Che cos'è una minaccia interna?

Che cos'è una minaccia interna?

Una minaccia interna è un rischio per la sicurezza di un'organizzazione che deriva da una persona associata all'organizzazione stessa, come un dipendente, un ex dipendente, un collaboratore esterno, un consulente, un membro del consiglio di amministrazione o un fornitore.

Queste minacce possono essere dannose o accidentali. Ad esempio, un'analisi di Verizon di 3.950 violazioni dei dati ha rivelato che il 30% "coinvolgeva utenti interni".

Gli insider possono causare danni in diversi modi:

• Furto, divulgazione o distruzione di dati
• Vendita di segreti aziendali
• Interruzione di sistemi, reti o altre risorse informatiche
• Smarrimento di attrezzature aziendali
• Invio di un allegato e-mail alla persona sbagliata
• Cadere vittima delle truffe degli aggressori
• Configurazione errata delle impostazioni di rete o del database

Quali sono le motivazioni alla base delle minacce interne?

Gli insider dannosi possono avere una serie di motivi per compromettere i dati di un'organizzazione, tra cui il desiderio di vendere i dati, la vendetta, la noia, l'ideologia e l'affiliazione politica.

Quando un interno crea inavvertitamente un rischio per la sicurezza o provoca una violazione, non c'è alcun movente. Potrebbe infatti commettere un errore che causa il problema, perdere un pezzo di apparecchiatura aziendale o essere indotto in una violazione dei dati tramite social engineering, come il phishing.

Quali sono gli indicatori più comuni di minacce interne?

Cambiamenti nel comportamento possono essere un segnale di difficoltà. Un interno malintenzionato potrebbe:

• Recarsi in ufficio al di fuori del normale orario di lavoro
• Accedere a file e sistemi diversi dal solito
• Scaricare file in massa
• Utilizzare dispositivi di archiviazione
• Inviare improvvisamente e-mail con allegati di dimensioni molto grandi
• Fare molti più straordinari

Questi segnali non sono negativi di per sé e spesso hanno spiegazioni del tutto ragionevoli, soprattutto per i professionisti IT.

Perché il controllo degli accessi è importante per i programmi contro le minacce interne?

Un aspetto fondamentale della protezione dalle minacce interne è il controllo degli accessi, ovvero una serie di regole e politiche che stabiliscono chi ha accesso a posizioni, informazioni e sistemi riservati. Un approccio è il controllo degli accessi basato sui ruoli, in cui le autorizzazioni di ogni persona dipendono dal reparto e dalle responsabilità lavorative.

Il principio di accesso con privilegi minimi nella sicurezza di rete implica dare ai dipendenti e ad altri addetti ai lavori l'accesso solo a ciò di cui hanno bisogno per svolgere le proprie responsabilità, niente di più. Ad esempio, un professionista delle risorse umane potrebbe aver bisogno di visualizzare le informazioni sugli stipendi dei dipendenti e un programmatore potrebbe aver bisogno di modificare il codice sorgente, ma nessuno dei due ha bisogno di accedere ai file dell'altro.

Questo è uno dei motivi per cui la sicurezza Zero Trust è un modello di sicurezza IT efficace. Comporta l'obbligo di una rigorosa verifica dell'identità per ogni persona e dispositivo che cerca di accedere a una risorsa aziendale, anche se si trova già all'interno della rete. Limitando l'accesso degli utenti e dei dispositivi, si riducono le potenziali conseguenze di tutti i tipi di minacce interne, proprio come la perdita di una carta di credito e la perdita di un intero portafoglio comportano danni molto diversi.

In che modo le aziende possono mitigare il rischio di minacce interne?

Quando si perfeziona un programma contro le minacce interne, è essenziale tenere presenti le motivazioni e il modo in cui queste influenzano il panorama delle minacce. Sia per gli utenti interni malintenzionati che per quelli accidentali, la rigorosa osservanza delle best practice per il controllo degli accessi può essere di grande aiuto nella prevenzione della perdita di dati.

Le varie strategie includono:

• Mappatura di dove sono archiviati i dati sensibili e di chi vi ha accesso
• Sviluppo di checklist per dipendenti uscenti e altri interni, tra cui la disattivazione dell'accesso a software e app di terze parti, oltre ai sistemi interni
• Aumento della vigilanza durante fusioni e acquisizioni, quando i permessi e gli accessi cambiano di frequente
• Richiesta di una formazione mirata e completa sui rischi accidentali interni, come ad esempio garantire che i dipendenti sappiano come mantenere riservate le password, segnalare le apparecchiature mancanti e identificare potenziali truffe di social engineering

Oltre a utilizzare la gestione degli accessi per proteggere dati e sistemi, il reparto IT può impostare limiti sui dispositivi di proprietà dell'azienda o gestiti dalla stessa, ad esempio bloccando le opzioni di trasferimento dati e richiedendo l'autorizzazione per scaricare nuovo software.

Grazie alle funzionalità di registrazione e analisi, è possibile impostare avvisi per comportamenti tipici delle minacce interne, al fine di individuare tempestivamente potenziali problemi. I tipi di avviso includono:

• Visite ad applicazioni di condivisione file non autorizzate
• Accesso alle applicazioni da dispositivi sconosciuti o non gestiti
• Download da un provider di archiviazione cloud, seguiti da upload su un altro provider
• E-mail con allegati di dimensioni maggiori del solito
• Query DNS o HTTP impreviste (un gateway Web sicuro può aiutare a identificarle)
• Tentativi di ottenere privilegi superiori a quelli richiesti per il ruolo della persona
• Modifiche a molti file in un breve lasso di tempo

Scopri come Cloudflare One semplifica il processo di configurazione dei controlli di accesso basati sui ruoli (RBAC) e velocizza l'accesso remoto.