Il software di gestione delle minacce interne (ITM) è un software di monitoraggio delle attività degli utenti che aiuta le aziende a prevenire che gli utenti interni compiano azioni dannose o negligenti all'interno dei sistemi, come accedere, copiare, rimuovere, manomettere o distruggere dati aziendali o altri beni senza permesso. Le aziende utilizzano il software ITM per monitorare e registrare le azioni degli utenti interni del sistema sui loro endpoint, come dipendenti attuali ed ex, appaltatori, partner commerciali e altre persone autorizzate, al fine di proteggere i beni aziendali, come i dati dei clienti o la proprietà intellettuale. Il software ITM è utilizzato da professionisti IT o della sicurezza. Il software ITM svolge un ruolo critico nella strategia di sicurezza complessiva di un'azienda, poiché gli strumenti di sicurezza che si concentrano sulle minacce esterne ai sistemi o alle reti spesso non sono in grado di rilevare le minacce sfumate degli utenti interni autorizzati.
Il software ITM spesso si integra con strumenti software di gestione delle identità e degli accessi (IAM) per estrarre i dati degli utenti interni. Gli strumenti ITM si integrano anche spesso con strumenti software di gestione delle informazioni e degli eventi di sicurezza (SIEM) e altri sistemi di analisi delle minacce per centralizzare le operazioni di sicurezza in un'unica posizione. Molte soluzioni software ITM hanno funzionalità che si sovrappongono con software di gestione degli accessi privilegiati (PAM), software di prevenzione della perdita di dati (DLP) e software di analisi del comportamento degli utenti e delle entità (UEBA), tuttavia questi strumenti hanno usi diversi. Il PAM è utilizzato per monitorare le azioni degli utenti privilegiati. Gli strumenti DLP rilevano le perdite di dati sensibili. Il software UEBA utilizza l'apprendimento automatico per rilevare anomalie rispetto all'uso di riferimento; questo è diverso dal software ITM che utilizza sensori endpoint e dati contestuali degli utenti per scoprire i rischi di minacce interne.
Per qualificarsi per l'inclusione nella categoria di gestione delle minacce interne, un prodotto deve:
Monitorare gli endpoint degli utenti e attivare avvisi quando vengono intraprese azioni di minaccia interna
Rilevare il movimento dei dati verso USB esterni o unità esterne o caricati su archiviazione cloud o email, uso eccessivo della stampante e uso dei tasti copia/taglia/incolla sugli endpoint degli utenti
Fornire registrazione video delle sessioni, catture dello schermo e registrazione dei tasti come prova di azioni dannose o negligenti
