Avviso contro gli insider involontari
I team che si occupano di sicurezza informatica si concentrano principalmente sulla difesa delle loro organizzazioni da attacchi esterni, ignorando completamente una minaccia con un potenziale di danno molto maggiore. Questo è il risultato di un nuovo sondaggio tra gli esperti di cybersicurezza recentemente pubblicato dal SANS Institute.
Secondo Studio del Istituto SANS Il 76% degli esperti di sicurezza e IT intervistati ha dichiarato che il danno potenziale maggiore potrebbe derivare da un incidente di sicurezza causato da un dipendente interno o esterno con diritti di accesso adeguati. La minaccia è in costante crescita: il 40% degli intervistati ha dichiarato di considerare un attacco insider molto pericoloso. Un altro 36% ritiene che gli attacchi insider non intenzionali siano critici per le proprie misure di sicurezza. Solo il 23% ha dichiarato che i danni maggiori sono stati causati da attacchi dall'esterno. Ciononostante, solo il 18% ha predisposto un piano di risposta agli incidenti per le minacce interne e il 49% ha dichiarato che ci sta lavorando. A quanto pare, il pericolo è stato a lungo sottovalutato.
La scappatoia viene dall'insider
Mentre la protezione aziendale contro gli attacchi esterni diventa più efficace, gli aggressori cercano bersagli più facili. Si tratta, ad esempio, di utenti che hanno già accesso a informazioni aziendali altamente sensibili e che sono più facilmente ingannabili dai sistemi di sicurezza. Le aziende sono lente a rispondere. Anche se l'origine dell'attacco è esterna, la scappatoia cruciale per l'attaccante potrebbe essere un insider. Forse l'aggressore non aveva intenzioni malevole ed è stato semplicemente ingannato da un estraneo per causare danni (copiare dati, effettuare transazioni).
Solo una piccola parte sembra avere un'idea dell'entità del danno. Il 45% degli intervistati non è in grado di quantificare il costo di una potenziale perdita. Allo stesso tempo, il 33% ha risposto di non poter fornire alcuna informazione. Le altre cifre variavano da 100.000 a 5 milioni di dollari USA. All'inizio questo sembra sorprendente. Tuttavia, solo poche aziende hanno dichiarato di avere programmi di insider detection sufficientemente approfonditi da rilevare in modo affidabile le minacce interne. Lo stesso deficit di visibilità renderebbe difficile determinare la portata di un eventuale attacco insider o stimare i successivi costi di recupero.
Gli addetti ai lavori con intenzioni malevole rappresentano un pericolo
I risultati dell'indagine mostrano che il 62% dei partecipanti allo studio non ha mai subito un attacco interno. In alcune circostanze, ciò indica una bassa visibilità, ma non automaticamente un basso rischio. Il 38% degli intervistati ha descritto i sistemi e i metodi utilizzati come inefficaci. Ciò rende ancora più improbabile l'identificazione di un attacco insider.
La mancanza di visibilità è una cosa, la mancanza di preparazione è un'altra. Questo perché quasi un terzo (31%) dei partecipanti allo studio ha dichiarato di non aver attuato un programma formale o dei preparativi per affrontare le minacce dall'interno.
"Sebbene gli insider intenzionali che agiscono con intento criminale rappresentino sempre un rischio, molte aziende dimenticano che un attacco esterno spesso prende di mira un insider legittimo e lo invoglia a fare danni", spiega Eric Cole, istruttore e autore dello studio SANS. "Questo insider accidentale potrebbe essere utilizzato dall'attaccante per sottrarre i dati più sensibili di un'azienda senza che nessuno se ne accorga. E sono poche le aziende che sanno che un simile incidente è avvenuto".
"Gli insider con intenti malevoli sono sempre stati una minaccia, ma il rischio aumenta quando gli insider involontari forniscono informazioni a un falso help desk o cliccano su allegati che scaricano malware per rubare le password".
