L'insider threat si verifica quando qualcuno legato all'azienda, sfrutta i propri privilegi di accesso per compromettere sistemi e informazioni sensibili dell'azienda stessa. Non deve trattarsi necessariamente di un dipendente; anche fornitori, collaboratori esterni, e partner aziendali possono costituire una minaccia interna. In base alle intenzioni di chi ne è responsabile, l'insider threat può essere involontario, o doloso. L'impiegato che, per negligenza, cade vittima di un attacco phishing, è un esempio di minaccia interna involontaria. Chi invece sottrae o distrugge dati aziendali sensibili, o pratica attività di spionaggio, rientra ovviamente nell'insider threat doloso.

Il vostro maggiore asset è anche il vostro rischio maggiore. Infatti, la causa principale dell'insider threat sono le persone. Nonostante ciò, la maggior parte degli strumenti di sicurezza si concentrano solo sull'analisi dei computer, delle reti e dei dati.

Le minacce possono provenire da qualsiasi livello e da chiunque abbia accesso ai dati aziendali, tanto da costituire il 25% di tutti gli incidenti di sicurezza informatica.[1]

Recenti statistiche sull'insider threat hanno messo in luce come il 69% degli intervistati abbiano ammesso di aver subìto negli ultimi 12 mesi un attacco andato a segno, o solo tentato, che ha portato alla compromissione dei dati aziendali.

Significato di insider threat in cyber security

L’insider threat può essere: un dipendente infedele, un ex-dipendente, un collaboratore esterno o un partner aziendale che ha o ha avuto accesso alla rete, ai sistemi e ai dati aziendali. Alcuni esempi di insider includono:

  • Qualcuno a cui è stato fornito un badge o l'accesso a un dispositivo.
  • Qualcuno a cui l'azienda ha fornito un computer o l'accesso alla rete aziendale.
  • Qualcuno incaricato dello sviluppo di prodotti e servizi.
  • Qualcuno che è a conoscenza dei processi aziendali interni.
  • Qualcuno che ha accesso ad informazioni riservate.

Cosa si intende per insider intenzionale?

Per insider threat in cyber security si intende un dipendente, fornitore, dirigente, collaboratore, o chiunque lavori direttamente con un'azienda. L'insider intenzionale è colui che utilizza in modo improprio i dati aziendali per danneggiare consapevolmente l'azienda. Gli insider malevoli sono più difficili da rilevare rispetto alle minacce esterne in quanto sanno di dover nascondere le proprie tracce e solitamente sanno come rubare o compromettere i dati senza essere scoperti. Risulta difficile rilevarli anche perché spesso hanno legittimo accesso ai dati per lo svolgimento delle loro normali attività lavorative quotidiane.

Qualsiasi dipendente o collaboratore esterno può rivelarsi un insider malevolo, ma solitamente si tratta di soggetti che hanno elevati privilegi di accesso ai dati. Ad esempio, un software engineer ha accesso al database con la lista dei clienti e potrebbe rubare tali informazioni per rivenderle ad aziende concorrenti. Questa attività sarebbe difficile da rilevare in quanto è normale per gli sviluppatori avere accesso ai database.

Modelli di comportamento per il rilevamento delle minacce interne

I sistemi di rilevamento, intrusione e monitoraggio più sofisticati utilizzano un benchmark della tipica attività di rete e si servono di pattern di comportamento (ad esempio riguardo le richieste di accesso) per determinare se sia in corso un potenziale attacco. Tali sistemi possono servirsi dell'intelligenza artificiale per analizzare il traffico di rete e allertare gli amministratori in caso di anomalie.

Alcuni pattern di comportamento comuni nelle minacce interne includono:

  • Frequenti violazioni della protezione dei dati e delle regole di compliance.
  • Continui conflitti con altri dipendenti.
  • Report sulle performance costantemente scarsi.
  • Scarso interesse in nuovi progetti o incarichi.
  • Utilizzo improprio dei soldi destinati a spese e viaggi aziendali.
  • Interesse in altri progetti di cui non si ha competenza.
  • Frequenti assenze per malattia.

Indicatori tecnici di insider threat in cyber security

Durante il furto di dati, un insider spesso compie una serie di operazioni per coprire le proprie tracce, così da non essere scoperto. Rilevare tali anomalie può indicare una potenziale minaccia e portare a galla la fuga di dati.

Alcuni degli indicatori includono:

  • Installazione di backdoor per dare accesso ai dati da sistemi remoti o internamente.
  • Installazione di hardware o software per accedere ai sistemi aziendali da remoto.
  • Cambiare le password da account non autorizzati.
  • Disabilitare firewall e antivirus senza essere autorizzati.
  • Installazione di malware.
  • Installazione di software non autorizzato.
  • Tentativi di accesso a dispositivi di altri utenti o server che contengono dati sensibili.

Chi sono i vostri insider?

Il termine “insider” indica chiunque abbia accesso alla rete aziendale. La maggior parte delle persone pensa che quando si parla di insider ci si riferisca necessariamente ai dipendenti dell'azienda, ma gli insider possono trattarsi anche di collaboratori esterni che hanno accesso a tale rete.

Gli insider possono essere:

  • Utenti con elevati privilegi, come: amministratori di rete, manager, partner aziendali e qualsiasi altro utente con permessi di accesso a dati sensibili.
  • Programmatori con accesso ai dati, in ambiente di sviluppo.
  • Dipendenti che sono stati licenziati o che si sono dimessi, ma le cui credenziali sono ancora funzionanti.
  • Dipendenti e responsabili di acquisizioni.
  • Fornitori con accesso alla rete interna.
  • Collaboratori esterni con accesso alla rete aziendale.
  • Partner aziendali con accesso interno alla rete.

Statistiche sull'insider threat

Un terzo delle aziende ha dovuto fare i conti con almeno un incidente di sicurezza dovuto a minacce interne.[2] Il resto, probabilmente, non sa ancora di esserne stato vittima.

50%

degli incidenti ha portato all'esposizione involontaria di informazioni sensibili o riservate[3]

40%

degli incidenti ha portato alla compromissione o al furto di dati relativi agli impiegati dell'azienda[3]

33%

degli incidenti hanno portato alla compromissione o al furto di dati relativi ai clienti[3]

32%

degli incidenti hanno portato alla compromissione o al furto di dati confidenziali (segreti aziendali o proprietà intellettuale)[3]

Riduci subito il rischio di insider threat con il rilevamento e la prevenzione delle minacce interne.

Chi è a rischio di insider threat?

Qualsiasi azienda è a rischio di insider threat. Tuttavia, chi opera in alcuni settori raccoglie e conserva dati più sensibili rispetto ad altri. Ciò, in caso di data breach, espone loro a pesanti sanzioni, oltre al danno di immagine. Le aziende di dimensioni più grandi sono quelle più a rischio di subire la perdita di grandi quantità di dati, che potrebbe, quasi certamente, finire nei marketplace del dark web.

Un insider thread potrebbe cedere in cambio di denaro: proprietà intellettuale, segreti aziendali, dati di clienti e dipendenti e molto altro. Più sono sensibili i dati con cui si opera, maggiori saranno le probabilità di finire nel mirino dei cybercriminali.

Alcuni settori particolarmente a rischio di insider threat sono:

  • Servizi finanziari
  • Telecomunicazioni
  • Servizi tecnici
  • Servizi sanitari
  • Servizi governativi

Esempi di insider threat

L'insider threat è un fenomeno tanto insidioso quanto difficile da rilevare, proprio perché proviene dall'interno dell'azienda. Spesso questo crimine viene scoperto soltanto dopo anni. Un esempio significativo è accaduto ai danni di una compagnia finanziaria canadese. Un insider dell'azienda, animato da cattive intenzioni, è andato avanti per due anni a copiare dati dei clienti su drive condivisi. Quando l'azienda si è resa conto del danno, i record di 9,7 milioni di clienti erano già stati divulgati pubblicamente. Mitigare questa falla è costato a Desjardins 108 milioni di dollari.

Anche chi ricopre posizioni tecniche all'interno dell'azienda può rivelarsi una minaccia. Un'azienda di Cleveland, negli Stati Uniti, ha subìto un distributed denial-of-service (DDoS) quando i suoi server sono andati fuori uso a causa di un malware impiantato da uno dei developer della compagnia. I profili utente e relativi dati sono stati cancellati, portando alla paralisi delle operazioni aziendali.

Quali vantaggi hanno gli insider threat rispetto ad altri?

Gli insider threat, come dipendenti o utenti con privilegi di accesso legittimi ai dati aziendali, sono difficili da rilevare. Essi sfruttano i propri privilegi per accedere ai dati e trafugarli, senza il bisogno di preoccuparsi di firewall, policy di accesso e infrastrutture di sicurezza.

Gli utenti con privilegi di accesso elevati sono i più pericolosi. Essi hanno potenzialmente la libertà di trafugare i dati con scarse probabilità di essere rilevati. Tali utenti non sono necessariamente dipendenti dell'azienda, ma possono anche trattarsi di fornitori, collaboratori esterni, partner aziendali e altri utenti con privilegi di accesso ai dati aziendali più sensibili.

Cosa non va considerato come insider threat?

Le aziende spendono cifre considerevoli per realizzare infrastrutture in grado di rilevare e bloccare minacce esterne. Tuttavia, queste minacce non vanno considerate come insider threat, anche nel momento in cui riescono a penetrare all'interno della rete aziendale. Per insider threat si intendono invece quegli specifici utenti considerati affidabili, che hanno legittimo accesso alla rete interna aziendale. Gli amministratori danno loro le credenziali e le policy per poter accedere e operare con i dati necessari alla loro attività lavorativa. Questi utenti non hanno bisogno di alcun malware o strumenti sofisticati per accedere ai dati, in quanto sono dipendenti dell'azienda, fornitori, collaboratori esterni, e manager. In ogni caso sono considerati affidabili.

Qualsiasi attacco che abbia origine da una fonte esterna, sconosciuta e non considerata affidabile, non va considerato come insider threat. Per difendersi dal fenomeno dell'insider threat è necessario l'utilizzo di sofisticati strumenti di monitoraggio e raccolta dei log, affinché ogni attività sospetta all'interno della rete possa essere rilevata. Un tempo, si tendeva a fidarsi ciecamente degli utenti, ma al giorno d'oggi, creare reti zero-trust, associate a soluzioni di Data Loss Prevention (DLP), è la strategia migliore da seguire. Gli amministratori e gli addetti alla creazione delle policy di sicurezza devono considerare una potenziale minaccia qualsiasi utente e applicazione interna alla rete.

Quali sono le caratteristiche di un insider threat?

Le minacce esterne originano solitamente per motivi finanziari, come rubare o estorcere denaro o rubare dati personali da vendere nei marketplace del dark web. Gli insider threat possono essere spinti dagli stessi obiettivi, ma sovente si tratta di qualcuno che cade inavvertitamente vittima di sofisticati attacchi phishing o social engineering. Quando invece è mosso da cattive intenzioni, l'obiettivo principale dell'insider è solitamente il furto di dati aziendali.

Un insider in mala fede cercherà di commettere frodi, sabotaggi, spionaggio aziendale o sfrutterà i propri privilegi di accesso per entrare in possesso di segreti aziendali da vendere alla concorrenza. Anche se non tutte le minacce interne sono intenzionali, le caratteristiche sono difficili da identificare, anche utilizzando sistemi sofisticati. Dato che gli utenti hanno generalmente accesso a file e dati, un valido programma di rilevamento delle minacce interne va alla ricerca di comportamenti e richieste di accesso sospetti, confrontandoli con le statistiche dei benchmark.

Esempi di insider threat

Qualsiasi azienda che abbia fornitori, dipendenti, o collaboratori esterni che hanno accesso ai dati aziendali, è potenzialmente a rischio di insider threat. Ciò vale anche per le aziende più grandi. Queste, probabilmente hanno implementato gli strumenti di difesa più avanzati, ma nonostante ciò l'insider threat resta una minaccia difficile da affrontare anche per loro.

Vediamo alcuni esempi:

  • Tesla: secondo quanto riferito da Elon Musk, un insider malintenzionato, si è reso protagonista di un'azione prolungata di sabotaggio ai sistemi di Tesla. L'insider avrebbe sfruttato la sua posizione per alterare il codice del Sistema Operativo utilizzato per la produzione di Tesla, esportando dati molto sensibili della compagnia.
  • Facebook: nel 2018 Facebook si è accorta che un ingegnere del reparto sicurezza si serviva di strumenti interni per molestare le ragazze.
  • Coca Cola: un investigatore ha scoperto che un dipendente ha copiato su un drive esterno, i dati di circa 8000 dipendenti. Dopo essersi resa conto del data breach, l'azienda ha avvisato dell'accaduto i propri dipendenti e ha offerto loro il monitoraggio gratuito del credito per un anno.
  • SunTrust Bank: un ex dipendente della compagnia bancaria SunTrust si è appropriato di 1 milione e mezzo di: nomi, indirizzi, numeri di telefono, e saldi bancari dei clienti. Non sono stati compromessi altri dati sensibili, ma la minaccia ha messo comunque a rischio la banca e i suoi clienti.

Tipi di insider threat

Ciò che rende unico il fenomeno dell'insider threat è il fatto che a innescare la minaccia non sono sempre ragioni di carattere economico. In alcuni casi, l'insider è semplicemente un dipendente scontento il cui unico intento è quello di danneggiare l'azienda per cui lavora. Esistono quattro tipi di minacce interne. Non sempre sono intenzionali, ma possono comunque avere un impatto devastante in termini economici e di reputazione per l'azienda.

I tipi di minacce interne intenzionali sono:

  • Sabotaggio: l'obiettivo in questo caso è danneggiare sistemi o distruggere dati aziendali.
  • Frode: i dati vengono trafugati o modificati di proposito per interrompere l'operatività aziendale.
  • Furto di proprietà intellettuale: tutte quelle informazioni che sono di proprietà dell'azienda hanno un gran valore per l'azienda stessa, un insider potrebbe trafugare tali informazioni creando danni economici che potrebbero impattare sull'azienda per anni.
  • Spionaggio: segreti aziendali, file e dati sono a rischio spionaggio se un insider se ne impossessa per rivenderli alla concorrenza.

Esistono però anche situazioni in cui la minaccia interna è accidentale. Scenari comuni di questo tipo sono ad esempio:

  • Errore umano
  • Errori di valutazione
  • Phishing
  • Malware
  • Favoreggiamento involontario
  • Furto di credenziali
  • Praticità

Indicatori del furto di dati

Oltre agli elementi che possono essere indicatori di insider threat anche l'analisi delle tracce informatiche può portare a galla la compromissione di dati da parte di un insider threat, anche quando non sono presenti altri indicatori che possano far pensare a una minaccia interna.

Gli indicatori tecnici che possono rivelare come la vostra azienda sia stata vittima del furto di dati da parte di un insider includono:

  • Specifici utenti che accedono o salvano grandi quantità di dati.
  • Email contenenti dati sensibili, inviate a terze parti all'esterno dell'azienda.
  • Accesso remoto alla rete e ai dati ad orari non convenzionali, al di fuori del normale orario lavorativo.
  • Molteplici tentativi di accedere a siti web bloccati.
  • Tentativi di accesso a porte e dispositivi USB.
  • Frequenti richieste di accesso a dati non relativi al ruolo ricoperto da un dipendente in azienda.
  • Portarsi a casa dispositivi aziendali senza avere il permesso.

Come rilevare gli insider intenzionali

Le aziende che si preoccupano soltanto di installare strumenti per il monitoraggio del traffico esterno non sono in grado di rilevare le minacce che provengono dall'interno della rete aziendale. È fondamentale essere dotati dei giusti strumenti di monitoraggio a difesa dell'infrastruttura esterna ed interna, per una protezione completa dei dati e prevenire così le pericolose minacce interne derivanti da insider mossi da cattive intenzioni.

Mettere in campo adeguate misure di sicurezza per monitorare gli insider ridurrà il rischio che siate voi la prossima vittima. Alcuni dei modi per fermare tali soggetti o rilevare comportamenti sospetti sono:

  • Applicare policy di sicurezza e regolare gli accessi in base al ruolo dei dipendenti e alle loro effettive esigenze lavorative.
  • Monitorare le richieste di accesso, sia quelle andate a buon fine, sia i tentativi falliti.
  • Utilizzare soluzioni di sicurezza e monitoraggio in grado di allertare gli amministratori tramite notifiche quando viene rilevata un'attività sospetta da parte dell'utente.
  • Installare un'infrastruttura che monitori il comportamento dell'utente, rilevando accessi sospetti ai dati.

Come bloccare le minacce interne

Per bloccare il fenomeno dell'insider threat, sia esso di origine accidentale o intenzionale, è necessario monitorare continuamente tutta l'attività degli utenti all'interno della rete aziendale e agire immediatamente non appena si verifica un incidente.

I potenziali rischi derivanti dall'insider threat sono numerosi, e possono includere l'installazione di malware sui sistemi aziendali, le frodi finanziarie, il danneggiamento di dati, o il furto di informazioni importanti. Per contrastare tali possibili scenari, le aziende devono implementare una soluzione di l'insider threat management, che si articoli in 6 punti essenziali:

Rilevamento delle minacce interne

Smascherare utenti a rischio, tramite il rilevamento di comportamenti anomali.

Indagine degli incidenti

Indagare immediatamente le attività utente sospette, nel giro di pochi minuti, non di giorni.

Prevenzione degli incidenti

Ridurre il rischio con sistemi di notifica delle attività sospette e blocco dell'utente.

Protezione della privacy degli utenti

Anonimizzare i dati degli utenti per proteggere la privacy di dipendenti e collaboratori esterni, ed essere conformi alle normative.

Conformità alle normative

Aderire ai requisiti di conformità in tema di insider threat.

Uso di strumenti integrati

Integrare soluzioni di rilevamento e insider threat management, con sistemi SIEM e altri strumenti di sicurezza per una visione globale il più accurata possibile.

Siete pronti a ridurre il rischio di insider threat all'interno della vostra azienda con una soluzione di rilevamento e prevenzione delle minacce interne? Lasciatevi guidare alla scoperta di Proofpoint Insider Threat Management e ottenete tutte le risposte che cercate in merito all'insider threat.

Insider Threat: FAQ

Quanti potenziali indicatori di insider threat esistono?

Ogni utente con accesso ai vostri dati potrebbe essere potenzialmente un insider threat: fornitori, collaboratori esterni, dipendenti e così via. Alcuni eventi che possono portare ad insider threat sono:

- Reclutamento: dipendenti e collaboratori esterni possono venire convinti da elementi esterni all'organizzazione ad inviare loro dati aziendali sensibili.

- Volontario: dipendenti scontenti e insoddisfatti possono deliberatamente inviare o vendere dati a concorrenti, senza alcuna richiesta da parte di terzi.

- Involontario: cadendo vittima di phishing o social engineering, un utente può divulgare inconsapevolmente informazioni sensibili a soggetti esterni all'organizzazione.

Quali vantaggi hanno gli insider threat sugli altri?

Dato che gli insider godono di un accesso ai dati aziendali, hanno un vantaggio rispetto ad un attaccante esterno, che dovrebbe invece superare numerosi firewall e sistemi di monitoraggio delle intrusioni. Il livello di accesso ai dati dipende dai privilegi concessi all'utente, perciò è evidente come un utente con elevati privilegi abbia accesso ad informazioni più sensibili, senza il bisogno di superare alcuna misura di difesa.

Cosa viene considerato un potenziale insider threat?

Le minacce provenienti dall'esterno rappresentano sicuramente la preoccupazione principale per le aziende. Tuttavia le minacce interne richiedono altresì l'adozione di un'attenta strategia incentrata sugli utenti con privilegi di accesso ai dati, anziché preoccuparsi in questo caso degli utenti che bypassano le autorizzazioni per l'accesso ai dati. Gli attacchi che provengono da soggetti esterni senza legami con l'azienda, e senza privilegi di accesso ai dati non vengono considerati insider threat. Tenete però a mente che gli insider possono aiutare soggetti esterni ad ottenere dati aziendali riservati, sia intenzionalmente che inconsapevolmente.

 


 

[1] Verizon. “Data Breach Investigations Report
[2] SANS. “Insider Threats and the Need for Fast and Directed Response
[3] CSO Magazine. “U.S. State of Cybercrime Report

Una panoramica sulla gestione dell'insider threat

Scoprite che cos'è l'insider threat, alcune statistiche, e come proteggere il vostro ambiente lavorativo. Scaricate l'eBook Proofpoint Insider Threat Management, per saperne di più.

Una guida su come impostare il vostro programma di gestione dell'insider threat

Scoprite come mettere in piedi il vostro programma di Gestione dell'Insider Threat. Scaricate il nostro eBook per ottenere consigli su come impostare il vostro piano di Gestione dell'Insider Threat.

Proofpoint è stato incluso nel report forrester 2021 sulle best practice: mitigare l'insider threat

Ottenete la vostra copia delle Best Practice Forrester 2021: Report su come Mitigare l'Insider Threat per preparare un programma di protezione dall'insider threat.

Proofpoint ha ottenuto il riconoscimento sulla guida gartner 2020 tra le migliori soluzioni per la gestione dell'insider threat

Un elemento essenziale del nostro approccio alla sicurezza basato sulle persone, è l'adozione di un valido programma per la gestione dell'insider threat. Con la massiccia adozione del lavoro remoto che si è verificata dal 2020 ad oggi, il rischio di insider threat è aumentato vertiginosamente.