Cos’è il Data breach? Significato ed esempi

Il data breach - o data exfiltration - avviene quando si verifica la copia, il trasferimento, o il recupero, non autorizzati, di dati da un server o da un computer.

L’esfiltrazione di dati è una tra le preoccupazioni principali per la sicurezza delle aziende oggigiorno. Secondo un recente studio di McAfee, il 61% dei professionisti che operano nel campo della sicurezza informatica, hanno subìto un data breach nelle loro attuali aziende. Con le normative sempre più stringenti in tema di protezione dei dati, come il GDPR e il CCPA (California Consumer Privacy Act), la posta in gioco in caso di violazione di dati, è molto alta.

Gli attacchi di data breach preoccupano maggiormente aziende ed organizzazioni che conservano dati di valore, sia che provengano dall'esterno, sia che avvengano dall'interno dell'azienda stessa.

Gli incidenti causati dalle minacce interne all'azienda, accidentali o malevole che siano, costituiscono una delle cause principali di esfiltrazione dati. All'interno della rete aziendale, potrebbero agire dipendenti infedeli, che tentano di arrecare un danno all'organizzazione per perseguire i propri o altrui interessi. Tuttavia è importante notare che due incidenti interni su tre, sono causati accidentalmente, e può risultare altrettanto costoso per l'azienda, se tali problematiche non vengono risolte rapidamente.

Secondo lo studio McAfee appena citato, i metodi di esfiltrazione di dati più comuni includono:

• Database leaks
• Traffico di rete
• Condivisione di file
• Email aziendali

Applicazioni cloud e database

Un recente rapporto di CA Technologies sulle minacce interne alle aziende, ha messo in evidenza come i database costituiscano la risorsa più vulnerabile, prima ancora dei file server, delle applicazioni cloud, e dei dispositivi mobili. Essendo i dati contenuti in essi, così preziosi, i database vengono comunemente presi di mira sia da attacchi esterni, che interni all'azienda.

Dispositivi di memorizzazione removibili

I dispositivi removibili costituiscono un altro comune vettore di attacco. Anche nell'era dell'onnipresente cloud, i metodi di esfiltrazione dati vecchio stile, basati sulle chiavette USB, continuano a rappresentare una seria minaccia. Anche se è irrealistico vietare completamente l'utilizzo di chiavette USB all'interno dell'azienda, i dipendenti devono essere consapevoli dei rischi e devono rispettare le politiche aziendali riguardo l'accesso e la memorizzazione dei dati.

Mentre la condivisione di file costituisce il primo dei metodi di data exfiltration negli Stati Uniti, le chiavette USB costituiscono il primo vettore per l'esfiltrazione dei dati in Europa e Asia.

Minacce interne accidentali

Oltre agli utenti che agiscono mossi da cattive intenzioni, anche le minacce interne accidentali possono rivelarsi una grossa causa di data exfiltration. Le email di phishing e gli attacchi basati sul social engineering, rimangono per gli hackers, un metodo collaudato per accedere ai dati aziendali. Inoltre, la scelta o il riutilizzo di password deboli, e il mancato utilizzo di metodi di autenticazione a due fattori, costituiscono vulnerabilità che fanno gola agli hackers, per penetrare negli account delle vittime. In scenari del genere, la miglior difesa è diventare consapevoli delle minacce informatiche che ci circondano. Lo studio McAfee ha messo anche in luce come la divulgazione di dati riservati tramite email, si riveli spesso una comune minaccia interna, in ambito aziendale.

Utilizzo improprio dei dati

Secondo un recente Rapporto Verizon sulle Minacce Interne, l’utilizzo improprio è un'altra delle cause più comuni di data exfiltration. A differenza delle minacce interne accidentali, dovute perlopiù alla mancanza di attenzione, parliamo di utilizzo improprio, quando l'utente cerca di bypassare, in maniera intenzionale o meno, i controlli e le politiche sulla sicurezza. Come ad esempio un dipendente che utilizza software non autorizzato per lavorare con un soggetto esterno, come un cliente o un fornitore, soltanto perché è più semplice da utilizzare e gli agevola il lavoro, mettendo però in questo modo a rischio di data exfiltration i dati aziendali.

I vostri dipendenti potrebbero però divulgare i dati aziendali in molti altri modi: tramite l'utilizzo dei propri account di posta privati sul lavoro, tramite il salvataggio di file sul cloud o sui siti per la condivisione di file, ma anche più semplicemente, tramite l'incauta stampa di dati aziendali, o tramite il salvataggio di scorciatoie sulla tastiera del proprio computer aziendale, che potrebbero rivelare informazioni riservate. Potrebbe rivelarsi difficile per un'azienda riuscire a distinguere un'attività legittima dell'utente all'interno della rete, da una malevola, ma in questi casi avere a disposizione un sistema in grado di far luce sul contesto in cui si svolgono le azioni dell'utente, può aiutare a capire se ci si trovi o meno, di fronte ad una minaccia per la sicurezza.

Molte aziende e organizzazioni, si affidano a sistemi di difesa tradizionali, come gli strumenti di Data Loss Prevention (DLP), per tentare di prevenire il fenomeno della data exfiltration. Anche se tali strumenti possono risultare efficaci in certi casi, spesso non riescono a rilevare l'esfiltrazione dei dati dovuta alle minacce interne all'azienda.

Ad esempio, le soluzioni DLP di livello enterprise sono solitamente utilizzate da un'organizzazione per rilevare violazioni sulle politiche di utilizzo dei dati, per prevenire il data loss. L'implementazione comporta un approfondito lavoro di ricerca e classificazione, al fine di individuare, comprendere e categorizzare i dati sensibili. Questi strumenti vanno continuamente aggiornati e calibrati, in base alle specifiche esigenze, richiedendo dunque agli addetti del reparto IT, un gran lavoro di messa a punto per assicurare che le politiche di sicurezza siano sempre in grado di salvaguardare i dati ritenuti sensibili.

Difficoltà relative all’uso degli strumenti DLP

Nella realtà, questi strumenti DLP sono complicati da impostare e mantenere, pesano sui computer aziendali e sono tutt'altro che apprezzati dagli utenti. La ricerca estesa e la classificazione dei dati, può rivelarsi un'operazione onerosa per molte aziende dalle risorse piuttosto limitate, e man mano che nuove tecnologie vengono implementate all'interno dell'azienda, rischiano di arrivare ad un punto in cui non riescono più a gestire la propria rete, se gli strumenti DLP non vengono mantenuti a dovere. Quel che è peggio, è il fatto che gli utenti potrebbero bypassare il DLP, se lo considerano un impedimento alla propria produttività in ufficio. Tale strumento infatti, fa affidamento su chi sta al computer, per classificare dati e documenti, e alcuni dipendenti potrebbero intenzionalmente classificare certi file in maniera errata, così da poter mantenere la libertà e l'autorizzazione ad utilizzarli.

In alternativa, o in aggiunta ad una soluzione DLP, le aziende dovrebbero adottare una soluzione per la gestione delle minacce interne, al fine di prevenire l'esfiltrazione di dati. A differenza degli strumenti DLP, una piattaforma per la gestione delle minacce interne come quella di Proofpoint, si basa su una combinazione del monitoraggio dell'attività dell'utente e del monitoraggio dei dati. Mentre i DLP e altri strumenti si concentrano esclusivamente sui dati, il monitoraggio dell'attività dell'utente aiuta a fornire il contesto in cui chi sta facendo cosa, quando e perché.

Come difendersi dai data breach con Proofpoint

Molti dei sistemi di difesa tradizionali, si concentrano sul rilevamento delle minacce esterne, perciò avere a disposizione uno strumento per il monitoraggio dell'attività dell'utente e dei dati, vi permetterà di rilevare azioni sospette da parte dell'utente, di cui, con le altre soluzioni, vi accorgereste soltanto quando è ormai troppo tardi. Dal momento che le minacce interne, come dice la parola stessa, si trovano già dentro il perimetro aziendale, passano spesso inosservate, a meno che gli addetti del reparto IT, non abbiano la possibilità di monitorare l'attività dell'utente, e il contesto in cui egli compie tali azioni, che permetterebbe loro di dimostrare se un incidente interno di sicurezza, sia intenzionale o accidentale. Una piattaforma come Insider Threat Management di Proofpoint, avviserà immediatamente gli addetti del reparto informatico, di ogni potenziale minaccia interna, e metterà loro a disposizione una timeline dell'attività dell'utente, con una dettagliata riproduzione video per facilitare e velocizzare le indagini.

Le aziende non possono più permettersi di lasciare il proprio patrimonio di dati a rischio. Devono imparare a bloccare le più comuni minacce che portano all'esfiltrazione di dati, implementando politiche di sicurezza adeguate, devono formare il personale per limitare le minacce accidentali, e predisporre una soluzione dedicata alla gestione delle minacce interne, per ottenere informazioni preziose sul contesto in cui nasce un potenziale incidente. Se desiderate testare l'ambiente sandbox di Proofpoint, potete farlo tranquillamente senza bisogno di scaricare o installare nulla. Vedrete quanto sarà semplice individuare e bloccare l'esfiltrazione di dati nella vostra azienda.