Che cosa significa insider threat?

L'Insider Threat o minaccia interna è una minaccia dannosa per un'organizzazione, che proviene da persone all'interno dell'azienda, come dipendenti, ex dipendenti, appaltatori o soci in affari, che dispongono di informazioni privilegiate relative alle pratiche di sicurezza, ai dati e ai sistemi informatici dell'organizzazione. Wikipedia (inglese)

Smartphone, notebook, tablet e servizi cloud consentono oramai di essere connessi 24 ore su 24 alla rete e permettono l’accessibilità ai file aziendali sempre e dovunque, ma non solo, tali dispositivi consentono oggi di condividere e scambiare informazioni in tutto il globo.

Da quanto rilevato dagli ultimi dati Istat, nel 2019 continua ad aumentare la quota di imprese con almeno 10 addetti che accede a Internet utilizzando connessioni veloci, di cui il 41% con connessioni ad almeno 30 Mbps (13,5% nel 2015), il 13,8% quelle ad almeno 100 Mbps (6,2%).

Inoltre, il 16,1% delle imprese manifatturiere ha un livello di digitalizzazione alto o molto alto. Sulla base di nuovi indicatori risulta che, a profili di digitalizzazione più evoluti delle imprese, si associa in media un livello di produttività del lavoro più elevato.

Nell’ambito privato viene rilevato che in Italia il 76,1% delle famiglie dispone di un accesso a Internet di cui il 74,7% di una connessione a banda larga.

Dal risultato di queste analisi è ormai chiaro che l’accessibilità alla rete, lo scambio e la condivisione di informazioni è alla portata di tutti, privati e aziende, ma soprattutto è usufruibile in ogni luogo e tempo. 

Questa evoluzione ha reso necessaria l’adozione da parte delle aziende di nuove strategie di security al fine di proteggere i dati, la loro disponibilità, l’integrità e la riservatezza affinché si possa garantire la continuità dell’utilizzo degli impianti aziendali e dei relativi servizi.

Attualmente il know-how di un’azienda passa anche il per il suo sistema informatico così come la mole di dati sensibili in esso contenuto ne va a costituire il patrimonio.

Per essere attuali, quindi, bisogna porsi una domanda: le aziende sono realmente in grado di proteggere il proprio sistema informatico da fonti di pericolo interne e/o esterne? E a quali si dovrebbe fare più attenzione?

Ecco perchè una delle più pericolose minacce per un’organizzazione è l’Insider Threat. Questa è una minaccia interna gravemente dannosa che può provenire da persone che operano all'interno dell'organizzazione, da dipendenti, ex dipendenti, appaltatori o soci in affari, i quali dispongono di accessi ad informazioni privilegiate relative ai sistemi informatici dell'organizzazione ai dati e alle pratiche di sicurezza, tali da poter eludere i sistemi aziendali.

4 Tipologie di Insider Threat

L’Insider può distinguersi in quattro categorie a seconda dell'identità dell'attore e dal suo intento:

• 1- Pedine - Pawns

Una pedina è un dipendente o un collaboratore che viene ingannato o costretto a eseguire un attacco permettendo agli aggressori l’accesso ai dati. Spesso le pedine vengono identificate e manipolate tramite schemi di social engineering o spear phishing, progettati ad hoc per ottenere delle informazioni sensibili. Ad esempio, gli utenti possono scaricare inconsapevolmente un malware o fornire credenziali tramite siti o comunicazioni contraffatti.

Case history di insider che coinvolge una pedina è l’incidente accaduto a Ubiquiti Networks: l'insider è caduto in un attacco di spear phishing e ha trasferito 40 milioni di dollari sul conto bancario di una falsa filiale. Lo ha fatto nella convinzione di eseguire gli ordini dei dirigenti senior.

• 2- Personale Incompetente - Goofs

Alcuni insider sono gli addetti ai lavori che sono negligenti o eseguono deliberatamente azioni che possono essere dannose per l’azienda. Questi utenti peccano di superbia credendo che le politiche di sicurezza non si applichino a loro o che sappiano meglio di altri come mantenere protetti loro stessi e i sistemi aziendali.

Si stima che il 95% delle aziende abbia al suo interno utenti che tentano di aggirare i controlli di sicurezza imposti dalla stessa, come ad esempio la disattivazione dei blocchi popup, la sospensione dei programmi antivirus o l'archiviazione di dati sensibili in un archivio cloud non approvato.

• 3- Collaboratori - Collaborators

Un collaboratore è un insider che sceglie di lavorare con aggressori esterni, come concorrenti o altri Stati nazionali. Questi utenti abusano dei loro privilegi, legittimati dalla loro posizione in azienda, per fornire informazioni e/o accesso a terze parti, in genere in cambio di vantaggi economici o personali.

Case history di insider-collaboratore è stato Dongfan “Greg” Chung, un insider che ha collaborato con il governo cinese. Chung è un ex ingegnere di origine cinese della Boeing, che ha raccolto segreti commerciali sul programma spaziale statunitense con l'intento di trasmettere queste informazioni alla Cina. È stato arrestato nel 2006 da agenti federali che hanno trovato presso la sua abitazione documenti sensibili e comunicazioni con funzionari cinesi. Chung è stato condannato nel 2010 per spionaggio economico a 15 anni di carcere.

• 4- Lupi solitari – Lone Wolves

Un lupo solitario è un insider che lavora in modo indipendente per un proprio vantaggio o scopo. Questi utenti hanno spesso una conoscenza approfondita dell’organizzazione in cui operano e sanno come sfruttare i loro privilegi interni.

Case history: Edward Snowden, un ex dipendente della Central Intelligence Agency (CIA) degli Stati Uniti, è un esempio di lupo solitario. Snowden ha usato il suo privilegio di insider per agire come informatore, divulgando diversi documenti altamente secretati su programmi di intelligence, tra cui il programma di intercettazione telefonica tra Stati Uniti e Unione europea riguardante i metadati delle comunicazioni, il PRISM, Tempora e programmi di sorveglianza Internet.

Le minacce derivanti da un insider possono quindi comportare il furto di informazioni sensibili,  riservate o di grande valore economico, l’acquisizione della proprietà intellettuale o addirittura il sabotaggio di sistemi informatici.

Tutte queste azioni sono agevolate dal fatto che l’insider è già in possesso di credenziali/privilegi che legittimino il suo accesso a determinati dati.

La minaccia dell’utilizzo, della vendita o della semplice divulgazione di tali informazioni è uno dei maggiori problemi nell’ambito della sicurezza aziendale. 

Come le aziende possono difendersi dall'insider threat?

Le aziende sono certamente consapevoli del problema, ma raramente dedicano le risorse o l’attenzione esecutiva necessaria per risolverlo.

Nel 2018 l’attuazione di due direttive europee, la Direttiva 2016/679 (GDPR) per la protezione della privacy e la Direttiva (UE) 2016/1148 (NIS – Network and Information Security) per la gestione degli incidenti di sicurezza informatica e la relativa comunicazione verso terzi, ha imposto alle aziende di adottare le procedure necessarie per compiere un importante passo verso la protezione dei dati e dei sistemi informatici. 

Nonostante ciò le aziende si trovano a dover affrontare ancora la percentuale più alta del rischio legato alla violazione di un sistema informatico ovvero quella generata dai dipendenti, dove gli strumenti tecnologici ed informatici adottati dall’azienda non sempre riescono ad essere efficaci; pertanto risulta essenziale attuare un approccio innovativo di gestione del rischio nell’ambito del proprio sistema informatico che contempli sia gli aspetti tecnologici sia il fattore umano.

Non di minore importanza sono gli eventi legati ai Data Breach, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di tali dati, con conseguenze economiche e reputazionali per l’azienda. 

Secondo il Report Cost of a Data Breach di IBM (anno 2019), in Italia, il costo totale medio di un data breach è pari a 3,13 milioni di euro, una crescita del 9,36% rispetto allo scorso anno. Sebbene le cause di una violazione dei dati siano da attribuire per il 46% a un attacco malevolo o criminale, il 31% delle violazioni è ancora dovuta a problemi tecnici, mentre ben il 23% è causato dal fattore umano.

Il tempo medio di identificazione di un Data Breach è salito da 199 a 213 giorni, mentre il tempo medio di contenimento delle violazioni di dati è passato da 56 a 70 giorni; se per risolvere un Data Breach dovuto a problemi tecnici o a un errore umano potrebbero essere necessari circa 250 giorni, per una violazione causata da un attacco esterno il tempo di recupero potrebbe avvicinarsi all’anno. È quindi essenziale in questi casi l’individuazione e la risposta tempestiva alla minaccia. 

Nel Data Breach l’Insider Threat rappresenta uno dei fattori principali e le aziende e i suoi security manager stanno iniziando a valutare, e soprattutto a prevenire, le eventuali minacce da Insider.

Per fare ciò, le organizzazioni devono adottare un approccio innovativo e proattivo iniziando da questi primi passi:

• La microsegmentazione della rete: la suddivisione in segmenti e aree circoscritte tali da garantire la protezione dell’intero sistema rendendo i punti di accesso non vulnerabili agli attacchi. Tale procedura consente all’organizzazione di monitorare, identificare e attenuare eventuali minacce in maniera più efficace.
   
• La Cyber Security Awareness: l’importanza di instaurare all’interno di un’azienda la cultura della sicurezza informatica, dove i primi promotori e sostenitori sono i propri dirigenti, rendendo partecipe tutto il personale dipendente mediante proposte formative, il cui obiettivo è mettere il dipendente nella condizione di capire che l’errore accidentale a livello informatico espone l’azienda ad attacchi esterni con conseguenze economiche gravissime.

Tra questi gli errori più comuni sono:

1. Possibilità di Virus e Malware attraverso VPN senza firewall
2. Utilizzo di USB infetta che può contagiare i PC aziendali e di conseguenza l’intera rete informatica
3. Utilizzo di PC con sistema operativo obsoleto e non aggiornato
4. Assenza di antivirus su PC di produzione
5. Furti dei PC aziendali che permettono l‘accesso remoto ad altri dispositivi in rete o a macchine di produzione
6. Possibilità che un PC infetto del tecnico d‘assistenza contagi i dispositivi e le macchine di produzione dell’azienda
7. La mancanza di controllo costante e continuato degli accessi negli impianti collegati a internet h24.

• Il monitoraggio delle minacce interne: i dati non si muovono da soli, ma sono le persone a spostarli. Questo concetto viene spesso sottovalutato dalle aziende che commettono l’errore di tracciare solo il movimento dei dati. La giusta combinazione tra il monitoraggio delle attività degli utenti e il movimento dei dati può far emergere e addirittura prevenire un’attività di insider threat, riducendo così i tempi di indagine e, di conseguenza, il costo complessivo. Il monitoraggio può includere l’utilizzo di diverse tattiche come l'analisi comportamentale dell’utente, gli avvisi basati su regole, l'analisi del registro. Nel dettaglio, quest’ultimo implica una correlazione dei dati del registro per determinare quando e quali azioni stiano intraprendendo gli utenti; gli avvisi basati su regole, invece, sono strumenti che possono essere utilizzati per informare i team di sicurezza in caso di comportamento sospetto o potenzialmente dannoso.
   
• L’analisi comportamentale dell'utente (UBA – User Behavior Analytics): questa è una tecnologia di apprendimento automatico (ML – Machine Learning) che può aiutare a individuare potenziali minacce sia interne che esterne. Non si basa su firme di minacce o su di un'idea di comportamento privilegiato, ma su linee di base di comportamento "normale".

Se gli utenti iniziano ad accedere in modo irregolare ai dati o a caricare/scaricare file, l'utente viene contrassegnato e indagato. Ciò consente di identificare gli attacchi che altrimenti sarebbero sfuggiti ai sistemi di sicurezza a causa dell'utilizzo di credenziali "valide".

• L’impiego di tecnologia avanzata: i software che utilizzano il machine learning o l’intelligenza artificiale (AI - Artificial Intelligence) applicati alla sicurezza informatica permettono di comprendere tutto ciò che riguarda un’organizzazione. Osservando gli utenti e i dispositivi, i cloud container e i flussi di lavoro, tali applicativi apprendono “in corso d’opera” tutto ciò che è normale per l’organizzazione creando un modello su misura e in evoluzione degli ambienti digitali. Questo tipo di approccio consente di rilevare le minacce informatiche più sofisticate e furtive rispetto ad altri strumenti più obsoleti.

Infatti, che si tratti di una nuova specie di ransomware o di un attacco interno emergente, tali sistemi di tecnologia avanzata rilevano la minaccia sin dalle primissime fasi, permettendo così alle organizzazioni di trarne un vantaggio in termini di tempo di risposta ed efficacia.

• L’adozione di criteri per password efficaci: questo aiuta a garantire che le credenziali di accesso ai sistemi informatici aziendali non vengano compromesse mediante attacchi di brute force, che le password non possano essere riutilizzate e, quelle eventualmente violate, invalidate. È inoltre auspicabile adottare delle procedure affinché i dipendenti comprendano l’importanza della sicurezza delle credenziali. 

Di seguito le principali regole da seguire per la creazione delle password:

1. È consigliabile utilizzare almeno 12 caratteri, mai comunque meno di 8
2. Utilizzare sempre una combinazione di caratteri alfanumerici (ovvero compresi tra a-z e 0-9), caratteri maiuscoli e minuscoli (A/a, B/b, ...Z/z) e i caratteri considerati "speciali" ("$ % & @ # § = , : ; - _ + ^")
3. Mai utilizzare parole riconducibili al proprio ambito personale come il nome o il cognome, quelli del coniuge o dei parenti, date di compleanno, numeri telefonici o altri dati personali facilmente identificabili
4. Non utilizzare parole ovvie come ad esempio: password, pippo, dragon, 123456, qwerty, etc..., poiché sono le più utilizzate negli attacchi brute force
5. Prediligere parole inventate ed evitare di sostituire le lettere con il proprio “similare numerico”, come ad esempio “password” il cui equivalente alfa/numerico potrebbe essere "p4sSw0rd"
6. Cambiare regolarmente le password d’importanza strategica ogni 2/3 mesi
7. Divieto assoluto dell’utilizzo della medesima password per tutte le richieste di accesso, sia in ambito lavorativo che personale
8. Evitare di riportare le password su fogli o agende di facile accesso ad altre persone

• L’autenticazione a due fattori (2FA) e a più fattori (MFA): queste richiedono la combinazione delle credenziali di accesso insieme ad un altro mezzo di verifica e rappresentano le misure più efficaci per prevenire il furto di credenziali e di dati sensibili, aggiungendo un ulteriore livello di sicurezza agli accessi degli utenti.

L’autenticazione a più fattori, infatti, consente di proteggere il proprio account permettendo all’utente di inserire oltre al “Nome Utente” & “Password” anche un codice OTP (one time password) inviato al momento dell’accesso tramite sms sul proprio dispositivo cellulare, notifiche push, accesso biometrico (face id/impronta digitale) o passcode monouso su una specifica applicazione sul proprio smartphone.

Altra tipologia di autenticazione a più fattori è rappresentata dai token hardware, che generano codici OTP ogni tot secondi prestabiliti, utilizzati per la convalida/autorizzazione dell’accesso di molti servizi e/o organizzazioni, come ad esempio nelle banche con il servizio di homebanking.

A tal proposito interessante è la piattaforma “Have I Been Pwned” nella quale è possibile controllare se sia stato compromesso il proprio indirizzo e-mail e quindi procedere allo scollegamento dei servizi associati a tale indirizzo e al cambio immediato della propria password di accesso, possibilmente seguendo le regole sopra descritte ed, ove possibile, attivando l’autenticazione a più fattori.

• La sicurezza degli endpoint: qualsiasi dispositivo in grado di connettersi alla rete aziendale centrale viene considerato un endpoint, sia esso un server, un cellulare, una stampante o uno scanner. Gli endpoint sono i punti di ingresso per gli aggressori esterni e punti di uscita per i dati violati; il monitoraggio e la protezione di tali dispositivi consentono di fermare gli aggressori prima che entrino nel sistema e di impedire che i dati sensibili escano dallo stesso.

Oltre ai firewall di base e ai controlli di accesso, è importante considerare l'adozione di soluzioni antivirus di nuova generazione (NGAV) e di rilevamento e risposta degli endpoint (EDR). Nello specifico, i software NGAV consentono di impedire l'installazione o di rilevare un malware anche se sconosciuto, mentre le soluzioni EDR permettono di monitorare, analizzare e rispondere in modo più efficace alle attività degli endpoint tramite l'automazione.

Ad oggi esistono numerosi strumenti e procedure che possono essere applicati per impedire l'accesso non autorizzato alle risorse aziendali e affidarsi a professionisti competenti può snellire e velocizzare l’intero processo.

Dogma, in questo, grazie all’esperienza maturata nel tempo e il know-how acquisito nelle attività di indagine per la verifica degli obblighi di fedeltà del dipendente e mediante l’utilizzo del sistema di Network Defense, permette di proteggere in modo efficace e tempestivo gli asset aziendali dei suoi clienti in modo da garantire loro un’adeguata capacità concorrenziale nel breve, medio e lungo termine. 

Concludendo, le minacce interne sono difficili da individuare ma non impossibili.

Autore: Alessio Deiana

Security Manager UNI 10459:2017
and Business Intelligence Manager Dogma S.p.A.