Insider Threat: significato e management

L'insider threat si verifica quando qualcuno legato all'azienda, sfrutta i propri privilegi di accesso per compromettere sistemi e informazioni sensibili dell'azienda stessa. Non deve trattarsi necessariamente di un dipendente; anche fornitori, collaboratori esterni, e partner aziendali possono costituire una minaccia interna. In base alle intenzioni di chi ne è responsabile, l'insider threat può essere involontario, o doloso. L'impiegato che, per negligenza, cade vittima di un attacco phishing, è un esempio di minaccia interna involontaria. Chi invece sottrae o distrugge dati aziendali sensibili, o pratica attività di spionaggio, rientra ovviamente nell'insider threat doloso.

Il vostro maggiore asset è anche il vostro rischio maggiore. Infatti, la causa principale dell'insider threat sono le persone. Nonostante ciò, la maggior parte degli strumenti di sicurezza si concentrano solo sull'analisi dei computer, delle reti e dei dati.

Le minacce possono provenire da qualsiasi livello e da chiunque abbia accesso ai dati aziendali, tanto da costituire il 25% di tutti gli incidenti di sicurezza informatica.^[1]

Recenti statistiche sull'insider threat hanno messo in luce come il 69% degli intervistati abbiano ammesso di aver subìto negli ultimi 12 mesi un attacco andato a segno, o solo tentato, che ha portato alla compromissione dei dati aziendali.

• Qualcuno a cui è stato fornito un badge o l'accesso a un dispositivo.
• Qualcuno a cui l'azienda ha fornito un computer o l'accesso alla rete aziendale.

• Qualcuno incaricato dello sviluppo di prodotti e servizi.
• Qualcuno che è a conoscenza dei processi aziendali interni.
• Qualcuno che ha accesso ad informazioni riservate.

Per insider threat in cyber security si intende un dipendente, fornitore, dirigente, collaboratore, o chiunque lavori direttamente con un'azienda. L'insider intenzionale è colui che utilizza in modo improprio i dati aziendali per danneggiare consapevolmente l'azienda. Gli insider malevoli sono più difficili da rilevare rispetto alle minacce esterne in quanto sanno di dover nascondere le proprie tracce e solitamente sanno come rubare o compromettere i dati senza essere scoperti. Risulta difficile rilevarli anche perché spesso hanno legittimo accesso ai dati per lo svolgimento delle loro normali attività lavorative quotidiane.

Qualsiasi dipendente o collaboratore esterno può rivelarsi un insider malevolo, ma solitamente si tratta di soggetti che hanno elevati privilegi di accesso ai dati. Ad esempio, un software engineer ha accesso al database con la lista dei clienti e potrebbe rubare tali informazioni per rivenderle ad aziende concorrenti. Questa attività sarebbe difficile da rilevare in quanto è normale per gli sviluppatori avere accesso ai database.

• Frequenti violazioni della protezione dei dati e delle regole di compliance.
• Continui conflitti con altri dipendenti.
• Report sulle performance costantemente scarsi.
• Scarso interesse in nuovi progetti o incarichi.

• Utilizzo improprio dei soldi destinati a spese e viaggi aziendali.
• Interesse in altri progetti di cui non si ha competenza.
• Frequenti assenze per malattia.

• Installazione di backdoor per dare accesso ai dati da sistemi remoti o internamente.
• Installazione di hardware o software per accedere ai sistemi aziendali da remoto.
• Cambiare le password da account non autorizzati.
• Disabilitare firewall e antivirus senza essere autorizzati.

• Installazione di malware.
• Installazione di software non autorizzato.
• Tentativi di accesso a dispositivi di altri utenti o server che contengono dati sensibili.

• Utenti con elevati privilegi, come: amministratori di rete, manager, partner aziendali e qualsiasi altro utente con permessi di accesso a dati sensibili.
• Programmatori con accesso ai dati, in ambiente di sviluppo.
• Dipendenti che sono stati licenziati o che si sono dimessi, ma le cui credenziali sono ancora funzionanti.

• Dipendenti e responsabili di acquisizioni.
• Fornitori con accesso alla rete interna.
• Collaboratori esterni con accesso alla rete aziendale.
• Partner aziendali con accesso interno alla rete.

Un terzo delle aziende ha dovuto fare i conti con almeno un incidente di sicurezza dovuto a minacce interne.^[2] Il resto, probabilmente, non sa ancora di esserne stato vittima.

50%

degli incidenti ha portato all'esposizione involontaria di informazioni sensibili o riservate^[3]

40%

degli incidenti ha portato alla compromissione o al furto di dati relativi agli impiegati dell'azienda^[3]

33%

degli incidenti hanno portato alla compromissione o al furto di dati relativi ai clienti^[3]

32%

degli incidenti hanno portato alla compromissione o al furto di dati confidenziali (segreti aziendali o proprietà intellettuale)^[3]

• Servizi finanziari
• Telecomunicazioni
• Servizi tecnici

• Servizi sanitari
• Servizi governativi

L'insider threat è un fenomeno tanto insidioso quanto difficile da rilevare, proprio perché proviene dall'interno dell'azienda. Spesso questo crimine viene scoperto soltanto dopo anni. Un esempio significativo è accaduto ai danni di una compagnia finanziaria canadese. Un insider dell'azienda, animato da cattive intenzioni, è andato avanti per due anni a copiare dati dei clienti su drive condivisi. Quando l'azienda si è resa conto del danno, i record di 9,7 milioni di clienti erano già stati divulgati pubblicamente. Mitigare questa falla è costato a Desjardins 108 milioni di dollari.

Anche chi ricopre posizioni tecniche all'interno dell'azienda può rivelarsi una minaccia. Un'azienda di Cleveland, negli Stati Uniti, ha subìto un distributed denial-of-service (DDoS) quando i suoi server sono andati fuori uso a causa di un malware impiantato da uno dei developer della compagnia. I profili utente e relativi dati sono stati cancellati, portando alla paralisi delle operazioni aziendali.

Gli insider threat, come dipendenti o utenti con privilegi di accesso legittimi ai dati aziendali, sono difficili da rilevare. Essi sfruttano i propri privilegi per accedere ai dati e trafugarli, senza il bisogno di preoccuparsi di firewall, policy di accesso e infrastrutture di sicurezza.

Gli utenti con privilegi di accesso elevati sono i più pericolosi. Essi hanno potenzialmente la libertà di trafugare i dati con scarse probabilità di essere rilevati. Tali utenti non sono necessariamente dipendenti dell'azienda, ma possono anche trattarsi di fornitori, collaboratori esterni, partner aziendali e altri utenti con privilegi di accesso ai dati aziendali più sensibili.

Le aziende spendono cifre considerevoli per realizzare infrastrutture in grado di rilevare e bloccare minacce esterne. Tuttavia, queste minacce non vanno considerate come insider threat, anche nel momento in cui riescono a penetrare all'interno della rete aziendale. Per insider threat si intendono invece quegli specifici utenti considerati affidabili, che hanno legittimo accesso alla rete interna aziendale. Gli amministratori danno loro le credenziali e le policy per poter accedere e operare con i dati necessari alla loro attività lavorativa. Questi utenti non hanno bisogno di alcun malware o strumenti sofisticati per accedere ai dati, in quanto sono dipendenti dell'azienda, fornitori, collaboratori esterni, e manager. In ogni caso sono considerati affidabili.

Qualsiasi attacco che abbia origine da una fonte esterna, sconosciuta e non considerata affidabile, non va considerato come insider threat. Per difendersi dal fenomeno dell'insider threat è necessario l'utilizzo di sofisticati strumenti di monitoraggio e raccolta dei log, affinché ogni attività sospetta all'interno della rete possa essere rilevata. Un tempo, si tendeva a fidarsi ciecamente degli utenti, ma al giorno d'oggi, creare reti zero-trust, associate a soluzioni di Data Loss Prevention (DLP), è la strategia migliore da seguire. Gli amministratori e gli addetti alla creazione delle policy di sicurezza devono considerare una potenziale minaccia qualsiasi utente e applicazione interna alla rete.

Le minacce esterne originano solitamente per motivi finanziari, come rubare o estorcere denaro o rubare dati personali da vendere nei marketplace del dark web. Gli insider threat possono essere spinti dagli stessi obiettivi, ma sovente si tratta di qualcuno che cade inavvertitamente vittima di sofisticati attacchi phishing o social engineering. Quando invece è mosso da cattive intenzioni, l'obiettivo principale dell'insider è solitamente il furto di dati aziendali.

Un insider in mala fede cercherà di commettere frodi, sabotaggi, spionaggio aziendale o sfrutterà i propri privilegi di accesso per entrare in possesso di segreti aziendali da vendere alla concorrenza. Anche se non tutte le minacce interne sono intenzionali, le caratteristiche sono difficili da identificare, anche utilizzando sistemi sofisticati. Dato che gli utenti hanno generalmente accesso a file e dati, un valido programma di rilevamento delle minacce interne va alla ricerca di comportamenti e richieste di accesso sospetti, confrontandoli con le statistiche dei benchmark.

Qualsiasi azienda che abbia fornitori, dipendenti, o collaboratori esterni che hanno accesso ai dati aziendali, è potenzialmente a rischio di insider threat. Ciò vale anche per le aziende più grandi. Queste, probabilmente hanno implementato gli strumenti di difesa più avanzati, ma nonostante ciò l'insider threat resta una minaccia difficile da affrontare anche per loro.

Vediamo alcuni esempi:

• Tesla: secondo quanto riferito da Elon Musk, un insider malintenzionato, si è reso protagonista di un'azione prolungata di sabotaggio ai sistemi di Tesla. L'insider avrebbe sfruttato la sua posizione per alterare il codice del Sistema Operativo utilizzato per la produzione di Tesla, esportando dati molto sensibili della compagnia.
• Facebook: nel 2018 Facebook si è accorta che un ingegnere del reparto sicurezza si serviva di strumenti interni per molestare le ragazze.
• Coca Cola: un investigatore ha scoperto che un dipendente ha copiato su un drive esterno, i dati di circa 8000 dipendenti. Dopo essersi resa conto del data breach, l'azienda ha avvisato dell'accaduto i propri dipendenti e ha offerto loro il monitoraggio gratuito del credito per un anno.
• SunTrust Bank: un ex dipendente della compagnia bancaria SunTrust si è appropriato di 1 milione e mezzo di: nomi, indirizzi, numeri di telefono, e saldi bancari dei clienti. Non sono stati compromessi altri dati sensibili, ma la minaccia ha messo comunque a rischio la banca e i suoi clienti.

• Errore umano
• Errori di valutazione
• Phishing
• Malware

• Favoreggiamento involontario
• Furto di credenziali
• Praticità

• Specifici utenti che accedono o salvano grandi quantità di dati.
• Email contenenti dati sensibili, inviate a terze parti all'esterno dell'azienda.
• Accesso remoto alla rete e ai dati ad orari non convenzionali, al di fuori del normale orario lavorativo.
• Molteplici tentativi di accedere a siti web bloccati.

• Tentativi di accesso a porte e dispositivi USB.
• Frequenti richieste di accesso a dati non relativi al ruolo ricoperto da un dipendente in azienda.
• Portarsi a casa dispositivi aziendali senza avere il permesso.

• Applicare policy di sicurezza e regolare gli accessi in base al ruolo dei dipendenti e alle loro effettive esigenze lavorative.
• Monitorare le richieste di accesso, sia quelle andate a buon fine, sia i tentativi falliti.

• Utilizzare soluzioni di sicurezza e monitoraggio in grado di allertare gli amministratori tramite notifiche quando viene rilevata un'attività sospetta da parte dell'utente.
• Installare un'infrastruttura che monitori il comportamento dell'utente, rilevando accessi sospetti ai dati.

Per bloccare il fenomeno dell'insider threat, sia esso di origine accidentale o intenzionale, è necessario monitorare continuamente tutta l'attività degli utenti all'interno della rete aziendale e agire immediatamente non appena si verifica un incidente.

I potenziali rischi derivanti dall'insider threat sono numerosi, e possono includere l'installazione di malware sui sistemi aziendali, le frodi finanziarie, il danneggiamento di dati, o il furto di informazioni importanti. Per contrastare tali possibili scenari, le aziende devono implementare una soluzione di l'insider threat management, che si articoli in 6 punti essenziali:

Rilevamento delle minacce interne

Smascherare utenti a rischio, tramite il rilevamento di comportamenti anomali.

Indagine degli incidenti

Indagare immediatamente le attività utente sospette, nel giro di pochi minuti, non di giorni.

Prevenzione degli incidenti

Ridurre il rischio con sistemi di notifica delle attività sospette e blocco dell'utente.

Protezione della privacy degli utenti

Anonimizzare i dati degli utenti per proteggere la privacy di dipendenti e collaboratori esterni, ed essere conformi alle normative.

Conformità alle normative

Aderire ai requisiti di conformità in tema di insider threat.

Uso di strumenti integrati

Integrare soluzioni di rilevamento e insider threat management, con sistemi SIEM e altri strumenti di sicurezza per una visione globale il più accurata possibile.

[1] Verizon. “Data Breach Investigations Report”
[2] SANS. “Insider Threats and the Need for Fast and Directed Response”
[3] CSO Magazine. “U.S. State of Cybercrime Report”