Se guardassi un'immagine generica di un hacker, vedresti una figura incappucciata, china sulla scrivania, persa nel mare di testo e numeri verdi che lampeggiano sullo schermo. Se dovessi guardare una foto reale di un attore di minacce, potrebbe somigliare a Daniel delle risorse umane: la stessa persona a cui è stata negata una promozione dopo essere stato il membro del dipartimento con più anzianità. Sebbene i titoli più sensazionali si concentrino su ransomware, malware e attacchi senza file, sono le infiltrazioni più silenziose a causare il caos anche nelle aziende più sicure. Queste sono conosciute come campagne di minacce interne, e ogni azienda dovrebbe sapere come rilevarle e rispondere ad esse.
La violazione dei dati che le aziende non vedono arrivare
Le minacce interne sono dipendenti canaglia con uno di due obiettivi: interrompere le operazioni con qualsiasi mezzo possibile o rubare informazioni sensibili dai database. Possono anche rappresentare utenti finali negligenti. È probabile che questi membri del team abbiano una conoscenza approfondita dell'infrastruttura digitale dell'organizzazione. Questo include il software utilizzato quotidianamente, come accedere a database strettamente monitorati e quali misure di sicurezza sono in atto per difendersi dalla manomissione. Le minacce interne stanno superando gli attacchi informatici esterni negli ultimi anni. Più della metà di tutti gli attacchi inizia con i dipendenti – per intenzioni maliziose o per negligenza – e questo numero è in aumento, secondo vari rapporti dell'IBM X-Force Threat Intelligence Index. Tuttavia, solo il 39% delle aziende mantiene un controllo stretto sugli utenti con autorizzazioni superiori alla media, secondo un rapporto di UBM. Gli attacchi informatici condotti dai dipendenti hanno un costo medio di circa 8,76 milioni di dollari per incidente, secondo il Global Cost of Insider Threats report del Ponemon Institute del 2018. È una scoperta preoccupante, considerando che 9 aziende su 10 ritengono che i loro meccanismi di difesa contro le minacce interne non siano adeguati, secondo il CA Technologies Insider Threat report del 2018.
Il comportamento è un indicatore chiave delle minacce interne
Rilevare e rispondere alle minacce interne richiede una combinazione di strumenti di sicurezza informatica moderni e una maggiore consapevolezza generale di tutto il personale. Rilevare comportamenti sospetti in anticipo è cruciale per fermare la campagna prima che si verifichino danni permanenti. Ci sono una serie di segnali che indicano che un dipendente sta pianificando un tentativo di hacking o è attualmente coinvolto in esso:
- Negato una promozione o un aumento di stipendio.
- Mostra comportamenti antisociali.
- Sotto pressione finanziaria.
- Lascia l'azienda per andare a un'altra.
- Ottiene privilegi che non riguardano il suo dipartimento o tenta più volte di accedere a aree non autorizzate dell'infrastruttura digitale.
- Presente in ufficio o connesso alla rete a orari insoliti.
- Tenta di mascherare le proprie attività.
- Documenti, progetti o asset interni mancanti. Ma le intenzioni maliziose non sono l'unica minaccia interna: il personale negligente rende l'azienda altrettanto vulnerabile. Ci sono una serie di caratteristiche che possono essere utilizzate per identificare i dipendenti che rappresentano un rischio per l'azienda attraverso la negligenza:
- Postazione di lavoro disordinata.
- Imprudente con informazioni aziendali sensibili.
- Scarica programmi di terze parti rischiosi.
- Non segue le politiche di sicurezza informatica riguardanti l'autenticazione a più fattori e altre protezioni dell'account.
- Interagisce con potenziali campagne di phishing da fonti esterne sconosciute.
NextDLP per affrontare le minacce interne
Le minacce interne sono difficili da individuare, anche quando si conoscono tutti i segnali da cercare. Mancarne uno potrebbe portare informazioni altamente sensibili nelle mani sbagliate. Il Servizio Gestito NextDLP di Integrity360 offre una soluzione innovativa che copre la gestione del rischio interno (IRM) e la prevenzione della perdita di dati (DLP) con un agente endpoint leggero. È gestito nel cloud e offre politiche preconfigurate per ridurre il rischio fin dal primo giorno. Gestito completamente dal SOC di Integrity360 e ospitato sul nostro cloud NextDLP Reveal MSSP, questo servizio affronta una moltitudine di sfide dei clienti. Il nostro servizio offre capacità avanzate di gestione del rischio interno, potenziate da una combinazione di apprendimento automatico e regole statiche, identificando comportamenti rischiosi e adottando misure proattive per mitigare le minacce. Contattaci per saperne di più.