Che cos'è una minaccia interna?

Che cos'è una minaccia interna?

Una minaccia insider è un dipendente (attuale o ex), un appaltatore o un'altra persona che ha accesso alle informazioni proprietarie di un'organizzazione e sfrutta questa conoscenza per un guadagno personale o monetario.

Queste minacce rappresentano un rischio significativo per la cybersecurity, in quanto chiunque abbia un accesso autorizzato può abusare delle sue autorizzazioni per compromettere dati o sistemi sensibili.

Non tutte le minacce insider sono necessariamente maligne. Alcuni si verificano a causa di un errore umano, mentre altri si verificano perché un dipendente sta semplicemente cercando di lavorare in modo più efficiente con la tecnologia o le app che preferisce.

In questa guida scoprirà come identificare le minacce interne, come si manifestano e i consigli per difendere la sua organizzazione da queste minacce.

Tipi di minacce interne ed esempi

Al giorno d'oggi, è facile per le aziende spendere una quantità eccessiva di tempo, denaro e sforzi per proteggersi dagli attacchi esterni. Ma con il passaggio ad ambienti di lavoro remoti e ibridi, le minacce peggiori potrebbero essere sedute proprio di fronte a lei - operando dall'interno - rischiando di esporre segreti commerciali, informazioni sulle risorse umane, dati dei clienti e altro ancora.

Poiché così tanti individui hanno accesso legittimo ai sistemi aziendali, è facile che le fughe di notizie, anche involontarie, avvengano sotto il radar della sua azienda.

Tipi comuni di minacce interne

1. Utenti involontari o negligenti - Dipendenti che involontariamente commettono violazioni di dati lasciando dati sensibili non protetti. Questo tipo di violazione può verificarsi se un dipendente lascia un dispositivo di lavoro aperto o in un'area dove può essere rubato. La negligenza può anche manifestarsi sotto forma di dipendenti che aggirano i protocolli di sicurezza che ritengono non necessari o fastidiosi.

2. Intenzionale - Questi includono i dipendenti in partenza o scontenti che lasciano volontariamente o involontariamente un'azienda e sfruttano i dati aziendali per guadagno personale o monetario. Un esempio potrebbe essere quello di un dipendente scontento che vende informazioni riservate e proprietarie sulla propria organizzazione a un concorrente.

3. Spionaggio - Agenti interni che operano per conto di un gruppo esterno per effettuare una violazione dei dati o un altro attacco. Queste minacce possono essere innocenti come un dipendente che viene ingannato dal social engineering o insidiose come un ricatto o una corruzione per divulgare informazioni.

4. Minacce di terzi - Parti esterne che hanno accesso alle reti e alle informazioni di un'organizzazione. Queste minacce interne possono manifestarsi sotto forma di un appaltatore che utilizza le credenziali di accesso all'azienda per ottenere e condividere informazioni sensibili o proprietà intellettuale per diversi motivi.

5. Minacce collusive - Le minacce collusive si verificano quando un attore interno cospira con un'entità esterna per compromettere le risorse organizzative. Queste minacce possono comportare che i dipendenti vengano corrotti, ricattati o reclutati volontariamente da attori esterni, come i gruppi di criminali informatici, per ottenere un accesso non autorizzato a sistemi o dati critici.

Comprendere le minacce interne intenzionali

Mentre molti incidenti insider sono accidentali, le minacce insider intenzionali sono azioni deliberate guidate da motivazioni personali, ideologia o incentivi finanziari. Questi insider sanno come eludere i controlli, rendendoli difficili da individuare con le difese tradizionali.

Gli insider intenzionali possono:

• Far trapelare la proprietà intellettuale ai concorrenti o al pubblico.
• Vendere le credenziali a terzi o al dark web.
• Cancellare o danneggiare i file come atto di ritorsione.
• Sfruttare l'accesso al sistema prima o dopo aver lasciato l'organizzazione.

In alcuni casi, gli insider sono costretti o ricattati da attori esterni per portare a termine un attacco insider, confondendo il confine tra intento malevolo e manipolazione. Rilevare e prevenire queste azioni richiede sia la visibilità tecnologica che la comprensione dei modelli di comportamento dei dipendenti.

Individui con minacce interne

Gli attori delle minacce interne possono variare molto nelle intenzioni, nel comportamento e nell'impatto. Mentre alcuni comportano rischi accidentali, altri cercano deliberatamente di causare danni. La comprensione di queste personas può aiutare le organizzazioni a rilevare, classificare e rispondere meglio alle minacce interne.

Pedine

I pedoni sono in genere dipendenti ben intenzionati che vengono manipolati per consentire le minacce. Potrebbero scaricare inconsapevolmente malware, cliccare su link di phishing o rivelare le credenziali di accesso ad aggressori che si spacciano per contatti fidati. Queste persone sono spesso vittime dell'ingegneria sociale e non sono consapevoli del ruolo che stanno svolgendo in un attacco più ampio.

I voltagabbana

I voltagabbana sono persone interne che agiscono intenzionalmente contro gli interessi dell'organizzazione. Motivati da guadagno personale, risentimento o ideologia, questi individui possono far trapelare dati, cancellare file critici o sabotare i sistemi. Questa categoria può anche includere i whistleblower, ossia i dipendenti che denunciano attività non etiche o illegali all'interno dell'azienda. Anche se le motivazioni possono essere diverse, le implicazioni per la sicurezza sono spesso significative.

Esempi reali di minacce interne

Le minacce interne possono sembrare allarmanti in teoria, ma sono ancora più pericolose nella vita reale. Ecco alcuni esempi di minacce interne:

• Nel 2022, Yahoo ha citato in giudizio un ex ricercatore che ha rubato il codice sorgente proprietario del suo prodotto AdLearn. Pochi minuti dopo aver ricevuto un'offerta di lavoro da un concorrente, il dipendente ha scaricato circa 570.000 pagine di proprietà intellettuale (IP) di Yahoo sui suoi dispositivi personali, sapendo che le informazioni potevano essergli utili nel suo nuovo lavoro. Nella causa, Yahoo ha sostenuto che i dati rubati avrebbero dato ai concorrenti un vantaggio immenso.
• Nel 2020, Stradis Healthcare ha licenziato il dipendente Christopher Dobbins che poi, per vendetta, è penetrato nella rete dell'azienda. Una volta entrato, ha ottenuto l'accesso come amministratore e ha modificato o cancellato oltre 120.000 record, ritardando le spedizioni di DPI per mesi.
• Nel 2020, l'ex dirigente di Google Anthony Scott Levandowski ha rubato segreti commerciali dal reparto auto a guida autonoma dell'azienda e li ha portati nel suo nuovo lavoro presso Uber. Levandowski ha ammesso che Google potrebbe aver perso fino a 1.500.000 dollari a causa del suo furto.

Questi sono solo tre esempi di minacce insider reali che si verificano ogni anno, causando gravi danni finanziari e di reputazione.

Indicatori tecnici di minacce interne

Con così tanti modi in cui possono sorgere le minacce interne, il modo migliore per individuarle e infine deviarle è quello di cercare movimenti di dati e segnali digitali coerenti.

Gli attori delle minacce interne possono lasciare una traccia di attività o caratteristiche che suggeriscono che i dati aziendali sono a maggior rischio di esposizione o esfiltrazione. Sebbene ciascuno dei seguenti indicatori possa essere benigno di per sé, una combinazione di essi può aumentare la priorità degli eventi di perdita di dati, rendendo più chiara l'esistenza di una minaccia insider:

• Infiltrazione di file zip
• Allegato inviato tramite ProtonMail
• Movimento dei dati aziendali verso le versioni personali delle applicazioni approvate
• Accedere a informazioni che non sono rilevanti per la loro funzione lavorativa.
• Picchi di tentativi di esfiltrazione di datiin uscita
• Trasferimenti Airdrop
• Rinominare i file in cui l'estensione non corrisponde al contenuto.
• Installazione di hardware, software o malware

Tenere d'occhio questi segnali può aiutare i team di sicurezza a individuare attività insolite e a fermare le minacce interne prima che si trasformino in una violazione.

Alcuni fornitori di sicurezza informatica potrebbero suggerire di monitorare il comportamento dei dipendenti, in particolare le azioni che dimostrano che sono scontenti o insoddisfatti, per rilevare una minaccia interna, ma questo è spesso improduttivo.

Come rilevare gli attacchi di minacce interne

Un'azienda può utilizzare sia l'intuizione umana che quella tecnologica per individuare le minacce interne. Poiché il personale di un'organizzazione ha in genere un contatto diretto con i suoi colleghi, è probabile che sia il primo a rilevare un comportamento sospetto. Per migliorare il rilevamento delle minacce interne, le organizzazioni possono anche utilizzare soluzioni software che monitorano l'attività degli utenti, la gestione degli accessi e l'analisi del comportamento.

La sfida di fermare le minacce interne

Mentre le organizzazioni si concentrano da tempo sull'impedire agli hacker esterni all'organizzazione di violare le difese di sicurezza, la maggior parte di esse ha una scarsa protezione contro le minacce interne.

Esistono almeno tre tipi di profili di minaccia insider. Con una Minaccia Insider Maligna, un dipendente all'interno dell'organizzazione cerca di proposito di rubare dati, far trapelare informazioni o danneggiare in altro modo l'organizzazione. Una Minaccia Insider noncurante si verifica quando i dipendenti non comprendono le politiche di sicurezza o non seguono le regole di sicurezza, mettendo l'organizzazione a rischio di infezioni da malware e fughe di dati. La minaccia Insider compromessa riguarda un dipendente il cui account e-mail è stato rilevato da un hacker attraverso la raccolta di credenziali, l'ingegneria sociale, le e-mail di phishing o il malware , al fine di rubare informazioni o effettuare transazioni finanziarie fraudolente.

Quasi tutte le minacce interne coinvolgono le e-mail. I messaggi e-mail sono spesso la fonte di attacchi - i messaggi che contengono allegati e-mail dannosi e URL sono una tecnica comune per lanciare advanced persistent threat e altri attacchi. E le e-mail sono spesso coinvolte in fughe di dati, sia dolose che involontarie. Per difendersi da una minaccia insider, le organizzazioni hanno bisogno di un rilevamento delle minacce insider per le e-mail interne, in grado di identificare e rimediare rapidamente a un attacco o a una fuga di dati. Ecco dove Mimecast può aiutare.

Come proteggersi dalle minacce interne

Sebbene i dirigenti e i team di sicurezza possano certamente prestare attenzione agli indicatori digitali e comportamentali, questo non dovrebbe essere l'unico metodo di protezione dell'azienda. Dovrebbero invece affrontare il loro programma di minaccia insider da tre punti di vista: stabilire il comportamento normale degli utenti, identificare e proteggere le risorse critiche e mitigare il rischio.

Inoltre, la formazione continua dei dipendenti manterrà la sicurezza al centro dell'attenzione e creerà una cultura della sicurezza.

Creare una linea di base dell'attività di fiducia

È necessario sapere quali sono le attività affidabili prima di poter individuare i movimenti di accesso ai dati a rischio. Il suo software di sicurezza informatica ottimale avrà funzioni integrate che stabiliscono e deducono una linea di base di attività di accesso ai dati fidati, da utilizzare come confronto per il monitoraggio del movimento dei dati quotidiano.

Le attività di interesse potrebbero essere i metodi di autenticazione, i tempi di accesso e i registri VPN. Il suo sistema di sicurezza informatica dovrebbe avvisare i team di sicurezza quando appaiono delle anomalie, in modo che possano esaminare e determinare se le irregolarità sono, in effetti, potenziali minacce interne.

Ottenere la visibilità di tutti i suoi dati e del loro movimento

Avrà sentito parlare della protezione dei beni più critici, ma è più facile ed efficiente trattare tutti i dati come essenziali e monitorare i loro movimenti di conseguenza.

L'esposizione involontaria dei dati si verifica fino a 34 volte per utente ogni giorno, quindi proteggere tutti i dati come se fossero critici aiuta a minimizzare il rischio di spostare accidentalmente informazioni sensibili e creare una situazione di furto di proprietà intellettuale.

Si assicuri che i dipendenti sappiano che il monitoraggio del movimento dei dati verso luoghi non attendibili non equivale alla sorveglianza. Invece di tracciare i tasti premuti, fotografare gli schermi, osservare le prestazioni o altre attività invasive, un'azienda che monitora i dati che possiede è nell'interesse dei dipendenti e dell'azienda stessa, poiché protegge l'innovazione e il vantaggio competitivo.

Gestire le minacce interne affrontando il rischio

Il 2023 Data Exposure Report di Code42 (ora parte di Mimecast) ha rilevato che i CISO classificano il rischio insider come la minaccia più difficile da rilevare all'interno delle loro organizzazioni. Il rischio insider è l'esposizione dei dati che mette a rischio il benessere di un'organizzazione e dei suoi dipendenti, clienti o partner.

Invece di cercare un ago nel pagliaio e quella persona che rappresenta una minaccia interna, consideri l'implementazione di una moderna strategia di protezione dei dati, monitorando le attività che mettono a rischio le informazioni sensibili. Questo approccio la prepara a rispondere a qualsiasi potenziale violazione dei dati, indipendentemente dall'intento che la sottende.

Eseguire la protezione dei dati non significa sorvegliare i dipendenti o aspettare che commettano errori. Si tratta di monitorare i cambiamenti e i movimenti dei dati, di cercare indicatori di rischio e di dare priorità al rischio. In base alla priorità, può intervenire rapidamente per contenere i danni e prevenire una violazione.

Il modo più rapido per scoprire i rischi insider è l'assistenza di un software intelligente. A differenza degli esseri umani, gli strumenti basati sull'AI possono monitorare continuamente i sistemi di un'azienda e portare alla luce rischi di cui potreste non accorgervi. Le migliori piattaforme scansionano tutti i sistemi alla ricerca di vulnerabilità, consentendo ai team di sicurezza di applicare rapidamente le patch.

Formare i dipendenti e creare una cultura della sicurezza

Un'altra componente della protezione dei dati è la formazione continua dei dipendenti. La formazione che si concentra sulle best practice di sicurezza e sul "perché" delle politiche può essere vantaggiosa per un team. Ricordare ai dipendenti il perché delle politiche può ridurre l'evasione della sicurezza. Mantenere le best practice in primo piano combatte la negligenza e incoraggia i dipendenti a stabilire comportamenti corretti che seguono i protocolli dell'azienda.

Sottolineando l'importanza della sicurezza informatica a livello aziendale, le aziende creano una cultura che attribuisce valore alla sicurezza e alla gestione del rischio, che in ultima analisi può portare a un minor numero di minacce interne.

Prevenire una minaccia interna con Mimecast

Mimecast offre servizi basati sul cloud per la sicurezza, la continuità e l'archiviazione delle e-mail, gestiti da un single pannello di vetro, che aiutano a ridurre i costi e la complessità della protezione dalle minacce avanzate.

Per rilevare e prevenire una minaccia interna, Mimecast offre Internal Email Protect, un servizio di monitoraggio e bonifica delle minacce per le e-mail generate internamente. Come parte dell'offerta di sicurezza e-mail di Mimecast, questo programma sulle minacce interne le consente di monitorare, rilevare e mitigare le minacce alla sicurezza provenienti dall'interno della sua organizzazione.

Internal Email Protect analizza tutte le e-mail, gli allegati e gli URL per identificare malware e link dannosi. Mimecast può anche rilevare una minaccia interna con il filtraggio dei contenuti per applicare i servizi di prevenzione della fuga di dati.

Proteggersi dalle minacce interne con Mimecast Incydr

Dal danneggiare la reputazione di un'azienda con i clienti, al privarla di finanziamenti, all'esporre innovazioni proprietarie, le minacce interne possono avere conseguenze devastanti. Una parte del motivo per cui la salvaguardia contro le minacce interne è impegnativa è che i software DLP tradizionali hanno una visione siliconica del movimento dei dati, e non riescono a individuare decine di esfiltrazioni minacciose. Invece di indovinare quale sia l'esfiltrazione come minaccia, consideri un approccio moderno alla protezione dei dati.

Mimecast Incydr è una soluzione intelligente di protezione dei dati che identifica i movimenti di dati rischiosi - non solo le esfiltrazioni classificate dalla sicurezza - aiutandola a vedere e a bloccare le potenziali minacce interne. Incydr rileva automaticamente le fughe di dati verso applicazioni cloud non affidabili, blocca le esfiltrazioni inaccettabili e adatta la risposta della sicurezza in base al colpevole e al reato. Ai dipendenti che commettono errori di sicurezza viene inviata automaticamente una formazione educativa per correggere il comportamento degli utenti e ridurre il rischio di minacce interne nel tempo.