Come prevenire gli attacchi insider

Tutti sono consapevoli del pericolo delle minacce alla sicurezza insider. Diverse volte all’anno sentiamo notizie su una nuova violazione dei dati causata da informazioni privilegiate trapelate maliziosamente. Uno degli esempi più recenti, potrebbe essere la Washington State Health Care Authority (HCA) dove il 9 febbraio 2016, i dati di più di 90000 pazienti sono stati divulgati da un dipendente.

La maggior parte di questi rapporti provengono da istituzioni governative o pubbliche, tuttavia questo non significa che le aziende private non siano suscettibili alle minacce interne. In effetti, gli attacchi insider sono qualcosa che le aziende di tutto il mondo sperimentano ogni giorno, ma che la stragrande maggioranza sceglie di non rendere pubblico, in quanto può danneggiare la reputazione e portare a una perdita di clienti e investitori.

Un attacco insider stesso è un termine che comprende molti tipi di azioni malevole, da un furto di dati completamente intenzionale o una frode commessa per profitto, al sabotaggio, allo spionaggio industriale, anche a errori involontari o inavvertiti. Ciò che queste azioni hanno in comune è il fatto che sono tutte commesse da impiegati con accesso legittimo al funzionamento interno dell’azienda. Spesso tali dipendenti sono manager, operatori di database, programmatori o specialisti, che lavorano con dati sensibili, infrastrutture o configurazioni di sistemi critici.

Gestire efficacemente questa varietà di minacce all’interno dell’organizzazione è un processo complesso e difficile che richiede un impegno e uno sforzo significativi all’interno delle aziende. Una corretta gestione delle minacce interne darà alcuni risultati, ma per prevenire e rilevare veramente le minacce interne, è necessario un approccio di gestione dei dipendenti specificamente progettato.

Mettere in pratica tutti i consigli e le raccomandazioni per affrontare gli insider può essere difficile e richiedere molto tempo. Questo è il motivo per cui abbiamo riunito le migliori pratiche in sei passi principali con cui saremo in grado di prevenire efficacemente le minacce di insider leak, mettendo in atto le misure necessarie per un rilevamento efficiente e una risposta rapida prima di possibili attacchi insider che finiscono in insider leak.

Comprendere le minacce insider

Per creare una sicurezza veramente efficace, è necessario prima capire la natura di una minaccia insider e i diversi tipi di attacchi che esistono. Le minacce alla sicurezza delle informazioni degli insider provengono dagli insider che sono tipicamente definiti come persone che hanno accesso legittimo a informazioni riservate o confidenziali o hanno infrastrutture aziendali critiche.

Ci sono tre gruppi principali che possono essere classificati come insider:

  • Impiegati – Sono il primo gruppo che viene in mente, gli attuali dipendenti hanno accesso immediato e legittimo a tutti o alla maggior parte dei dati sensibili. Il pericolo maggiore tra i dipendenti dell’impresa, si presenta con gli utenti con account privilegiati. Questi utenti hanno un livello di accesso più alto e di solito godono di un alto livello di fiducia nell’azienda, mettendoli nella posizione migliore per commettere azioni dannose.

  • Terzi – le aziende moderne, e più specificamente quelle del settore tecnologico, sono spesso affiliate con una vasta gamma di persone e organizzazioni diverse. Subappaltatori, fornitori di servizi e partner commerciali hanno accesso alla rete aziendale e ai dati sensibili che potrebbero utilizzare per effettuare attacchi maligni.

  • Dipendenti – mentre tecnicamente perdono il loro accesso legittimo alla fine del contratto, non tutte le aziende si preoccupano di rimuovere correttamente le credenziali inattive. Se un ex-dipendente scopre che le sue credenziali sono ancora funzionanti, può usarle per compiere azioni malevole. Un altro potenziale pericolo è una backdoor o una bomba logica (software maligno che si spegne automaticamente dopo un determinato periodo di tempo) che l’ex dipendente può lasciarsi alle spalle per ottenere l’accesso al sistema o sabotare le operazioni aziendali, molto tempo dopo la sua partenza.

È anche importante capire le ragioni comuni per commettere attacchi insider. In alcuni casi, i cambiamenti nel comportamento dei dipendenti possono mostrare alcuni indizi su ciò che stanno pianificando e vi permetterà di prevenire un attacco insider prima che si verifichi.

  • Spionaggio aziendale: i dipendenti possono essere reclutati dai concorrenti attraverso ricatti o corruzione per trasferire dati sensibili. I casi di spionaggio aziendale possono essere molto difficili da individuare. Se il dipendente fa molti viaggi inaspettati o improvvisamente c’è un afflusso di denaro, queste possono essere azioni allarmanti.

  • Personale guadagno finanziario: il dipendente può rubare un database di clienti per venderlo su un mercato nero o iniziare un business competitivo. In questo caso, lui o lei spesso se ne vanta con i colleghi, il che può aiutare a prevenire o rilevare l’attacco.

  • Rivendicare l’ingiustizia – gli impiegati scontenti possono intraprendere azioni maligne per ripagare l’azienda dell’ingiustizia da loro percepita. Le azioni di ritorsione malevole sono spesso progettate per generare il maggior danno possibile all’azienda e interrompere le procedure aziendali.

  • Erori involontari – in molti casi, una fuga di informazioni si rivela essere un semplice errore da parte di un dipendente, sia cliccando su un link di posta elettronica sospetto, dicendo a un collega la password, o inviando dati riservati alla persona sbagliata. La possibilità di tali minacce non intenzionali dovrebbe essere presa in considerazione e la loro prevenzione dovrebbe essere inclusa come parte di una strategia globale di prevenzione degli attacchi insider dell’azienda.

Comprendere la natura degli attacchi insider è un passo importante che aiuterà a condurre una valutazione del rischio più approfondita e quindi a definire i punti deboli della sicurezza.

Gestione delle credenziali

Il lavoro dovrebbe essere organizzato assegnando le credenziali in modo tale da limitare il numero di account privilegiati, limitando l’accesso alle informazioni sensibili il più possibile, creando un ambiente di lavoro sfavorevole per le azioni malevole.

Per ottenere questo, ci sono due principi principali da seguire:

    • Principio del minimo privilegio: ogni nuovo account, per default dovrebbe essere creato con il livello di privilegio più basso possibile. Il livello di privilegio dovrebbe essere aumentato solo se necessario. In questo modo si limita il numero di account privilegiati all’interno dell’organizzazione e ci si assicura che tutti abbiano uno scopo specifico e siano costantemente in uso.
    • Principio della separazione dei compiti: i compiti all’interno dell’organizzazione dovrebbero essere divisi tra gli individui il più possibile, promuovendo la collaborazione ogni volta che un compito complesso deve essere risolto. Statisticamente, i dipendenti sono molto meno propensi a compiere azioni dannose quando collaborano con altri dipendenti. Per esempio, le azioni, come il backup e il ripristino dei dati, dovrebbero essere separate tra persone diverse, se possibile.

I due principi di cui sopra lavorano insieme per ridurre al minimo le opportunità di attacchi insider, rafforzando la postura complessiva di sicurezza dei dati di un’organizzazione.

Valutazione completa del rischio

La valutazione del rischio è un processo necessario che ci permette di identificare tutti i punti deboli della nostra sicurezza attuale, dando una chiara comprensione di ciò che deve essere messo in sicurezza.

Ci sono tre passi principali nella valutazione del rischio:

  • Identificare le minacce potenziali
  • Identificare le vulnerabilità dell’organizzazione a queste minacce
  • Identificare quanto danno si verificherebbe in caso di questo tipo di attacco

L’informazione ricevuta darà una chiara comprensione di quali misure di sicurezza devono essere implementate e come la loro implementazione dovrebbe essere prioritaria.

La valutazione del rischio dovrebbe essere effettuata periodicamente, così come ogni volta che vengono fatti cambiamenti importanti alla sicurezza o all’infrastruttura di rete. Le minacce interne dovrebbero essere esaminate come parte integrante di un processo di valutazione del rischio. Di conseguenza, si dovrebbe ottenere una chiara comprensione dell’efficacia delle misure di prevenzione e protezione contro le minacce interne e come rafforzarle.

In generale, i risultati di una valutazione dei rischi dovrebbero essere utilizzati per costruire e rivedere la strategia di sicurezza complessiva dell’azienda, compresa la protezione dalle minacce interne ed esterne.

Lavorare sulla consapevolezza della sicurezza dei dipendenti

In molti casi, le violazioni della sicurezza sono causate direttamente dai dipendenti, che trascurano le più semplici regole e pratiche di sicurezza. Tale negligenza si verifica così spesso che l’educazione alla sicurezza all’interno dell’azienda dovrebbe essere continua. I dipendenti sono spesso completamente all’oscuro di certe pratiche di sicurezza, o sono disposti ad aggirare tali regole per la propria convenienza, senza rendersi conto della gravità delle conseguenze che possono causare, il caso tipico è, “portare a termine il lavoro”.

L’unico modo per rimediare a questa situazione è quello di condurre una formazione sulla consapevolezza della sicurezza al fine di familiarizzare i dipendenti con le ultime tendenze in materia di sicurezza e renderli consapevoli di come essi stessi influenzano la sicurezza informatica dell’azienda. Questo aiuterà a ridurre significativamente il numero di errori commessi dai dipendenti (perché se sono consapevoli delle gravi conseguenze delle loro azioni, li indurrà ad essere più attenti), proteggendosi per esempio dal social engineering. Sapranno non solo ignorare i link nelle e-mail di spam, ma anche segnalare azioni inappropriate a un collega.

Rendendo i dipendenti consapevoli delle misure di sicurezza adottate per controllare le minacce interne, isoliamo molti problemi da un lato, creando un ambiente di lavoro sano, basato sulla fiducia e dissuadendo alcuni dal compiere attacchi interni.

Gestione degli account e delle password

L’uso di account condivisi o predefiniti è una pratica comune e diffusa in molte organizzazioni. Tuttavia, questo può permettere a certi impiegati di accedere ad account privilegiati che non dovrebbero avere. Proibire l’uso di account condivisi non controllati è imperativo per una sicurezza affidabile.

Dobbiamo anche garantire che gli account siano completamente protetti da password uniche e complesse, cambiate su base regolare. Dobbiamo cambiare immediatamente qualsiasi password di default che la nostra azienda può utilizzare per qualsiasi software o hardware. Queste password sono spesso pubbliche e permettono agli hacker e agli utenti malintenzionati di prendere facilmente il controllo del sistema. Un’altra cosa importante è proibire la condivisione delle password tra i dipendenti, così come l’uso di una sola password su più account senza alcun controllo. Con questi piccoli controlli, non solo stiamo rendendo la vita più difficile agli insider, ma stiamo anche proteggendo i dati da attacchi esterni.

Un altro modo per rafforzare la sicurezza degli account e garantire che un account sia usato dalla persona giusta è quello di implementare un secondo fattore di autenticazione. Questo sistema, implementato con dispositivi mobili o token fisici, può essere utilizzato per confermare in modo affidabile l’identità della persona che tenta di accedere, servendo come una rete di sicurezza nel caso in cui una password sia stata compromessa.

Il monitoraggio dei dipendenti è una grande prevenzione, con strumenti di rilevamento disponibili per aiutare efficacemente a scoraggiare gli insider e garantire l’integrità dei dati sensibili. Un software di monitoraggio professionale, o un SIEM, darà una visibilità completa su ciò che gli utenti stanno facendo, fornendo la possibilità di rilevare rapidamente gli attacchi di fuga di dati, individuando se c’è un colpevole e dando una risposta tempestiva di conseguenza.

  • Monitorare le azioni degli utenti. Molte aziende accedono semplicemente al monitoraggio o ai log di login del software e dei sistemi che stiamo usando. Tuttavia, nella maggior parte dei casi questo non è sufficiente, in quanto l’utente sarà facilmente in grado di mascherare le sue azioni all’interno del suo lavoro regolare, modificando o disabilitando la maggior parte dei log interni, o semplicemente passando inosservato dalla routine. È meglio effettuare un monitoraggio completo delle azioni dell’utente utilizzando soluzioni di monitoraggio dedicate. Questo software sarà completamente protetto da manomissioni (inviamo le informazioni a un SIEM), essendo in grado di produrre un registro completo delle azioni dell’utente, permettendo di rilevare efficacemente gli attacchi insider.

  • Monitorare gli utenti privilegiati. Gli utenti con account privilegiati spesso lavorano direttamente con dati sensibili o impostazioni critiche del sistema, avendo tutti gli strumenti necessari per eseguire azioni dannose, pur essendo in grado di disabilitare qualsiasi monitoraggio di default. È importante utilizzare strumenti specificamente progettati per gestire tali utenti, come abbiamo visto con le soluzioni PAM.

  • Monitoraggio di terze parti e utenti remoti. I terzi, come i fornitori di servizi e gli outsourcer, non hanno necessariamente lo stesso livello di sicurezza dalle minacce interne ed esterne che possiamo avere nella nostra organizzazione. Quando si accede a dati sensibili da remoto, sia da parte di terzi che dai nostri stessi dipendenti, dobbiamo assicurarci di trasferire i dati solo quando sono criptati, avendo tutte le sessioni remote completamente monitorate. Questo impedirà agli insider malintenzionati, assicurandosi che i dipendenti remoti non usino impropriamente i dati sensibili.

  • Avvisi personalizzati e analisi comportamentale. Una delle maggiori sfide delle azioni di monitoraggio è l’elaborazione e il trattamento efficiente di una grande quantità di dati ricevuti. Le soluzioni di monitoraggio generalmente impiegano sistemi di allerta personalizzabili che possono essere utilizzati per creare avvisi che sono più adatti alle nostre situazioni particolari. Tali avvisi si attivano su alcuni eventi sospetti, consentendo al personale di sicurezza di verificare una violazione dei dati o un uso improprio. Alcune soluzioni utilizzano sistemi di analisi comportamentale più sofisticati che cercano di rilevare automaticamente gli eventi sospetti. Tali sistemi sono altamente raccomandati e possono dare buoni risultati, anche se sono molto più costosi e tendono a produrre molti falsi positivi, almeno inizialmente, finché non vengono perfezionati.

Conclusione

Abbiamo visto attraverso queste sei piccole raccomandazioni, come possiamo prevenire gli attacchi insider, sei piccoli consigli che generano molto impatto all’interno delle organizzazioni, che non sono facili da realizzare, ma una volta implementati, possiamo chiaramente vedere una grande riduzione, principalmente di azioni non malevole, ma che avrebbero potuto causare gravi danni se non fossero stati localizzati. Dal nostro blog sulla sicurezza, cerchiamo di migliorare giorno per giorno, e oggi abbiamo cercato di migliorare il controllo degli attacchi interni, il loro monitoraggio e la loro mitigazione. Spero che troviate le informazioni utili, e ora, il più difficile di tutti, mettete in atto queste buone pratiche.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *