Quando la minaccia arriva dall’interno. I trend attuali in tema di insider risk

Di Luca Maiocchi, Country Manager, Proofpoint Italia
“Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito.

Oggi sembra che un numero maggiore di aziende stia iniziando a capire che le minacce interne siano altrettanto pericolose.

Per troppo tempo, la community della cybersecurity si è concentrata – e ha investito – eccessivamente sui criminali esterni. Tuttavia, sono sempre più numerosi i casi in cui una minaccia reale è stata portata dall’interno, con gravi risultati indesiderati. Si continua a spendere tempo, denaro e sforzi per proteggere applicazioni, risorse e dati, senza considerare i rischi potenziali dovuti alle persone che vi accedono legittimamente.

Se si pensa al percorso che una minaccia interna compie lungo la catena di attacco, è evidente come debbano esistere misure per evitare che i rischi interni si trasformino in minaccia, tra cui:

• Aggiungere di più livelli di accesso

• Richiedere più livelli di autenticazione e maggiori approvazioni nel processo di condivisione dei dati

• Utilizzare altri deterrenti, digitali e legati alle policy

Quando una minaccia interna elude il rilevamento e non viene bloccata, bisogna affidarsi alla tecnologia per il rilevamento e la risposta alle minacce all’identità. Le soluzioni dotate di queste funzionalità sono in grado di rilevare persistenza, raccolta di informazioni, movimento laterale, escalation dei privilegi e altri segnali che indicano come una minaccia interna stia attivamente cercando di eludere i processi e i controlli di sicurezza. C’è ancora la possibilità di bloccare una minaccia interna quando i dati vengono esposti ed esfiltrati, o quando un altro attacco è imminente, ma bisogna fare il possibile per fornire la visione più completa sulle attività svolte dagli utenti all’interno dell’ecosistema digitale aziendale. Questo aiuterà a evitare che i rischi interni si trasformino in minacce attive.

Le minacce interne, un panorama in costante evoluzione

L’incertezza economica sta creando nuovi scenari per le minacce insider, ma sta anche amplificando alcuni di quelli già esistenti. I grandi cambiamenti delle aziende, come fusioni e acquisizioni, cessioni, nuove partnership e licenziamenti, offrono la possibilità di trasformare i rischi interni latenti in minacce reali. Ci sono molti esempi di dipendenti scontenti che causano danni dopo aver lasciato l’azienda – o appena prima di farlo. I lavoratori tentati da opportunità “migliori” possono rappresentare un rischio continuo di esfiltrazione dei dati.

Una nuova tendenza riguarda le minacce insider che non necessitano di un interno per recuperare i dati da esfiltrare. Le parti esterne, compreso chi si occupa di spionaggio aziendale, pagano per l’accesso. Abbiamo assistito a diversi episodi, come lo schema di “sblocco” di AT&T, in cui dipendenti reclutati da criminali informatici hanno assoldato altri membri all’interno della azienda per effettuare attività illegali, o la minaccia interna di Cisco, in cui i dipendenti hanno distrutto l’infrastruttura di un’azienda per motivi dolosi.

L’emergere dell’IA generativa evidenzia ulteriormente la necessità di cambiare il tradizionale approccio “esterno” alla sicurezza. Bloccare l’uso di strumenti come ChatGPT, Bard AI di Google, Copilot di Microsoft e altri non è realistico, poiché molte aziende faranno ampio uso di queste tecnologie per aumentare la produttività. I dipendenti che non si preoccupano di proteggere i dati interni quando utilizzano queste piattaforme rappresentano un rischio e per mitigarlo è necessario implementare una serie di controlli.

Infine, quando ci si concentra sulla protezione di dati sensibili come la proprietà intellettuale, è bene tenere in considerazione il contesto delle persone che hanno accesso a tali informazioni. Altrimenti, si potrebbe creare un rischio, con il team di sicurezza che, sommerso di avvisi, potrebbe perdere di vista le vere minacce. .

In breve, è opportuno progettare il programma contro le minacce interne in modo efficace, affinché sia di supporto all’azienda e non un ostacolo alla produttività.

Contenuti correlati

• 
  Per una cybersecurity efficace occorre vedere il punto di vista dell’aggressore: come l’architettura IT riesce a raggiungere questo obiettivo

  Analisi di Cyril Amblard-Ladurantie, Product Marketing Manager di Mega International Se i vostri dati possono essere preziosi per qualcun altro, è probabile che qualcuno cerchi di trovare le vulnerabilità nella vostra architettura IT. Prima che ciò accada,...
• 
  Oltre la security awareness, verso un cambiamento comportamentale di lungo termine

  Luca Maiocchi, Country Manager, Proofpoint Negli ultimi anni si è discusso molto tra operatori, analisti e vendor sul tema della sensibilizzazione alla sicurezza, sui fattori che permettono di costruire un buon programma, sui metodi di misurazione e...
• 
  Kaspersky: aumentano gli attacchi ai sistemi ICS

  Secondo il recente report per il secondo trimestre del 2024 di Kaspersky sulla cybersecurity degli Industrial Control Systems (ICS), gli attacchi ransomware sono aumentati del 20% rispetto al trimestre precedente. In particolare le minacce sono in crescita...
• 
  Artificial Intelligence: scudo e spada nella cybersecurity moderna

  Daniel Rapp, Group Vice President, AI/ML, Proofpoint, riassume le opportunità e le sfide che la rapida diffusione dell’AI sta portando alle aziende in tema di sicurezza cyber. L’intelligenza artificiale è sulla bocca di tutti, e il mondo...
• 
  Gli attacchi alla supply chain mettono il business a rischio

  Di Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint I criminali informatici sono sempre più audaci e sofisticati nei loro metodi e si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e...
• 
  Proofpoint: aumenta la preoccupazione dei CISO italiani nel 2024

  Chief Information Security Officer (CISO) più preoccupati: questo è uno dei trend che emerge dall’edizione 2024 del report annuale Voice of the CISO di Proofpoint. Il report analizza sfide, aspettative e priorità principali riportate dai CISO a...
• 
  Le insidie nella qualifica delle librerie del compilatore

  Le norme relative a functional safety e cybersecurity trattano la qualifica degli strumenti e delle librerie come argomenti indipendenti. Questa indipendenza non è coerente con la prospettiva della norma ISO C che sta alla base dell’implementazione del...
• 
  Sistemi operativi real-time: 6 RTOS per applicazioni embedded più sicure

  I progetti nel settore automobilistico, nell’automazione industriale, nella sanità, ma anche nel mondo Internet of Things, si stanno focalizzando maggiormente sui requisiti di sicurezza dei sistemi critici. Questo trend sta spingendo i vendor di piattaforme RTOS a...
• 
  Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024

  Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...
• 
  Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email

  I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di...