fbpx

Le Insider Threat sono minacce che provengono dall’interno di un’organizzazione, come un’azienda o un dipartimento. Mentre la maggior parte degli esperti di cybersecurity si concentra sulla limitazione dei fattori di rischio esterni, molti hack e violazioni sono provocati da persone che hanno già un accesso legittimo a dati sensibili. Come funzionano le Insider Threat e come si possono prevenire nella sicurezza informatica? Leggi la nostra guida completa per scoprire tutto quello che devi sapere a riguardo!

Altri articoli che potrebbero interessarti:

insider-threat-sicurezza-informatica-guida-copertina

Chi è un insider?

Un insider è una persona che opera già all’interno di un’organizzazione: per esempio un dipendente di un’azienda a cui è stato dato accesso alle reti interne. In quanto tale, ha un accesso privilegiato alle informazioni o ad altre risorse rispetto a una persona esterna all’impresa.

Il termine insider di per sé, chiaramente, non suggerisce che una persona sia una minaccia. Ogni individuo all’interno di un’azienda, di un ente di beneficenza, di un istituto scolastico, di una struttura sanitaria o di un ente governativo è un “insider“.

Che cos’è una Insider Threat?

Una Insider Threat, o minaccia interna, nel contesto della cybersecurity, si riferisce solitamente a una persona all’interno di un’organizzazione che utilizza il proprio accesso privilegiato per danneggiare la stessa. L’esempio più ovvio è quello di un dipendente che fa trapelare dati sensibili, magari a scopo di lucro. Infatti, potrebbe rubare proprietà intellettuale o segreti commerciali per venderli a un’azienda concorrente.

Questi attacchi si definiscono Insider Threat perché possono provocare danni finanziari e di reputazione all’azienda, oltre a mettere a rischio i consumatori e gli utenti dei relativi servizi. Nel caso in cui un dipendente venda dati sensibili a un esterno, le informazioni trapelate potrebbero essere utilizzate per lanciare attacchi informatici contro l’azienda o i suoi clienti.

Tipi di Insider Threat

In linea di massima, le minacce interne rientrano in una delle seguenti tre categorie:

1. Minacce interne per negligenza

Secondo uno studio del 2020 del Ponemon Institute, la maggior parte delle Insider Threat sono il risultato di errori umani e negligenza. Questo tipo di minaccia si verifica quando le persone dimenticano di aggiornare software di sicurezza come l’antivirus, utilizzano password deboli o visitano siti web non sicuri sui propri dispositivi di lavoro.

Un dipendente potrebbe accidentalmente infettare il proprio portatile con uno spyware, consentendo a un hacker di accedere alle password e successivamente alla rete aziendale interna. Un dipendente di un’agenzia governativa potrebbe collegarsi a un hotspot Wi-Fi pubblico, esponendo i propri dati. Queste persone non agiscono in malafede, ma rappresentano comunque una minaccia interna.

2. Insider Threat malevola

Una minaccia interna malevola è quando un individuo che fa consapevolmente qualcosa per minacciare la propria organizzazione. In questo caso, il dipendente potrebbe lavorare da solo, nella speranza di trovare in seguito un acquirente per i file rubati, ma potrebbe anche essere stato contattato da una persona esterna all’organizzazione, interessata ad acquistare dati aziendali sensibili.

Tuttavia, non è sempre una questione di soldi. A volte gli insider possono essere motivati dalla vendetta (magari sanno di stare per essere licenziati) o dal senso etico (ad esempio chi agisce come whistleblower, facendo trapelare informazioni sulle pratiche discutibili dei loro datori di lavoro).

3. Insider Threat compromessa

La minaccia interna compromessa consiste in un dispositivo o un account che è stato in qualche modo manipolato, risultando quindi accessibile da altri attori malintenzionati esterni all’organizzazione. Molte Insider Threat per negligenza si trasformano in minacce compromesse.

Per esempio, il portatile di un dipendente infettato da spyware potrebbe sfruttare la sua e-mail aziendale per lanciare attacchi di spear phishing ai colleghi o per accedere a database interni privati. La minaccia interna per negligenza ha dato all’hacker l’accesso a un account del dipendente, che ora è diventato una minaccia interna compromessa.

Indicatori comuni di Insider Threat

Riuscire a individuare le Insider Threat prima che si verifichino è fondamentale per la sicurezza informatica di un’azienda. Non esiste una panacea quando si tratta di prevedere gli attacchi interni, ma ci sono tanti indicatori che possono essere considerati segnali d’allarme. Questi, possono essere suddivisi in due gruppi principali:

Comportamentali

Se un dipendente della tua azienda si comporta in uno dei seguenti modi, presta molta attenzione:

  • Chiede ripetutamente l’accesso a sistemi o database che non riguardano la sua funzione lavorativa.
  • Esprime regolarmente risentimento nei confronti dell’organizzazione, dei suoi superiori e dei suoi colleghi.
  • Non segue le best practice di sicurezza informatica.
  • Utilizza il proprio dispositivo di lavoro per attività online personali o viceversa.
  • Segnala che il proprio dispositivo o sistema operativo si comporta in modo anomalo.
  • Contatta altri membri del team da un account aziendale chiedendo un accesso particolare o informazioni inedite.

Digitali

Non sempre il comportamento del singolo rivela una potenziale minaccia. Tieni d’occhio anche i seguenti segnali:

  • Download di file di grandi dimensioni, soprattutto su dispositivi non collegati all’organizzazione.
  • Richieste di accesso inaspettate ai sistemi e alle reti interne.
  • Attività anomale fuori del normale orario di lavoro.
  • Dispositivi e account che operano da luoghi insoliti o con IP sconosciuti.
  • Periodi di tempo inspiegabili in cui gli strumenti di cybersecurity, come firewall o VPN, sono disattivati.
  • Tentativi ripetuti di inserire password sbagliate.

Ancora una volta, è importante sottolineare che nessuno di questi fattori, da solo, è un indicatore definitivo di una minaccia insider. Il rilevamento delle minacce interne non è una scienza perfetta, quindi se notate alcuni di questi indizi, dovreste seguirli con una valutazione più approfondita per determinare se è presente un fattore di rischio.

Esempi di Insider Threat

Le minacce interne variano molto perché il termine può coprire qualsiasi comportamento di un membro di un’organizzazione che potrebbe causare danni. Ecco i tipi più comuni di Insider Threat.

Fuga di dati

La fuga di dati comporta l’accesso e la condivisione di informazioni sensibili senza autorizzazione. Ad esempio, un dipendente potrebbe condividere la proprietà intellettuale con un concorrente, vendere i dati degli utenti a hacker o condividere documenti riservati con i giornalisti. Indipendentemente dalla motivazione, il processo rimane in gran parte lo stesso.

Come abbiamo già detto però, la fuga di dati non è sempre necessariamente intenzionale. Un dipendente potrebbe inviare dati all’indirizzo e-mail sbagliato o rendere pubbliche informazioni sensibili (come dettagli di progetti confidenziali o informazioni sui clienti) su un sito web aziendale. Questi sono esempi di minacce interne involontarie, in cui non c’è alcun intento malevolo.

Defacing di pagine web

Piuttosto che provocare una fuga di dati, un insider con i giusti privilegi di accesso potrebbe alterare le informazioni o le grafiche del sito web aziendale, pubblicando i propri messaggi in modo che il pubblico possa vederli. Si tratta del cosiddetto “defacing“, una strategia molto diffusa tra hacktivist (attivisti hacker) e gli aggressori con motivazioni politiche.

Gli agenti di uno Stato nazionale possono persino prendere di mira i siti web governativi di Paesi rivali per pubblicare messaggi di propaganda, come potrebbe aver fatto la Russia in Ucraina all’inizio del 2022.

Disservizi

Piuttosto che vendere proprietà intellettuale o promuovere messaggi politici, un insider potrebbe semplicemente voler causare interruzioni e danni alle operazioni dell’organizzazione. Ad esempio, un dipendente scontento potrebbe cancellare dati essenziali, mettere offline pagine web o utilizzare malware e virus per rendere inutilizzabili i sistemi o i dispositivi aziendali.

Questo è il problema delle Insider Threat: per loro natura, provengono da persone che hanno già accesso alla rete, ai sistemi interni e ai segreti commerciali dell’organizzazione. Quando si rivelano una minaccia, potrebbero aver già causato danni enormi.

Come prevenire le minacce interne

È essenziale ridurre le minacce interne prima che provochino danni all’azienda o all’organizzazione. Ecco tre misure di sicurezza che possono ridurre (anche se non eliminare) i rischi di Insider Threat.

  • Usa una soluzione di monitoraggio centralizzata. Se vuoi migliorare il rilevamento delle minacce interne, assicurati che tutti i dispositivi aziendali montino un software per il monitoraggio delle attività. Una soluzione di monitoraggio centralizzato non deve essere necessariamente invasiva; piuttosto che visualizzare direttamente l’attività degli utenti, è possibile vietare alcuni comportamenti a rischio o chiedere loro di aggiornare i software in uso. Alcuni programmi con Intelligenza Artificiale possono apprendere il comportamento normale degli utenti nel corso del tempo e segnalare se qualcuno dovesse discostarsi da tale comportamento.
  • Sensibilizzazione sulle minacce e sulle best practice. Nella maggior parte dei casi, è più probabile che una Insider Threat sia causata da un errore umano che da un’intenzione malevola. Assicurati che i dipendenti della tua azienda siano consapevoli dei pericoli posti da attacchi di phishing, malware e altre minacce informatiche. Più le persone sono consapevoli di quali comportamenti sono rischiosi, meno è probabile che li mettano in pratica.
  • Utilizza una VPN. Una VPN, o rete privata virtuale, aggiunge un livello di crittografia all’attività Internet di una persona, anche quando si è collegati a un Wi-Fi pubblico non sicuro. L’implementazione di una VPN su tutti i dispositivi di un’organizzazione ridurrà quindi i rischi posti dalla negligenza e dai dispositivi compromessi. Con servizi come NordLayer, potrai migliorare la sicurezza della tua azienda e rendere più sicuro l’accesso dei dipendenti alle risorse aziendali.
Prova Subito NordVPN con il 68% di sconto!

Cosa ne pensi di questa guida alle Insider Threat? C’è altro che vorresti aggiungere? Commenta qui sotto e condividi questo articolo con i tuoi amici! Non dimenticarti di iscriverti alla newsletter di Stolas Informatica e di seguirci su FacebookInstagram e Telegram per rimanere sempre aggiornato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su

Segui Stolas!

Iscriviti alla mailing list di Stolas per ricevere in anteprima novità e sconti!

Grazie per esserti iscritto!

Something went wrong.

Segui Stolas!

Iscriviti alla mailing list di Stolas per ricevere in anteprima novità e sconti!

Grazie per esserti iscritto!

Something went wrong.