Nei post precedenti abbiamo esaminato la minaccia interna da diverse angolazioni e abbiamo visto che la prevenzione delle minacce interne coinvolge i reparti di sicurezza informatica, legale e risorse umane (HR) di un'organizzazione. In questo post vogliamo esaminare cosa possono fare concretamente i reparti di sicurezza informatica per individuare le minacce interne in atto e persino prevenirle prima che si verifichino.
Il vero ago nel pagliaio
Nel complesso, le minacce interne rappresentano solo una piccola parte del comportamento dei dipendenti. E mentre solo gli incidenti "black swan" diventano di dominio pubblico, incidenti minori come il furto di proprietà intellettuale o di elenchi di contatti dei clienti si sommano a costi importanti per le organizzazioni.
Inoltre, gli addetti ai lavori sono autorizzati di default ad accedere alla rete e possono sia accedere che utilizzare le risorse chiave di un'organizzazione. Data la grande quantità di modelli di accesso visibili nella rete di un'organizzazione, come si fa a sapere quali sono comportamenti negligenti, dannosi o dolosi?
I reparti IT reagiscono alle minacce interne, se mai lo fanno, con un monitoraggio e una registrazione approfonditi. L'obiettivo è quello di poter almeno effettuare analisi forensi quando si verifica una minaccia che provoca danni e di supportare l'ufficio legale nelle indagini.
Ovviamente, un approccio di questo tipo non contribuirà in alcun modo a prevenire la minaccia. I recenti aggiornamenti alle soluzioni di monitoraggio come Sure View e i programmi di ricerca del governo degli Stati Uniti hanno iniziato ad adottare un approccio più proattivo per rilevare una minaccia mentre si sta verificando e persino prima che si verifichi. Abbiamo visto che la psicologia dell'insider è molto complessa e che l'insider in genere prende precauzioni per eludere il rilevamento, quindi come potrebbe una soluzione software identificare in modo affidabile ciò che è una minaccia e ciò che non lo è?
La scienza dei dati... la nuova soluzione al problema delle minacce interne?
Il problema di individuare la minaccia interna prima che si verifichi è difficile e complesso da risolvere quanto la previsione del comportamento umano stesso. Quale sarà la prossima azione di una persona? Quale azione rientrerà nell'ambito del lavoro assegnato a quella persona? Quale azione indicherà la preparazione di un attacco da parte di quella persona?
I recenti progressi tecnologici hanno portato a miglioramenti significativi nella previsione di ciò che prima era considerato imprevedibile: il comportamento umano. Nonostante alcune difficoltà iniziali, sistemi come Google Now, Siri o Cortana puntano a prevedere le esigenze degli utenti prima ancora che questi ne siano consapevoli.
Ciò sta diventando possibile grazie alle enormi quantità di dati comportamentali raccolti e indicizzati e alle risorse computazionali disponibili per l'analisi, che hanno raggiunto una massa critica per l'implementazione di metodi di intelligenza artificiale su larga scala come il riconoscimento vocale, l'analisi delle immagini e l'apprendimento automatico. Il termine che definisce questa nuova analisi predittiva di grandi quantità di dati comportamentali è scienza dei dati.
Oggi viene applicato a vari problemi e settori e potrebbe essere applicato in modo simile al problema delle minacce interne. Come descritto sopra, il comportamento di un insider è per definizione autorizzato all'interno della rete di un'organizzazione e in genere non sono disponibili informazioni sufficienti per dedurre in tempo reale le intenzioni o la psicologia di un insider. Tuttavia, con l'aumentare della quantità di dati comportamentali raccolti, ci sono sempre più indizi che potrebbero essere rivelati.
Un approccio iniziale alla scienza dei dati consiste nell'apprendere gli indicatori comunemente noti del comportamento di minaccia interna. Questi potrebbero essere comportamenti autorizzati, ma sono tipicamente associati a un insider che ha deviato dalla norma. Un esempio è rappresentato dai comportamenti di esfiltrazione, come il caricamento di dati su un account Dropbox, l'uso estensivo di chiavette USB o un elevato volume di download dai server interni. Questi indicatori sono sufficientemente specifici da consentire di individuare un attacco in corso, ma in questo modo è possibile rilevare solo un numero limitato di tipi di attacchi (quelli per i quali gli indicatori sono noti).
Per individuare attacchi futuri e sconosciuti, un secondo approccio consiste nel concentrarsi sulle anomalie nel comportamento osservato. Un'anomalia è qualcosa che si discosta da ciò che è standard, normale o previsto.
Nel campo del comportamento, una soluzione di data science analizzerà i dati comportamentali e apprenderà cosa è normale. Il comportamento "normale" può riferirsi alla normalità rispetto a tutte le variazioni comportamentali osservate, al comportamento di un individuo nel tempo o anche ai comportamenti sociali. Una volta stabilita una linea di base della normalità, è possibile identificare i valori anomali.
Sapendo che le minacce interne sono accompagnate da cambiamenti nel comportamento dell'individuo in questione, il rilevamento delle anomalie le rivelerà, anche nelle prime fasi di una minaccia. Tuttavia, questo miglioramento nel rilevamento ha un prezzo: un numero maggiore di falsi positivi. Cambiamenti benigni nel comportamento (ad esempio, dovuti a cambiamenti nella funzione lavorativa o nel team, o al ritorno al lavoro dopo le vacanze, ecc.) attiveranno i rilevamenti e la quantità di questi rilevamenti può diventare eccessiva.
Un terzo approccio (il più avanzato) alla scienza dei dati consiste nel generare narrazioni dai risultati del primo e del secondo approccio, ovvero combinare indicatori e anomalie per generare un'interpretazione comprensibile del comportamento all'interno di un'organizzazione. Quest'ultimo approccio è ovviamente difficile da realizzare perché, in ultima analisi, comporta la creazione di una vera e propria intelligenza artificiale. Ma ci stiamo arrivando...
Questo articolo è stato originariamente pubblicato come parte dell'IDG Contributor Network.