Si parla spesso di cyber attacchi che provengono dall'esterno delle reti aziendali. Raramente l'argomento di discussione sono gli insider threat, ossia i rischi per la sicurezza che provengono dall'interno delle aziende. È un fenomeno più diffuso di quanto possa sembrare, e sebbene sia un argomento scomodo e poco piacevole da trattare, recenti vicende di cronaca spingono ad approfondire l'argomento.

Il caso di Leonardo

Il riferimento ovviamente è a Leonardo, colosso italiano nei settori della difesa e dell'aerospazio. Ha scoperto che una serie di attacchi avvenuti all'interno del suo ecosistema tra il 2015 e il 2017 erano stati compiuti da due dipendenti addetti alla cyber security. Si trattava di personale del CERT (Cyber Emergency Readiness Team), che avevano volontariamente iniettato malware nelle reti aziendali tramite pendrive USB.

Gli attacchi erano mirati al furto di proprietà intellettuali riconducibili a Leonardo e ai suoi partner e consulenti. Le indagini hanno smascherato l'attività illecita e individuato decine di gigabyte di dati sottratti e inviati a server esterni.

Identikit di insider threat

Un insider threat è un rischio per la cybersecurity aziendale che ha origine all'interno dell'azienda. In genere si tratta di un dipendente o di un socio in affari, che ha accesso a informazioni riservate e che usa in maniera impropria e illecita il suo account di alto livello all'interno della rete.

Questo tipo di minaccia è molto difficile da scovare, perché le misure di sicurezza tradizionali tendono a concentrarsi sulle minacce provenienti dall'esterno. È molto complesso identificare una minaccia proveniente dall'interno dell'organizzazione. Principalmente gli esperti di sicurezza informatica ne identificano tre tipi: chi abusa intenzionalmente delle sue credenziali legittime, un inconsapevole complice di un attaccante esterno o una talpa.

Il primo è detto in gergo tecnico turncloak. È un dipendente che usa la sua posizione per rubare informazioni o per avocarsi vantaggi economici o professionali. Il caso più tipico è quello del dipendente insoddisfatto della sua carriera lavorativa, che ritiene di non essere adeguatamente apprezzato e retribuito. Per vendetta trafuga segreti industriali e li vende alla concorrenza. Oppure cerca di mettersi in vista dimostrando la propria efficienza nel risolvere problemi che lui stesso ha creato. I turncloak hanno il vantaggio di avere familiarità con i criteri e le procedure di sicurezza di un'azienda, e di conoscerne le vulnerabilità.

Seconda figura è quella del complice inconsapevole. È il tipo di insider threat più comune, caratterizzato dalla distrazione. Tipicamente è una persona che non vuole arrecare danno all'azienda, ma lo fa lasciando dispositivi o password esposti, o facendosi raggirare dalle truffe. Rientrano in questa categoria i dipendenti che introducono inconsapevolmente malware nella rete aziendale collegando un pendrive, e le vittime di spear phishing.

Terza e ultima categoria, la talpa, un impostore esterno all'azienda, che è riuscito ad ottenere l'accesso privilegiato a una rete, tipicamente usando tecniche di dirottamento dell'account. Il fatto che la talpa impersoni un collega non insospettisce gli altri dipendenti, che condividono con lui informazioni riservate.

I segnali di un'attività di insider threat

In Leonardo, l'attività di insider threat è stata scoperta quando è stato rilevato un traffico anomalo in uscita dalla rete aziendale verso il sito Fujinama.Altervista.org, proveniente da una serie di postazioni di lavoro interne a Leonardo. Le indagini hanno portato a smascherare i responsabili e a sequestrare e chiudere il sito fujinama. 

È quello che avviene nella maggior parte dei casi di insider threat: un'attività anomala a livello di rete fa sospettare una minaccia interna. Un altro campanello di allarme è un dipendente insoddisfatto o rancoroso, o l'atteggiamento di un dipendente che inizia ad assumere più compiti del dovuto e con eccessivo entusiasmo. Sono possibili segnali di allarme anche il rilevamento di attività in momenti insoliti (come l'accesso alla rete nottetempo), oppure il trasferimento di troppi dati attraverso la rete o l'accesso a risorse insolite.

Come sottolineava in un'intervista Emiliano Massa, Vice President Sales, Southern Europe & Benelux di Forcepoint: "ogni possibile minaccia (consapevole o meno) comincia con una deviazione rispetto al comportamento abituale". Quindi qualsiasi cambiamento nel comportamento di un dipendente può costituire una minaccia per la sicurezza aziendale e dev'essere verificato e monitorato con attenzione.

Come proteggersi da un insider threat

Come accennato sopra, è molto difficile rilevare una minaccia non proviene dall'esterno. Tuttavia ci sono delle operazioni generalmente consigliate per ridurre il rischio di minacce interne.

La prima è quella di proteggere le risorse critiche. Che siano esse fisiche o logiche, devono essere accessibili solo lo stretto indispensabile per lavorare. Spesso le aziende stesse non sono in grado di identificarle, ossia di rispondere a domande apparentemente semplici, come "quali risorse critiche possediamo? Che cosa sappiamo dello stato attuale di ogni asset? Possiamo dare una priorità alle nostre risorse?".
Una volta focalizzato questo tema viene semplice applicare dei criteri. Tutti gli utenti aziendali devono poter accedere alle risorse necessarie per lavorare. Non a un numero inferiore perché ne risentirebbe la produttività. Non a uno maggiore perché verrebbe penalizzata la sicurezza. Una volta che tutti sono a conoscenza delle procedure di sicurezza e hanno compreso i propri diritti sarà più facile tutelare la proprietà intellettuale.

Come qualcuno avrò intuito, questo passaggio è un chiaro riferimento al modello Zero Trust (in italiano Fiducia Zero) e al controllo degli accessi che questa filosofia prevede. 

L'altro passaggio fondamentale è l'aumento della visibilità. È necessario adottare soluzioni tecnologiche che permettano di tenere traccia delle azioni dei dipendenti e correlare tutte le informazioni provenienti da più origini per individuare le deviazioni rispetto ai comportamenti abituali. 

Per quanto concerne le attività riconducibili ai dipendenti inconsapevoli, l'unico rimedio è l'attività di formazione. I dipendenti devono conoscere i problemi e i rischi per la sicurezza che possono derivare dai propri comportamenti (password deboli, clic sconsiderati su qualsiasi link, eccetera) e adottare condotte consone a quella che gli anglosassoni chiamano cyber hygiene.