Di seguito proponiamo un articolo di Igor Baikalov, Semperis Chief Scientist ed ex-SVP Global Information Security di Bank of America, nonché esperto di monitoraggio di minacce e insider threat.
L’insider threat, ovvero le minacce informatiche causate da utenti interni, è in netto aumento. Come in altre tipologie di attacchi, anche le violazioni commesse dall’interno sono legate a un uso improprio dei privilegi di accesso, per negligenza o dolo. A questo fenomeno contribuisce anche la crisi economica mondiale in atto, infatti, i tanti licenziamenti e il clima di incertezza diffuso, creano un terreno fertile per gli attacchi da insider threat. Per non parlare del taglio agli investimenti in formazione, della mancata applicazione delle politiche di sicurezza o della minore soddisfazione dei dipendenti, tutti fattori che possono sfociare in comportamenti di rivalsa.
Insider threat: il primo passo per eluderle è scovare le vulnerabilità
Le minacce interne sono particolarmente pericolose perché derivano da utenti di fiducia che, per svolgere il loro lavoro, hanno accesso a risorse e dati sensibili cruciali per l’azienda, nonostante la maggior parte delle soluzioni di sicurezza miri a rilevare gli accessi non autorizzati. Per far fronte all’insider threat in maniera adeguata è necessario proteggere i principali sistemi di identità aziendali. Servono quindi soluzioni in grado di analizzare la presenza di vulnerabilità provenienti da utenti interni, rilevare e risolvere automaticamente le modifiche rischiose, identificare i percorsi di attacco alle risorse più importanti e fornire funzionalità di analisi forense dopo un attacco per chiudere le backdoor aperte dagli utenti interni malintenzionati. Per le aziende che stanno attraversando una fase di consolidamento o riduzione del personale, è importante riuscire a bloccare le attività sospette provenienti da utenti ad alto rischio, come i dipendenti in via di ricollocamento o licenziamento.
Un fenomeno latente in continuo aumento
Nonostante facciano più notizia gli attacchi provenienti da utenti malintenzionati esterni, le minacce interne, accidentali o intenzionali che siano, non accennano a diminuire. Secondo il Cost of Insider Threats Global Report del Ponemon Institute, nel 2022 il 67% delle aziende è stato vittima da 21 a 40 “incidenti” causati da insider, con un aumento del 60% nel 2020, e ogni attacco ha avuto un costo medio di 484.931 dollari. L’insider threat è molto difficile da sradicare: in media ci vogliono 85 giorni per contenere un attacco causato da questo tipo di minaccia.
La causa: un uso improprio dei privilegi di accesso
Chiunque abbia il permesso di accedere a risorse aziendali cruciali potrebbe abusare di questo privilegio per negligenza o dolo. La negligenza può portare alla compromissione dei sistemi in vari modi, ma il risultato non cambia: quando qualcuno sbaglia è semplice per gli utenti malintenzionati recuperare le credenziali con privilegi. Un esempio? Un utente finale che non blocca il portatile o un amministratore di Active Directory che non segue le procedure corrette per l’off-boarding del personale. Un utente interno con cattive intenzioni può infatti utilizzare l’accesso più facilmente per compromettere i sistemi. A prescindere dall’intenzione, alla base delle minacce interne c’è sempre un uso improprio dell’accesso. Per difendersi, le aziende devono adottare una strategia di sicurezza incentrata sui sistemi di identità in grado di gestire ogni fase del ciclo di vita di un attacco.
L’aumento degli incidenti causati da minacce interne va analizzato come un campanello di allarme, soprattutto dalle organizzazioni che ancora non hanno una soluzione completa di rilevamento e risposta alle minacce contro i sistemi di identità. L’uso improprio dei privilegi di accesso è il fattore che accomuna gli attacchi provenienti dall’interno. Dipendenti, appaltatori, fornitori e partner commerciali possono causare danni devastanti, per noncuranza o intenzioni malevole. Proteggersi dalle minacce interne richiede una strategia mirata che copra tutte le fasi del ciclo di vita di un attacco, dalla prevenzione al rimedio fino al ripristino.
La soluzione all’insider threat: una sicurezza incentrata sui sistemi di identità
Active Directory (AD) e Azure Active Directory (Azure AD) sono i principali sistemi di identità usati dal 90% delle aziende. Per difendere i servizi di identità cruciali per le attività aziendali prima, durante e dopo un attacco, serve una soluzione di ripristino specifica per AD che permetta di:
- Scoprire, prima di un attacco, le vulnerabilità (come account inattivi o con password scadute) che possono spianare la strada a un uso improprio dei privilegi di accesso da parte di utenti autorizzati, implementare meccanismi di blocco dell’identità per determinati gruppi di utenti (ad esempio prima di un licenziamento per prevenire modifiche dannose da parte di dipendenti scontenti) e visualizzare i percorsi di attacco alle risorse critiche Tier 0.
- Eseguire, durante un attacco, un monitoraggio continuo degli indicatori di compromissione (IOC), registrare le modifiche rischiose su AD in locale e Azure AD e annullare automaticamente quelle che potrebbero segnalare un attacco (come l’aggiunta ingiustificata di un gruppo di amministratori di dominio).
- Infine, dopo un attacco, disporre di funzionalità di analisi forense, per scoprire le tecniche utilizzate dagli utenti interni e chiudere le backdoor presenti in AD e Azure AD.
di Igor Baikalov, Semperis Chief Scientist