Quali tracce di colpevoli interni si trovano nel traffico di rete

Molte discussioni amano dipingere i propri dipendenti come rischi per la sicurezza informatica. Tuttavia, spesso non è chiaro quale sia il pericolo effettivo. Diversi profili di aggressori interni possono causare danni maggiori. Il rilevamento e la difesa da queste azioni sono possibili solo attraverso una visione permanente del traffico dati di rete e degli endpoint, basata sull'intelligenza artificiale.

Depositphotos, Sergey Nivens

Dietro le minacce interne all'IT, alle informazioni e ai processi aziendali ci sono azioni intenzionali o non intenzionali da parte di dipendenti, fornitori o liberi professionisti che hanno accesso alla rete.

 Profili degli autori di attacchi interni

Il pericolo maggiore è rappresentato dall'autore intenzionale che sfrutta il proprio accesso a file, applicazioni e sistemi. I motivi personali e finanziari sono la motivazione principale, molto prima del sabotaggio. Ne esistono due tipi:

  • Il Collaboratore è attivo per i suoi clienti: concorrenti, criminali informatici o persino Stati.
  • Il "lupo solitario" agisce in modo indipendente e non influenzato. Se si tratta di un utente con i relativi privilegi, un tale autore di reato rappresenta un serio pericolo potenziale.

Anche il trasgressore non intenzionale o negligente può essere suddiviso in due categorie.

  • Il Pedina negli scacchi dei criminali informatici ("pawn")È un utente autorizzato che gli hacker manipolano senza la sua volontà. I criminali informatici lo attaccano con spear phishing mirato per dirottare la sua identità. Molti attacchi hanno come obiettivo l'endpoint di un singolo utente.
  • Comportamento involontario di "goofViola le linee guida sulla sicurezza informatica per arroganza, ignoranza, incompetenza o semplicemente per mancanza di consapevolezza. Spesso è facile preda di attacchi di phishing con conseguente escalation dei privilegi.

Qualsiasi dipendente può rimuovere e cancellare informazioni da un PC. Per gli attacchi più grandi e complessi, la cerchia degli autori si restringe. La maggior parte dei dipendenti non ha i mezzi, i diritti e le conoscenze per sferrare attacchi seri a un server di backup o di active directory. Inoltre, non possono aumentare i privilegi o esfiltrare i dati su larga scala da un endpoint cloud ben protetto dal provider. Solo i dipendenti tecnicamente competenti dell'amministrazione IT sono in grado di farlo. Ma se gli aggressori dirottano le identità di un normale dipendente, anche lui può diventare un'arma pericolosa.

Lo sguardo verso l'interno

Ogni tipo di aggressore lascia tracce nel traffico di rete e sui dispositivi finali. A livello di rete, utilizzano il protocollo di rete Windows per i propri scopi, ad esempio con Server Message Blog (SMB). Un'esfiltrazione di informazioni si rivela attraverso il contatto con un indirizzo IP sconosciuto. Se gli utenti interni si comportano improvvisamente in modo diverso, un'intelligenza artificiale (AI) rileva queste deviazioni selettive dai processi normali sia nella rete che sull'endpoint. Le soluzioni di intelligenza artificiale rendono visibili i processi e li contestualizzano. Anche le piccole e medie imprese possono utilizzare queste soluzioni di AI. Soprattutto per la protezione contro gli attacchi dall'interno, sono uno strumento necessario per una sicurezza informatica gestibile.

Il comportamento anomalo degli autori di reato nella rete è visibile principalmente attraverso le seguenti attività:

  • Accesso non autorizzato o anomalo a sistemi o dati con credenziali legittime: Ad esempio, un dipendente si collega improvvisamente alla rete in orari o luoghi insoliti. Un amministratore o un dipendente IT effettua ricerche in aree della rete per le quali non ha diritti. Questi scenari sono altrettanto sospetti dell'accesso a un server di backup, che di solito viene effettuato solo per gestire, controllare i backup o ripristinare i dati.
  • Ricerca nella rete: Normalmente, un utente interno si muove in sicurezza lungo i percorsi che gli sono stati assegnati e prende di mira sistemi, dati e applicazioni. Una volta uscito, si comporta come un attaccante esterno: accede gradualmente ai sistemi per esplorarli o modificarli.
  • Esfiltrazione dei dati: I dati sensibili vengono copiati su un supporto dati esterno o inviati tramite posta elettronica e servizi cloud. La connessione di un dispositivo è visibile quanto il traffico di dati.

Difesa in rete e nel punto finale

Gli attacchi da parte di un autore interno possono essere rilevati monitorando continuamente tutto il traffico dati interno ed esterno. Ad esempio, attraverso un'analisi coerente del comportamento dell'entità utente (UEBA), esaminando le attività degli utenti, analizzando i login, gli accessi ai file e l'utilizzo delle risorse.

Ne derivano misure preventive nella topologia della rete e nel blocco degli attacchi mediante il rilevamento e la risposta dell'endpoint immediatamente prima dell'esecuzione di un attacco. Queste misure comprendono soprattutto la rete e l'endpoint:

  • Microsegmentazione nella rete per poter bloccare rapidamente e completamente i sistemi che comunicano regolarmente con l'endpoint attaccato in caso di emergenza. Allo stesso tempo, questo limita il raggio di movimento laterale di un attaccante interno.
  • Controllo degli endpoint: Gli hacker modificano i sistemi non solo attraverso nuovi malware, ma anche attraverso nuove configurazioni. L'analisi delle modifiche al sistema è quindi la prima condizione per bloccare un sistema. Se un'anomalia su un endpoint è sufficientemente evidente, una difesa automatica avvia immediatamente il backup del sistema per salvare le informazioni dalla crittografia. Il PC attaccato viene quindi messo in quarantena, proprio come i computer degli altri dipendenti di un reparto.
  • Vantaggi delle tecnologie di sicurezza informatica come il firewall antivirus, la prevenzione della perdita di dati o la gestione dell'accesso alle identità.

L'occhio umano dell'analista di sicurezza

Molti autori interni, che spesso agiscono individualmente, non possono essere individuati da approcci di sicurezza unidimensionali o dal solo monitoraggio automatizzato. Gli aggressori di solito utilizzano strumenti legittimi e raramente installano malware. Non hanno bisogno di uno strumento di intrusione. Entità come utenti o sistemi sono comunque riconoscibili attraverso determinati comportamenti anomali. Per avere un quadro generale e, soprattutto, per una difesa efficace, è necessario anche l'occhio umano di un analista di sicurezza. Egli analizza il comportamento registrato delle entità interne. Riconosce attraverso login insoliti che l'utente effettivo probabilmente non controlla più l'account. Reagisce agli avvisi relativi a un'infezione da malware o tiene d'occhio le campagne di phishing come possibile punto di partenza per un attacco interno. Controlla la difesa e blocca protocolli o trasmissioni di dati sospetti attraverso il firewall che gestisce. Dialogando con le aziende da proteggere, l'analista di sicurezza riconosce se sotto un comportamento sospetto si nasconde un utente legittimo - un nuovo dipendente, una nuova filiale o una nuova competenza assegnata.

(Visitata 389 volte, 1 visita oggi)

Altri articoli sull'argomento

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link