A volte sono le persone più vicine all’azienda a rappresentare il rischio più grave per la sicurezza. Fanno notizia le fughe di dati super segreti, ma in realtà la maggior parte delle minacce interne è rappresentata da persone con buone intenzioni che commettono semplicemente un errore.
Il numero di identità dotate di accesso a dati sensibili aziendali continua a crescere e sempre più spesso gli attori delle minacce possono contare su due fattori. In primo luogo, che qualcuno con accesso sensibile compia un’azione che non dovrebbe compiere, ad esempio un utente che clicchi accidentalmente su un link in un’e-mail di phishing, un fornitore di terze parti coinvolto in un attacco di MFA fatigue, uno sviluppatore che codifichi le credenziali per risparmiare tempo o un amministratore IT che esponga troppe informazioni sensibili dopo aver mal configurato un account cloud. In secondo luogo, che l’organizzazione della vittima non sia in grado di bloccare o correggere tempestivamente questo tipo di errori.
Come analizzare il rischio interno
Nel momento in cui un’azienda desideri valutare il proprio livello di rischio interno e come gestirlo, è opportuno che si ponga queste sei domande:
- Quali sono le risorse più importanti e dove risiedono? L’infrastruttura IT diventa sempre più estesa e complessa e gli utenti lavorano ovunque, memorizzando e accedendo ai dati in applicazioni web, file interni, database e servizi ospitati on-premise e nel cloud pubblico. Non è possibile isolare le minacce e impedire che raggiungano i “gioielli della corona” dell’azienda senza una chiara comprensione di ciò che è necessario proteggere e del luogo in cui sono archiviate queste risorse.
- Abbiamo visibilità su come gli utenti gestiscono i dati sensibili? Secondo una ricerca di CyberArk, le terze parti (partner, consulenti e fornitori di servizi) sono indicate come la tipologia di identità umana più rischiosa. Il 77% degli intervistati afferma inoltre che gli sviluppatori hanno generalmente più privilegi di quelli strettamente necessari per il loro ruolo. Un metodo coerente per registrare, verificare e proteggere l’attività, in particolare nelle app web e nelle sessioni privilegiate, è fondamentale per scoprire e mitigare rapidamente le minacce interne.
- Stiamo analizzando il comportamento per prendere decisioni più intelligenti relative agli accessi? Molti team che si occupano di sicurezza e conformità utilizzano l’intelligenza artificiale per aiutare a contestualizzare i dati relativi al comportamento degli utenti (ad esempio, data/ora di accesso, dispositivo, posizione e utilizzo di account privilegiati) e stabilire le linee di base per gli utenti tenendo in considerazione il loro accesso ad applicazioni web, risorse e account privilegiati. Questo metodo facilita l’individuazione di comportamenti a rischio e la valutazione della probabilità di compromissione dell’identità, consentendo ai dipendenti di operare senza inutili interruzioni.
- Esistono modi per migliorare l’esperienza degli insider? Una ricerca dell’University College di Londra sottolinea che la quantità di sforzi richiesti per effettuare un’attività influenza ciò che pensiamo di vedere. In altre parole, è probabile che le persone percepiscano come meno attraenti i compiti impegnativi, come le ripetute richieste di autenticazione per accedere alle risorse utilizzate regolarmente. In questo caso, le persone prendono scorciatoie, aumentando i rischi interni. Per alcuni, questo significa archiviare file in Dropbox, inviare informazioni tramite e-mail personali, condividere password o installare applicazioni non funzionanti: azioni all’apparenza innocue, che possono però involontariamente mettere a rischio dati e sistemi. Una sicurezza dell’identità efficace anticipa e rimuove le barriere, rendendo più facile per le persone fare la cosa giusta.
- Come colmare il divario tra aspettative e realtà in materia di cybersecurity? La consapevolezza generale è aumentata e la maggior parte delle persone ha ormai chiaro che la cybersecurity sia responsabilità di tutti, ma non è sufficiente. Nonostante solo il 2,9% dei dipendenti clicchi su link di phishing (come rilevato nell’ultimo Data Breach Investigation Report di Verizon), gli attaccanti hanno ancora molte opportunità di rubare le credenziali e compromettere le identità. La filosofia Zero Trust presuppone che gli esseri umani commettano errori e invece di aspettare un cambio di approccio da parte loro, tiene in considerazione gli errori e i metodi per ridurre al minimo i danni, promuovendo autenticazione e autorizzazione continue per tutte le identità, umane e macchine, insieme a un accesso sicuro, con il minimo privilegio, concesso just in time.
- Stiamo affrontando le minacce basate sull’identità in modo olistico? Le organizzazioni spesso utilizzano prodotti diversi per amministrare l’accesso di forza lavoro e identità privilegiate, che richiedono una gestione separata di utenti e risorse e una valutazione dei rischi legati all’identità. Tuttavia, senza un rilevamento unificato delle minacce, una fonte centralizzata di dati e analisi del rischio standardizzata e policy di remediation, è più probabile che i team perdano, gestiscano male o rispondano troppo lentamente alle minacce, interne ed esterne.
Poiché le minacce insider potrebbero nascere da chiunque in azienda, i controlli intelligenti dei privilegi, un tempo progettati per l’utente al livello più alto della piramide, devono ora estendersi a tutte le identità, migliorando visibilità, rilevamento e risposta, pur mantenendo l’equilibrio critico tra sicurezza e usabilità.