Nel contributo che condividiamo qui di seguito, JJ Kathuria e Arjun Bhardwaj, Consultant Mandiant, riportano alcuni esempi di importanti incidenti Insider Threat e il metodo d’azione di Mandiant per una corretta remediation.
Buona lettura.
Con la rapida evoluzione della tecnologia, la minaccia derivante da un insider e i costi associati per contenere e rispondere a un incidente sono in aumento. Si sono, infatti, verificati alcuni incidenti significativi in cui le organizzazioni non solo hanno subito danni al brand o la perdita di dati critici, ma hanno anche dovuto incorrere in ingenti perdite finanziarie.
Alcuni dei più noti Insider Threat recenti sono:
- La Superior Court del Quebec, in Canada, ha approvato un accordo da 200,9 milioni di dollari CAD nei confronti di una grande cooperativa canadese di servizi finanziari per una violazione di dati, la più grande avvenuta finora nel settore dei servizi finanziari canadesi. La violazione dei dati è avvenuta tra il 2017 e il 2019 e ha esposto i dati di 4,2 milioni di titolari di conti corrente. L’incidente è stato collegato alle azioni di un dipendente che ha furtivamente sottratto i dati dei clienti per 26 mesi e li ha trasmessi a una o più persone sconosciute, presumibilmente a scopo di lucro;
- Un ex Senior Developer di un’azienda tecnologica con sede a New York, che offre prodotti e soluzioni wireless, ha abusato del suo accesso da amministratore per sottrarre dati riservati tentando poi di estorcere denaro ai dipendenti senior. Il risultato è stato un calo del prezzo delle azioni dell’azienda di circa il 20% e la sua capitalizzazione di mercato è diminuita di 4 miliardi di dollari;
- Il Direttore associato di una multinazionale americana del settore farmaceutico e biotecnologico ha caricato 12.000 file riservati su un account personale di Google Drive dal suo computer portatile aziendale. i documenti riservati includevano dati sullo sviluppo di farmaci e segreti commerciali relativi al vaccino COVID-19 e ai suoi studi. È stato rilevato che il dirigente ha rubato questi dati prima di trasferirsi in un’azienda concorrente. Ciò ha comportato danni al brand, una perdita di vantaggio competitivo e la perdita dei dati proprietari;
- Un ex dipendente di un’azienda tecnologica con sede a San Josè che sviluppa, produce e vende soluzioni di rete ha inserito del codice in AWS (Amazon Web Services), che ha portato alla cancellazione di circa 450 macchine virtuali relative a una specifica applicazione. Questa azione ha fatto sì che l’organizzazione spendesse circa 1.4 milioni di dollari in termini di tempo impiegato dai dipendenti per ripristinare i danni all’applicazione e rimborsasse più di 1 milione di dollari ai clienti.
Strategie di mitigazione contro gli Insider Threat
Visto che le organizzazioni di ogni settore verticale sono continuamente a rischio di essere colpite da minacce interne, lo sviluppo e l’aggiornamento delle misure di sicurezza per combattere questa attività è idealmente un processo dinamico e continuo. Anche in questo caso le misure variano a seconda delle dimensioni e del settore a cui appartiene l’organizzazione e potrebbero essere:
- Definire un programma per le minacce interne e allinearlo alla gestione del rischio. Un programma efficace richiede la collaborazione e l’integrazione di diversi componenti funzionali trasversali, tra cui: HR, CISO, CSO, Ufficio Legale e le Operations;
- Condurre una valutazione approfondita della minaccia insider. Un prerequisito per realizzare un programma efficace è quello di identificare correttamente lo stato attuale delle capacità di gestione del rischio insider e scoprire le lacune che ne derivano;
- La formazione dei dipendenti è uno dei modi migliori per prevenire e rispondere a un potenziale incidente insider. Se i dipendenti imparano a conoscere le differenti tipologie di minacce insider e le motivazioni per le quali sono pericolosi, saranno meglio attrezzati per identificare e informare i team designati a rispondere agli incidenti insider;
- Identificare i “crown jewels”, cioè i beni più preziosi;
- Monitorare il comportamento degli utenti e dei dispositivi e confrontarlo con le attività di base precedentemente stabilite, tenendo conto sempre della privacy dei dipendenti;
- Gli amministratori di rete, i responsabili delle policy e i proprietari dei dati devono limitare le opportunità per gli individui di ottenere o sfruttare un accesso non autorizzato;
- Gli strumenti di Data Loss Prevention (DLP), pur non essendo infallibili, possono identificare e impedire che i dati sensibili vengano sottratti.
Mandiant offre protezione contro gli insider threat in tutte le fasi del ciclo di vita dell’attacco. I servizi di Mandiant valutano il programma di insider threat esistente e creano capacità di sicurezza efficaci per bloccare queste minacce sul nascere.
Mandiant ha la possibilità di fare questo in tre passi:
- Mandiant Insider Threat Program Assessment è una valutazione puntuale del rischio di insider threat e delle capacità di rilevamento nell’ambiente;
- L’Insider Threat Program Development di Mandiant fornisce un’offerta personalizzabile per lo sviluppo di capacità di Insider Threat per organizzazioni di ogni dimensione. L’Insider Threat Program Development Service adotta un approccio graduale per valutare, progettare, migliorare e rendere pienamente operative le capacità di Insider Threat all’interno delle organizzazioni;
- Insider Threat Security as a Service offre un programma di sicurezza operativo per garantire una prevenzione, un rilevamento e una risposta efficaci e continui agli Insider Threat.