Una minaccia interna è un rischio per la sicurezza di un’organizzazione che proviene dall’interno dell’azienda stessa. Può avere origine da dipendenti attuali o ex dipendenti, appaltatori o qualsiasi altro socio d’affari che ha – o ha avuto – accesso ai dati e ai sistemi informatici di un’organizzazione. Poiché ha origine dall’interno e può essere intenzionale o meno, una minaccia insider è tra le più costose e difficili da rilevare di tutti i tipi di attacco.
Tipi di minacce insider
Ci sono molteplici tipi di minacce insider che sono definite in base all’intento e alla motivazione delle persone coinvolte.
- Gli insider “negligenti” possono non avere intenzione di mettere a rischio l’organizzazione, ma lo fanno in modo non malizioso comportandosi in modo insicuro. Questi insider possono non rispondere alla consapevolezza della sicurezza e agli esercizi di formazione o possono fare errori isolati esercitando un cattivo giudizio. In entrambi i casi, la negligenza è spesso citata come il tipo più costoso di rischio per i dipendenti.
- Gli insider “collusivi” collaboreranno con attori maligni di minacce esterne per compromettere l’organizzazione. Anche se è rischioso e raro, questo tipo di minaccia insider sta diventando più comune in quanto i criminali informatici professionisti stanno utilizzando sempre più il dark web per reclutare dipendenti come alleati. Questi casi spesso comportano frode, furto di proprietà intellettuale o una combinazione dei due, il che può renderli molto costosi. Questo tipo di collusione può anche richiedere più tempo per essere rilevata in quanto i malintenzionati esterni sono in genere ben informati sulla tecnologia di sicurezza e sulle strategie per evitare il rilevamento.
- Gli insider “malintenzionati” esfiltrare i dati o commettere altri atti negativi contro l’organizzazione con l’obiettivo di ricompense finanziarie o altri guadagni personali. Gli insider maligni che cercano un secondo flusso di reddito in genere esfiltrare i dati lentamente verso gli account personali per evitare il rilevamento. Un altro tipo di insider malevolo, il dipendente scontento, mira a sabotare deliberatamente un’azienda o a rubare la sua proprietà intellettuale. Possono essere visti passare al setaccio le informazioni sensibili dell’azienda o completare grandi esportazioni di dati, soprattutto nel momento in cui si dimettono dalla loro posizione o danno il consueto preavviso di due settimane prima di lasciare una posizione.
- Gli insider “di terze parti” sono appaltatori o fornitori a cui un’azienda ha in genere dato qualche tipo di accesso alla sua rete. Questi insider possono avere dipendenti che rientrano in una delle categorie di cui sopra o possono semplicemente avere difetti nei loro sistemi e dispositivi che aprono vulnerabilità agli attaccanti.
Rischi posti dalle minacce insider
Gli insider sono particolarmente pericolosi perché, a differenza degli outsider che lavorano per penetrare nell’organizzazione, hanno tipicamente accesso legittimo ai sistemi informatici e alla rete, di cui hanno bisogno per svolgere il loro lavoro quotidiano. Se queste autorizzazioni vengono abusate o sfruttate per danneggiare l’organizzazione, i risultati possono essere catastrofici e costosi per il business.
Quando lavorano attivamente per compromettere un’organizzazione, gli insider hanno anche un vantaggio, in quanto in genere conoscono la struttura dei dati dell’azienda e dove risiede la proprietà intellettuale. Possono anche sapere come quelle informazioni sono protette, rendendo più facile per loro aggirare qualsiasi misura di sicurezza.
Perché un insider ha già accesso diretto all’organizzazione e alla sua rete e non ha bisogno di entrare attraverso il perimetro esterno, le minacce insider sono spesso più difficili da difendere rispetto agli attacchi provenienti dall’esterno. Sono anche più difficili da rilevare perché i movimenti delle minacce insider spesso si fondono con i comportamenti giustificati dell’azienda.
Rilevamento delle minacce insider
Le minacce insider possono facilmente eludere le difese esistenti rendendo il rilevamento più difficile. Tuttavia, la familiarità e l’accesso ai dati sensibili che gli insider hanno rende il rilevamento critico. Poiché le minacce interne possono mescolarsi con attività giustificate dal business, i team di sicurezza devono essere in grado di guardare oltre i singoli artefatti per scoprire comportamenti e altri modelli che possono indicare una compromissione. Questi modelli variano a seconda del tipo di minaccia insider.
La probabilità di rilevare un insider e i punti del ciclo di vita dell’attacco in cui è probabile che venga scoperto è diversa per ogni tipo di minaccia insider. Gli insider negligenti possono essere rilevati identificando le loro vulnerabilità esistenti prima che siano compromesse, identificando quando le loro credenziali sono compromesse o se le loro credenziali sono sfruttate per il comando e il controllo, o scoprendo un insolito movimento laterale che ha origine con quell’utente. Gli insider collusivi sono più spesso rilevati quando comunicano o passano dati ai loro collaboratori esterni malintenzionati. Gli insider maligni possono mostrare uno schema di accesso o esfiltrazione di informazioni di cui non hanno bisogno o a cui non dovrebbero avere accesso. Anche gli insider di terze parti possono essere identificati in tutti questi modi.
Quando si individuano le minacce insider, è fondamentale che le organizzazioni abbiano un quadro completo dei dispositivi, delle persone e delle altre entità senza bisogno di log o agenti endpoint in tutta la rete, poiché questi spesso non sono disponibili. Questi dovrebbero essere tracciati anche quando cambiano gli indirizzi IP, al fine di identificare dati e modelli di comportamento. I team di sicurezza devono anche avere accesso al contesto completo di queste entità, compresi i profili dei dispositivi e degli utenti con una funzione aziendale, gli indirizzi e-mail, i domini visitati, i file a cui si accede, le relazioni e altro ancora.
Rilevamento delle minacce insider & Indagine
Awake rileva gli attacchi delle minacce insider che si fondono con l’attività giustificata dal business, identificando anomalie e malintenzionati. La piattaforma Awake Network Detection and Response analizza i dati completi di cattura dei pacchetti per estrarre centinaia di segnali rilevanti per la sicurezza, deducendo e profilando entità come dispositivi e domini, così come i loro comportamenti e relazioni. Cattura anche la conoscenza istituzionale del team, compreso il contesto aziendale che può illuminare i ruoli degli utenti e i comportamenti di base. La piattaforma consente quindi il rilevamento comportamentale delle TTP degli aggressori e delle minacce specifiche dell’organizzazione. Tutte le attività sono correlate in una timeline delle minacce che comprende CIO, TTP e non-malware. Questo processo permette un triage automatico con punteggi di rischio per ogni dispositivo e dominio.
Questo livello di visibilità e di analisi forense dettagliata era precedentemente possibile solo per gli esperti di sicurezza più sofisticati del mondo, e anche allora, era possibile solo attraverso un processo manuale e dispendioso in termini di tempo, per cui le minacce interne venivano scoperte tardivamente, se mai lo erano. Awake ha reso il rilevamento delle minacce interne accessibile a qualsiasi organizzazione, indipendentemente dalle dimensioni, dal budget o dalla sofisticazione, consentendo ai team di sicurezza di condurre una risposta rapida e conclusiva sfruttando l’intelligence esaustiva della rete.
Vedi anche
- Risolvere l’enigmatica minaccia insider
- Rilevamento dei movimenti laterali tramite la creazione di servizi remoti
- Lezioni per i team di sicurezza dalle mega violazioni della stagione