Cos’è una minaccia interna? Le minacce interne sono utenti con accesso legittimo alle risorse dell’azienda che usano tale accesso, in modo doloso o involontario, per causare danni all’azienda. Le minacce interne non sono necessariamente dipendenti attuali, possono anche essere ex dipendenti, appaltatori o partner che hanno accesso ai sistemi o ai dati di un’organizzazione.
Con le minacce interne che rappresentano il vettore principale del 60 per cento delle violazioni dei dati, le organizzazioni devono esaminare le minacce che entrano dalla loro porta ogni giorno con lo stesso rigore che mostrano quando proteggono il perimetro dagli attaccanti esterni.
Perché le minacce interne sono così pericolose?
In un rapporto SANS del 2019 sulle minacce avanzate, i professionisti della sicurezza hanno identificato importanti lacune nella difesa contro le minacce interne guidate dalla mancanza di visibilità su una linea di base del normale comportamento degli utenti, nonché dalla gestione degli account utente privilegiati, che rappresentano un obiettivo più attraente per i casi di phishing o di compromissione delle credenziali.
Rilevare le minacce interne non è un compito facile per i team di sicurezza. L’insider ha già accesso legittimo alle informazioni e alle risorse dell’organizzazione e distinguere tra l’attività normale di un utente e quella potenzialmente dannosa è una sfida. Gli insider in genere sanno dove risiedono i dati sensibili all’interno dell’organizzazione e spesso hanno elevati livelli di accesso.
Di conseguenza, una violazione dei dati causata da un insider è significativamente più costosa per le organizzazioni di una causata da un attaccante esterno. Nello studio 2018 Cost of Insider Threats del Ponemon Institute, i ricercatori hanno osservato che il costo medio annuale di una minaccia insider era di 8,76 milioni di dollari, mentre il costo medio di una violazione dei dati nello stesso periodo era di 3,86 milioni di dollari.
Per saperne di più sul rilevamento delle minacce insider
4 tipi di minacce insider
Mentre il termine minaccia insider è stato in qualche modo cooptato per descrivere un comportamento strettamente maligno, esiste uno spettro definito di minacce insider. Non tutti gli insider sono uguali e variano notevolmente per motivazione, consapevolezza, livello di accesso e intento.
Per ogni tipo di minaccia insider, esistono diversi controlli tecnici e non tecnici che le organizzazioni possono adottare per rafforzare il rilevamento e la prevenzione. Gartner classifica le minacce insider in quattro categorie: pedone, sciocco, collaboratore e lupo solitario.
P pedone
I pedoni sono dipendenti che vengono manipolati per eseguire attività dannose, spesso involontariamente, tramite spear phishing o social engineering. Che si tratti di un dipendente inconsapevole che scarica malware sulla propria workstation o di un utente che rivela le credenziali a una terza parte che si finge un dipendente dell’help desk, questo vettore è uno degli obiettivi più ampi per gli aggressori che cercano di causare danni all’organizzazione.
Un esempio ha coinvolto Ubiquiti Networks, che è stata vittima di un attacco di spear-phishing in cui le e-mail dei dirigenti hanno indirizzato i dipendenti a trasferire 40 milioni di dollari sul conto bancario di una controllata. I dipendenti non erano consapevoli al momento che le email erano spoofed e che il conto bancario era controllato da truffatori.
Goof
I goof non agiscono con intenti malevoli ma compiono azioni deliberatamente e potenzialmente dannose. I goofs sono utenti ignoranti o arroganti che credono di essere esenti dalle politiche di sicurezza, sia per convenienza che per incompetenza. Il 95% delle organizzazioni ha dipendenti che cercano attivamente di aggirare i controlli di sicurezza e quasi il 90% degli incidenti insider sono causati da goofs. Un esempio di goof potrebbe essere un utente che memorizza informazioni personali identificabili (PII) non criptate in un account di cloud storage per un facile accesso sui propri dispositivi, nonostante sappia che questo è contro la politica di sicurezza.
Collaboratore
I collaboratori sono utenti che collaborano con una terza parte, spesso concorrenti e stati nazionali, per utilizzare il loro accesso in un modo che intenzionalmente causa danni all’organizzazione. I collaboratori tipicamente usano il loro accesso per rubare proprietà intellettuale e informazioni sui clienti o per causare interruzioni alle normali operazioni aziendali.
Un esempio di collaboratore è Greg Chung, un cittadino cinese ed ex dipendente della Boeing che ha accumulato documenti relativi al programma space shuttle per rimandarli in Cina. Lo spionaggio aziendale è anche prevalente con i collaboratori come nel caso di Uber e Waymo. Uber ha assunto un ingegnere di Waymo che era in possesso di una tecnologia riservata e proprietaria di auto a guida autonoma e presumibilmente l’ha usata nel suo progetto di auto a guida autonoma.
Lupo solitario
I lupi solitari sono completamente indipendenti e agiscono maliziosamente senza influenza esterna o manipolazione. I lupi solitari sono particolarmente pericolosi quando hanno elevati livelli di privilegio, come gli amministratori di sistema o gli amministratori di DB. Un classico esempio di lupo solitario è Edward Snowden, che ha usato il suo accesso ai sistemi classificati per far trapelare informazioni relative allo spionaggio informatico presso la NSA.
Come combattere le minacce interne: Creare un piano di rilevamento
Per rilevare efficacemente le minacce interne, le organizzazioni dovrebbero innanzitutto colmare le lacune di visibilità aggregando i dati di sicurezza in una soluzione di monitoraggio centralizzata, che sia una piattaforma di gestione delle informazioni e degli eventi di sicurezza (SIEM) o una soluzione autonoma di analisi del comportamento degli utenti e delle entità (UEBA). Molti team iniziano con i log di accesso, autenticazione e modifica dell’account, per poi ampliare la portata ad altre fonti di dati come i log delle reti private virtuali (VPN) e degli endpoint man mano che i casi di utilizzo delle minacce interne maturano.
Una volta centralizzate le informazioni, è possibile modellare il comportamento degli utenti e assegnare punteggi di rischio legati a specifici eventi rischiosi, come le modifiche alla geografia degli utenti o il download su supporti rimovibili. Con abbastanza dati storici, una linea di base di comportamento normale può essere creata per ogni singolo utente. Questa linea di base indica lo stato operativo normale di un utente o di una macchina in modo che le deviazioni in questa attività possano essere segnalate come anormali. Le deviazioni dovrebbero essere tracciate non solo per un utente specifico, ma anche rispetto ad altri utenti nella stessa posizione, con la stessa qualifica o funzione lavorativa.
Le anomalie comportamentali aiutano i team di sicurezza a identificare quando un utente è diventato un insider malevolo o se le sue credenziali sono state compromesse da un attaccante esterno. L’assegnazione di punteggi di rischio dà anche ai team del Security Operations Center (SOC) la possibilità di monitorare il rischio in tutta l’azienda, sia che si tratti di creare liste di controllo o di evidenziare gli utenti più a rischio nella loro organizzazione. Adottando una visione incentrata sull’utente, i team di sicurezza possono individuare rapidamente l’attività delle minacce interne e gestire il rischio degli utenti da una posizione centralizzata invece di mettere insieme manualmente diversi punti di dati che singolarmente potrebbero non mostrare il quadro completo.
Chiudere il cerchio con la riparazione
Come menzionato, gli account privilegiati rappresentano obiettivi di alto valore per gli insider. È importante per le organizzazioni adottare una soluzione di gestione degli accessi privilegiati (PAM) e alimentare i dati sugli accessi agli account privilegiati da tale soluzione nel loro SIEM. L’analisi comportamentale degli utenti può rilevare cose come tentativi di login anomali o più tentativi di password falliti e generare un avviso, se del caso, che l’analista deve convalidare.
Una volta convalidato, un incidente da minaccia insider potrebbe essere creato in un sistema integrato di Security Orchestration, Automation and Response (SOAR), dove il playbook può specificare quale rimedio è necessario. Potenziale rimedio potrebbe includere la sfida all’insider con l’MFA o la revoca dell’accesso, entrambe le cose possono essere fatte automaticamente nella soluzione IAM.
Ci sono diversi tipi di minacce insider di cui le organizzazioni dovrebbero essere consapevoli e ognuno presenta sintomi diversi per i team di sicurezza da diagnosticare. Comprendendo le motivazioni degli aggressori, i team di sicurezza possono essere più proattivi nel loro approccio alla difesa dalle minacce insider.
Per saperne di più sulla protezione della vostra organizzazione con la gestione degli accessi privilegiati (PAM)
Questo blog è stato recentemente aggiornato in reazione all'”attacco coordinato di social engineering” del luglio 2020 contro Twitter per includere informazioni sulla prevenzione e il rimedio sulla scia delle minacce insider.