Esporre le minacce interne
Questo permette alle organizzazioni di proteggersi meglio contro l'errore umano, la negligenza e gli insider malintenzionati.
Le minacce degli "insider" fanno sudare freddo molti dipartimenti di sicurezza IT. E giustamente, perché sono già saldamente ancorati all'IT aziendale. Essi rappresentano quindi un rischio particolarmente elevato dopo una compromissione, perché difficilmente possono essere rilevati dai normali meccanismi di sicurezza che sono diretti verso l'esterno. È quindi difficile proteggersi completamente dalle minacce interne con mezzi tradizionali. Per difendersi dalle minacce interne e scoprire cosa sta succedendo all'interno dell'organizzazione, le organizzazioni hanno bisogno delle giuste strategie e soluzioni tecniche che vanno oltre i tradizionali metodi di sicurezza IT.
Minacce interne: 50-70% di tutte le violazioni della sicurezza
Se si guarda a quali minacce hanno successo e sono state in grado di penetrare nell'IT di un'organizzazione, le minacce interne non sono affatto un rischio trascurabile. Secondo il team Information Risk Research di Gartner, le minacce interne sono effettivamente responsabili del 50-70% di tutti gli incidenti di sicurezza, e per le violazioni di sicurezza in particolare, gli interni sono responsabili di tre quarti di essi.
Le conseguenze possono essere gravi: Il Ponemon Institute stima che le minacce interne costano 8,76 milioni di dollari all'anno per azienda colpita. Questo è dovuto in gran parte al fatto che ci vogliono in media 280 giorni per identificare e contenere ogni violazione - uno scenario spaventoso per qualsiasi azienda.
I tre principali tipi di minacce interne
L'esempio più famoso di minaccia interna è certamente Edward Snowden.
Ma le sue attività, anche se più conosciute, non sono affatto tipiche degli scenari che la maggior parte delle organizzazioni deve affrontare, soprattutto in un contesto commerciale. Nella maggior parte dei casi, le minacce insider assumono tre forme principali: insider "accidentali", "compromessi" o "malintenzionati".
1. come suggerisce il nome, l'insider "maligno" è tipicamente un dipendente o un appaltatore che ruba informazioni. Edward Snowden è probabilmente l'esempio più famoso di questo, anche se molti altri insider maligni catturano informazioni non come whistleblower ma per guadagno finanziario, come i ladri di dati bancari svizzeri qualche anno fa.
2. l'insider "compromesso" è considerato da molti la forma più problematica, poiché questa persona di solito non ha fatto altro che cliccare innocentemente su un link o inserire una password. Questo è spesso il risultato di campagne di phishing, in cui gli utenti sono presentati con un link a un sito web dall'aspetto autentico, al fine di indurli a inserire credenziali di accesso o altre informazioni sensibili.
3. e in alternativa, ma non meno pericoloso, è l'insider "accidentale" o "negligente". Esporre questi insider può essere particolarmente impegnativo perché non importa quanta cura le aziende e gli impiegati prendano con la cybersicurezza, gli errori accadono.
Oltre la formazione ci sono possibilità tecnologiche di difesa
Per evitare questi semplici ma, nel peggiore dei casi, molto profondi errori, molte organizzazioni stanno già facendo un uso intensivo della formazione per sensibilizzare i loro dipendenti in questa direzione. Indubbiamente, alcuni attacchi insider accidentali e compromessi possono essere evitati semplicemente addestrando gli utenti finali a riconoscere ed evitare i tentativi di phishing. Ma anche al di là della formazione, ci sono opportunità tecnologiche che si concentrano sul comportamento degli utenti per proteggere meglio dalle minacce interne.
Analisi del comportamento di utenti ed entità (UEBA)
L'utilizzo di soluzioni tradizionali di cybersecurity che guardano solo verso l'esterno crea un punto cieco molto grande. Per affrontare le sfide multilivello delle minacce interne, i team di sicurezza hanno bisogno delle infrastrutture e degli strumenti tecnologici per vedere l'intero quadro e quindi tutte le minacce - comprese quelle dall'interno. È qui che l'analisi del comportamento degli utenti e delle entità (UEBA) è utile. Comprendendo i comportamenti tipici, i team di sicurezza possono identificare più facilmente quando si verifica un problema. L'AI e le soluzioni basate sull'apprendimento automatico sono già state implementate da molte organizzazioni per una protezione efficace e proattiva.
Conclusione: la strategia proattiva con l'analisi aumenta la sicurezza
Le organizzazioni hanno bisogno dell'infrastruttura tecnologica e degli strumenti per vedere il quadro completo delle minacce. I SOC moderni utilizzano quindi UEBA all'interno dei loro sistemi SIEM per proteggere anche dall'errore umano, dalla negligenza e dagli insider malintenzionati dall'interno. Combinata con la formazione, una tale strategia proattiva può ridurre drasticamente il punto cieco all'interno e rilevare molte minacce interne in anticipo.
