Come proteggere la propria azienda dall’insider threat

Pubblicato il 11 aprile 2023

Igor Baikalov, Semperis Chief Scientist ed ex-SVP Global Information Security di Bank of America, vanta 20 anni di esperienza nel monitoraggio di minacce e rischi interni.

L’insider threat, ovvero le minacce informatiche causate da utenti interni, è in netto aumento. Come in altre tipologie di attacchi, anche le violazioni commesse dall’interno sono legate a un uso improprio dei privilegi di accesso, per negligenza o dolo. A questo fenomeno contribuisce anche la crisi economica mondiale in atto, infatti, i tanti licenziamenti e il clima di incertezza diffuso, creano un terreno fertile per gli attacchi da insider threat. Per non parlare del taglio agli investimenti in formazione, della mancata applicazione delle politiche di sicurezza o della minore soddisfazione dei dipendenti, tutti fattori che possono sfociare in comportamenti di rivalsa.

Le minacce interne sono particolarmente pericolose perché derivano da utenti di fiducia che, per svolgere il loro lavoro, hanno accesso a risorse e dati sensibili cruciali per l’azienda, nonostante la maggior parte delle soluzioni di sicurezza miri a rilevare gli accessi non autorizzati. Per far fronte all’insider threat in maniera adeguata è necessario proteggere i principali sistemi di identità aziendali. Servono quindi soluzioni in grado di analizzare la presenza di vulnerabilità provenienti da utenti interni, rilevare e risolvere automaticamente le modifiche rischiose, identificare i percorsi di attacco alle risorse più importanti e fornire funzionalità di analisi forense dopo un attacco per chiudere le backdoor aperte dagli utenti interni malintenzionati. Per le aziende che stanno attraversando una fase di consolidamento o riduzione del personale, è importante riuscire a bloccare le attività sospette provenienti da utenti ad alto rischio, come i dipendenti in via di ricollocamento o licenziamento.

Un fenomeno latente in continuo aumento

Nonostante facciano più notizia gli attacchi provenienti da utenti malintenzionati esterni, le minacce interne, accidentali o intenzionali che siano, non accennano a diminuire. Secondo il Cost of Insider Threats Global Report del Ponemon Institute, nel 2022 il 67% delle aziende è stato vittima da 21 a 40 “incidenti” causati da insider, con un aumento del 60% nel 2020, e ogni attacco ha avuto un costo medio di 484.931 dollari. L’insider threat è molto difficile da sradicare: in media ci vogliono 85 giorni per contenere un attacco causato da questo tipo di minaccia.

La causa: un uso improprio dei privilegi di accesso

Chiunque abbia il permesso di accedere a risorse aziendali cruciali potrebbe abusare di questo privilegio per negligenza o dolo. La negligenza può portare alla compromissione dei sistemi in vari modi, ma il risultato non cambia: quando qualcuno sbaglia è semplice per gli utenti malintenzionati recuperare le credenziali con privilegi. Un esempio? Un utente finale che non blocca il portatile o un amministratore di Active Directory che non segue le procedure corrette per l’off-boarding del personale. Un utente interno con cattive intenzioni può infatti utilizzare l’accesso più facilmente per compromettere i sistemi. A prescindere dall’intenzione, alla base delle minacce interne c’è sempre un uso improprio dell’accesso. Per difendersi, le aziende devono adottare una strategia di sicurezza incentrata sui sistemi di identità in grado di gestire ogni fase del ciclo di vita di un attacco.

In base alla mia esperienza presso Bank of America, l’aumento degli incidenti causati da minacce interne va analizzato come un campanello di allarme, soprattutto dalle organizzazioni che ancora

non hanno una soluzione completa di rilevamento e risposta alle minacce contro i sistemi di identità. L’uso improprio dei privilegi di accesso è il fattore che accomuna gli attacchi provenienti dall’interno. Dipendenti, appaltatori, fornitori e partner commerciali possono causare danni devastanti, per noncuranza o intenzioni malevole. Proteggersi dalle minacce interne richiede una strategia mirata che copra tutte le fasi del ciclo di vita di un attacco, dalla prevenzione al rimedio fino al ripristino.

La soluzione: una sicurezza incentrata sui sistemi di identità

Active Directory (AD) e Azure Active Directory (Azure AD) sono i principali sistemi di identità usati dal 90% delle aziende. Per difendere i servizi di identità cruciali per le attività aziendali prima, durante e dopo un attacco, serve una soluzione di ripristino specifica per AD che permetta di:

• Scoprire, prima di un attacco, le vulnerabilità (come account inattivi o con password scadute) che possono spianare la strada a un uso improprio dei privilegi di accesso da parte di utenti autorizzati, implementare meccanismi di blocco dell’identità per determinati gruppi di utenti (ad esempio prima di un licenziamento per prevenire modifiche dannose da parte di dipendenti scontenti) e visualizzare i percorsi di attacco alle risorse critiche Tier 0.

• Eseguire, durante un attacco, un monitoraggio continuo degli indicatori di compromissione (IOC), registrare le modifiche rischiose su AD in locale e Azure AD e annullare automaticamente quelle che potrebbero segnalare un attacco (come l’aggiunta ingiustificata di un gruppo di amministratori di dominio).

• Infine, dopo un attacco, disporre di funzionalità di analisi forense, per scoprire le tecniche utilizzate dagli utenti interni e chiudere le backdoor presenti in AD e Azure AD.

Semperis è l’unica azienda che fornisce soluzioni specifiche per la difesa di Active Directory progettate da esperti in sicurezza dei sistemi di identità.



Contenuti correlati

  • Semperis
    Sicurezza per le smart factory: come prevenire gli attacchi basati sull’identità

    di Guido Grillenmeier, Principal Technologist, Semperis In ambito industriale le smart factory rappresentano senza dubbio il futuro dei paradigmi produttivi. Capgemini Research Institute nel 2019 aveva stimato che entro il 2023 le smart factory avrebbero costituito a livello...

  • Perché la protezione di Active Directory è la base della strategia Zero Trust

    Di Sean Deuby, Principle Technologist di Semperis L’approccio Zero Trust è ormai così diffuso in Europa che ben 2 aziende su 3 (dati Forrester) stanno sviluppando strategie di sicurezza incentrate su questo modello per proteggere i dati...

  • Le cinque funzionalità chiave delle soluzioni ITDR per le aziende

    di Darren Mar-Elia, VP of Products, Semperis La sicurezza incentrata sulle identità sarà sulla bocca di tutti nel 2023. Negli ultimi anni le aziende sono passate a modelli più flessibili per adattarsi alla così detta epoca della...

  • Sean Deuby
    Resilienza operativa: oltre il semplice ripristino di emergenza

    Di Sean Deuby, Semperis Principle Technologist Per contrastare l’incremento di attacchi informatici e le relative conseguenze sulle attività aziendali, molte organizzazioni stanno adattando le proprie procedure di ripristino di emergenza con misure per rispondere a questo tipo...

  • Conosci l’AikidoWiper?

    di Guido Grillenmeier, Chief Technologist di Semperis Durante conferenza Blackhat, il ricercatore di SafeBreach Or Yair, ha svelato una lacuna sulla sicurezza nelle soluzioni EDR (Endpoint Detection and Response) e ha effettuato una dimostrazione. Attraverso un account...

  • La cybersecurity del 2022 vista da Semperis

    Guido Grillenmeier, Chief Technologist di Semperis Nel 2022 abbiamo avuto dimostrazione più di quanto si potesse prevedere che la guerra informatica è quantomai reale e che non fa distinzione fra confini fisici dei Paesi. Attacchi che hanno...

  • Indicatori di sicurezza di Azure AD nella nuova release di Purple Knight

    Semperis ha rilasciato la versione 1.5 di Purple Knight, lo strumento gratuito per la valutazione della sicurezza di Active Directory (AD) che consente ora di identificare e risolvere le lacune di sicurezza nel proprio ambiente di identità...

  • Come proteggersi dagli attacchi RansomCloud

    Di Guido Grillenmeier, chief technologist, Semperis Il ransomware classico generalmente cripta i computer, i server e tutti i dati che risiedono su di essi. Dopo aver estratto alcuni di quei dati, i criminali informatici sono in grado...

  • La cybersicurezza nel 2022

    Guido Grillenmeier, Chief Technologist di Semperis, descrive, secondo la sua esperienza, quali eventi possiamo aspettarci il prossimo anno nello scenario delle reti aziendali e della cybersicurezza. L’innalzamento del grado di sicurezza delle reti è direttamente proporzionale all’esperienza...

Scopri le novità scelte per te x