I framework o quadri di riferimento del settore hanno un ruolo fondamentale nella sicurezza informatica. Da un lato, aiutano i team della sicurezza a valutare i propri controlli rispetto a un quadro comune e collaudato nel settore. L’utilizzo di un framework permette ai team della sicurezza di identificare le lacune critiche che potrebbero esporre l'azienda a un attacco informatico. Inoltre, fornisce anche un linguaggio comune che può essere utilizzato dai professionisti della sicurezza in ogni settore e disciplina. MITRE ATT&CK e NIST sono due framework consolidati e comunemente utilizzati.
Di recente introduzione nel settore della sicurezza, Insider Threat Matrix™ è un framework pubblico e aperto incentrato esclusivamente sul rilevamento e la prevenzione delle minacce interne. Abbiamo recentemente avuto l'opportunità di incontrare James Weston e Joshua Beaman, i creatori di Insider Threat Matrix™.
Durante la nostra conversazione, abbiamo discusso dei motivi alla base della creazione della matrice, della loro visione per il futuro e di come possa aiutare i team che si occupano della gestione dei rischi interni. Ex professionisti specializzati in minacce interne, James e Joshua vantano una vasta esperienza nel rilevare tali minacce, contrastarle e condurre indagini dedicate. Di seguito è riportata una sintesi della nostra conversazione.
Perché avete sviluppato Insider Threat Matrix™?
Sappiamo per esperienza diretta che le indagini interne sono spesso complesse, ambigue e poco supportate dai framework esistenti. Altri modelli del settore si concentrano principalmente sui criminali informatici esterni, non sulle minacce che provengono dall’interno. Abbiamo individuato questa lacuna e abbiamo voluto creare un framework dedicato alle minacce interne. Insider Threat Matrix™ è interamente incentrato sul fattore umano e analizza come la fiducia viene infranta all'interno di un'azienda. Aiuta i team responsabili della gestione delle minacce interne a classificare, rilevare e neutralizzare le minacce interne.
La gestione delle minacce interne, più di qualsiasi altra disciplina di sicurezza, si basa sulla collaborazione interfunzionale. Il nostro obiettivo era fornire ai responsabili delle indagini una tassonomia e un linguaggio coerenti che potessero essere applicati alle seguenti funzioni: sicurezza informatica, risorse umane, ufficio legale e conformità.
Quali sono i principali utenti di riferimento dell'Insider Threat Matrix™?
Gli utenti principali a cui abbiamo pensato durante lo sviluppo della matrice sono i responsabili delle indagini delle minacce interne e gli analisti delle operazioni di sicurezza. Fondamentalmente, sono i team incaricati di comprendere e gestire tutti gli eventi legati alle minacce interne. Gli eventi spaziano da azioni difficili da cogliere a incidenti ad alto rischio in cui i metodi e le intenzioni non sono sempre chiari.
In Proofpoint facciamo una distinzione tra rischi interni e minacce interne. Qual è la vostra definizione di entrambi? Come si relazionano tra loro?
Anche noi facciamo una netta distinzione tra rischi interni e minacce interne. Utilizziamo anche un termine importante per chiarire il concetto: popolazione.
Per popolazione intendiamo l'insieme di individui, collaboratori, collaboratori interinali, affiliati e altro personale che compongono la forza lavoro di un'azienda e sono soggetti alle sue policy, ai suoi controlli e alla sua governance degli accessi.
Definiamo i rischi interni come la probabilità che l'azione o l'inerzia di un membro di una popolazione possano causare danni o perdite all'azienda, unitamente al potenziale impatto di tali conseguenze. l rischi interni includono comportamenti sia intenzionali sia involontari.
Definiamo le minacce interne come un membro, o un gruppo di membri, della popolazione che ha l’intenzione o la propensione a causare danni o perdite all'azienda. Questo termine si applica specificatamente a coloro le cui azioni, motivazioni o circostanze rappresentano un rischio concreto.
In breve: tutte le minacce interne rientrano nel quadro più ampio dei rischi interni, ma non tutti i rischi si concretizzano in minacce.
Qual è stata la reazione alla matrice da parte della comunità che si occupa delle minacce interne? Cosa vi ha sorpreso di più?
Dal lancio di Insider Threat Matrix™ all’evento Black Hat nel 2024, la risposta è stata estremamente positiva. I responsabili dei programmi di gestione delle minacce interne affermano che la matrice offre il linguaggio e la struttura condivisi che storicamente sono mancati in questo settore. Il framework è stato adottato nel campo dell’ingegneria del rilevamento, nella progettazione dei processi investigativi, nelle verifiche della sicurezza e persino nello sviluppo delle policy.
Ci ha colpito soprattutto l’ampiezza dell’interesse suscitato: non sono solo i team dedicati alla gestione delle minacce interne, ma anche gli analisti dei centri operativi di sicurezza (SOC), i professionisti delle risorse umane oltre a figure legali e di conformità che riconoscono il valore di un framework comune capace di collegare le loro discipline. L'adozione interfunzionale ha nettamente superato le nostre aspettative.
In che modo vengono acquisiti i riscontri sulla matrice? Qual è il processo di cambiamento?
Il framework Insider Threat Matrix™ è volutamente aperto e in continua evoluzione. I riscontri provengono dalle segnalazioni dei professionisti, dai forum professionali, dal coinvolgimento diretto durante le indagini e dalle nostre ricerche interne. Ogni proposta viene esaminata da un piccolo team di professionisti esperti di minacce interne e allineata alla terminologia e alla struttura del framework Insider Threat Matrix™. Ciò assicura coerenza prima che la proposta venga accettata nel quadro di riferimento. Chi contribuisce viene citato pubblicamente, sia all'interno della risorsa stessa sia sulla pagina ufficiale di Insider Threat Matrix™.
Qual è il prossimo passo per il framework Insider Threat Matrix™? Qual è la vostra visione?
Il nostro obiettivo è che Insider Threat Matrix™ diventi l'archivio vivente delle competenze e dell'esperienza combinate della comunità che si occupa di minacce interne. Vogliamo che diventi il punto di riferimento definitivo per descrivere la direttrice delle minacce interne. Ci auguriamo possa essere d’aiuto per tutte le parti interessate e migliorare notevolmente la qualità dei programmi di gestione dei rischi interni nelle aziende e nelle istituzioni.
Sviluppiamo e perfezioniamo costantemente la matrice. Nel corso del prossimo anno, intendiamo creare visualizzazioni che mostrino le direttrici delle minacce interne nel tempo, espandere le integrazioni della matrice direttamente nelle piattaforme software relative alle minacce interne e ampliare la comunità dei collaboratori. Il nostro obiettivo è che la matrice diventi il linguaggio di fatto per le indagini sulle minacce interne.
Quali consigli dareste ai team della sicurezza che desiderano utilizzare concretamente la matrice? Come dovrebbero iniziare?
Il framework Insider Threat Matrix™ è progettato per essere immediatamente utilizzabile, indipendentemente dalla maturità del programma di gestione delle minacce interne. Per i nuovi programmi, il primo passo è semplice: usare la matrice per definire le basi delle policy e identificare le "violazioni di volume". Si tratta di violazioni relativamente minori, ma frequenti, che spesso segnalano un cambiamento comportamentale più ampio. Per i programmi consolidati, la matrice può identificare le lacune nei controlli, allineare i rilevamenti per garantire la copertura, guidare lo sviluppo delle regole di rilevamento e garantire indagini coerenti.
Non è mai troppo presto per introdurre il framework Insider Threat Matrix™. Il momento giusto è quando un team desidera passare da controlli e risposte ad hoc a processi di rilevamento, prevenzione e indagine strutturati e sostenibili. Un primo passo pratico consiste nel mettere a confronto i recenti eventi interni dell’azienda con le categorie della matrice. Questo singolo esercizio spesso mette in evidenza modelli e lacune che possono immediatamente fornire informazioni utili sia per le attività di rilevamento sia per la definizione delle policy.
Per saperne di più
Per ulteriori informazioni su Insider Threat Matrix™, partecipa al nostro webinar in due parti a ottobre.
