Insider Threats: quando l'attacco informatico proviene dall'interno
Secondo il report Threat Landscape 2021 di Enisa, il dipendente aziendale sarebbe responsabile dell’84% delle compromissioni del perimetro informatico. Il dato dimostra chiaramente come ancora oggi l’essere umano sia l’anello debole della catena della cyber security.
Il National Institute of Standards and Technologies classifica le minacce informatiche che provengono dal personale interno all’azienda come Insider Threats e sottolinea l’importanza della presa di coscienza della minaccia come primo passo necessario per la mitigazione del rischio informatico.
Un cyber insider è chiunque dispone o ha avuto accesso in passato a dati, informazioni privilegiate relative alle pratiche di sicurezza e sistemi informatici di un’organizzazione, come dipendenti, fornitori, ex collaboratori oppure consulenti. La minaccia di cui è portatore un cyber insider può concretizzarsi in frodi, furto di informazioni riservate di valore commerciale e non, appropriazione illecita di proprietà intellettuale o sabotaggio di sistemi informatici. È bene sottolineare, però, che il dipendente può essere cosciente o inconsapevole di star recando danno alla propria azienda. Ecco alcuni esempi:
L’insider malintenzionato
Viene definito come un individuo che consapevolmente approfitta dell’accesso ai sistemi informatici per infliggere danni a un’organizzazione o a un’azienda. Le motivazioni che lo spingono possono essere ricondotte al desiderio di guadagno o all’espressione di forte malcontento nell’ambito lavorativo. Negli anni sono stati registrati diversi casi di pressioni esterne da parte di criminali informatici che, sfruttando ingenti somme di denaro, provano a corrompere i dipendenti che hanno più facilmente accesso ai dati e che sono inclini a cederli.
Secondo un report del Software Engineering Institute in collaborazione col US CERT Team, l’80% degli attacchi interni nelle aziende è avvenuto in sede e durante l’orario di lavoro e l’insider è stato identificato nel 74% dei casi dopo indagini cyber-forensi. Riguardo alle motivazioni, l’81% menziona il guadagno finanziario, mentre solo il 23% la vendetta personale.
Un caso che ha attirato l’opinione della community di cyber security è Tesla, che ha registrato un tentativo di corruzione di un suo dipendente da parte di un criminale informatico russo nell’agosto 2020. L’FBI ha arrestato il ventisettenne di nome Egor Igorevich Kriuchkov per aver offerto un milione di dollari in bitcoin ad un impiegato della Gigafactory in Nevada per installare un malware sulla rete utilizzando una chiavetta USB.
L’obiettivo? Chiedere un riscatto di milioni di dollari per i dati esfiltrati e minacciare Elon Musk di pubblicare le informazioni online in caso di resistenza. Accade invece che i dipendenti sfoghino le loro frustrazioni lavorative contro la direzione recando danno volontariamente all’azienda. Un caso reale riguarda la Desjardins Group, una cooperativa canadese di servizi finanziari, dove un dipendente nel 2019 ha esfiltrato le informazioni riguardanti quasi 2,7 milioni di persone e 173.000 aziende, cioè oltre il 40% dei clienti. Le informazioni trapelate includevano nomi, indirizzi, date di nascita, numeri di previdenza sociale, indirizzi e-mail e informazioni sulle transazioni finanziarie.
L’insider inconsapevole
Un’ulteriore minaccia in azienda deriva dagli utenti che inconsapevolmente vengono manovrati dai criminali ad eseguire azioni malevole grazie alle mail di phishing. I danni che derivano da una azione compiuta in buona fede, come ad esempio l’apertura di un allegato infetto o l’inserimento delle credenziali dell’account di posta elettronica, possono talvolta avere un grave impatto sulla business continuity dell’azienda.
La presenza di servizi di Phishing-as-a-Service (PhaaS) ha accelerato ulteriormente le campagne malevole contro gli insider negligenti, rendendole sempre più sosfisticate. Il 21 settembre 2021, gli analisti di Microsoft hanno individuato un servizio nel dark web conosciuto come BulletProofLink o Anthrax che fornisce servizi di malspam in modalità PHaaS. Il servizio è un’evoluzione dei “kit di phishing” che erano, fino a qualche tempo fa, tra i più venduti nei diversi marketplace su Tor, dove sono raccolti circa 120 diversi modelli di mail phishing che imitano i login di accesso tipici delle aziende.
Il PhaaS è erogato come un vero e proprio servizio end-to-end: gli operatori, infatti, gestiscono le configurazioni del dominio per ospitare le landing page, l’invio delle e-mail di phishing e la raccolta delle credenziali acquisite durante gli attacchi. I prezzi vanno da $80 a $100 e sono disponibili sullo store anche tutorial per aiutare i clienti nell’utilizzo del servizio.
Strategie di mitigazione del rischio
La mancanza di buone pratiche di sicurezza informatica applicate in modo capillare in azienda porta le imprese ad essere più soggette ad attacchi informatici: la minaccia interna, infatti, è un rischio costante per la maggior parte delle organizzazioni e prevenzione e consapevolezza sono gli unici strumenti che possono aiutare a mitigarla, specie per quanto riguarda le azioni svolte con inconsapevolezza.
A tal proposito, una buona consapevolezza si ottiene solo con una formazione continua, che coinvolge i dipendenti in un approccio di informatica responsabile e li rende dei security ambassador in tutti gli ambiti ed i processi lavorativi. Tuttavia, è importante sottolineare che la formazione, per essere efficace, deve anche essere validata da risultati concreti, misurabili attraverso test di phishing e test online che coinvolgano tutti i dipendenti di un’azienda o di una organizzazione.
Bisogna inoltre essere coscienti dei diversi privilegi che si rendono realmente necessari per ciascun ruolo in azienda: non tutti, infatti, hanno bisogno di avere accesso a tutti i dati e una ripartizione logica dei permessi aiuta a ridurre sensibilmente il rischio e a prevenire il rischio di perdite di dati esponenziali dovuto alla privilige escalation.
Infine, fornire la visibilità del perimetro interno, dotarsi di sonde e strumenti di detection è il fondamento di una strategia di difesa che viene studiata, pianificata e realizzata nell’ottica di prevention degli attacchi, siano essi fortuiti o premeditati.