JJ Kathuria e Arjun Bhardwaj, Consultant Mandiant, spiegano l’evoluzione della minaccia da insider e le soluzioni dell’azienda per contenere i danni.
Con la rapida evoluzione della tecnologia, la minaccia derivante da un insider e i costi associati per contenere e rispondere a un incidente sono in aumento. Si sono, infatti, verificati alcuni incidenti significativi in cui le organizzazioni non solo hanno subito danni al brand o la perdita di dati critici, ma hanno dovuto incorrere in ingenti perdite finanziarie.
Gli incidenti più recenti
La Superior Court del Quebec, in Canada, ha approvato un accordo da 200,9 milioni di dollari CAD nei confronti di una cooperativa canadese di servizi finanziari per una violazione di dati. La più grande avvenuta finora nel settore dei servizi finanziari canadesi. La violazione è avvenuta tra il 2017 e il 2019 e ha esposto i dati di 4,2 milioni di titolari di conti corrente. L’incidente è stato collegato alle azioni di un dipendente che ha furtivamente sottratto i dati dei clienti per 26 mesi. Quindi li ha trasmessi a una o più persone sconosciute, presumibilmente a scopo di lucro.
Due case history Usa
Un ex Senior Developer di un’azienda tecnologica di New York, che offre prodotti e soluzioni wireless, ha abusato del suo accesso da amministratore per sottrarre dati riservati tentando poi di estorcere denaro ai dipendenti senior. Il risultato è stato un calo del prezzo delle azioni di circa il 20%. A questo si è aggiunta la diminuzione della capitalizzazione di mercato di 4 miliardi di dollari.
L’impatto di una minaccia da insider
Il Direttore associato di una multinazionale americana del settore farmaceutico e biotecnologico ha caricato 12.000 file riservati su un account personale di Google Drive dal suo computer portatile aziendale. I documenti riservati includevano dati sullo sviluppo di farmaci e segreti commerciali sul vaccino Covid 19 e sui suoi studi. È stato rilevato che il dirigente ha rubato questi dati prima di trasferirsi in un’azienda concorrente. Ciò ha comportato danni al brand, una perdita di vantaggio competitivo e la perdita dei dati proprietari;
Un esempio
Un ex dipendente di un’azienda tecnologica con sede a San Josè che sviluppa, produce e vende soluzioni di rete, ha inserito del codice in AWS (Amazon Web Services). Un’azione che ha portato alla cancellazione di circa 450 macchine virtuali relative a una specifica applicazione. Questo ha fatto sì che l’organizzazione spendesse circa 1.4 milioni di dollari in termini di tempo per ripristinare i danni all’applicazione e rimborsasse più di un milione di dollari ai clienti.
Strategie di mitigazione
Le organizzazioni di ogni settore verticale sono continuamente a rischio di essere colpite da minacce interne. Quindi lo sviluppo e l’aggiornamento delle misure di sicurezza per combattere questa attività è idealmente un processo dinamico e continuo. Anche in questo caso le misure variano a seconda delle dimensioni e del settore a cui appartiene l’organizzazione.
Le misure potrebbero essere: definire un programma per le minacce interne e allinearlo alla gestione del rischio. Un programma efficace richiede la collaborazione e l’integrazione di diversi componenti funzionali trasversali. Tra questi HR, Ciso, Cso, Ufficio Legale e le Operations.
Riconoscere le tipologie di minacce
Condurre una valutazione approfondita della minaccia insider. Un prerequisito per realizzare un programma efficace è quello di identificare correttamente lo stato attuale delle capacità di gestione del rischio insider e scoprire le lacune che ne derivano.
La formazione dei dipendenti è uno dei modi migliori per prevenire e rispondere a un potenziale incidente insider.
Le tipologie di minacce sono tante
Se i dipendenti imparano a conoscere le differenti tipologie di minacce insider e le motivazioni per le quali sono pericolosi, saranno meglio attrezzati per identificare e informare i team designati a rispondere agli incidenti insider.
- Identificare i “crown jewels”, cioè i beni più preziosi.
Mandiant, come gestire l’impatto di una minaccia da insider
- Monitorare il comportamento degli utenti e dei dispositivi e confrontarlo con le attività di base precedentemente stabilite. Ovviamente tenendo conto della privacy dei dipendenti.
- Gli amministratori di rete, i responsabili delle policy e i proprietari dei dati devono limitare le opportunità per gli individui di ottenere o sfruttare un accesso non autorizzato.
- Gli strumenti di Data Loss Prevention (DLP), pur non essendo infallibili, possono identificare e impedire che i dati sensibili vengano sottratti.
Quali servizi offre Mandiant
Mandiant offre protezione contro gli insider threats in tutte le fasi del ciclo di vita dell’attacco. I servizi di Mandiant valutano il programma di insider threat esistente e creano capacità di sicurezza efficaci per bloccare queste minacce sul nascere. Tre le soluzioni:
Mandiant, una minaccia da insider
- Mandiant Insider Threat Program Assessment è una valutazione puntuale del rischio di insider threat e delle capacità di rilevamento nell’ambiente.
- Insider Threat Program Development fornisce un’offerta personalizzabile per lo sviluppo di capacità di Insider Threat per organizzazioni di ogni dimensione. Insider Threat Program Development Service adotta un approccio graduale per valutare, progettare, migliorare e rendere pienamente operative le capacità di Insider Threat all’interno delle organizzazioni.
- Insider Threat Security as a Service offre un programma di sicurezza operativo per garantire una prevenzione, un rilevamento e una risposta efficaci e continui agli Insider Threat.