Il Senior Director, International, Insider Threat Management di Proofpoint Rob Bolton riflette sul rischio di insider threat che potrebbe essere incrementato dal modello di lavoro ibrido.

modello di lavoro ibrido

Le minacce interne non sono una novità. Purtroppo, il panorama della cybersecurity è disseminato di lezioni ammonitrici da parte di aziende colpite da attacchi nati al proprio interno e, negli ultimi anni, questa tipologia di incidenti insider non ha fatto che aumentare con grande rapidità, crescendo quasi del 50% tra il 2018 e il 2020. con l’incidenza del modello di lavoro ibrido.

Le conseguenze possono essere gravi. Si stima che gli attacchi interni costino alle aziende circa 11,45 milioni di dollari all’anno e, mentre molte organizzazioni si stanno progressivamente rendendo conto della minaccia rappresentata dagli insider, il modello di lavoro ibrido in cui oggi operiamo rende la prevenzione ancora più difficile.

Poiché in molti si sono infatti ormai abituati al modello di lavoro e da remoto, il ritorno al consueto ambiente d’ufficio e alle sue norme è improbabile. La conseguente dipendenza dal cloud, il cambiamento di orari di lavoro e comportamenti, nonché la mancanza di visibilità, rendono le minacce interne, siano esse dovute a dolo o negligenza, ancora più ostiche da contrastare.

Su questo punto, Forrester ha stimato che nel 2021 un terzo di tutti i cyberattacchi mondiali registrati saranno guidati da insider, rispetto al 25% attuale. E, in questo scenario, la necessità di una soluzione completa di Insider Threat Management (ITM) è indiscutibile. Ora più che mai, con il modello di lavoro ibrido, le organizzazioni devono implementare robusti programmi ITM, combinando strumenti, tecnologia, processi e, forse l’elemento più importante, le persone.

Comprendere le minacce interne
Le difese informatiche tradizionali sono paragonabili a mura perimetrali costruite per proteggere dall’esterno. Proprio per questo motivo, per le minacce interne è necessaria invece una difesa in grado di salvaguardare dati, reti e sistemi in un ambiente privo di perimetro. Si profila così la necessità di un approccio diverso, con strumenti, strategie e formazione della consapevolezza personalizzati – elementi ancora trascurati da un numero preoccupante di organizzazioni.

Le insider threat portate dal modello di lavoro ibrido, si presentano sotto molte forme, da chi cerca intenzionalmente di danneggiare l’organizzazione a chi agisce per errore, fino ad altri che non sono affatto “insider”.

Nello specifico, le minacce più comuni sono dettate dalla negligenza e rappresentano quasi due terzi di tutti gli incidenti: si verificano quando un utente permette involontariamente a un malintenzionato di accedere a dati e sistemi, cliccando su un link pericoloso, usando in modo improprio la password o esponendo accidentalmente dati sensibili.

Anche se meno comuni, le minacce dolose sono spesso più dannose – costando in media 755.760 dollari per incidente rispetto ai 307.111 dollari dei casi di negligenza. Queste minacce possono trovare origine in dipendenti che, sfruttando il modello di lavoro ibrido, agiscono in cerca di vendetta, guadagno finanziario o da criminali informatici che ne hanno compromesso gli account legittimi per entrare in rete.

Il terzo tipo di insider threat è rappresentato dai casi di compromissione degli account, con un costo medio di 871.686 dollari per incidente. Risultano la tipologia più costosa di minaccia insider e si verificano nel momento in cui un impostore o un ladro di credenziali prende di mira le credenziali di accesso di un utente per ottenere l’accesso non autorizzato ad applicazioni e sistemi.
In ogni caso, individuare e difendersi dalle minacce interne è notoriamente complesso: se insider negligenti e privi di intenzioni malevole possono mostrare pochi segnali di avvertimento, chi attacca in modo organizzato e con dolo farà di tutto per coprire le sue tracce ed evitare di destare sospetti.

Con il modello di lavoro ibrido la forza lavoro è sempre più distribuita e quindi esistono molti più punti di attacco; ecco che la sfida che i team di cybersecurity devono affrontare diventa ancor più evidente.

Il fattore ibrido
Il modello di lavoro ibrido non solo aumenta il rischio di minacce interne, ma senza un programma ITM completo in atto, tali minacce diventano molto più difficili da rilevare. Anche se molte organizzazioni sono ormai abituate al lavoro ibrido, si tratta comunque di uno sviluppo relativamente recente.

I team di cybersecurity stanno ancora apprendendo la telemetria dei loro log, con gli utenti che accedono alle reti da vari luoghi e dispositivi, anche in momenti in precedenza considerati insoliti. Con il modello di lavoro ibrido diventato ormai comune, individuare i trend è molto più difficile e, comportamenti tradizionalmente considerati sospetti, potrebbero non destare più allarme.

Il primo elemento portato dal modello di lavoro ibrido è il moltiplicarsi dei più punti di accesso, che aumenta notevolmente la potenziale superficie di attacco delle organizzazioni.

C’è, inoltre, l’impatto sociale e psicologico del modello di lavoro ibrido, dal momento che, fuori dall’ufficio, gli utenti possono essere più inclini a non seguire le best practice per portare a termine le proprie attività, usando dispositivi personali per comodità o aziendali per scopi personali, annotando le password in qualche luogo o ancora accedendo impropriamente a sistemi e dati.

L’aspetto più preoccupante del modello di lavoro ibrido? Ci potrebbero essere molti utenti ignari delle best practice di sicurezza richieste per lo smart working, come evidenziato dal fatto che, alla fine del 2020, globalmente solo il 30% delle aziende aveva formato gli utenti sulle abitudini di lavoro remoto sicuro, nonostante la maggior parte lo avesse implementato.

Il modello di lavoro ibrido comporta anche una giusta dose di distrazioni, dalle faccende quotidiane alle comodità di casa, che possono rendere gli utenti più inclini a semplici ma costosi errori. Chi invece è malintenzionato ha la sensazione di poter operare più liberamente al di fuori dell’atmosfera aziendale.

Costruire un programma di Insider Threat Management
Se rilevare e scoraggiare efficacemente le minacce interne nell’ambiente di modello di lavoro ibrido può essere difficile, non è per forza impossibile. La soluzione è chiara: un programma ITM completo, che combini controlli, processi e persone, iniziando con la definizione di un monitoraggio dedicato alle minacce interne per controllare e indagare sulle attività sospette. Un programma ITM focalizzato sulle persone richiederà risorse specifiche come strumenti di monitoraggio in grado di rilevare l’esfiltrazione di dati, l’abuso di privilegi, l’uso improprio delle applicazioni, l’accesso non autorizzato e i comportamenti rischiosi e anomali.

Inoltre, bisognerà consentire al team ITM di sviluppare e distribuire chiare best practice per il modello di lavoro ibrido, che includano l’accesso a sistemi e reti, i privilegi degli utenti, l’igiene delle password, le applicazioni non autorizzate, il BYOD, la protezione dei dati e altro ancora.

Infine, la conoscenza, l’elemento fondamentale di ogni solido programma ITM: il team ITM dovrà avere un’ampia comprensione dell’attività legata ai dati legati al modello di lavoro ibrido, ovvero chi accede a quali informazioni, quando, perché e attraverso quale piattaforma. Solo questa intelligenza contestuale può aiutare a stabilire motivazioni e intenti, chiavi per individuare i primi segnali di minaccia interna.

Gli utenti dovranno anche essere dotati delle conoscenze necessarie a proteggere se stessi e l’organizzazione ed è possibile solo attraverso una formazione continua e adattabile sulla consapevolezza della sicurezza, che dovrebbe andare oltre i test a scelta multipla e l’igiene di sicurezza di base, concentrandosi invece sull’importanza del comportamento.

Che sia a casa, in ufficio o in modello di lavoro ibrido, gli utenti devono conoscere gli standard da rispettare e il ruolo che ricoprono in prima persona per proteggere l’azienda.