Quando la minaccia arriva dall’interno. I trend attuali in tema di insider risk

Di Luca Maiocchi, Country Manager, Proofpoint Italia
“Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito.

Oggi sembra che un numero maggiore di aziende stia iniziando a capire che le minacce interne siano altrettanto pericolose.

Per troppo tempo, la community della cybersecurity si è concentrata – e ha investito – eccessivamente sui criminali esterni. Tuttavia, sono sempre più numerosi i casi in cui una minaccia reale è stata portata dall’interno, con gravi risultati indesiderati. Si continua a spendere tempo, denaro e sforzi per proteggere applicazioni, risorse e dati, senza considerare i rischi potenziali dovuti alle persone che vi accedono legittimamente.

Se si pensa al percorso che una minaccia interna compie lungo la catena di attacco, è evidente come debbano esistere misure per evitare che i rischi interni si trasformino in minaccia, tra cui:

• Aggiungere di più livelli di accesso

• Richiedere più livelli di autenticazione e maggiori approvazioni nel processo di condivisione dei dati

• Utilizzare altri deterrenti, digitali e legati alle policy

Quando una minaccia interna elude il rilevamento e non viene bloccata, bisogna affidarsi alla tecnologia per il rilevamento e la risposta alle minacce all’identità. Le soluzioni dotate di queste funzionalità sono in grado di rilevare persistenza, raccolta di informazioni, movimento laterale, escalation dei privilegi e altri segnali che indicano come una minaccia interna stia attivamente cercando di eludere i processi e i controlli di sicurezza. C’è ancora la possibilità di bloccare una minaccia interna quando i dati vengono esposti ed esfiltrati, o quando un altro attacco è imminente, ma bisogna fare il possibile per fornire la visione più completa sulle attività svolte dagli utenti all’interno dell’ecosistema digitale aziendale. Questo aiuterà a evitare che i rischi interni si trasformino in minacce attive.

Le minacce interne, un panorama in costante evoluzione

L’incertezza economica sta creando nuovi scenari per le minacce insider, ma sta anche amplificando alcuni di quelli già esistenti. I grandi cambiamenti delle aziende, come fusioni e acquisizioni, cessioni, nuove partnership e licenziamenti, offrono la possibilità di trasformare i rischi interni latenti in minacce reali. Ci sono molti esempi di dipendenti scontenti che causano danni dopo aver lasciato l’azienda – o appena prima di farlo. I lavoratori tentati da opportunità “migliori” possono rappresentare un rischio continuo di esfiltrazione dei dati.

Una nuova tendenza riguarda le minacce insider che non necessitano di un interno per recuperare i dati da esfiltrare. Le parti esterne, compreso chi si occupa di spionaggio aziendale, pagano per l’accesso. Abbiamo assistito a diversi episodi, come lo schema di “sblocco” di AT&T, in cui dipendenti reclutati da criminali informatici hanno assoldato altri membri all’interno della azienda per effettuare attività illegali, o la minaccia interna di Cisco, in cui i dipendenti hanno distrutto l’infrastruttura di un’azienda per motivi dolosi.

L’emergere dell’IA generativa evidenzia ulteriormente la necessità di cambiare il tradizionale approccio “esterno” alla sicurezza. Bloccare l’uso di strumenti come ChatGPT, Bard AI di Google, Copilot di Microsoft e altri non è realistico, poiché molte aziende faranno ampio uso di queste tecnologie per aumentare la produttività. I dipendenti che non si preoccupano di proteggere i dati interni quando utilizzano queste piattaforme rappresentano un rischio e per mitigarlo è necessario implementare una serie di controlli.

Infine, quando ci si concentra sulla protezione di dati sensibili come la proprietà intellettuale, è bene tenere in considerazione il contesto delle persone che hanno accesso a tali informazioni. Altrimenti, si potrebbe creare un rischio, con il team di sicurezza che, sommerso di avvisi, potrebbe perdere di vista le vere minacce. .

In breve, è opportuno progettare il programma contro le minacce interne in modo efficace, affinché sia di supporto all’azienda e non un ostacolo alla produttività.

Contenuti correlati

• 
  Le insidie nella qualifica delle librerie del compilatore

  Le norme relative a functional safety e cybersecurity trattano la qualifica degli strumenti e delle librerie come argomenti indipendenti. Questa indipendenza non è coerente con la prospettiva della norma ISO C che sta alla base dell’implementazione del...
• 
  Sistemi operativi real-time: 6 RTOS per applicazioni embedded più sicure

  I progetti nel settore automobilistico, nell’automazione industriale, nella sanità, ma anche nel mondo Internet of Things, si stanno focalizzando maggiormente sui requisiti di sicurezza dei sistemi critici. Questo trend sta spingendo i vendor di piattaforme RTOS a...
• 
  Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024

  Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...
• 
  Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email

  I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di...
• 
  Proofpoint: il ritorno del malware Qbot

  Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...
• 
  Nuovo CEO a Proofpoint

  Proofpoint ha nominato Sumit Dhawan Chief Executive Officer, con effetto immediato. Rémi Thomas, chief financial officer di Proofpoint, che ha svolto il ruolo di CEO ad interim dal 25 ottobre, continuerà a ricoprire il ruolo di CFO...
• 
  Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurity

  Google e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...
• 
  Falsi aggiornamenti del browser per distribuire malware

  Proofpoint  sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...
• 
  Cybersecurity in sanità: aumenta il costo medio totale di un attacco IT

  Proofpoint e Ponemon Institute hanno pubblicato i risultati della loro seconda ricerca annuale sugli effetti della cybersecurity nel settore sanitario. Il report “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023” ha...
• 
  Proofpoint: nuova campagna di TA544

  I ricercatori di Proofpoint  segnalano una nuova campagna di TA544 rivolta agli utenti italiani, che distribuisce il malware Ursnif. Questo gruppo ha già distribuito il malware bancario in campagne ad alto volume per diversi anni. Proofpoint ha...