Con ogni giorno che passa, diventiamo sempre più dipendenti da app e dispositivi per gestire le nostre vite, sia dentro che fuori dal lavoro.
Per questo motivo, i dati sono ovunque, e ci sono molte lacune attraverso le quali possono trapelare, e chiunque può abusarne. Siamo abituati a pensare che le fughe di dati provengano da estranei che hackerano i nostri sistemi, ma non è sempre così.
A volte gli attacchi informatici più dannosi ai nostri dati provengono dall'interno sotto forma di minaccia interna. Le aziende utilizzano strumenti come il software di gestione delle informazioni e degli eventi di sicurezza (SIEM) per monitorare l'attività degli utenti e strumenti di autenticazione a più fattori per rafforzare la sicurezza degli account e prevenire attacchi interni.
Cos'è una minaccia interna?
Una minaccia interna è una violazione della sicurezza che ha origine all'interno di un'organizzazione, ad esempio attraverso dipendenti che hanno informazioni interne sulle pratiche di sicurezza, sui dati e sui sistemi informatici.
Questo tipo di attacco non deve necessariamente provenire da un dipendente o stakeholder attuale. Può provenire da un ex datore di lavoro, membro del consiglio o chiunque abbia avuto accesso a informazioni riservate e private di un'organizzazione.
Le minacce interne si verificano quando qualcuno vicino a un'organizzazione ha accesso autorizzato e lo utilizza in modo improprio per influenzare negativamente informazioni o sistemi critici.
98%
delle organizzazioni si sentono vulnerabili agli attacchi interni.
Fonte: Cybersecurity Insiders
Tipi di minacce interne
Ci sono tre tipi principali da tenere d'occhio quando si tratta di minacce interne.
Maliziosa
Una minaccia interna maliziosa proviene da qualcuno che cerca deliberatamente di sabotare un'organizzazione. Gli obiettivi sono tipicamente spionaggio, frode e furto di proprietà intellettuale.
Un esempio di ciò sarebbe un dipendente scontento con l'intento di rubare informazioni dopo aver lasciato o essere stato licenziato. Esiste anche un tipo di minaccia interna chiamata Logic Bomb. Si verifica quando ex dipendenti installano software dannoso sui sistemi informatici.
Involontaria
Una minaccia interna involontaria deriva da errori umani o cattivo giudizio. Questo include qualsiasi cosa, dall'apertura di un'email di phishing, all'attivazione di malware, all'impegno in Shadow IT, e all'aiuto involontario dell'attore della minaccia.
Nel 2020, uno studio condotto da Verizon ha rilevato che il 2% dei dipendenti presi di mira in una campagna di phishing clicca su link dannosi.
Talpa
Una talpa è un estraneo che ha accesso alla rete di un'organizzazione. Può essere chiunque dall'esterno dell'organizzazione che si spaccia per un dipendente, un appaltatore o un partner.
Alcune aziende utilizzano l'autenticazione a più fattori per limitare le talpe in una certa misura proteggendo gli account utente.
Vuoi saperne di più su Software di Intelligence sulle Minacce? Esplora i prodotti Intelligence sulle minacce.
Come rilevare le minacce interne
Le minacce interne sono più difficili da identificare e bloccare rispetto ad altri attacchi. Anche se stai utilizzando il software di gestione delle informazioni e degli eventi di sicurezza (SIEM), un ex dipendente che utilizza il proprio login per hackerare il tuo sistema non solleverà gli stessi allarmi di un hacker di alto livello che prende il controllo della tua rete.
Il modo migliore per fermare le minacce interne è monitorare continuamente tutta l'attività degli utenti e agire quando si verificano incidenti. Puoi implementare un software di intelligence sulle minacce che utilizza strumenti e metodi all'avanguardia per individuare le minacce informatiche.
Quali sono alcuni potenziali indicatori di minacce interne?
È essenziale essere consapevoli dei segnali di avvertimento di una potenziale minaccia interna.
- Furto e corruzione: Osserva se l'attività degli utenti dei tuoi dipendenti si discosta dalla norma. Forse hanno avuto accesso a un account per la prima volta dopo un po' di tempo o da una nuova posizione.
- Errori dannosi: Questo è quando i tuoi dipendenti agiscono con negligenza. Comporta qualsiasi cosa, dall'apertura di account personali su server aziendali, alla condivisione di credenziali per una VPN, e al controllo delle email utilizzando un provider di terze parti.
- Nuove aperture per estranei: Questi sono segni che un cybercriminale ha già infiltrato un'organizzazione. Fai attenzione a un numero crescente di trasferimenti di dati, un numero di accessi superiore al previsto, tentativi di modificare privilegi e credenziali su un account esistente, o all'apertura di molti nuovi account.
Come prevenire le minacce interne
Le organizzazioni possono stabilire politiche e procedure per mitigare le minacce interne e controllare i danni se si verifica un incidente sfortunato. Di seguito sono riportate alcune migliori pratiche per aiutarti a proteggerti dalle minacce interne.
Documentare e applicare politiche e controlli
Crea politiche su come i dipendenti interagiscono con l'ambiente IT di un'organizzazione e applicale.
Di seguito sono riportate alcune politiche standard che le aziende dovrebbero stabilire.
- Regolamenti sulla protezione dei dati
- Politica di accesso di terze parti
- Politica di gestione delle password
- Politica di monitoraggio degli utenti
- Politica di gestione degli account
- Politica di risposta agli incidenti
Assicurati che il tuo dipartimento legale verifichi queste politiche e che il successo dei dipendenti o il dipartimento IT le comunichi efficacemente a tutti nell'organizzazione.
Eseguire una valutazione del rischio a livello organizzativo
Una valutazione del rischio a livello organizzativo ti aiuterà a identificare risorse critiche, vulnerabilità e rischi associati. Puoi dare priorità alle misure di mitigazione e rafforzare la tua infrastruttura IT contro qualsiasi attacco informatico o minaccia interna in base alla natura dei rischi.
Puoi utilizzare un software di gestione del rischio IT per proteggere i dati aziendali da tutti i rischi associati a software e hardware.
Implementare pratiche rigorose di gestione degli account e degli accessi
Gli utenti dovrebbero essere sfidati a dimostrare la loro identità non solo inserendo password ma attraverso diversi altri modi. Puoi adottare un software di autenticazione a più fattori per impostare più sfide. Questi software richiederebbero agli utenti di autenticarsi attraverso meccanismi multipli come l'autenticazione biometrica o inserendo password monouso (OTP) per dimostrare la loro identità.
Trovare attori rischiosi e rispondere prontamente ad attività sospette
Tieni sotto stretta osservazione i sistemi di sicurezza e rispondi a qualsiasi attività sospetta secondo il tuo piano di risposta agli incidenti. È essenziale monitorare e controllare l'accesso remoto ai sistemi e assicurarsi di ricevere avvisi attraverso più canali ogni volta che viene rilevata un'attività sospetta.
Considera l'uso di un software di analisi del comportamento degli utenti e delle entità (UEBA) per identificare modelli, monitorare comportamenti di utenti o macchine e notificare agli stakeholder in caso di attività anomala.
Esempi reali di minacce interne
Per tutti voi appassionati di crimini veri, diamo un'occhiata ad alcuni esempi di minacce interne e alle aziende che ne hanno pagato il prezzo.
General Electric: dipendente ruba dati preziosi e segreti commerciali
Nel luglio 2020, sono emersi dettagli da un lavoro interno di otto anni presso General Electric (GE). La truffa ha visto il dipendente Jean Patrice Delia rubare dati proprietari preziosi e segreti commerciali per utilizzare queste informazioni per avviare un'azienda rivale.
Dopo aver ottenuto l'accesso ai file che aveva richiesto a un amministratore IT, Delia ha inviato via email calcoli commercialmente sensibili al suo co-cospiratore. Dopo essersi dichiarato colpevole delle accuse, Delia ha affrontato fino a 87 mesi di carcere.
Cisco: ex dipendente sabota dati utente
Sudhish Kasaba Ramesh di San Jose, California, ha ricevuto due anni di prigione per aver distribuito malware che ha eliminato oltre 16.000 account utente sui sistemi di Cisco e causato danni per 2,4 milioni di dollari. L'incidente sottolinea la necessità di proteggere i dati da minacce interne ed esterne.
Serve come promemoria che non sono solo i tuoi attuali dipendenti a rappresentare una potenziale minaccia interna, ma anche i tuoi ex dipendenti.
Anthem: infiltrazione di dati dei dipendenti
Tra il 2014 e il 2015, Anthem ha subito una violazione dei dati sotto forma di furto interno in cui gli attaccanti hanno rubato i dati personali di oltre 18.000 membri Medicare. Non è stato fino ad aprile 2017, quasi tre anni dopo, che il fornitore di servizi di coordinamento dell'assicurazione Medicare.
L'impiegato dietro questa minaccia interna aveva inviato via email un file contenente numeri ID Medicare, numeri di previdenza sociale, numeri ID del piano sanitario, nomi dei membri e altro al proprio indirizzo email.
39%
delle violazioni dei dati sanitari nel 2020 sono state causate da minacce interne.
Fonte: Verizon
Target: minaccia di credenziali di terze parti
Nel 2013, Target ha subito una violazione dei dati delle carte di credito molto pubblicizzata a causa di un fornitore di terze parti che ha preso le credenziali di sistemi critici al di fuori di un caso d'uso appropriato. Queste informazioni hanno permesso agli hacker di infiltrarsi nei sistemi di pagamento di Target, accedere al database dei clienti e installare malware.
Facendo ciò, hanno potuto rubare informazioni dai clienti di Target, inclusi nomi, numeri di telefono, indirizzi email e dettagli delle carte di pagamento.
RSA: dipendenti cadono in un attacco di phishing
Nel marzo 2011, l'RSA è stata vittima di una minaccia interna quando i dipendenti hanno cliccato su un attacco di phishing mirato, portando alla compromissione di 40 milioni di record di dipendenti.
I due gruppi di hacker dietro questo attacco hanno lanciato la truffa di phishing fingendosi colleghi fidati e contatti all'interno dell'organizzazione. L'RSA è il braccio di sicurezza dell'EMC, e questo attacco ha dimostrato che nessuno, nemmeno un fornitore di sicurezza, è al sicuro da una violazione dei dati interna.
Rockwell e Boeing: impiegato una spia
Pensi che le spie siano solo per i drammi televisivi e i film di Hollywood? Ripensaci.
Le spie vengono in tutte le forme e dimensioni; in questo caso, vengono sotto forma di Greg Chung, che ha spiato per la Cina mentre sia Rockwell che Boeing lo impiegavano. Tra il 1979 e il 2006, Chung ha rubato centinaia di scatole di documenti riguardanti piani per spedizioni militari e spaziali degli Stati Uniti.
Questa minaccia interna sponsorizzata dallo stato nazionale è uno dei modi in cui altri paesi possono ottenere accesso a segreti e proprietà intellettuali preziosi e altamente classificati.
Proteggiti dall'interno verso l'esterno
Con le minacce interne che rappresentano un rischio finanziario così grande, è più importante che mai utilizzare la formazione sulla consapevolezza e essere in grado di individuare i segni di una minaccia interna prima che accada. Non smettere mai di monitorare l'attività degli utenti, poiché la causa principale di tutte le minacce interne ai tuoi sistemi sono le persone che li utilizzano.
Interessato a saperne di più sulle minacce là fuori? Scopri come identificare i diversi tipi di spyware.
Mara Calvello
Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.
