Oggi la maggior parte delle aziende ha robusti meccanismi di difesa contro le minacce esterne, ma molte trascurano le insidie che possono essere in agguato all’interno dei propri sistemi.
I firewall e i sistemi di controllo dei contenuti analizzano le informazioni che transitano dentro e fuori dall’infrastruttura, ma non esaminano in alcun modo le informazioni che rimangono sulla rete e che si muovono al suo interno. Eppure, secondo gli esperti, le minacce informatiche interne rappresentano oggi in assoluto il pericolo maggiore.
Nel peggiore dei casi, infatti, le aziende rischiano di perdere tutti i dati a loro disposizione: questo significa dover ricostruire il business da capo (e spendere una fortuna). Uno degli esempi più recenti ha visto cadere vittima di un attacco di questo tipo la società inglese Sage: attraverso le azioni malevole di un dipendente, sono andati perduti i dettagli del libro paga (compresi conti bancari e informazioni sugli stipendi) di oltre duecento aziende clienti.
Le tre tipologie di minacce informatiche interne alla rete aziendale
Il comportamento fraudolento da parte dei dipendenti è di certo l’aspetto più evidente di questo pericolo, ma le minacce informatiche interne possono provenire da fonti diverse. In generale, le fonti di queste minacce sono suddivisibili in tre aree distinte: dipendenti (tra i quali c’è chi lede volontariamente il sistema e chi, invece, lo fa in maniera involontaria a causa di errori), personale esterno (dal momento che molte aziende ora esternalizzano alcune delle loro operazioni, terze parti possono avere accesso alle informazioni sensibili presenti sulla rete) e applicazioni dannose (ovvero sistemi compromessi all’interno della rete che sono stati cooptati per eseguire altre attività malevole).
L’analisi del comportamento degli utenti
Secondo gli esperti, il pericolo di minacce informatiche interne provenienti da impiegati della società è forse la più diffusa, ma anche il più facile da gestire. Per monitorare la sicurezza interna da questo punto di vista, occorre avvalersi di strumenti specifici, come per esempio ObserveIT, che consentono alle aziende di controllare il comportamento degli utenti per individuare eventuali azioni pericolose. L’analisi del comportamento degli utenti, inoltre, non si limita a monitorare le persone, ma può anche rilevare eventuali comportamenti imprevisti e il traffico di rete delle applicazioni. Stabilire le metodologie di analisi del comportamento degli utenti è un processo in due parti. La prima fase stabilisce il modo in cui la rete dovrebbe operare attraverso la definizione di policy e stabilendo cosa si deve proteggere. Dopo di che si indirizza lo strumento verso i dipendenti che esso deve monitorare. L’analisi del comportamento degli utenti si evolve nel tempo: mano a mano lo strumento capisce sempre di più quali sono i comportamenti normali e gli usi accettabili che vengono fatti della rete.
Questo permette di focalizzare via via l’analisi sui comportamenti che non rientrano entro i parametri normali e accettabili. Una volta che l’azienda ha identificato un comportamento inappropriato sulla propria reti, ha a disposizione due opzioni.:
- Rispondere immediatamente. Come? Tramite un messaggio che informa l’utente che l’azione che sta per intraprendere non è considerata accettabile dalla società
- Aspettare. Prendere tempo, infatti, permette di scoprire se il dipendente è volutamente mosso da intenti ostili (e non si tratta quindi di un errore accidentale) e se altri colleghi sono coinvolti
Monitorare fornitori ed ex dipendenti
Le aziende non hanno bisogno di monitorare solo il proprio personale interno, ma anche i fornitori esterni che per qualunque motivo abbiano accesso alla rete. Non solo: oltre a implementare strumenti di analisi del comportamento degli utenti attivi, le aziende devono anche pensare al personale che non fa più parte della società. Capita di frequente, infatti, che gli ex dipendenti possano ancora accedere al proprio account di posta elettronica aziendale per giorni, se non settimane, dopo il licenziamento. Risulta quindi fondamentale assicurarsi che gli elenchi di directory attive e le password vengano mantenuti e aggiornati correttamente.
Gli esperti raccomandano di utilizzare, oltre alle password, sistemi di sicurezza aggiuntivi come l’autenticazione a due fattori, strumento che garantisce un livello di sicurezza ben più elevato contro le minacce informatiche interne. Dal momento che i dipendenti quando lasciano l’azienda devono restituire il dongle di sicurezza – necessario per accedere alla rete e al sistema di posta elettronica con la 2FA – come qualsiasi altro hardware, non potranno più accedere alla rete aziendale anche nel caso in cui il loro account rimanga attivo per un certo periodo di tempo dopo la loro uscita.
Allo stesso modo, occorre fare attenzione nel rilasciare i diritti di accesso agli utenti che, pur all’interno della stessa azienda, hanno cambiato reparto: gli esperti consigliano di non limitarsi ad aggiungere i permessi relativi alla nuova posizione professionale, ma di cancellare anche quelli vecchi non più necessari per adempiere al nuovo ruolo.
Attenzione alle applicazioni dannose!
Un’altra fonte di minacce informatiche interne possono essere le applicazioni dannose installate sui dispositivi compromessi. Sebbene questi dispositivi possano essere a basso rischio di per sé, il fatto che si trovino sulla rete li rende un punto di accesso ideale a informazioni sensibili memorizzate sul server aziendale.
A volte anche i dispositivi più innocui, come i sistemi di ventilazione, telecamere di sicurezza connesse a internet o connettori di tastiera, sono stati portatori di applicazioni dannose. Spesso, infatti, le aziende lasciano gli hardware con le password predefinite di fabbrica e questo rende il gioco molto semplice per eventuali malintenzionati. Il primo passo da fare, secondo gli esperti, è dunque modificare le password di default per tutti i sistemi connessi alla rete aziendale appena questi vengono acquistati e implementati in azienda.
Quando il problema è l’errore umano (la soluzione è la formazione)
In ultima analisi, secondo gli esperti, occorre prendere in considerazione il sempre più frequente fenomeno del BYOD: se da un lato questo può aiutare la produttività dei dipendenti, dall’altro presta il fianco a possibili minacce informatiche interne. Le società che gestiscono dati riservati, infatti, spesso vietano ai dipendenti di utilizzare i dispositivi personali, tra cui telefoni cellulari, fotocamere, tablet, schede SD e memory stick.
Questo perché tali device potrebbero essere utilizzati per trasportare dati riservati o possono essere portatori di un payload maligno. Nonostante i rischi, però, alcune aziende permettono ai dipendenti di collegare i dispositivi personali alla rete dell’ufficio, dati i vantaggi che il BYOD può rappresentare da un punto di vista produttivo. Su questo fronte, peraltro, gli esperti sottolineano come il reale pericolo sia più spesso rappresentato non dai dispositivi stessi, ma dall’errore umano dei dipendenti.
Ci sono stati diversi casi di aziende che hanno dovuto fronteggiare un attacco ransomware dopo che un dipendente aveva involontariamente fatto clic sul link malevolo presente in una e-mail apparentemente innocua. Ecco perché è essenziale formare adeguatamente il personale e renderlo consapevole in merito ai pericoli del cybercrime.