La minaccia insider spiegata
Una minaccia insider è una persona con accesso legittimo ai sistemi e ai dati aziendali che, consapevolmente o inconsapevolmente, rappresenta una minaccia per una potenziale violazione dei dati. Poiché possono esserci più persone con diversi livelli di accesso ai suoi dati in qualsiasi momento - compresi i dipendenti, i consulenti e i fornitori - l'individuazione delle minacce interne ha le sue sfide. Infatti, il 27% dei CISO afferma che la minaccia insider è il tipo di rischio più difficile da rilevare, a causa del numero enorme di possibili minacce e di persone responsabili di tale rischio.
Identificare le tre minacce interne più comuni
- Dipendenti in partenza: La maggior parte dei dipendenti porta con sé i dati quando lascia il lavoro. Ci assicuriamo che i suoi file più preziosi rimangano con lei.
- I recidivi: Dietro ogni evento di rischio per i dati c'è un dipendente che probabilmente non ha seguito le regole. Blocca l'esfiltrazione dei dati da parte degli utenti che continuano a violare i criteri di sicurezza.
- Dipendenti ad alto rischio: Proteggere in modo programmatico i dati monitorando i rischi di volo e altri tipi di dipendenti ad alto rischio.
Metodi per rilevare le minacce interne
Qualsiasi dipendente, appaltatore o partner che abbia accesso a dati sensibili potrebbe essere un rischio potenziale, il che rende le minacce interne notoriamente difficili da individuare. Il monitoraggio dei movimenti di dati della sua azienda, l'istituzione di chiare politiche di sicurezza e l'implementazione della formazione dei dipendenti sono strategie intelligenti da mettere in atto per prevenire potenziali attacchi prima che si verifichino.
Monitorare tutti i dati e il loro movimento
Un movimento insolito di file è una bandiera rossa comune che potrebbe indicare una minaccia interna. Eseguendo una scansione costante dei suoi sistemi, può stabilire un modello di base del movimento dei file e ottenere il contesto necessario per sapere se è rischioso. Le attività al di fuori di questo normale modello di comportamento potrebbero indicare una minaccia insider e dovrebbero essere indagate in ordine di priorità:
- File esfiltrato: La rimozione di un file dalla sua posizione originale tramite file zip, USB o persino AirDrop può significare che i dati finiscono nelle mani sbagliate.
- Destinazione dei file: Si assicuri che i file aziendali vengano spostati in destinazioni di fiducia, piuttosto che in applicazioni cloud personali o non autorizzate.
- Fonte del file: L'esame dell'origine può indicare la potenziale pericolosità del file. Le fonti di file sospetti, come gli allegati inviati tramite ProtonMail, potrebbero essere malware o ransomware sotto mentite spoglie.
- Caratteristiche e comportamenti degli utenti: Indagare tutti i potenziali segnali di attività sospette degli insider. Monitorare i picchi eccessivi di download di dati, lo spostamento di dati in orari insoliti o l'acquisizione di un accesso privilegiato a dati di alto valore.
Indagare sul comportamento insolito dei dati
Non è sufficiente rilevare i segni di un potenziale attacco insider. È importante seguire un'indagine approfondita. Non tutti i comportamenti insoliti saranno problematici, ma devono essere comunque indagati. Per rendere efficace questa tattica, Mimecast ritiene importante aggiungere indicatori contestuali che possano essere prioritari per proteggere efficacemente i dati dai dipendenti che hanno maggiori probabilità di perdere o rubare file. Quindi, quando si verifica un comportamento insolito dei dati da parte di un dipendente, i team di sicurezza possono intercettare e indagare. Alcuni comportamenti che possono richiedere un'indagine includono:
- Creare nuovi account utente
- Copia di dati che non sono correlati al suo lavoro.
- Utilizzo di applicazioni non autorizzate
- Rinominare i file per l'esfiltrazione nascosta
- Aumentare i permessi di accesso
Un rilevamento superiore delle minacce interne richiede nuove soluzioni
Il rilevamento delle minacce interne sta diventando rapidamente una priorità critica per i reparti IT. Mentre la maggior parte delle organizzazioni dispone di difese efficaci contro malware e virus, e alcune hanno soluzioni per la protezione dalle minacce avanzate, poche aziende oggi hanno strumenti per fermare una minaccia interna.
Una tecnologia di rilevamento delle minacce insider di qualità superiore deve essere in grado di identificare e porre rimedio a tre diversi profili di minaccia insider:
- L'Insider incauto. Per i dipendenti che ignorano le politiche di sicurezza o non comprendono i pericoli delle minacce come gli allegati e-mail dannosi, le soluzioni di rilevamento delle minacce interne devono impedire azioni (come la condivisione di proprietà intellettuale attraverso e-mail non protette) che potrebbero mettere a rischio l'organizzazione.
- L'insider compromesso. Gli attacchi di successo, come le advanced persistent threat e le frodi di impersonificazione, si basano spesso sulla capacità dell'aggressore di impadronirsi dell'account e-mail di un utente ignaro attraverso malware, e-mail di phishing o social engineering. Il rilevamento delle minacce interne deve offrire strumenti per identificare e correggere queste minacce prima che gli utenti possano essere compromessi.
- L'insider maligno. In alcuni casi, i dipendenti di un'organizzazione fanno trapelare di proposito i dati, rubano le informazioni o cercano di danneggiare l'organizzazione. Per prevenire questi attacchi, il rilevamento delle minacce interne deve essere in grado di monitorare automaticamente il traffico e-mail interno e avvisare gli amministratori di attività sospette.
Come rispondere alle minacce interne
Probabilmente la fase più importante dopo il rilevamento delle minacce interne è la strategia di risposta che l'IT e la sicurezza hanno messo in atto. Mentre bloccare l'esfiltrazione dei dati in anticipo può essere una "soluzione rapida" a una violazione dei dati in corso, per ridurre gli incidenti di minacce interne nel tempo, dovrà sviluppare ed eseguire un piano di risposta completo.
- Stabilisca le aspettative: Comunichi chiaramente le politiche di sicurezza ai suoi utenti. Allineandosi su ciò che è e ciò che non è accettabile quando si condividono i dati, può ritenere i dipendenti responsabili quando queste regole stabilite vengono violate.
- Cambiare il comportamento: Il feedback in tempo reale e i video di formazione just-in-time sono fondamentali quando si lavora per migliorare le abitudini di sicurezza di un utente. Queste pratiche responsabilizzano i dipendenti e li aiutano a seguire le best practice, che alla fine cambiano il comportamento nel tempo.
- Contenere le minacce: Anche con la formazione e la responsabilizzazione dei dipendenti, i rischi di minacce interne ai dati sono inevitabili. Quando si verificano, la chiave è minimizzare il danno revocando o riducendo l'accesso a livello di utente, se necessario. Poi potrà indagare e determinare la migliore linea d'azione per rimediare.
- Bloccare l'attività dei suoi utenti più a rischio: Impedire agli utenti più a rischio di condividere i dati verso destinazioni non autorizzate è un passo fondamentale del suo piano di risposta. Il blocco di determinate attività da parte di questi utenti consente al resto della sua organizzazione di lavorare in modo collaborativo senza ostacolare la produttività, sapendo che i suoi dati sono al sicuro da coloro che potrebbero causare danni.
Rispondere alle minacce interne non è un compito facile. Rimanere vigili con gli strumenti, i processi e i programmi giusti può tenere la sua azienda pronta quando si verificano minacce interne.
Rilevamento delle minacce interne con Mimecast
Mimecast offre il rilevamento delle minacce interne come parte dei suoi servizi completi di gestione della posta elettronica per la sicurezza, l'archiviazione e la continuità. Costruito su una piattaforma cloud altamente scalabile, il programma Mimecast contro le minacce interne è disponibile come parte di un servizio di abbonamento completamente integrato che riduce il rischio e la complessità di mantenere la sicurezza delle e-mail per le aziende.
Mimecast Internal Email Protect, parte della suite di servizi Targeted Threat Protection di Mimecast, è un servizio basato sul cloud che monitora le e-mail generate internamente per individuare e porre rimedio alle minacce alla sicurezza provenienti dall'interno dell'organizzazione. La tecnologia di rilevamento delle minacce interne di Mimecast copre sia le e-mail inviate da un utente interno a un altro, sia quelle inviate da utenti interni a domini e-mail esterni.
Mimecast analizza tutte le e-mail, gli allegati e gli URL per identificare potenziali malware e link dannosi, mentre il filtraggio dei contenuti aiuta a prevenire fughe e furti confrontando il contenuto delle e-mail generate internamente con le politiche di Data Leak Prevention.
Vantaggi del servizio di rilevamento delle minacce interne di Mimecast
La tecnologia di rilevamento delle minacce interne di Mimecast le consente di:
- Proteggere l'organizzazione da un'ampia varietà di minacce interne.
- Identificare il movimento laterale degli attacchi tramite e-mail da un utente interno a un altro.
- Identifica e rimuove automaticamente le e-mail che contengono minacce.
- Ridurre al minimo il rischio che una violazione o un malware si diffonda nell'organizzazione.
- Impedire alle e-mail contenenti informazioni sensibili, proprietà intellettuale o dati finanziari privilegiati di lasciare l'organizzazione senza autorizzazione.
- Gestisce il rilevamento delle minacce interne da una single console amministrativa per la configurazione e il reporting.
Scopra di più sul rilevamento delle minacce interne con Mimecast e su come recuperare gli elementi eliminati con i servizi di archiviazione Mimecast.
