Rischi di minacce interne e come rilevarli attraverso il monitoraggio dei dipendenti

A differenza delle minacce esterne, come l'intrusione di hacker dall'esterno, le minacce interne sono rappresentate da individui interni all'organizzazione. Può trattarsi di dipendenti, manager, partner o appaltatori: chiunque abbia accesso legittimo a dati, sistemi e locali riservati e lo utilizzi in modo da danneggiare l'azienda.

Le minacce interne si presentano in molte forme, ognuna delle quali richiede metodi di rilevamento leggermente diversi. A grandi linee possiamo classificarle in insider malintenzionati, insider negligenti e insider compromessi.

Quando pensiamo alle minacce insider, di solito ci viene in mente prima questo tipo di minaccia. Gli insider malintenzionati infliggono intenzionalmente danni per vendetta dopo essere stati scartati per una promozione o aver subito un'azione disciplinare, per motivi ideologici o persino per divertimento. Tuttavia, la maggioranza assoluta degli incidenti di insider malintenzionati - l'89% - è motivata da un guadagno economico personale. Gli insider possono:

• Rubare dati sensibili dei clienti, segreti commerciali o informazioni finanziarie per venderli alla concorrenza o per guadagno personale.

• Sabotare l'azienda cancellando file critici, interrompendo i sistemi o installando malware.

• Manipolare i registri finanziari, creare conti fraudolenti o appropriazione indebita per arricchimento personale.

• Rubare progetti, formule o altre proprietà intellettuali per venderle ai concorrenti o avviare una propria attività.

Gli insider malintenzionati non sono superagenti sotto copertura. Può trattarsi di un amministratore di sistema scontento che, sentendosi sottovalutato, cancella database di clienti critici prima di lasciare l'azienda. Oppure un addetto alle vendite che esporta sistematicamente i dati per venderli alla concorrenza e coprire così le bollette che si accumulano. Gli insider malintenzionati sono normali dipendenti che danneggiano deliberatamente l'organizzazione. Eppure, sono responsabili del 25% degli incidenti di insider threat.

Non tutti gli insider sono animati da malizia. I dipendenti negligenti non vogliono danneggiare deliberatamente l'organizzazione, ma i loro errori involontari e il loro comportamento negligente possono causare danni pari a quelli delle azioni dolose. Ben l'88% di tutti gli incidenti di violazione dei dati è causato o peggiorato in modo significativo da errori dei dipendenti. Gli insider negligenti spesso non hanno la consapevolezza o la formazione per riconoscere la minaccia o sono semplicemente imprudenti. Le loro azioni possono portare a gravi violazioni della sicurezza:

• clicca sui link delle e-mail di phishing, scaricando inconsapevolmente malware sui dispositivi aziendali;

• utilizzare password facilmente indovinabili o riutilizzare le password per più account;

• archiviazione di dati sensibili in luoghi non protetti;

• condividere informazioni riservate attraverso canali non criptati;

• bypassare i protocolli di sicurezza stabiliti, disabilitare il software di sicurezza o ignorare le politiche di sicurezza per convenienza o per mancanza di comprensione;

• inviare per errore informazioni sensibili al destinatario sbagliato;

• rilascio o pubblicazione involontaria di informazioni personali e altri errori umani.

Un esempio di insider negligente può essere un dipendente della contabilità fornitori che riceve un'e-mail apparentemente legittima. L'e-mail chiede di aggiornare i dati bancari di un fornitore. Il dipendente non controlla a fondo l'e-mail del mittente, clicca sul link, inserisce le credenziali in una finta pagina di login e concede inconsapevolmente agli hacker l'accesso al sistema finanziario dell'azienda.

In seguito a negligenza, l'account di un dipendente può essere compromesso da soggetti esterni. Il ladro di credenziali acquisisce le credenziali di accesso legittime di un dipendente tramite phishing, malware o altri metodi. L'aggressore agisce quindi come quel dipendente, rubando dati riservati o intraprendendo altre attività dannose. Il furto di credenziali è alla base del 20% delle minacce interne.

Quindi, come possiamo rilevare le minacce interne e prevenirle? Come già detto, i metodi di sicurezza tradizionali sono efficienti contro gli attacchi esterni, ma spesso non vedono i pericoli interni. È qui che entra in gioco il monitoraggio dei dipendenti.

Se il monitoraggio dei dipendenti è implementato in modo strategico ed etico, consente alle organizzazioni di vedere i processi di lavoro, il comportamento e le comunicazioni del personale. In questo modo, gli specialisti della sicurezza possono identificare comportamenti anomali, violazioni delle policy e segnali di intenti malevoli che altrimenti potrebbero passare inosservati.

Esploriamo le principali funzioni di monitoraggio dei dipendenti per il rilevamento delle minacce interne e come possono rivelare gli attori malintenzionati.

La prevenzione della perdita di dati (DLP) è un insieme sofisticato di funzioni per proteggere le informazioni sensibili da accessi o trasmissioni non autorizzati. Rileva e aiuta a gestire potenziali violazioni dei dati, esfiltrazioni, usi impropri ed esposizioni accidentali.

I sistemi DLP identificano le informazioni sensibili all'interno dell'organizzazione e agiscono come sentinelle digitali. Tracciano il movimento delle informazioni riservate, segnalano i tentativi non autorizzati di trasferirle, copiarle su dispositivi esterni o su cloud storage o stamparle. I sistemi DLP dispongono anche di meccanismi di allerta per notificare l'incidente agli specialisti della sicurezza e ai manager.

Il tracciamento meticoloso dei dati sensibili consente alle soluzioni DLP di rilevare le minacce interne, sia dolose che colpose.

Gli strumenti di User and Entity Behaviour Analytics (UEBA) utilizzano tecniche di analisi avanzate, tra cui l'intelligenza artificiale e l'apprendimento automatico, per rilevare comportamenti anomali e potenziali minacce alla sicurezza all'interno della rete di un'organizzazione. In primo luogo, l'UEBA analizza l'attività degli utenti (dipendenti, clienti e appaltatori) e delle entità (applicazioni, dispositivi e server) per stabilire modelli di base di attività normale. Successivamente, il sistema monitora continuamente il comportamento degli utenti e delle entità e lo confronta con le linee di base stabilite. Se rileva deviazioni dalla norma, le segnala come potenziali minacce alla sicurezza. A ogni anomalia viene assegnato un punteggio di rischio, che aumenta con l'aumentare del comportamento sospetto. Quando i punteggi di rischio superano le soglie predefinite, il sistema avvisa lo specialista della sicurezza o il manager per le indagini e le potenziali azioni.

L'UEBA è estremamente efficace contro le minacce interne, gli account compromessi e altri metodi di attacco che possono eludere gli strumenti di sicurezza tradizionali. La sua efficacia risiede nella capacità di rilevare le minacce che non corrispondono a modelli di attacco predefiniti. Allo stesso tempo, l'UEBA mostra un tasso inferiore di falsi positivi, poiché comprende i modelli di comportamento normali.

Il monitoraggio dell'attività dei dipendenti durante la giornata lavorativa rivela quali siti web e applicazioni utilizzano. In questo modo, le organizzazioni possono rilevare l'accesso a siti web non autorizzati o ad alto rischio o il tempo eccessivo trascorso su siti non correlati al lavoro (che in alcuni casi potrebbe essere un segno di disimpegno o di pianificazione malevola). Il monitoraggio delle applicazioni può anche rivelare installazioni di software non autorizzate che potrebbero comportare rischi per la sicurezza.

Nei casi di violazione dei dati, il monitoraggio delle attività aiuta a trovare il responsabile dell'incidente e a fornire le prove necessarie. Uno dei nostri clienti ha recentemente condiviso la storia di come CleverControl li ha aiutati a scoprire un insider che vendeva i loro dati ai concorrenti. Potete leggere questa storia minaccia insider caso più nel nostro blog.

Il monitoraggio delle comunicazioni fornisce informazioni sul contenuto e sugli schemi delle comunicazioni dei dipendenti. Il sistema monitora costantemente diversi canali di comunicazione, tra cui e-mail, videoconferenze, condivisione di file, strumenti di collaborazione e piattaforme di messaggistica istantanea. Algoritmi avanzati e IA analizzano i modelli e i contenuti delle comunicazioni e analizzano i dati raccolti alla ricerca di segnali di allarme. Questi segnali possono essere un linguaggio sospetto o parole chiave legate a fughe di dati, sabotaggi o collusioni. Quando il sistema rileva attività sospette, attiva una risposta automatica o notifica lo specialista della sicurezza per un'azione immediata.

Il monitoraggio della comunicazione aumenta in modo significativo la capacità dell'azienda di resistere alle minacce interne; tuttavia, deve essere attuato in modo responsabile.

Le minacce interne continuano a rappresentare una preoccupazione significativa per tutte le organizzazioni di qualsiasi dimensione. Possono assumere varie forme, dall'intento doloso alla semplice negligenza e disattenzione. Le minacce interne sono così pericolose perché vengono commesse da dipendenti fidati all'interno del perimetro di sicurezza e, pertanto, sono molto più difficili da rilevare e prevenire. Il monitoraggio dei dipendenti è una buona soluzione per rilevare e prevenire i rischi insider. Le sue funzionalità di DLP, UEBA, comunicazione e monitoraggio delle attività sono il kit di strumenti necessari per qualsiasi organizzazione che voglia rilevare e prevenire tempestivamente le violazioni della sicurezza.