Il modello di lavoro ibrido che si sta configurando potrebbe incrementare il rischio di minacce interne per le aziende? Se lo è chiesto di recente Rob Bolton, Senior Director, International, Insider Threat Management di Proofpoint, secondo cui le minacce interne non sono una novità.
Purtroppo, il panorama della cybersecurity è disseminato di lezioni ammonitrici da parte di aziende colpite da attacchi nati al proprio interno e, negli ultimi anni, questa tipologia di incidenti insider non ha fatto che aumentare con grande rapidità, crescendo quasi del 50% tra il 2018 e il 2020.
Le conseguenze possono essere gravi. Si stima che gli attacchi interni costino alle aziende circa 11,45 milioni di dollari all’anno e, mentre molte organizzazioni si stanno progressivamente rendendo conto della minaccia rappresentata dagli insider, la modalità in cui oggi lavoriamo rende la prevenzione ancora più difficile.
Poiché in molti si sono infatti ormai abituati al lavoro da remoto e ibrido, il ritorno al consueto ambiente d’ufficio e alle sue norme è improbabile. La conseguente dipendenza dal cloud, il cambiamento di orari di lavoro e comportamenti, nonché la mancanza di visibilità, rendono le minacce interne, siano esse dovute a dolo o negligenza, ancora più ostiche da contrastare.
Su questo punto, Forrester ha stimato che nel 2021 un terzo di tutti i cyberattacchi mondiali registrati saranno guidati da insider, rispetto al 25% attuale. E, in questo scenario, la necessità di una soluzione completa di Insider Threat Management (ITM) è indiscutibile. Ora più che mai, le organizzazioni devono implementare robusti programmi ITM, combinando strumenti, tecnologia, processi e, forse l’elemento più importante, le persone.
Lavoro ibrido: l’importanza di comprendere le minacce interne
Le difese informatiche tradizionali sono paragonabili a mura perimetrali costruite per proteggere dall’esterno. Proprio per questo motivo, per le minacce interne è necessaria invece una difesa in grado di salvaguardare dati, reti e sistemi in un ambiente privo di perimetro.
Si profila così la necessità di un approccio diverso, con strumenti, strategie e formazione della consapevolezza personalizzati – elementi ancora trascurati da un numero preoccupante di organizzazioni.
Le insider threat, o minacce interne, si presentano sotto molte forme, da chi cerca intenzionalmente di danneggiare l’organizzazione a chi agisce per errore, fino ad altri che non sono affatto “insider”.
Nello specifico, le minacce più comuni sono dettate dalla negligenza e rappresentano quasi due terzi di tutti gli incidenti: si verificano quando un utente permette involontariamente a un malintenzionato di accedere a dati e sistemi, cliccando su un link pericoloso, usando in modo improprio la password o esponendo accidentalmente dati sensibili.
Anche se meno comuni, le minacce dolose sono spesso più dannose – costando in media 755.760 dollari per incidente rispetto ai 307.111 dollari dei casi di negligenza. Queste minacce possono trovare origine in dipendenti in cerca di vendetta, guadagno finanziario o da criminali informatici che ne hanno compromesso gli account legittimi per entrare in rete.
Il terzo tipo di insider threat è rappresentato dai casi di compromissione degli account, con un costo medio di 871.686 dollari per incidente. Risultano la tipologia più costosa di minaccia insider e si verificano nel momento in cui un impostore o un ladro di credenziali prende di mira le credenziali di accesso di un utente per ottenere l’accesso non autorizzato ad applicazioni e sistemi.
In ogni caso, individuare e difendersi dalle minacce interne è notoriamente complesso: se insider negligenti e privi di intenzioni malevole possono mostrare pochi segnali di avvertimento, chi attacca in modo organizzato e con dolo farà di tutto per coprire le sue tracce ed evitare di destare sospetti.
Se aggiungiamo a questo quadro un modo relativamente nuovo di lavorare, una forza lavoro sempre più distribuita e molti più punti di attacco, ecco che la sfida che i team di cybersecurity devono affrontare diventa ancor più evidente.
Quanto pesa il fattore ibrido sulle insider threat
Gli ambienti ibridi non solo aumentano il rischio di minacce interne, ma senza un programma ITM completo in atto, le rendono anche molto più difficili da rilevare.
Anche se molte organizzazioni sono ormai abituate al lavoro ibrido, si tratta comunque di uno sviluppo relativamente recente.
I team di cybersecurity stanno ancora apprendendo la telemetria dei loro log, con gli utenti che accedono alle reti da vari luoghi e dispositivi, anche in momenti in precedenza considerati insoliti.
Con modelli di lavoro flessibili diventati ormai comuni, individuare i trend è molto più difficile e ccomportamenti tradizionalmente considerati sospetti potrebbero non destare più allarme.
Il primo elemento è il moltiplicarsi dei più punti di accesso, che aumenta notevolmente la potenziale superficie di attacco delle organizzazioni.
C’è, inoltre, l’impatto sociale e psicologico, dal momento che, fuori dall’ufficio, gli utenti possono essere più inclini a non seguire le best practice per portare a termine le proprie attività, usando dispositivi personali per comodità o aziendali per scopi personali, annotando le password in qualche luogo o ancora accedendo impropriamente a sistemi e dati.
L’aspetto più preoccupante? Ci potrebbero essere molti utenti ignari delle best practice di sicurezza richieste per lo smart working, come evidenziato dal fatto che, alla fine del 2020, globalmente solo il 30% delle aziende aveva formato gli utenti sulle abitudini di lavoro remoto sicuro, nonostante la maggior parte lo avesse implementato.
Lavorare fuori dall’ufficio comporta anche una giusta dose di distrazioni, dalle faccende quotidiane alle comodità di casa, che possono rendere gli utenti più inclini a semplici ma costosi errori. Chi invece è malintenzionato ha la sensazione di poter operare più liberamente al di fuori dell’atmosfera aziendale.
Perché serve un programma di Insider Threat Management
Se rilevare e scoraggiare efficacemente le minacce interne nell’ambiente di lavoro moderno può essere difficile, non è per forza impossibile.
La soluzione è chiara: un programma ITM completo, che combini controlli, processi e persone, iniziando con la definizione di un monitoraggio dedicato alle minacce interne per controllare e indagare sulle attività sospette.
Un programma ITM focalizzato sulle persone richiederà risorse specifiche come strumenti di monitoraggio in grado di rilevare l’esfiltrazione di dati, l’abuso di privilegi, l’uso improprio delle applicazioni, l’accesso non autorizzato e i comportamenti rischiosi e anomali.
Inoltre, bisognerà consentire al team ITM di sviluppare e distribuire chiare best practice per il lavoro ibrido, che includano l’accesso a sistemi e reti, i privilegi degli utenti, l’igiene delle password, le applicazioni non autorizzate, il BYOD, la protezione dei dati e altro ancora.
Infine, la conoscenza, l’elemento fondamentale di ogni solido programma ITM: il team ITM dovrà avere un’ampia comprensione dell’attività legata ai dati, ovvero chi accede a quali informazioni, quando, perché e attraverso quale piattaforma. Solo questa intelligenza contestuale può aiutare a stabilire motivazioni e intenti, chiavi per individuare i primi segnali di minaccia interna.
Gli utenti dovranno anche essere dotati delle conoscenze necessarie a proteggere se stessi e l’organizzazione ed è possibile solo attraverso una formazione continua e adattabile sulla consapevolezza della sicurezza, che dovrebbe andare oltre i test a scelta multipla e l’igiene di sicurezza di base, concentrandosi invece sull’importanza del comportamento.
A casa, in ufficio o in modalità ibrida, gli utenti devono conoscere gli standard da rispettare e il ruolo che ricoprono in prima persona per proteggere l’azienda.