Nei post precedenti abbiamo esaminato la minaccia insider da diversi punti di vista e abbiamo visto che la prevenzione delle minacce insider coinvolge i dipartimenti di sicurezza informatica, legale e delle risorse umane (HR) di un'organizzazione. In questo post vogliamo esaminare cosa possono fare i dipartimenti di sicurezza delle informazioni per individuare le minacce interne in corso e addirittura prevenirle prima che si verifichino.
L'ago letterale nel pagliaio
In generale, le minacce insider rappresentano solo una piccola parte del comportamento dei dipendenti. E mentre solo i casi di "cigno nero" diventano di dominio pubblico, gli incidenti minori, come il furto di IP o di elenchi di contatti di clienti, si sommano ai costi maggiori per le organizzazioni.
Inoltre, gli insider sono autorizzati per impostazione predefinita a stare all'interno della rete e possono accedere e utilizzare le risorse chiave di un'organizzazione. Data la grande quantità di schemi di accesso visibili nella rete di un'organizzazione, come si fa a sapere quali sono i comportamenti negligenti, dannosi o maligni?
I reparti IT in genere rispondono alla minaccia insider, se mai, con un monitoraggio e una registrazione approfonditi. L'obiettivo è quello di essere almeno in grado di effettuare un'analisi forense quando una minaccia si sta verificando e sta causando danni, e di supportare l'ufficio legale in tutte le indagini.
Ovviamente, un approccio di questo tipo non aiuta a prevenire la minaccia in alcun modo. I recenti aggiornamenti delle soluzioni di monitoraggio come Sure View e i programmi di ricerca del governo degli Stati Uniti hanno iniziato ad adottare un approccio più proattivo per rilevare una minaccia mentre si sta verificando, e persino prima che si verifichi. Abbiamo visto che la psicologia dell'insider è molto complessa e che in genere l'insider prende precauzioni per eludere il rilevamento, quindi come può una soluzione software identificare in modo affidabile ciò che è una minaccia e ciò che non lo è?
La scienza dei dati... la nuova soluzione al problema delle minacce interne?
Il problema di rilevare la minaccia insider prima che si verifichi è difficile e complesso da risolvere quanto la previsione del comportamento umano stesso. Qual è la prossima azione di una persona? Quale azione rientrerà nell'ambito del lavoro assegnato a quella persona? Quale azione indicherà la preparazione di un attacco da parte di quella persona?
I recenti progressi tecnologici hanno mostrato miglioramenti significativi nella previsione di ciò che prima era considerato imprevedibile: il comportamento umano. Nonostante alcune battute d'arresto iniziali, sistemi come Google Now, Siri o Cortana mirano a prevedere le esigenze degli utenti prima ancora che questi le conoscano.
Ciò sta diventando possibile grazie alle grandi quantità di dati comportamentali che sono stati raccolti e indicizzati, e le risorse computazionali disponibili per l'analisi hanno raggiunto una massa critica per l'impiego di metodi di intelligenza artificiale su larga scala come il riconoscimento vocale, l'analisi delle immagini e l'apprendimento automatico. Il termine per indicare questa nuova analisi predittiva di grandi quantità di dati comportamentali è scienza dei dati.
Oggi viene applicato a diversi problemi e aree e potrebbe essere applicato in modo simile al problema della minaccia insider. Come descritto in precedenza, il comportamento di un insider è per definizione autorizzato all'interno della rete di un'organizzazione e in genere non sono disponibili informazioni sufficienti per ricavare l'intenzione o la psicologia di un insider in tempo reale. Tuttavia, con l'aumentare della quantità di dati sul comportamento raccolti, ci sono sempre più indizi che potrebbero essere rivelati.
Un primo approccio alla scienza dei dati consiste nell'apprendere gli indicatori comunemente noti del comportamento delle minacce insider. Potrebbe trattarsi di comportamenti autorizzati, ma in genere sono associati a un insider che ha deviato dalla rotta. Un esempio sono i comportamenti di esfiltrazione come il caricamento di dati su un account dropbox, l'uso estensivo di chiavette USB o l'elevato volume di download da server interni. Questi indicatori sono sufficientemente specifici per individuare un attacco in corso, ma solo una serie limitata di tipi di attacco può essere rilevata in questo modo (quelli per cui gli indicatori sono noti).
Per individuare attacchi futuri e sconosciuti, un secondo approccio consiste nel concentrarsi sulle anomalie nel comportamento osservato. Un'anomalia è qualcosa che si discosta da ciò che è standard, normale o atteso.
Nel campo del comportamento, una soluzione di scienza dei dati analizzerà i dati comportamentali e imparerà cosa è normale. Il comportamento "normale" può riferirsi alla normalità rispetto a tutte le variazioni di comportamento osservate, al comportamento di un individuo nel tempo o anche ai comportamenti sociali. Una volta stabilita una linea di base di normalità, è possibile identificare i comportamenti anomali.
Sapendo che le minacce interne sono associate a cambiamenti nel comportamento dell'individuo in questione, il rilevamento delle anomalie le rivelerà, anche nelle fasi iniziali di una minaccia. Tuttavia, questo miglioramento del rilevamento ha un prezzo: un numero maggiore di falsi positivi. Cambiamenti benigni nel comportamento (ad esempio, a causa di cambiamenti di funzione o di team, o del ritorno al lavoro dopo le vacanze, ecc.
Un terzo (e più avanzato) approccio alla scienza dei dati consiste nel generare narrazioni dai risultati del primo e del secondo approccio, ossia combinare indicatori e anomalie per generare un'interpretazione comprensibile del comportamento in atto all'interno di un'organizzazione. Quest'ultimo approccio è ovviamente difficile da realizzare perché, in ultima analisi, comporterà la creazione di una vera e propria intelligenza artificiale. Ma ci stiamo arrivando...
Questo articolo è stato pubblicato originariamente nell'ambito di IDG Contributor Network.