Negli ultimi anni gli attacchi provenienti da minacce insider, ovvero da dipendenti, fornitori o consulenti interni all'azienda, sono aumentati in modo considerevole. Questo tipo di minaccia è particolarmente subdola poiché sfrutta le credenziali d'accesso e le competenze informatiche dei soggetti coinvolti, spesso con ottimi livelli di privilegio. L'intima conoscenza dei sistemi e delle procedure aziendali li rende in grado di agire indisturbati per lunghi periodi prima che l'attacco venga scoperto.
Riuscire ad arginare ed eliminare questi rischi in modo efficace risulta particolarmente complesso, specie per le PMI che patiscono carenza di budget e competenze interne. Un fai-da-te si rivelerebbe del tutto inadeguato ad affrontare lacune di tale portata e sofisticatezza. Diventa quindi strategico rivolgersi a società specializzate in sicurezza informatica, capaci di valutare puntualmente le esigenze specifiche e calibrare soluzioni mirate di Identity & Access Management, monitoraggio delle minacce, formazione del personale.
Solo affidandosi a professionisti certificati del settore è possibile proteggere in modo efficace tutti gli asset aziendali dalle insidie crescenti degli attacchi interni, per garantire al business la giusta tranquillità e serenità operativa.
Attacco insider: capiamo cos’è
Tipicamente si tratta di dipendenti, fornitori o consulenti che, sfruttando le loro credenziali di accesso, sono in grado di oltrepassare i classici sistemi difesa per sottrarre dati o causare danni. La loro conoscenza approfondita dei sistemi e delle procedure aziendali li rende inaspettati e pericolosi avversari rispetto a hacker esterni.
Possono ricorrere a semplici supporti di memoria USB per esfiltrare dati o a sofisticati strumenti di cracking per decriptare password e penetrare reti attendate. Inoltre la loro azione può rimanere occulta a lungo, rendendo assai complessa l'identificazione della fonte.
Diventa quindi fondamentale integrale la propria security con funzioni di behavior analysis, user entity behavioral analytics e controllo delle anomalie per identificare precocemente abusi di privilegi o attività sospette prima che causino danni, mediante software antivirus evoluti. Oltre a costanti campagne di sensibilizzazione sul tema verso tutto il personale coinvolto.
Minacce insider tipologie
Gli attacchi insider si possono classificare in diverse tipologie a seconda degli obiettivi e dei metodi adottati:
- Furti di dati/esfiltrazioni: sono finalizzati all'estrazione illecita di informazioni riservate da rivendere o usare a fini personali. Possono coinvolgere dati finanziari, progettuali, documenti legali.
- Sabotaggi: mirano a compromettere risorse, ad esempio corruendo file, cancellando database o rendendo inservibili sistemi. Spesso la motivazione è legata a vendette personali.
- Frodi informatiche: prevedono l'accesso non autorizzato per manipolare dati contabili al fine di appropriarsi indebitamente di asset aziendali.
- Spionaggio industriale: volto allo spionaggio di segreti aziendali e informazioni strategiche da rivendere a concorrenti.
- Attacchi mirati: compiuti dagli handler esterni sfruttando le credenziali di accesso interne, con password sicure compromesse.
Presidiare queste minacce occorre governare gli accessi, monitorare le anomalie, agire sulla formazione ed effettuare costantemente revisione degli endpoint per intercettare eventuali esfiltrazioni.
Minacce insider: best practice per la prevenzione
Per prevenire efficacemente le minacce insider è necessario adottare specifiche best practice di sicurezza. Elemento chiave è monitorare e governare gli accessi mediante strumenti di Identity & Access Management in grado di assegnare privilegi mirati in base al ruolo.
Cruciale anche applicare il principio del "need to know", ovvero consentire la consultazione solo delle informazioni strettamente necessarie a ciascun profilo. Il principio del "need to know" è fondamentale nella gestione degli accessi ai sistemi e alle informazioni aziendali al fine di prevenire minacce insider. Concretamente significa che l'accesso ai dati e alle risorse deve essere concesso solo sulla base delle effettive esigenze operative di ciascun ruolo o profilo professionale.
Ad esempio, gli amministratori di sistema avranno privilegi di root per gestire l'infrastruttura, ma non dovranno accedere ai database con dati clienti. Così come gli impiegati del marketing potranno consultare solo i file relativi alle campagne promozionali, senza visualizzare documenti legali o piani aziendali riservati. Occorre inoltre monitorare costantemente le anomalie di accesso e comportamento tramite soluzioni EDR/UEBA per rilevare tempestivamente attività sospette.
Da non trascurare sono le azioni per la sicurezza dei dati, vale a dire controllare le memorie rimovibili, crittografare gli endpoint, applicare il dual control su operazioni sensibili. Altrettanto importante la formazione continua del personale per accrescerne la consapevolezza sul tema e prevenire condotte a rischio, anche Inavvertitamente. Infine, assicurarsi che software e sistemi siano costantemente aggiornati e protetti implementando principi di "defense in depth" e compartimentalizzazione delle informazioni. Con tali criteri è possibile ostacolare efficacemente minacce interne, nonostante la loro intrinseca pericolosità.