È normale, oggi, parlare di vulnerabilità o di minacce che insistono sulla nostra realtà tecnologica, piccola o grande che sia, e ciò ha contribuito a rendere le reti aziendali molto più resilienti, almeno per ciò che riguarda il contesto delle vulnerabilità che possono insistere dall’esterno verso l’interno: motivo per il quale sempre più spesso le tecniche di intrusione prediligono un vettore interno che semplifichi le attività criminose, il che rende la gestione degli insider risk e delle minacce interne molto complessa perché predispone che il vettore abbia già a disposizione l’accesso ai dati che l’organizzazione deve proteggere.
Ci tengo a evidenziare che non sempre il problema viene determinato dal soggetto di sua volontà. Molti sono stati i casi di cronaca, oltre a quelli che ho seguito personalmente, che hanno rappresentato molte volte situazioni in cui la persona, o meglio il vettore in questo caso, è inconsapevole oppure viene costretto sotto ricatto o minaccia.
L’importante è non sottovalutare questo tipo di minacce poiché rappresentano una tendenza in crescita.
Altrettanto importante è comprenderle, comprenderne i meccanismi e attuare le politiche di prevenzione e mitigazione poiché, come vedremo in seguito, questo tipo di minacce non insiste solo nelle organizzazioni di grandi dimensioni ma tutti ne sono colpiti: dai professionisti, alle piccole-medie imprese e grosse multinazionali.
Indice degli argomenti
Gli insider risk: cosa sono e quanto possono essere dannosi
Allora, se prendiamo une delle tante definizioni possiamo affermare che gli insider risk (d’ora in poi solo “insider”) sono tutte quelle attività che, partendo dall’interno dell’azienda, causano in maniera volontaria o involontaria uno specifico danno.
Possiamo largamente estendere questa definizione a dipendenti, ex-dipendenti, soci in affari, appaltatori, partners, fornitori e clienti. Chiunque disponga accesso ad informazioni privilegiate che costituiscono un toto o in parte la banca dati “core” di quella determinata organizzazione.
Le azioni che ne conseguono posso rivelare frodi, furti di informazioni commerciali o furti di identità, furti di proprietà intellettuale, sabotaggio di sistemi informatici e molto altro.
I vertici di un’organizzazione non possono sapere quale sia l’obiettivo di un insider: ma che si tratti di poisoning oppure di furto di dati industriali, l’attenzione dev’essere sempre ai massimi livelli.
In ogni caso, possiamo ipotizzare che la minaccia sia dannosa, cioè in malafede: le persone approfittano dei loro accessi per arrecare un danno o prelevare informazioni da “vendere” a un competitor. Possono essere semplicemente negligenti, quindi ignorando le politiche di sicurezza compiono azioni che possono ledere l’organizzazione e sono dei vettori (alcuni li definiscono “infiltratori”) che consapevolmente o meno forniscono le credenziali a soggetti esterni.
Nel 2019 l’istituto SANS pubblicò un rapporto sulle minacce avanzate rivelando che quelle interne rappresentano il vettore principale del 60% delle violazioni di dati.
Rilevare le minacce interne non è un compito facile per i team di sicurezza, in quanto l’insider ha già accesso legittimo alle informazioni e ai dati ed è quindi difficile distinguere tra la normale attività di un utente e quella che potenzialmente può essere dannosa. Di conseguenza, la violazione dei dati da parte di un insider è notevolmente più pericolosa (e costosa) di quelle causate da un aggressore esterno. E purtroppo questa tecnica sta vedendo una tendenza in crescita.
È realtà che molte organizzazioni criminali, che in genere operano su commissione, una volta studiata la vittima decidano di agire utilizzando come vettore un dipendente dell’azienda. Reperendo online i dati degli intestatari delle targhe delle vetture parcheggiate nell’area privata dell’azienda, si ottengono con pochi soldi le informazioni complete unitamente ad indirizzi privati delle abitazioni.
In pochi giorni e con poca fatica, la scoperta di una relazione extraconiugale potrebbe essere un motivo di ricatto per convincere, magari dietro a un’interessante remunerazione, a inserire una chiavetta USB sulla propria postazione. Ormai gli hacking tools su chiavetta si trovano in ogni parte di internet.
Se tutto questo ancora può apparire come fantascienza, vi porto un caso concreto.
Insider risk: l’esempio pratico
Vi parlo di una piccola azienda di produzione, una di quelle realtà tipiche del triveneto che, strutturate e gestite a livello famigliare, si danno da fare per sbarcare il lunario, con tutte le difficoltà che oggi il mercato pone a livello globale. Quindi la moglie è imprenditrice, il marito lavora come dipendente almeno per assicurare uno stipendio fisso al mese, figli a scuola e due dipendenti: uno in produzione e una in amministrazione.
Si “batte il ferro” e l’azienda riesce ad acquisire una commessa da un grosso committente che, se soddisfatto, moltiplicherà gli ordini consentendo un piccolo salto che, per una realtà come questa, è un grande risultato.
È ovvio considerare come la concorrenza sia sempre agguerritissima e uno dei competitor decide di agire con metodi che, sempre più spesso, vengono presi in considerazione.
Il competitor decide di ingaggiare un’organizzazione che individua i possibili punti deboli dell’azienda e decide di agire. Il marito, che spesso effettua trasferte per lavoro, si trova fuori città e dopo la giornata di lavoro decide, con i colleghi di uscire per un aperitivo. Nel locale conosce una donna che lo irretisce e finisce a letto con lei. Il tutto viene documentato dai complici che, ben presto, si mettono in contatto con la moglie inviandole alcune delle foto unitamente a una chiavetta USB contenente, secondo le indicazioni, tutto il materiale.
La chiavetta è stata inserita dalla donna nel suo PC aziendale in modo da consentirle di visionare il materiale nonché installare una reverse connection che ha garantito ai malintenzionati l’accesso dall’esterno.
Ciò permise, infine, di alterare i software di produzione: la merce prodotta viene respinta dal grosso committente come qualitativamente non conforme. Il tutto in un momento in cui la donna non era presente in azienda a monitorare, impegnata nel dramma familiare che stava vivendo a causa della rivelazione del tradimento del marito.
Qui abbiamo tra le atre cose social engineering, insiders e OSINT. Inutile dire che il committente di questa operazione è stato scoperto e il costo totale pagato all’organizzazione sembra essere di poche migliaia di euro. La presenza sul mercato di individui che, per mancanza di altri impieghi, si rendono disponibili ad essere ingaggiati come cyber criminali permette al mercato una vasta gamma di prezzi.
La classificazione degli insider risk
Di tutte le possibili classificazioni degli insider risk che si possono trovare, quella introdotta da Gartner è la più immediata per la contestualizzazione di una possibile minaccia.
Sebbene il termine minaccia interna sia stato in qualche modo cooptato per descrivere un comportamento strettamente dannoso, esiste uno spettro definito di minacce interne. Non tutti gli addetti ai lavori sono uguali e variano notevolmente in termini di motivazione, consapevolezza, livello di accesso e intenti.
Con ogni tipo di minaccia interna, ci sono diversi controlli tecnici e non tecnici che le organizzazioni possono adottare per rafforzare il rilevamento e la prevenzione. Gartner classifica le minacce interne in quattro categorie: pedone, stupido, collaboratore e lupo solitario.
Pedine
Le pedine sono dipendenti che vengono manipolati per eseguire attività dannose, spesso involontariamente, tramite spear phishing o ingegneria sociale. Che si tratti di un dipendente inconsapevole che scarica malware sulla propria workstation o di un utente che rivela le credenziali a una terza parte che finge di essere un dipendente dell’help desk, questo vettore è uno degli obiettivi più ampi per gli aggressori che cercano di causare danni all’organizzazione.
Un esempio ha coinvolto Ubiquiti Networks, vittima di un attacco di spear phishing in cui le e-mail dei dirigenti senior indirizzavano i dipendenti a trasferire 40 milioni di dollari sul conto bancario di una filiale. I dipendenti all’epoca non sapevano che le e-mail erano state falsificate e il conto bancario era controllato da truffatori.
Goof (Stupido)
I falsi non agiscono con intenti dannosi, ma intraprendono azioni deliberatamente e potenzialmente dannose. Gli imbroglioni sono utenti ignoranti o arroganti che credono di essere esentati dalle politiche di sicurezza, sia per comodità che per incompetenza.
Il novantacinque percento delle organizzazioni ha dipendenti che stanno attivamente cercando di aggirare i controlli di sicurezza e quasi il novanta percento degli incidenti interni sono causati da errori.
Un esempio di stupidità potrebbe essere un utente che archivia informazioni di identificazione personale non crittografate in un account di archiviazione cloud per un facile accesso sui propri dispositivi, pur sapendo che ciò è contrario ai criteri di sicurezza.
Collaboratore
I collaboratori sono utenti che collaborano con una terza parte, oppure concorrenti o stati-nazione, per utilizzare il loro accesso in un modo che intenzionalmente arrechi danno all’organizzazione. I collaboratori in genere utilizzano il loro accesso per rubare proprietà intellettuale e informazioni sui clienti o per interrompere le normali operazioni aziendali.
Un esempio di collaboratore è Greg Chung, un cittadino cinese ed ex dipendente della Boeing che ha accumulato documenti relativi al programma dello Space Shuttle per rispedirli in Cina. Lo spionaggio aziendale è diffuso anche con i collaboratori come nel caso di Uber e Waymo. Uber ha assunto un ingegnere Waymo che era in possesso di tecnologia per auto a guida autonoma riservata e proprietaria e presumibilmente l’ha utilizzata nel loro progetto di auto a guida autonoma.
Lupo solitario
I lupi solitari sono completamente indipendenti e agiscono in modo malizioso senza influenze o manipolazioni esterne.
I lupi solitari sono particolarmente pericolosi quando hanno livelli di privilegio elevati, come amministratori di sistema o amministratori di database.
Un classico esempio di lupo solitario è Edward Snowden, che ha utilizzato il suo accesso a sistemi classificati per far trapelare informazioni relative allo spionaggio informatico presso la NSA.
Combattere le minacce interne: un piano di rilevamento
Per rilevare efficacemente le minacce interne, le organizzazioni dovrebbero prima colmare le lacune di visibilità aggregando i dati di sicurezza in una soluzione di monitoraggio centralizzata, che si tratti di una piattaforma SIEM (Security Information and Event Management) o di una soluzione di analisi del comportamento di utenti ed entità (UEBA) autonoma.
Molti team iniziano con l’accesso, l’autenticazione e i registri delle modifiche dell’account, quindi ampliano l’ambito a fonti di dati aggiuntive come la rete privata virtuale (VPN) e i log degli endpoint man mano che i casi d’uso di minacce interne maturano.
Una volta centralizzate le informazioni, è possibile modellare il comportamento degli utenti e assegnare punteggi di rischio legati a specifici eventi rischiosi, come i cambiamenti geografici dell’utente o il download su un supporto rimovibile.
Con dati storici sufficienti, è possibile creare una linea di base del comportamento normale per ogni singolo utente. Questa linea di base indica il normale stato operativo di un utente o di una macchina in modo che le deviazioni in questa attività possano essere contrassegnate come anormali.
Le deviazioni dovrebbero essere monitorate non solo per un utente specifico, ma anche rispetto ad altri utenti nella stessa posizione, con lo stesso titolo o funzione lavorativa.
Le anomalie comportamentali aiutano i team di sicurezza a identificare quando un utente è diventato un insider malintenzionato o se le sue credenziali sono state compromesse da un aggressore esterno. L’assegnazione dei punteggi di rischio offre, inoltre, ai team del Security Operations Center (SOC) la possibilità di monitorare il rischio in tutta l’azienda, sia che si tratti di creare elenchi di controllo o di evidenziare i principali utenti a rischio nella propria organizzazione.
Adottando una visione incentrata sull’utente, i team di sicurezza possono individuare rapidamente l’attività delle minacce interne e gestire il rischio degli utenti da una posizione centralizzata invece di ricostruire manualmente punti dati disparati che singolarmente potrebbero non mostrare il quadro completo.
Insider risk: soluzioni di riparazione
Come abbiamo visto, gli account privilegiati rappresentano obiettivi di alto valore per gli addetti ai lavori. È importante che le organizzazioni adottino una soluzione di gestione degli accessi privilegiati (PAM) e inseriscano i dati sull’accesso agli account privilegiati da tale soluzione nel proprio SIEM.
L’analisi comportamentale dell’utente può rilevare cose come tentativi di accesso anormali o più tentativi di password non riusciti e generare un avviso, se appropriato, per la convalida dell’analista.
Una volta convalidato, è possibile creare un incidente di minaccia interna in un sistema SOAR (Security Orchestration, Automation and Response) integrato, in cui il playbook può specificare quale rimedio è necessario. Il potenziale rimedio potrebbe includere sfidare l’insider con MFA o revocare l’accesso, entrambe le cose possono essere eseguite automaticamente nella soluzione IAM.
Esistono diversi tipi di insider risk di cui le organizzazioni dovrebbero essere consapevoli e ciascuna presenta sintomi diversi da diagnosticare ai team di sicurezza.
Comprendendo le motivazioni degli aggressori, i team di sicurezza possono essere più proattivi nel loro approccio alla difesa dalle minacce interne.
