Mentre i governi e le organizzazioni aumentano la protezione dei dati e delle infrastrutture in risposta ai casi di whistleblower federali, quale pericolo rappresentano gli insider malintenzionati e negligenti e che tipo di minacce insider esistono? Come si fa a distinguere?
Definizione di dolo e negligenza
Secondo il Computer Emergency Response Team(CERT) della Carnegie Mellon University, un insider malintenzionato è un dipendente o un appaltatore attuale o precedente che ha deliberatamente sfruttato o superato il livello autorizzato di accesso alla rete, al sistema o ai dati in modo da compromettere la sicurezza dei dati, dei sistemi o delle operazioni aziendali quotidiane dell'organizzazione.
Solo una parte degli incidenti insider è pianificata ed eseguita intenzionalmente. Molti incidenti sono causati da negligenza. Può trattarsi di un dipendente che supera involontariamente i livelli di accesso autorizzati, consentendo ad altri di agire per suo conto e danneggiando così l'organizzazione. Un soggetto esterno o interno malintenzionato può quindi essere il colpevole dell'incidente finale. In un sondaggio del 2019 di Forrester Research, il 57% degli intervistati ha attribuito gli attacchi interni a intenzioni dolose, il 35% a un uso improprio involontario e il 7% a una combinazione di questi fattori.
Recentemente abbiamo assistito a casi in cui estranei hanno tentato [e fallito] di sfruttare gli insider attraverso la corruzione e altri mezzi. A metà del 2020, un cittadino russo ha offerto a un dipendente di Tesla un milione di dollari per installare un malware nella rete informatica dello stabilimento di subassemblaggio di veicoli elettrici dell'azienda vicino a Reno, in Nevada.
Secondo l'FBI, una volta installato il malware , il cittadino russo e i suoi soci hanno pianificato di accedere ai file interni di Tesla, esfiltrare i dati e ricattare l'azienda per ottenere un riscatto. Gli autori avrebbero persino dato al dipendente un telefono usa e getta, istruendolo a lasciarlo in modalità aereo fino al trasferimento del denaro. Ma il dipendente, che aveva accesso diretto alla rete aziendale, ha contattato l'FBI per aiutarlo a catturare i presunti colpevoli.
Insider malintenzionati
Nel caso di insider malintenzionati, l'obiettivo è spesso la distruzione, la corruzione o il furto. Mentre il furto ha spesso un vantaggio monetario, la distruzione e la corruzione possono avere origine da dipendenti scontenti e possono essere dirette contro l'organizzazione nel suo complesso o contro specifici colleghi. In breve, è tutta una questione di intenzionalità.
Ad esempio, un insider scontento decide di rubare le credenziali di un collega e di accedere con queste credenziali a siti web discutibili. L'obiettivo finale è screditare il collega facendo in modo che l'IT si accorga delle violazioni e le segnali alle risorse umane o al manager del collega. Per quanto semplice possa sembrare, questo esempio contiene una serie di schemi comuni di preparazione ed esecuzione che possono essere riscontrati in molti casi di minaccia insider. Spesso vengono rivelati e osservati grazie all'impiego della tecnologia.
La prima fase è quella dell'esplorazione e della sperimentazione, durante la quale l'insider insoddisfatto scopre come rubare le credenziali, ad esempio attraverso le ricerche su Google. Successivamente, l'insider prova diversi metodi di estrazione per assicurarsi che funzionino nell'ambiente locale.
Dopo aver scelto un metodo efficace, l'insider passa alla modalità di esecuzione, rubando e utilizzando le credenziali del collega. La fase finale consiste nella fuga o nell'evasione, eliminando e cancellando le prove che potrebbero ricondurre all'insider scontento. L'intero processo è sorprendentemente simile all'approccio che utilizzerebbe un attore esterno.
Insider negligenti
L'esempio successivo dimostra che un insider scontento può agire per conto di un soggetto esterno per infliggere danni significativi a un'azienda.
Un soggetto esterno sollecita l'amministratore di sistema di una piccola azienda tecnologica a installare un software di monitoraggio all'interno della rete dell'organizzazione in cambio di denaro. L'amministratore di sistema, recentemente retrocesso, decide di installare il software prima di lasciare l'azienda per un altro lavoro.
Anche in questo caso, l'insider effettua una prima fase di esplorazione e sperimentazione installando il software su un computer di prova per valutarne l'impronta di rete e la rilevabilità nella rete. Convinto che il software non possa essere facilmente scoperto o rintracciato, l'insider lo installa utilizzando l'account di un collega e cancella le prove.
L'insider negligente non sta rubando attivamente informazioni e non beneficerà direttamente delle sue azioni, mentre l'insider malintenzionato lo farà.
Quanto è grave la minaccia proveniente dall'interno delle organizzazioni?
È interessante notare che le categorie più frequenti di incidenti insider riguardano l'esposizione involontaria di dati sensibili da parte di un insider negligente e il furto di proprietà intellettuale da parte di un insider malintenzionato.
Alla luce di questi numeri, se pensate ancora che la vostra organizzazione sia al sicuro, tenete presente che l '87% di tutti i lavoratori d'ufficio porta con sé i dati quando cambia lavoro e che le organizzazioni hanno un tasso di turnover annuale di circa il 3%.
Secondo un'indagine condotta da Forrester Research nel 2019, il 52% dei responsabili della sicurezza delle reti aziendali a livello globale ha dichiarato che le proprie aziende hanno subito almeno una violazione di dati sensibili negli ultimi 12 mesi. E quasi la metà delle violazioni di dati sensibili è avvenuta per mano di soggetti interni, a causa di decisioni sbagliate o di intenti dolosi. I team di sicurezza in genere si preparano alle minacce interne monitorando e controllando gli accessi, sperando che, se il rilevamento proattivo fallisce, siano almeno in grado di effettuare un'analisi forense quando si verifica un incidente.
Ovviamente, questo approccio raramente fornisce ai team di sicurezza il tempo necessario per bloccare il danno prima che sia fatto. Il sacro Graal della resilienza alle minacce insider consiste nella capacità di rilevare una minaccia ancor prima che si verifichi, la cui promessa è evidente sia negli investimenti privati che nella ricerca del governo degli Stati Uniti. Ma la patologia di un insider malintenzionato è molto complessa. Un insider di solito prende precauzioni per eludere il rilevamento, quindi come può una soluzione software identificare in modo affidabile ciò che è una minaccia e ciò che non lo è?
I recenti progressi tecnologici hanno mostrato progressi significativi verso la previsione o l'anticipazione di ciò che prima era considerato intrattabile: le preferenze, le disposizioni e forse anche i comportamenti umani. Sistemi come Alexa, Siri e Cortana sembrano addirittura anticipare periodicamente i bisogni degli utenti prima ancora che questi li abbiano espressi.
È il mese nazionale della consapevolezza delle minacce interne. Se volete scoprire come Vectra può aiutarvi, potete programmare una demo.