Mimecast Logo
Richiedi un preventivo

    Minacce insider dannose

    Programma una demo
    Insider malintenzionati
    Programma una demo
    Presentazione

    Che cos'è un insider malintenzionato? 

    Un insider malintenzionato è una persona che ha una conoscenza privilegiata delle informazioni proprietarie di un'organizzazione e ne abusa intenzionalmente per avere un impatto negativo sull'integrità dell'azienda.

    Questa persona potrebbe essere un dipendente, un appaltatore o un partner commerciale attuale o precedente.

    Esempi di minacce interne dannose 

    Alcuni esempi comuni di minacce interne sono:

    • Un dipendente appena licenziato che vende informazioni sensibili a un concorrente.
    • Un dipendente scontento che espone segreti commerciali al pubblico.
    • Un dipendente che cancella record e informazioni importanti per violare le norme di conformità.

     

    GettyImages-1309763358-1200px.jpg

     

    Come riconoscere una minaccia insider dannosa? 

    Sia gli esseri umani che la tecnologia sono in grado di riconoscere le minacce interne dannose.  

    Il personale di un'azienda può servire come linea primaria di rilevamento delle minacce, in quanto i colleghi che interagiscono regolarmente con un potenziale insider malintenzionato possono notare cambiamenti nel comportamento, nella personalità e nelle motivazioni che possono segnalare una possibile minaccia alla sicurezza.

    La tecnologia può aiutare a rilevare le minacce interne attraverso:

    • Monitoraggio dell'attività dell'utente
    • Indagini sugli incidenti
    • Gestione degli accessi
    • Analisi degli utenti e del comportamento

    Come individuare e prevenire gli insider malintenzionati

    Poiché gli insider malintenzionati hanno già un accesso insider, le loro attività sono spesso invisibili al monitoraggio delle attività degli utenti da parte dei team di sicurezza. Possono passare inosservati fino a settimane o mesi dopo, quando il costo di una fuga di dati è aumentato.

    Ma un certo numero di indicatori diversi possono far pensare a un insider che si comporta in modo maligno. Alcune best practice possono aiutarla a rilevare le fughe di dati e gli abusi in tempo reale.

    Traccia le anomalie di esfiltrazione

    Gli insider malintenzionati potrebbero voler condividere i dati aziendali con una terza parte o conservare le informazioni per il proprio tornaconto personale. Quindi qualsiasi movimento di dati insolito potrebbe essere un segno di furto di dati, come un dipendente che cerca di scaricare grandi quantità di dati o di inviare dati ad account personali.

    Inoltre, gli insider malintenzionati potrebbero tentare di vedere dati a cui non hanno il permesso di accedere. Ad esempio, un dipendente cerca di richiedere l'accesso o di modificare le autorizzazioni di condivisione di un documento privato di Google.

    Può sembrare eccessivo cercare anomalie in tutti i dati aziendali. Iniziare con il movimento dei dati ad alto rischio può essere un ottimo punto di partenza. Traccia il movimento dei dati dei dipendenti in uscita, di quelli con una storia di scarse pratiche di sicurezza o dei dipendenti segnalati dalle Risorse Umane per un motivo o per l'altro. In questo modo, i suoi analisti della sicurezza saranno in grado di individuare i dati più vulnerabili al momento giusto.

    Stabilire un'attività di fiducia

    Per rilevare comportamenti insoliti in tutti i movimenti di dati, è importante stabilire con tutti i dipendenti cosa è normale e accettabile attraverso la formazione e la sensibilizzazione. Una politica di sicurezza è uno strumento importante per educare i dipendenti alle migliori pratiche di sicurezza. Questa politica illustra come la sua organizzazione e i suoi dipendenti devono utilizzare e proteggere i dati e i sistemi aziendali.

    Una solida politica di sicurezza non si limita al movimento dei dati. Crea controlli di accesso, monitora l'attività degli utenti, forma i dipendenti, promuove la consapevolezza e definisce le modalità di risposta in caso di violazione dei dati. Tutti questi controlli possono aiutare a respingere le minacce degli insider malintenzionati. Iniziando con un'attività fidata, il suo team può monitorare i rischi noti e al contempo sviluppare una strategia per i rischi sconosciuti, un lavoro che spesso è reso più facile dagli strumenti giusti.

    Cercare hardware o software sospetti

    Quando un insider malintenzionato ruba i dati, può utilizzare hardware o software non autorizzati per scaricare e spostare i dati. Gli insider malintenzionati spesso inviano i dati a software come un'e-mail personale o un account di archiviazione cloud. Possono anche utilizzare hardware come un'unità USB non autorizzata o un dispositivo personale. Oltre al furto digitale, possono anche affidarsi a copie cartacee per portare con sé i dati, utilizzando le stampanti aziendali. Predisponga un piano in grado di proteggere i suoi dati sia in modalità on che offline.

    Creare un programma di minacce interne

    I team di sicurezza da soli non possono contenere tutti i rischi derivanti dagli insider malintenzionati, quindi un programma a livello aziendale può avvalersi dell'aiuto dei dipendenti e del software giusto. Un programma contro le minacce interne comprende tutte le fasi e i processi di cui la sua azienda avrà bisogno per gestire i rischi delle minacce interne. Il programma dovrebbe includere gli stakeholder della sua azienda che dovranno partecipare a qualsiasi risposta alle minacce, come le risorse umane, i team legali e di sicurezza.

    Questo gruppo di stakeholder deve definire quali azioni possono innescare un'indagine e come segnalare qualsiasi attività sospetta. Inoltre, questo gruppo dovrebbe ricevere il consenso dei dirigenti per formare i dipendenti, creare consapevolezza e implementare una nuova tecnologia che aiuti a monitorare tutti i movimenti di dati.

    Un programma di successo contro le minacce interne non si limita ad affrontare le minacce dannose, ma anche tutte le minacce interne conosciute e sconosciute, e si concentra sia sulla prevenzione che sulla risposta. Con gli strumenti automatici giusti, può bloccare automaticamente l'esfiltrazione dei dati per un approccio più proattivo.

    Cosa motiva gli insider malintenzionati?

    Perché gli insider potrebbero agire con malizia? Diamo un'occhiata ai fattori motivanti che stanno alla base degli insider malintenzionati:

    Guadagno finanziario:

    Gli insider malintenzionati a volte cercano di fare soldi. Potrebbero cercare di vendere i dati a terzi. Spesso, i dipendenti in partenza accettano un lavoro presso un concorrente e sfruttano il loro accesso insider prima di partire per raccogliere dati che possono poi sfruttare nel loro nuovo ruolo.

    Desiderio di vendetta o di guadagno personale:

    Questo tipo di insider malintenzionato ha una vendetta contro la sua azienda. Forse non hanno ricevuto una promozione; forse l'azienda ha chiuso il loro ruolo e sono arrabbiati per aver perso il lavoro. In ogni caso, questa persona potrebbe rubare dati o sabotare i sistemi interni come modo per "vendicarsi" di coloro che ritengono di averle fatto un torto. Oltre al denaro e alla vendetta, gli insider malintenzionati potrebbero essere alla ricerca di notorietà facendo trapelare informazioni sensibili alla stampa.

    Spionaggio aziendale:

    Questi insider sono stati compromessi da una fonte esterna e stanno rubando dati per aiutare quell'estraneo. Sebbene l'obiettivo sia ancora il guadagno personale o finanziario, la motivazione è leggermente diversa rispetto agli esempi sopra elencati. Questo può sembrare il più stravagante, ma innumerevoli casi riconducono a uno Stato nazionale che utilizza un dipendente per ottenere l'accesso alla proprietà intellettuale per un guadagno strategico.

    Tecniche comuni di insider malintenzionati

    Gli insider malintenzionati possono effettuare attacchi in molti modi e per molte ragioni, ma un tema comune a tutte le tecniche è il guadagno monetario o personale. Quattro tecniche comuni sono:

    • Frode: Utilizzo illecito o criminale di dati e informazioni sensibili a scopo di inganno.
    • Furto di proprietà intellettuale: Il furto della proprietà intellettuale di un'organizzazione, spesso per essere venduta a scopo di lucro.
    • Sabotaggio: L'insider utilizza il suo accesso da dipendente per danneggiare o distruggere i sistemi o i dati dell'organizzazione.
    • Spionaggio: Il furto di informazioni per conto di un'altra organizzazione, ad esempio un concorrente.

    Come fermare un insider malintenzionato

    Per molte aziende, è una sorpresa che le minacce provenienti da un insider negligente o malintenzionato siano altrettanto pericolose e diffuse degli attacchi provenienti dall'esterno dell'organizzazione. La maggior parte dei team di sicurezza IT conosce bene i pericoli di minacce come lo spear-fishing, il ransomware e gli attacchi di impersonificazione. Ma meno amministratori sono consapevoli che la metà di tutte le violazioni dei dati, secondo un rapporto Forrester del 2017, sono riconducibili a un insider malintenzionato, a un dipendente negligente o a un utente compromesso.

    Per bloccare le minacce interne è necessaria una serie di tecnologie diverse rispetto alla prevenzione degli attacchi esterni via e-mail. Le minacce inviate tramite un'e-mail interna, ad esempio, non passeranno attraverso un gateway e-mail sicuro, che potrebbe altrimenti rilevare e bloccare le e-mail contenenti malware, URL dannosi o allegati sospetti.

    Per fermare un insider malintenzionato, le organizzazioni hanno bisogno di soluzioni per prevenire le fughe di dati via e-mail, identificare i contenuti sospetti nelle e-mail e bloccare le e-mail interne che potrebbero diffondersi o scatenare un attacco. Fortunatamente, Mimecast offre una protezione e-mail cloud all-in-one che risolve tutti questi problemi e altri ancora.

    Come riprendersi da un attacco di insider malintenzionati? 

    Recuperare da un attacco di insider malintenzionati può essere difficile, soprattutto se i dati sono stati completamente distrutti. Il modo migliore per riprendersi da un attacco insider è evitare che si verifichi in primo luogo. Tuttavia, se la sua organizzazione subisce un attacco, i seguenti passi possono aiutarla a mitigare i danni:

    1. Segnalare le attività illegali alle forze dell'ordine

    2. Esegua un audit dei suoi sistemi per verificare la presenza di malware o virus.

    3. Rivedere l'incidente e rivedere i protocolli di sicurezza e di accesso del personale.

    Blocco di un insider malintenzionato con Mimecast

    Mimecast offre una soluzione basata su SaaS per la gestione della sicurezza delle informazioni che semplifica la sicurezza delle e-mail, l'archiviazione, la continuità, la conformità, l'e-Discovery, il backup e il ripristino. Disponibile come servizio in abbonamento, la soluzione di Mimecast non comporta l'acquisto di hardware o software e non comporta alcun investimento di capitale: i servizi vengono forniti dalla piattaforma cloud di Mimecast a un costo mensile prevedibile.

    Le soluzioni Mimecast sono anche facili da usare. Gli amministratori possono gestirli e configurarli da un unico pannello di vetro con un'interfaccia basata sul web, mentre gli utenti finali in tutta l'azienda beneficiano di ricerche rapide negli archivi, di servizi di secure messaging e di una sicurezza delle e-mail che non influisce sulle prestazioni.

    Per risolvere il problema di un insider malintenzionato, il servizio Internal Email Protect di Mimecast monitora automaticamente tutte le e-mail che escono dall'organizzazione e quelle inviate internamente. Utilizzando una sofisticata tecnologia di scansione delle e-mail, Mimecast aiuta a individuare le e-mail con contenuti sospetti, nonché URL dannosi e allegati armati. Per porre rimedio alle minacce di un insider malintenzionato, Mimecast può eliminare o bloccare le e-mail sospette. Per le e-mail che si ritiene contengano materiale sensibile ma non un intento malevolo, Mimecast può richiedere all'utente di inviare le e-mail utilizzando un portale di Secure Messaging.

    Vantaggi dei servizi Mimecast per contrastare un insider malintenzionato

    Con la tecnologia Mimecast per fermare un insider malintenzionato, le organizzazioni possono:

    • Bloccare con successo le minacce e impedire che i dati sensibili lascino l'organizzazione e causino danni alla reputazione o compromettano i clienti.
    • Trova e rimuove automaticamente le e-mail interne contenenti minacce.
    • Mitiga il rischio che una violazione di successo si diffonda in tutta l'organizzazione attraverso le e-mail.
    • "Semplifica la gestione della posta elettronica con una single console per il reporting, la configurazione e la gestione della posta elettronica in tutta l'organizzazione."
    • Combina la tecnologia per bloccare un insider malintenzionato con la protezione dalla perdita di dati per prevenire le fughe di notizie e i servizi di protezione delle informazioni per inviare e-mail e allegati di grandi dimensioni in modo sicuro.

    Per saperne di più su come bloccare le minacce di un insider malintenzionato con Mimecast.

    Risorse correlate su Malicious Insider

    Resources_38.jpg
    Email Collaboration Threat Protection

    Gartner® Quadrante magico™ per la sicurezza delle e-mail

    Analyst Report
    Resources_35.jpg
    Email Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_26.jpg
    Email Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infographic
    Back to Top