Le violazioni della sicurezza non hanno smesso di fare notizia negli ultimi mesi e, mentre gli hacker sono ancora alla ricerca dei dati delle carte di credito, la tendenza è quella di arricchire i record di dati e di sfruttare diversi asset chiave all'interno di un'organizzazione. Di conseguenza, le organizzazioni devono sviluppare nuovi schemi per identificare e tracciare le risorse informative chiave.
La più grande violazione recente nel settore finanziario si è verificata presso JP Morgan Chase, con una stima di 76 milioni di dati di clienti e altri 8 milioni di dati appartenenti a imprese rubati da diversi server interni. Presso Morgan Stanley, un dipendente del gruppo di gestione patrimoniale dell'azienda è stato licenziato dopo che sono trapelate le informazioni di un massimo del 10% della clientela più ricca di Morgan Stanley. Ancora più sensibile è stata la più grande violazione del settore sanitario: presso Anthem sono stati esposti oltre 80 milioni di dati contenenti informazioni di identificazione personale (PII), compresi i numeri di previdenza sociale. Meno noto, ma potenzialmente più costoso in termini di danni e cause legali, è il presunto furto di segreti commerciali da parte dell'ex amministratore delegato di Chesapeake Energy (NYSE: CHK).
Cosa hanno in comune queste violazioni e cosa le rende così gravi?
Morgan Stanley e Chesapeake Energy sono state entrambe coinvolte in minacce interne in cui i dipendenti autorizzati hanno avuto accesso e rubato beni aziendali, mentre JPMC e Anthem hanno subito attacchi informatici mirati in cui gli hacker si sono introdotti nei database interni e hanno rubato i dati dei clienti contenenti informazioni di identificazione personale. In tutti e quattro i casi, le risorse chiave non sono state sufficientemente protette all'interno della rete aziendale per negligenza o semplicemente per ignoranza dell'importanza della supervisione richiesta per le risorse speciali. La violazione di Anthem è particolarmente preoccupante perché l'accesso a dati PII molto sensibili non era strettamente controllato né i dati erano criptati quando erano "a riposo".
Gli hacker e gli insider vanno a caccia di risorse chiave
Le tendenze sono chiare: oggi gli hacker e gli insider pensano in termini di "beni chiave". I numeri delle carte di credito sono stati l'obiettivo principale di furti e violazioni, ma il miglioramento del rilevamento delle frodi da parte delle società di carte di credito e il passaggio alle carte di credito con chip hanno ridotto il loro valore sul mercato nero. Nel frattempo, il valore dei dati più generali (dati personali, informazioni sanitarie e proprietà intellettuale) è aumentato. Di conseguenza, i dati personali vengono venduti a un prezzo 10 volte superiore a quello dei numeri di carta di credito rubati.
Inoltre, montagne di dati apparentemente senza valore possono diventare informazioni preziose se correlate ad altri dati come indirizzi di casa e handle di Twitter. La raccolta di grandi quantità di dati e l'applicazione di tecniche di data mining e data science hanno permesso ai malintenzionati di estrarre valore da grandi quantità di dati non strutturati. Secondo la DARPA, circa l'80% degli americani può essere identificato con tre dati.
Spesso il valore delle risorse chiave non è visibile a prima vista, sia perché il contenuto informativo di una risorsa è sconosciuto (ad esempio, file sensibili su un server specifico), sia perché il contenuto è noto, ma il suo valore è sconosciuto (ad esempio, indirizzi e-mail, handle di Twitter e altri dati disponibili pubblicamente).
In entrambi i casi, è difficile gestire la situazione: Il primo è spesso dovuto a errori umani o a carenze sistemiche difficili da controllare, mentre il secondo richiede che i team InfoSec delle aziende valutino le capacità, la creatività e la motivazione degli hacker. In entrambi gli scenari, una restrizione completa dell'accesso ai dati o l'interruzione delle risorse di rete non sono una soluzione pratica.
Identificare le risorse chiave per tenere sotto controllo la situazione.
Il problema si riduce all'identificazione e al tracciamento affidabile e tempestivo delle risorse chiave. Se sapete dove risiedono le vostre risorse chiave (ad esempio, le informazioni di valore), potete adottare misure di protezione adeguate e reagire in modo molto più preciso alle minacce. Un'intrusione nella rete aziendale o un accesso non autorizzato alle macchine della rete da parte di un insider possono essere immediatamente valutati e persino prevenuti, se si conosce la prossimità della minaccia ai vostri asset chiave. Quindi, come si può identificare, tracciare e aggiornare l'insieme degli asset da tenere sotto controllo nella rete?
Non esiste una ricetta universale su come creare questo elenco di risorse chiave e mantenerlo aggiornato. Un buon modo per iniziare è quello di utilizzare mezzi manuali e automatici per identificare ciò che è importante nella vostra rete. L'identificazione manuale rintraccerà le informazioni sulla rete in base al valore del loro contenuto, mentre l'identificazione automatica esporrà le risorse in base alla frequenza e alla durata di utilizzo (supponendo che la frequenza o la durata equivalgano al valore).
Per l'identificazione manuale, la prima domanda da porsi è quali informazioni sono importanti e quali, se rubate, sarebbero preziose per qualcuno al di fuori della vostra organizzazione. Come già detto, non si tratta solo di numeri di carte di credito e registri dei clienti, ma anche di dati di vendita, presentazioni aziendali e persino file di registro delle attività. Quanto più approfondita è la revisione manuale, tanto migliore sarà l'elenco finale delle risorse chiave.
Una volta generato l'elenco, il passo successivo è tracciare la posizione delle informazioni identificate e metterle al centro di qualsiasi indagine sulle minacce. Le informazioni risiedono solo su server specifici con accesso remoto? Oppure potrebbero essere copiate su file server o laptop meno protetti? In questo modo si dovrebbe ottenere una mappa delle posizioni delle potenziali risorse chiave.
Un'analisi simile, ma complementare, può essere eseguita automaticamente osservando l'attività di rete. Cercate quali sono i dati a cui si accede più frequentemente sulla rete. La frequenza di accesso ai dati produrrà alcune informazioni piuttosto banali (come le pagine wiki), ma molto spesso rivela informazioni memorizzate in varie posizioni che sono state tralasciate nell'esame manuale. Inoltre, il monitoraggio e l'identificazione automatica possono essere effettuati costantemente, mostrando immediatamente nuove fonti di informazioni critiche sulla rete non appena vengono create.
L'ultimo tassello del puzzle, ovviamente più critico, è il monitoraggio efficiente delle attività che coinvolgono gli asset chiave identificati. È probabile che qualsiasi attività o danno dannoso si verifichi intorno a questi asset, il che limita lo spazio di ricerca all'interno e attraverso di essi.
Tuttavia, affinché il monitoraggio vero e proprio sia sicuro e preventivo, è necessario non solo cercare modelli di accesso predefiniti (come i download di grandi dimensioni), ma anche le anomalie. Solo le anomalie garantiranno l'individuazione di future attività dannose intorno agli asset chiave.
Anche se il rischio della minaccia insider è evidente, rimane uno degli aspetti della sicurezza informatica più sottovalutati e poco considerati. Questo rapporto illustra le azioni che ogni organizzazione può intraprendere per iniziare a percorrere la strada giusta per fermare le minacce interne.
Questo articolo è stato pubblicato originariamente nell'ambito di IDG Contributor Network.