Insider threat e sicurezza

9
Minute Read

Le minacce interne ad un’organizzazione rappresentano da sempre una questione di estrema rilevanza. Gli insider si trasformano in agenti tossici e dannosi a volte distruttivi, questo tipo di minacce sono definite con il termine ‘Insider Threat’.

Le violazioni ed il furto dei dati, i furti di proprietà intellettuale e le compromissioni di rete sono in aumento costante. Questi eventi sono causati da individui con cattive intenzioni, da quelli negligenti, talvolta influenzati da forze esterne, e persino da coloro con buone intenzioni che violano le politiche interne delle organizzazioni. Se non vengono affrontati in modo efficace, tali minacce interne possono mettere in pericolo la stabilità, il funzionamento e la credibilità dell’organizzazione.

Secondo il rapporto Ponemon del 2023 il 55% degli incidenti verificatisi nelle organizzazioni sono dovuti alla negligenza dei dipendenti e il costo medio annuo (per entità) per rimediare a questi incidenti è stato di 7,2 milioni di dollari. Gli incidenti che coinvolgono insider criminali o malintenzionati sono il 25% e il furto di credenziali 20%.

Secondo la U.S. Cybersecurity & Infrastructure Security Agency, il termine Insider Threat fa riferimento a qualsiasi individuo che, avendo o avuto accesso autorizzato o conoscenza dei beni e delle risorse di un’organizzazione, utilizzi consapevolmente o meno tale accesso per danneggiare l’organizzazione stessa, i suoi obiettivi, le risorse, il personale, le strutture, le informazioni, le attrezzature, le reti o i sistemi. Nessun settore, inclusi enti governativi, industrie, università e organizzazioni non profit, è immune da tali minacce.

L’aumento del volume delle informazioni elettroniche sensibili, l’interconnessione e l’accesso alle stesse contribuiscono ad accelerare la portata delle compromissioni. Gli insider rappresentano una minaccia particolarmente significativa a causa della loro conoscenza privilegiata e dell’accesso alle risorse preziose e alle misure di sicurezza dell’organizzazione. Inoltre, poiché in alcuni casi gli insider possono essere influenzati da terzi malevoli, come concorrenti commerciali, servizi di intelligence stranieri, ex dipendenti avari o arrabbiati, estremisti o hacker, i rischi connessi alle minacce interne hanno impatto sulla sicurezza nazionale.

Casi noti di Insider Threat:

  • Edward Snowden e la NSA: Uno dei casi più famosi di insider threat coinvolse Edward Snowden, un ex-appaltatore della National Security Agency (NSA) degli Stati Uniti. Nel 2013, Snowden rivelò una vasta quantità di informazioni riservate sulla sorveglianza elettronica segreta condotta dall’NSA, scatenando un’enorme controversia a livello globale. Il caso di Snowden evidenziò come un insider con accesso privilegiato potesse compromettere la sicurezza nazionale.
  • Chelsea Manning e WikiLeaks: Chelsea Manning, ex analista dell’esercito degli Stati Uniti, è diventata nota per aver fornito a WikiLeaks documenti riservati dell’esercito statunitense nel 2010. Questi documenti includevano informazioni sensibili sulle operazioni militari e diplomatiche degli Stati Uniti. Manning fu condannata per il suo ruolo nell’incidente.
  • Harold Martin e la Booz Allen Hamilton: Nel 2016, Harold Martin, un ex appaltatore di Booz Allen Hamilton, fu arrestato per il furto di una vasta quantità di dati classificati dall’Agenzia di Sicurezza Nazionale degli Stati Uniti. Martin aveva accesso a informazioni altamente sensibili e le aveva portate via senza autorizzazione.
  • Il caso della società Uber: Nel 2017, Uber rivelò di aver subito una violazione dei dati in cui un ex dipendente ottenne accesso non autorizzato a informazioni personali di utenti e guidatori. L’azienda fu criticata per non aver gestito in modo adeguato la minaccia insider.
  • SolarWinds: Nel 2020, l’azienda di software SolarWinds ha subito un massiccio attacco cibernetico che ha colpito numerose organizzazioni governative e private. Si è scoperto che l’attacco è stato facilitato da un dipendente con privilegi “superuser” che aveva accesso a sistemi sensibili. Questo caso ha messo in evidenza quanto sia importante gestire attentamente gli accessi privilegiati.
  • Il dipendente di Tesla e il tentativo di sabotaggio: Nel 2018, un dipendente di Tesla tentò di sabotare la produzione dell’azienda, causando danni alle linee di produzione. L’individuo è stato accusato di aver alterato sistemi interni e rubato informazioni aziendali. Questo caso sottolinea l’importanza di monitorare attentamente le attività dei dipendenti per rilevare comportamenti dannosi.
  • Ufficiale della Marina e la Russia: Walter Biot, condannato per spionaggio per avere ceduto, nel marzo 2021, documenti classificati NATO Top Secret ad un funzionario dell’Ambasciata russa in Italia in cambio di denaro.

Tipologie di insider threat:

  • Negligenti: individui interni all’organizzazione che, a causa di scarsa consapevolezza sulla sicurezza informatica, motivazione insufficiente, personale non adeguato o formazione inefficace, violano involontariamente le politiche di sicurezza e i requisiti.
  • Intenzionali (per convenienza): membri dell’organizzazione che deliberatamente eludono misure di sicurezza per semplificare il proprio lavoro, per negligenza o nell’errato tentativo di aumentare la produttività o soddisfare richieste urgenti dei supervisori.
  • Malintenzionati: personale interno che viola intenzionalmente le misure di sicurezza per trarre vantaggio finanziario, vendicarsi o rivelare presunte irregolarità, spesso mossi da un malinteso senso di idealismo.
  • Minacce esterne: individui interni all’organizzazione che diventano vittime di terzi malevoli, i quali li costringono o minacciano tramite ricatti, intimidazioni e altre forme di pressione.

Le violazioni causate da insider threat possono derivare anche dalla negligenza del personale IT dell’organizzazione, ad esempio, ritardi nell’implementazione di patch critiche di sistema. Anche l’uso di strumenti informatici da parte dei dipendenti, può rappresentare un rischio, èinfatti è importante sottolineare che le piattaforme di social media, come LinkedIn e Facebook, sono sempre più sfruttate da individui malevoli e attori statali per sorvegliare, adescare e ingaggiare professionisti, in particolare coloro che hanno conoscenze in materia di sicurezza, intelligence, tecnologia e proprietà intellettuale sensibile.

I Theat Actors possono cercare di reclutare insider per portare a compimento il loro action plan. Questi attori possono essere truffatori che cercano di sfruttare la vulnerabilità finanziaria o emotiva degli insider per ottenere la loro collaborazione, gruppi di ransomware che cercano di reclutare insider aziendali per facilitare gli attacchi di ransomware, ottenendo informazioni cruciali sull’infrastruttura aziendale, come punti deboli nella sicurezza o accesso privilegiato ai sistemi. Oppure Gruppi di estorsori che cercano di estorcere a insider informazioni senza necessariamente utilizzare ransomware.

Questi attori adottano diverse tattiche per reclutare gli insider. Possono sfruttare insider già noti o che hanno legami personali con altri dipendenti. Questo approccio può facilitare il reclutamento, poiché gli insider conosciuti possono avere un maggiore accesso e influenza all’interno dell’organizzazione. Possono reclutarli online attraverso la pubblicazione di annunci di reclutamento pubblici, spesso mascherati come opportunità di lavoro legittime. Utilizzare canali di comunicazione online per negoziare il reclutamento, presentarsi come candidati legittimi per posizioni all’interno dell’organizzazione. Possono fare advertising diretto offrendo i loro servizi o accessi a informazioni sensibili in cambio di benefici personali o finanziari.

E’ chiaro che si tratti di persone che per una serie di motivazioni possono rappresentare una minaccia, ed è per questo che organismi come il NIST , che ha recentemente enfatizzato l’importanza dei fattori umani e degli approcci delle scienze sociali nell’affrontare le minacce interne e migliorare la sicurezza organizzativa, sottolineano che mentre progressi tecnologici e nelle policies sono essenziali, non sono sufficienti per affrontare le minacce interne, in quanto il comportamento umano svolge un ruolo significativo nell’istigare o facilitare tali minacce. Le minacce interne superano i confini delle agenzie governative e colpiscono organizzazioni di vari settori, mettendo a rischio la sicurezza nazionale e il benessere di individui, organizzazioni e nazioni. Per affrontare con successo queste minacce, è necessario porre maggiore attenzione alle soluzioni basate sulle dinamiche personali e sociali rispetto alla sola tecnologia, implementando assessment di rischio adeguato e modelli di contrasto efficienti e su misura.

@neurobytes Insider Threat (1)

Approfomdimenti:

NIST

  The threat that an insider will use her/his authorized access, wittingly or unwittingly, to do harm to the security of the United States. This threat can include damage to the United States through espionage, terrorism, unauthorized disclosure, or through the loss or degradation of departmental resources or capabilities.
Sources: 
CNSSI 4009-2015 from CNSSD No. 504 – Adapted  
NIST SP 800-171 Rev. 2 

  The threat that an insider will use her/his authorized access, wittingly or unwittingly, to do harm to the security of organizational operations and assets, individuals, other organizations, and the Nation. This threat can include damage through espionage, terrorism, unauthorized disclosure of national security information, or through the loss or degradation of organizational resources or capabilities.
Sources: 
NIST SP 800-53 Rev. 5 from CNSSI 4009-2015 – Adapted  

  The threat that an insider will use their authorized access, wittingly or unwittingly, to do harm to the security of the United States. This threat can include damage to the United States through espionage, terrorism, unauthorized disclosure, or through the loss or degradation of departmental resources or capabilities.
Sources: 
NIST SP 800-172 

@ RIPRODUZIONE RISERVATA

China-Linked CeranaKeeper Targeting Southeast Asia with Data Exfiltration

Fake Job Applications Deliver Dangerous More_eggs Malware to HR Professionals

Alert: Over 700,000 DrayTek Routers Exposed to Hacking via 14 New Vulnerabilities

Alert: Adobe Commerce and Magento Stores Under Attack from CosmicSting Exploit

5 Must-Have Tools for Effective Dynamic Malware Analysis

Researchers Sound Alarm on Active Attacks Exploiting Critical Zimbra Postjournal Flaw

AI-Powered Rhadamanthys Stealer Targets Crypto Wallets with Image Recognition

CISA Kicks Off 21st Anniversary of Cybersecurity Awareness Month

5 Actionable Steps to Prevent GenAI Data Leaks Without Fully Blocking AI Usage

Free Sniper Dz Phishing Tools Fuel 140,000+ Cyber Attacks Targeting User Credentials

New Cryptojacking Attack Targets Docker API to Create Malicious Swarm Botnet

U.K. Hacker Charged in $3.75 Million Insider Trading Scheme Using Hacked Executive Emails

THN Cybersecurity Recap: Last Week’s Top Threats and Trends (September 23-29)

Critical Flaws in Tank Gauge Systems Expose Gas Stations to Remote Attacks

AI Safety Summit 2023
Interferenze straniere nelle elezioni UK


Home

Cyber Trolling eBook 2023
ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Analisi comportamentale

Cybersecurity

Intelligenza Artificiale

News

ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Cookie Policy - Terms and Conditions - Privacy Policy