spot_img

Minacce dall’interno: comprenderle e affrontarle

Le minacce insider comprendono uno spettro che include sia gli insider diretti con intenzioni malevole o negligenti, sia gli insider compromessi e manipolati da forze esterne. All’interno di un’organizzazione, queste minacce si manifestano attraverso una varietà di comportamenti, che variano dalla vendita di segreti per interesse al consentire involontariamente l’accesso ad aggressori esterni attraverso azioni incaute come cliccare su un’e-mail di phishing.

L’evoluzione del luogo di lavoro, in particolare attraverso la trasformazione digitale, il lavoro da remoto e l’adozione di strumenti basati sul cloud, non solo ha aumentato il potenziale delle minacce interne tradizionali, ma ha anche ampliato le possibilità per gli attori esterni di sfruttare le identità interne. Questo cambiamento ha portato a una sfida complessa per i team di sicurezza: monitorare un perimetro esteso in cui distinguere tra comportamenti normali e sospetti diventa sempre più difficile.

Gli utenti interni compromessi, pur non essendo insider nel senso tradizionale del termine, rappresentano un rischio significativo in quanto si tratta di minacce esterne coperte dalla legittimità dell’accesso di un utente interno. I cybercriminali spesso utilizzano metodi come il social engineering per carpire le credenziali dei dipendenti e introdursi nella rete. Questo vettore di minacce sottolinea la necessità critica per le organizzazioni di implementare solidi sistemi di autenticazione e monitoraggio, migliorando la loro capacità di rilevare e mitigare efficacemente tali intrusioni.

In questa dinamica, l’attenzione non si concentra solo sull’attacco interno intenzionale o negligente, ma anche sulla necessità di garantire che le misure di sicurezza siano in grado di identificare e rispondere alle minacce esterne che si sono mascherate con successo da utente interno. Questo approccio completo alla gestione delle minacce interne è essenziale nel mondo del lavoro digitale contemporaneo, dove i confini tra insider e outsider diventano sempre più sfumati.

L’impatto di una minaccia dall’interno

L’aumento delle minacce interne è supportato da una serie di statistiche. L’aumento del 47% degli attacchi dall’interno negli ultimi due anni testimonia la crescente sofisticazione degli aggressori e l’espansione della superficie di attacco. Questo aumento non rappresenta solo una sfida per la sicurezza, ma anche una sfida finanziaria: il costo delle minacce interne è quasi raddoppiato dal 2018 al 2023. L’impatto finanziario è particolarmente acuto in Nord America, ma si tratta di un problema globale, che colpisce ogni anno oltre un terzo delle aziende di tutto il mondo.

Lo studio completo 2023 Cost of Insider Risks condotto dal Ponemon Institute illustra le crescenti ripercussioni finanziarie delle minacce interne e rivela che la maggior parte dei casi di minaccia di questo tipo deriva dalla negligenza dei dipendenti e costa in media 7,2 milioni di dollari all’anno per porvi rimedio.

Questa dato contrasta nettamente con i costi associati agli incidenti con attaccanti interni malintenzionati e derivati dal furto di credenziali che, sebbene meno frequenti, comportano costi individuali sostanzialmente più elevati. Queste disparità nei costi degli incidenti sottolineano il panorama sfumato delle minacce interne, che richiede una strategia di risposta multiforme.

È allarmante notare che il tempo di contenimento degli incidenti dall’interno è in media di 85 giorni: una durata che evidenzia la natura complessa dell’individuazione, dell’investigazione e della mitigazione, ulteriormente sottolineata dal fatto che solo il 13% degli incidenti viene contenuto in meno di un mese.

Approfondendo i costi associati alla gestione delle minacce interne, lo studio Ponemon identifica il monitoraggio e la sorveglianza, le indagini, l’escalation, la risposta agli incidenti, il contenimento, l’analisi ex-post e la bonifica come fattori chiave di spesa. La ricerca sottolinea l’importanza della gestione degli accessi privilegiati (PAM), della formazione degli utenti e dei programmi di sensibilizzazione nel mitigare l’impatto finanziario dei rischi insider, con la sola PAM che potrebbe far risparmiare milioni.

Lo studio fa anche luce sui settori più colpiti dalle minacce interne, con i servizi finanziari e le industrie di servizi che sopportano i costi più elevati.

Strategie di mitigazione: il valore dell’ITDR

La mitigazione delle minacce dall’interno richiede una strategia a più livelli che combini tecnologia, policy e cultura. L’ITDR (Identity Threat Detection and Response) segna un’evoluzione significativa nella lotta contro le minacce dall’interno. L’ITDR prevede una suite completa di strumenti e metodologie progettate per salvaguardare i sistemi per la gestione dell’identità, che spesso sono il primo obiettivo di una serie di attacchi.

Concentrandosi su questi sistemi, l’ITDR affronta il punto critico in cui spesso si manifestano le minacce dall’interno, assicurando che i tentativi di accesso non autorizzato siano rapidamente identificati e mitigati.

I principi fondamentali dell’ITDR – prevenzione, rilevamento e risposta – sono elementi fondamentali per costruire una solida struttura di sicurezza contro le minacce dall’interno. I meccanismi di prevenzione mirano a bloccare gli attacchi prima che si verifichino, impiegando controlli e criteri di accesso rigorosi per garantire che solo gli utenti autorizzati possano accedere ai sistemi e ai dati sensibili.

Tuttavia, data la natura sofisticata delle minacce dall’interno, la prevenzione da sola non è sufficiente. È qui che entrano in gioco le capacità di rilevamento e risposta dell’ITDR, che fungono da seconda e terza linea di difesa.

Identity Threat Detection and Response (fonte: Gartner)
Identity Threat Detection and Response (fonte: Gartner)

I meccanismi di rilevamento sono progettati per identificare attività insolite o non autorizzate che potrebbero indicare una violazione o un uso improprio dei sistemi di identità. Ciò comporta il monitoraggio dei comportamenti degli utenti, dei modelli di accesso e di altri indicatori di compromissione che potrebbero suggerire una minaccia dall’interno.

Una volta rilevata una potenziale minaccia, la componente di risposta dell’ITDR viene attivata per mitigare l’impatto, contenendo la violazione e avviando procedure di recupero per ripristinare le normali operazioni e prevenire incidenti futuri.

L’importanza dell’ITDR nel contesto delle minacce dall’interno non può essere però sopravvalutata. Le minacce dall’interno, infatti, spesso sfruttano i diritti di accesso legittimi per compiere le loro azioni, il che le rende particolarmente difficili da rilevare e prevenire. L’attenzione dell’ITDR sui sistemi di identità fornisce un livello critico di sicurezza, garantendo che solo le attività legittime e autorizzate avvengano all’interno della rete.

Integrando l’ITDR nei loro framework di cybersecurity, le organizzazioni possono migliorare significativamente la loro capacità di rilevare e rispondere alle minacce dall’interno, salvaguardando le loro risorse critiche e mantenendo l’integrità delle loro operazioni.

L’utilizzo del framework MITRE ATT&CK in combinazione con l’ITDR fornisce alle organizzazioni una potente metodologia per migliorare ulteriormente le loro capacità di rilevamento delle minacce, in particolare per affrontare vettori di attacco ben noti.

OpenText Cybersecurity: in prima linea contro le minacce interne

ArcSight Intelligence e ArcSight User Behavior Monitoring (UBM), un componente aggiuntivo on-premises per ArcSight Enterprise Security Manager (ESM), rappresentano il tipo di strumenti avanzati necessari per combattere le minacce interne nelle fasi di rilevamento e risposta.

Grazie a modelli di machine learning e all’analisi del comportamento, ArcSight Intelligence consente di rilevare in modo efficace le minacce interne che potrebbero sfuggire alle misure di sicurezza tradizionali. Alle organizzazioni con vincoli operativi, come quelle che operano in ambienti altamente regolamentati o che prevedono restrizioni sull’ uso del cloud, ArcSight UBM mette a disposizione un’efficace soluzione on-premise. Questo duplice approccio permette di soddisfare le differenti esigenze aziendali, indipendentemente dalle preferenze di implementazione.

È inoltre importante sottolineare le capacità preventive offerte da OpenText NetIQ. Questa soluzione svolge un ruolo cruciale nelle prime fasi della protezione dalle minacce interne, affrontando efficacemente le vulnerabilità prima che possano essere sfruttate. OpenText NetIQ migliora la sicurezza organizzativa implementando forti controlli di accesso, gestione delle identità e monitoraggio completo delle attività e dei comportamenti degli utenti.

Garantendo che gli utenti abbiano solo i diritti di accesso necessari e segnalando qualsiasi deviazione dai normali modelli di attività, NetIQ aiuta a prevenire gli accessi non autorizzati e le potenziali minacce interne. Questo approccio preventivo è essenziale per una strategia di cybersecurity olistica, che garantisca alle organizzazioni meccanismi di difesa non solo reattivi ma anche proattivi.

IN EVIDENZA

COME PROTEGGERE I DATI SANITARI - Martedì 20 febbraio 2024 11.00 - 11.45 CET

Venite a scoprire le caratteristiche di Voltage Fusion di OpenText, la soluzione in grado di: • scoprire dove si trovano i dati strutturati e non sensibili e sanitari • valutarne il rischio e l ‘esposizione • applicare regole di protezione che ne rendano anonimo il contenuto Webinar: “

Title image box

Add an Introductory Description to make your audience curious by simply setting an Excerpt on this section

NON FARTI SFUGGIRE LA PROMOZIONE

Clicca qui per scoprire l’offerta OpenText OpenSaaS: sottoscrivendo un contratto minimo di un anno, ottieni un’estensione di 90 giorni del tuo abbonamento OpenText Fortify on Demand.

LA DATA DISCOVERY ALIMENTA LA PROTEZIONE - Scopri in questo video perchè la conformità alla privacy, il green-IT e la riduzione dei rischi finanziari iniziano con la Data Discovery

WEBINAR

AI + UNSECURE DATA = FINANCIAL RISK - Giovedì 11 aprile 2024 - Ore 17.00 CEST - Cosa succede quando i dati sensibili si scontrano con la potenza dell'intelligenza artificiale? Come può la vostra azienda proteggersi da potenziali violazioni dei dati e garantire la sicurezza delle informazioni sensibili? Scoprite insieme a noi l'intersezione critica tra IA e dati sensibili, analizzando come identificare e misurare il rischio finanziario.

SCARICA IL WHITE PAPER

Scarica la tua copia di QUANTIFYING DATA RISK: VISUALIZING FINANCIAL EXPOSURE per comprendere come l'automazione del Data Discovery possa anche aiutare a quantificare il rischio e scopri perché le principali categorie di dati compromessi sono quelli personali di dipendenti e clienti

LA FORMICA E LA CICALA AFFRONTANO I DATI SENSIBILI DI CYBERLANDIA - Guarda in questo video l’approccio da formica e quella da cicala nella gestione dei dati sensibili

SCARICA IL REPORT

Scarica la tua copia di THE FORRESTER WAVE: DATA SECURITY PLATFORMS, Q1 2023 per un'analisi approfondita sugli ultimi progressi nelle piattaforme di sicurezza dei dati e per avere una valutazione accurata delle soluzioni presenti nel mercato.