La protezione delle risorse e dei servizi aziendali non deve concentrarsi soltanto sulla possibilità di un attacco esterno: spesso i data breach hanno un’origine che si colloca invece all’interno del perimetro aziendale. Il tema è quello dell’insider threat management, cioè l’attività che punta a gestire il rischio di incidenti originati dall’attività (dolosa o semplicemente negligente) di un dipendente o collaboratore dell’azienda. Un aspetto della cyber security che sta acquisendo sempre maggiore peso nelle valutazioni degli esperti e che richiede l’adozione di strumenti specifici.
Prevenire il rischio di incidenti
Se la protezione dagli attacchi dei pirati informatici viene declinata attraverso una classica logica che punta a impedire l’infiltrazione da parte dei cyber criminali, in ambito di insider threat management è necessario tenere in considerazione un maggior numero di fattori e, di conseguenza, una maggiore complessità.
Sia che si faccia riferimento all’ipotesi di un’attività malevola da parte di un dipendente “infedele”, sia che si consideri l’ipotesi di negligenza o errore umano, la mitigazione del rischio di un incidente di sicurezza dall’interno parte dall’implementazione di policy e strumenti tecnologici che ne consentano l’applicazione.
La casistica dei comportamenti potenzialmente pericolosi è ampia e copre ipotesi estremamente variegate, come l’inserimento di una chiave di memoria USB infetta o la condivisione di documenti riservati. Il primo argine a questo tipo di rischio è rappresentato dall’adozione di policy rigorose relative all’uso degli strumenti informatici.
La “seconda linea” è invece costituita da accorgimenti di carattere tecnico, come l’installazione di software di protezione sugli endpoint in grado di eseguire la scansione delle unità di memoria o di strumenti per il blocco di alcune funzionalità (come la cattura di screenshot) che potrebbero consentire l’aggiramento dei divieti stabiliti a livello delle policy stesse.
Controllo e reazione
Se l’impostazione di procedure di security e blocchi a livello tecnologico rappresentano il “minimo sindacale” in tema di insider threat management, l’implementazione di un concreto sistema di protezione richiede un’attività più ampia di controllo.
Così come accade per quanto riguarda l’individuazione di minacce esterne, il prerequisito necessario è l’adozione di un sistema di monitoraggio SIEM (Security Information and Event Management) che consenta di rilevare, organizzare e analizzare automaticamente tutte le attività all’interno dell’ecosistema IT. Le informazioni raccolte in questo modo permettono al SOC (Security Operation Center) di intervenire quando è necessario, bloccando l’attività sospetta (o negligente) e notificando il blocco all’utente stesso. La logica, in altre parole, non è semplicemente quella di impedire i comportamenti inappropriati, ma di averne visibilità e poter sapere in qualsiasi momento chi sta eseguendo l’accesso alle risorse aziendali.
Questa impostazione permette poi di definire, per ogni singolo documento, risorsa o servizio le policy che ne permettono una corretta governance. In altre parole, ogni attività viene catalogata e consentita o bloccata a seconda dei privilegi assegnati ai singoli utenti.
Insider threat management e dispositivi mobili
Una delle criticità maggiori per poter implementare questo tipo di approccio riguarda il lavoro da remoto e in mobilità, che rende più difficile mantenere il controllo dell’attività degli utenti. Nel momento in cui l’accesso ai dati avviene da un punto esterno al perimetro aziendale, infatti, la preoccupazione non deve riguardare soltanto la Insider threat management, per esempio utilizzando una VPN (Virtual Private Network) che consente la crittografia dei dati. La necessità è piuttosto quella di ottenere una visibilità del tutto analoga a quella che è possibile avere all’interno della rete aziendale.
Le soluzioni di insider threat management (ITM) specifiche per i dispositivi mobile, che possono essere implementate attraverso un agent installato sul device, consentono di avere un controllo completo che permette al SOC di intervenire esattamente come se l’attività si svolgesse all’interno del perimetro di rete.
Una necessità ancora più rilevante nel caso in cui le risorse aziendali siano erogate su piattaforma cloud. In questo caso, infatti, l’intero scambio dei dati avviene all’esterno, senza alcun coinvolgimento della rete aziendale. Nel caso di soggetti esterni per i quali non è praticabile prevedere l’installazione di un agent (come fornitori, clienti o collaboratori esterni all’azienda) l’adozione degli strumenti insider threat management può essere “indiretta”, attraverso la forzatura di una connessione da un punto sicuro, cioè da un server su cui è installato l’agent ITM.
