Per molte organizzazioni le minacce interne rimangono un argomento tabù. Le aziende si mostrano troppo spesso restìe a riconoscere, segnalare o intraprendere azioni contro i dipendenti che sono diventati una minaccia per la loro organizzazione. È come se una minaccia interna fosse una macchia sui loro processi di gestione e sul loro nome.
A evidenziarlo è Verizon che, con la pubblicazione del suo Insider Threat Report punta a cambiare questa percezione offrendo alle organizzazioni una prospettiva basata sui dati per identificare le aree di rischio tra i dipendenti, scenari di casi reali e strategie di intervento da considerare quando si sviluppa un programma ad hoc, ossia un Insider Threat Program completo.
Non a caso, il rapporto fornisce consigli pratici e contromisure per aiutare le organizzazioni a implementare un programma che dovrebbe comportare uno stretto coordinamento tra tutti i dipartimenti, da quello legale all’IT Security fino alle risorse umane, per rispondere agli incidenti e gestire le investigazioni digitali forensi.
Chi fa che cosa, dove, come, quando
Due fattori sono fondamentali per raggiungere questo obiettivo: sapere quali sono le vostre risorse e, in ultima analisi, chi vi ha accesso.
Individuare e contenere le minacce interne, infatti, richiede un approccio diverso rispetto alle attività relative alle minacce esterne. L’obiettivo è quello di fornire delle linee guida che consentano alle aziende di essere più proattive in questo processo e di superare la paura, l’incertezza e il disagio che circondano questa forma di criminalità informatica interna.
11 contromisure per ridurre i rischi e migliorare la risposta agli incidenti
Integrare le strategie di sicurezza e le politiche aziendali – Integrando le altre 10 contromisure (elencate di seguito), o meglio ancora integrando un Insider Threat Program completo con altre strategie già esistenti, come ad esempio un piano per la gestione del rischio, delle risorse umane o della proprietà intellettuale, può contribuire a rafforzare l’efficienza, la coesione e la tempestività nell’affrontare le minacce interne.
Andare a caccia delle minacce – Potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l’analisi comportamentale e le soluzioni EDR (Endpoint Detection and Response) per individuare, monitorare, rilevare e investigare le attività sospette di utenti e account, sia all’interno che all’esterno dell’azienda.
Analizzare le vulnerabilità e condurre penetration test – Utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza, compresi i possibili canali che un criminale può sfruttare per agire all’interno dell’ambiente aziendale.
Implementare le misure di sicurezza del personale – L’implementazione dei controlli delle risorse umane (come i processi di uscita dei dipendenti), l’accesso sicuro e la formazione sulla sicurezza può ridurre il numero di incidenti associati all’accesso non autorizzato ai sistemi aziendali.
Introdurre misure di sicurezza fisica – Utilizzare dispositivi fisici per l’accesso, quali badge identificativi, barriere di sicurezza e sorveglianti per porre limiti fisici, oltre ai metodi utilizzati per l’accesso digitale, come l’impiego di carte magnetiche o rilevatori di movimento e telecamere, al fine di monitorare, allertare e registrare i modelli di accesso e le attività.
Implementare soluzioni per la sicurezza della rete – Attuare misure di sicurezza perimetrale e di segmento, come firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni di Data Loss Prevention (DLP) per rilevare, raccogliere e analizzare il traffico sospetto potenzialmente associato alle attività di minaccia interne. Questo aiuterà a mettere in evidenza qualsiasi attività fuori orario, volumi di attività in uscita e l’uso di connessioni remote.
Utilizzare soluzioni di sicurezza degli endpoint – È opportuno adottare sistemi di sicurezza degli endpoint collaudati, come inventari per gli asset critici, policy sui supporti rimovibili, crittografia dei dispositivi e strumenti di File Integrity Monitoring (FIM) per dissuadere, monitorare, tracciare, raccogliere e analizzare le attività legate agli utenti.
Applicare misure di sicurezza dei dati – Utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l’integrità e la disponibilità, senza dimenticare ovviamente le minacce interne.
Misure di gestione dell’identità e degli accessi – Prendere in considerazione misure di gestione dell’identità, degli accessi e dell’autenticazione per definire i limiti e proteggere gli accessi nell’ambiente aziendale. Tali misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM) per l’accesso privilegiato.
Stabilire le competenze nella gestione degli incidenti – L’istituzione di un processo di gestione degli incidenti, con uno schema per reagire alle minacce interne che indichi anche le risorse, appositamente formate e incaricate di prendervi parte, renderà le attività di intervento nell’ambito della sicurezza informatica più efficienti ed efficaci nell’affrontare le minacce interne.
Affidarsi a risorse dedicate per le investigazioni digitali forensi – Avere a disposizione una risorsa dedicata a queste verifiche, che sia in grado di condurre indagini approfondite e ad ampio raggio, che vanno dall’analisi di log, file, endpoint e traffico di rete, in incidenti di sicurezza informatica spesso delicati e correlati all’attività umana (o all’account utente).
Come riferito in una nota ufficiale da Bryan Sartin, executive director security professional services di Verizon: «Per troppo tempo la violazione dei dati e gli attacchi alla sicurezza informatica interni sono stati tralasciati, e non sono stati presi sul serio. Spesso sono motivo di disagio, o sono visti come un inconveniente per i soli reparti HR, ma le cose devono cambiare. Le minacce informatiche non provengono solo da fonti esterne, e per combattere la criminalità informatica nella sua interezza dobbiamo anche concentrarci sulle possibili minacce che si trovano tra le mura di un’organizzazione».
