Insider Threat: quando la minaccia viene dall’interno

Darktracemha distribuito la nuova edizione del suo Threat Report, che evidenzia alcuni dei trend più significativi nel panorama delle cyber-minacce e i rischi ancora elevati legati alle minacce interne

Potremmo pensare che gli hacker si dividano tra adolescenti incappucciati o mafie finanziate dallo Stato, ma il 65% delle minacce al primo stadio che Darktrace vede coinvolte figure interne che fanno un uso improprio di accessi legittimi per danneggiare il proprio datore di lavoro, più o meno consapevolmente.

La difficoltà di identificare una minaccia interna può comportare che questa passi inosservata per lunghi periodi di tempo, talvolta anni. Che si copino e vendano informazioni sanitarie, inviando inavvertitamente file sensibili agli account personali, o si faccia insider trading, queste attività possono danneggiare gradualmente e a lungo termine la competitività aziendale.

Nel rumore delle attività aziendali quotidiane, i comportamenti potenzialmente dannosi degli interni sono difficili da individuare. La maggior parte delle strategie corporate si concentra invece sulla prevenzione. I programmi di formazione e consapevolezza promuovono buone pratiche di cyber security, e i dipendenti sono incoraggiati a riferire i comportamenti sospetti. Questi programmi riducono il rischio, ma non prendono in considerazione il personale che intende consapevolmente causare danno. E, cosa fondamentale, non si può garantire che i propri impiegati agiranno nel modo più corretto il 100% delle volte.

In questa categoria di tipologie di minaccia è compreso un piccolo gruppo di utenti che costituiscono un pericolo ancora maggiore per le aziende, essendo spesso soggetti a minore esame: gli utenti con accesso privilegiato. Questi impiegati esperti di tecnologia operano sotto un manto di legittimità e know-how che copre le loro tracce per nascondere la loro attività quando agiscono deliberatamente.

Quindi, chi controlla i controllori? E come si capisce quando un amico diventa nemico? L’IA è un alleato chiave nella lotta contro le minacce interne, perché è in grado di collegare tra loro più tracce sottili di un’attività, sul lungo e breve periodo – cosa che i team umani non possono fare, per via dei troppi dati e complessità da gestire. L’IA può rilevare gli scostamenti che risaltano, seppur lievemente, in paragone con il comportamento normale di ogni dispositivo, utente o rete.

Nessuna organizzazione può eliminare la minaccia interna, ma questa deve essere gestita se le aziende vogliono proteggere i propri “gioielli della corona” nel lungo periodo.

Un insider insospettabile

Una delle maggiori aziende farmaceutiche americane si è trovata colpita da un malware aggressivo a causa di una minaccia interna. Un dipendente si era loggato su BitTorrent, una rete peer-to-peer utilizzata per trasferire file di grandi dimensioni, scaricare contenuto media, inclusi film piratati.

Sebbene l’impiegato giudicasse la sua attività innocua per l’azienda, il malware scaricato sul suo desktop era altamente pericoloso. Era progettato per tracciare il profilo delle vulnerabilità del dispositivo e aprire una porta secondaria perché l’aggressore responsabile del malware potesse sfruttarla.

Nessun danno è stato causato in questa circostanza poiché Darktrace aveva osservato il download e notato i suoi tentativi di muoversi lateralmente nella rete. Con l’autonomous response, Darktrace ha agito istantaneamente, fermando le connessioni del malware al suo centro di comando e controllo, e neutralizzando la minaccia.

“La minaccia interna è una delle più serie che un’azienda possa affrontare.” John Carlin, Former Assistant Attorney General for U.S. National Security