Questo detto della sicurezza informatica viene ripetuto così spesso che è diventato un vero e proprio cliché. Ma come molti stereotipi, è vero: le perdite di dati non avvengono per magia. Sono gli utenti a causarle. Talvolta prendono i dati loro stessi; altre volte lasciano una porta aperta e permettono a dei malintenzionati di entrare e servirsene.
In un mondo in cui i criminali informatici sono meno inclini a prendere di mira le vulnerabilità software che le nostre identità, il perimetro tradizionale è scomparso. Oggi, il nuovo perimetro è rappresentato dagli individui, ovunque si trovino - on premise o nel cloud - e qualunque sistema, dispositivo o credenziale d’accesso utilizzino per accedere ai dati.
Ovviamente, se gli attacchi informatici prendono di mira i nostri collaboratori (o meglio, le loro identità), anche le nostre difese informatiche sono destinate a finire nel mirino di malintenzionati. La sfida è diventata ancora più complessa, dato che un gran numero di collaboratori accedono alle nostre risorse, spesso a distanza.
Per proteggere i nostri utenti e quindi le nostre aziende, dobbiamo identificare con precisione chi accede ai nostri dati, come quando, dove e perché. È solo quando disponiamo di tutte queste informazioni che possiamo iniziare a implementare le protezioni dove sono più necessarie, formare gli utenti sui rischi che devono affrontare e contrastare i criminali informatici alla nuova frontiera rappresentata dalle nostre identità.
Contrastare le minacce interne
Se difendere un nuovo perimetro più fluido è già particolarmente difficile, la crescente focalizzazione sulle nostre identità da parte dei criminali informatici rappresenta un problema aggiuntivo. I nostri collaboratori si trovano già all’interno delle nostre difese tradizionali. Perciò, per garantire una protezione da utenti malintenzionati, compromessi o negligenti che causano la perdita di dati, dobbiamo adottare delle misure che proteggono l’azienda dall’interno.
L’email si conferma il principale punto di ingresso più comune per le minacce avanzate. Per questo motivo, una difesa efficace inizia dalla casella di posta in arrivo. I nostri utenti devono comprendere l’importanza di credenziali d’accesso efficaci, i rischi legati al riutilizzo e alla condivisione delle password nonché i pericoli associati alle email di phishing, ai link dannosi e agli allegati fraudolenti.
Nel corso delle nostre ricerche per il report State of the Phish 2024, Proofpoint ha scoperto che i professionisti della sicurezza in Europa e Medio Oriente considerano il riutilizzo delle password il comportamento più a rischio, nonché il secondo comportamento più comune tra gli utenti.
Gli strumenti di protezione dell’email possono essere d’aiuto poiché filtrano i messaggi dannosi prima che raggiungano la casella di posta in arrivo. Tale misura riduce i rischi nel caso in cui un collaboratore abbia subito una violazione. Comunque, i team della sicurezza devono sempre presumere che le minacce oltrepasseranno queste difese, anche con tassi di rilevamento spesso oltre il 99%. E quando queste misure difensive non svolgono il loro ruolo, sono necessari livelli di sicurezza aggiuntivi per bloccare gli attacchi.
Gli strumenti avanzati di prevenzione della perdita di dati (DLP) aziendali e di gestione delle minacce interne (ITM) ti forniscono tali livelli aggiuntivi. Analizzando i contenuti, i comportamenti e i dati telemetrici delle minacce, questi strumenti mettono in evidenza i comportamenti anomali o sospetti che possono portare alla perdita di dati.
Gli utenti negligenti sono la causa più menzionata di perdita di dati nella prima edizione del nostro report Stato dell’arte della perdita di dati nel 2024. Per gestire questo tipo di scenario, dovresti bloccare il comportamento negligente a rischio con un suggerimento di sicurezza diretto. Per esempio, supponiamo che un collaboratore cerchi di inviare file riservati in un’email con testo in chiaro. Una semplice finestra contestuale che li invita a rinunciare a questa azione potrebbe essere sufficiente per evitare che questi dati vengano esposti. Viene anche registrato il log completo dell’incidente, che può permettere di arricchire le formazioni di sensibilizzazione alla sicurezza informatica con un contesto del mondo reale. Un utente negligente potrebbe anche inviare un’email al destinatario errato. In base ai nostri studi, un utente su tre ha già inviato una o due email al destinatario sbagliato.
Nel caso di un utente interno malintenzionato, gli strumenti DLP e ITM intelligenti identificano i comportamenti a rischio e li segnalano ai team della sicurezza. Potrebbe trattarsi di un utente che scarica un’applicazione non autorizzata su un computer aziendale o rinomina i file per nascondere le sue intenzioni e non lasciare tracce.
Per quanto riguarda i collaboratori in procinto di lasciare l’azienda, una delle principali cause delle perdite di dati dovuta a un utente interno, i team della sicurezza possono adottare un approccio più proattivo. Focalizzandoti su questi collaboratori ad alto rischio, puoi creare un quadro probatorio del dolo. Grazie agli strumenti giusti, puoi anche acquisire log delle attività, screenshot, contenuti di email e altre informazioni utili per il dipartimento delle risorse umane e per le inchieste giudiziarie.
Identificare le violazioni degli account
Gli utenti interni che esfiltrano o espongono attivamente i dati non sono gli unici rischi di cui preoccuparsi nell’era del perimetro incentrato sulle persone. Bisogna essere altrettanto vigili rispetto ai criminali informatici che riescono a infiltrarsi nei sistemi delle aziende.
Spesso, i nostri utenti li aiutano a loro insaputa, creando password troppo deboli o cadendo vittima di un phishing o altri tipi di attacchi. Qualunque sia il mezzo utilizzato dal criminale informatico per infiltrarsi, devi disporre degli strumenti necessari per limitare i danni potenziali. Nella maggior parte dei casi, i criminali informatici che sfruttano gli account utente compromessi cercano di passare inosservati, spostandosi lateralmente sulle nostre reti per elevare i loro privilegi e individuare i dati che finiranno per rubare.
Durante questa fase, una soluzione DLP e ITM avanzata può rilevare tutte le attività fuori dall’ordinario. Per esempio, gli utenti:
- cercano di accedere a nuovi dati, nuovi sistemi e nuove posizioni della rete?
- si collegano da posti insoliti o sconosciuti?
- trasferiscono file vero o da drive o dispositivi nuovi o non autorizzati?
Se il contenuto a cui un utente accede o il modo con cui accede ai dati desta sospetti, i team della sicurezza possono intervenire: possono rapidamente rimuovere le autorizzazione e impedire ulteriori attività.
Proteggere i dati con Proofpoint Information Protection
Il contesto è essenziale per rilevare le attività sospette degli utenti interni. È in questo caso che le soluzioni DLP spesso non sono efficaci. Gli strumenti di vecchia generazione provengono dal mondo dei data center e sono stati concepiti per stabilire cosa rappresenta il comportamento normale di un utente all’interno dell’ambiente aziendale.
Proofpoint Information Protection va oltre. Le sue doppie funzionalità DLP e ITM proteggono contro le perdite di dati causate dagli utenti comuni, focalizzandosi in modo particolare sui collaboratori ad alto rischio. Si tratta dell’unica piattaforma di protezione delle informazioni che unisce la classificazione dei contenuti, l’analisi dei dati telemetrici delle minacce e l’analisi dei comportamenti degli utenti sui diversi canali all’interno di un’interfaccia unificata, nativa nel cloud. In questo modo disponi di una vista contestualizzata, più chiara e precisa dei rischi che derivano dall’ambiente interno della tua azienda.
Segui la serie di podcast “Insider Insight” per scoprire l’approccio incentrato sulle persone adottato da Proofpoint per proteggere i dati.
Se desideri saperne di più sulle misure di sicurezza associate ai collaboratori che lasciano l’azienda, sui criminali informatici risoluti e sulle email inviate a un indirizzo errato a livello globale, Scarica il nostro report Stato dell’arte delle perdite di dati nel 2024.