interne. Anche se dispone di un budget limitato, il beneficio a lungo termine della creazione di un solido programma di minacce interne varrà le risorse e il disturbo che risparmierà affrontando in modo proattivo il rischio di minacce interne.

    L'utilizzo di una o di una combinazione di queste tattiche per rilevare le minacce interne può aiutare a snellire il flusso di lavoro del suo team di sicurezza e a prevenire le minacce interne.

    Iniziare a rilevare gli indicatori di minacce interne

    Una mossa apparentemente innocua da parte di un appaltatore negligente o un furto doloso da parte di un dipendente scontento possono mettere a rischio i dati e la proprietà intellettuale della sua azienda. Queste situazioni possono portare a danni finanziari o di reputazione, nonché a una perdita di vantaggio competitivo.

    I leader della sicurezza possono iniziare a rilevare gli indicatori di minaccia insider prima che si verifichino i danni, implementando strategie di prevenzione delle minacce insider, tra cui l'utilizzo di un software che monitora l'esfiltrazione dei dati da parte degli insider. 

    Uno di questi software di rilevamento è Mimecast Incydr. Mimecast Incydr tiene traccia di tutti i movimenti di dati in luoghi non attendibili, come unità USB, e-mail personali, browser web e altro ancora. Il suo modello di prioritizzazione automatica dei rischi offre ai team di sicurezza una visibilità completa sulle esfiltrazioni di dati sospette (e non sospette!). La soluzione dispone anche di un'ampia gamma di controlli di risposta per ridurre al minimo le fughe di dati da minacce interne e incoraggiare abitudini di lavoro sicure da parte dei dipendenti in futuro.

    60BLOG_1.jpg
    Up Next
    Insider Risk Management Data Protection |
    Che cos'è la sicurezza delle applicazioni cloud?

    Related Articles

    Insider Risk Management Data Protection
    Gli account compromessi sono oggetto di armi - Fermare subito la compromissione delle credenziali
    Insider Risk Management Data Protection
    Il recupero da ransomware fatto bene: Una guida in 6 passi
    Insider Risk Management Data Protection
    5 modi per rafforzare la cultura della cybersecurity

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top