All’inizio del 2020 il panorama delle minacce appariva già completamente mutato rispetto allo stesso periodo dell’anno precedente. Come spiega il Global Threat Report 2021 di CrowdStrike, l’ecosistema eCrime continua a evolversi e maturare, e gli avversari appoggiati dagli stati nazione sono sempre più implacabili. Ora, a causa della pandemia di Covid-19, il panorama delle minacce è ancora una volta sull’orlo di una trasformazione epocale. Sia i criminali informatici che gli stati nazione stanno facendo leva sui timori che il coronavirus alimenta nelle persone per lanciare campagne di social engineering volte a sottrarre informazioni private e dati finanziari.
In questo contesto già abbastanza complicato si inserisce una terza minaccia – a volte inconsapevole ma altre, purtroppo, consapevole: i malintenzionati interni all’azienda.
Ora che la gran parte dei collaboratori lavora da remoto a causa delle misure di confinamento decise dai governi, si è spalancata la porta su un mondo completamente nuovo di vulnerabilità da sfruttare: reti WiFi pubbliche non sicure, dispositivi personali obsoleti e non protetti, autorizzazioni e modalità di accesso non conformi, tanto per citare qualche esempio. In più, per tentare di restare a galla durante l’emergenza sanitaria, le aziende inizieranno a rivalutare le spese operative nell’ottica di ridurle, e questa scelta probabilmente causerà licenziamenti o sospensioni. Un dipendente licenziato, specialmente se contrariato o disperato, ha sempre rappresentato un rischio per l’azienda perché è un pericolo difficile da individuare, prevenire e sondare. Senza le opportune misure di sicurezza, una minaccia di questo tipo può mettere seriamente in pericolo i dati sensibili dell’azienda. Esistono tre misure efficaci che consentono alle aziende di contenere i rischi informatici in questo periodo così difficile.
Le truppe si spostano nel cloud
Il primo passo per rendere sicuro un ambiente di lavoro remoto consiste nel gestirlo correttamente. Anche se i collaboratori si tutelano usando dispositivi protetti, VPN e autorizzazioni di accesso regolamentate, il rischio di violazione è sempre presente, specialmente se l’attacco proviene da malintenzionati interni all’azienda. Per incidenti di questo tipo, è importante che il personale che si occupa della sicurezza sia in grado di rilevare, analizzare ed eliminare la violazione senza dover «inviare le truppe sul campo», specialmente ora che, a causa della pandemia, le trasferte del personale allungano i tempi di remediation ma mettono anche a repentaglio la salute delle persone. La soluzione per rendere sicuro lo smart working è il cloud.
Grazie al cloud i responsabili della sicurezza riescono ad avere piena visibilità sull’ambiente di lavoro aziendale, a prescindere dal numero di piccoli uffici casalinghi che ne fanno parte, e possono rispondere agli incidenti in modo agile, implementando da remoto soluzioni immediate con cui riparare i dispositivi compromessi. In più, il cloud semplifica enormemente la condivisione delle policy di sicurezza su tutti i dispositivi, personali e professionali, perché il personale IT può distribuire patch e autorizzazioni di accesso senza allontanarsi da casa. Dal punto di vista della gestione dei processi, i responsabili IT e della sicurezza possono implementare un modello di accesso basato sul «principio del privilegio minimo» valutando da remoto a quali dati sensibili ogni collaboratore ha accesso e limitando l’accesso alle sole risorse della rete necessarie per le sue mansioni. Qualora il collaboratore dovesse lasciare l’azienda, revocarne i diritti di accesso sarà pratico e veloce.
Combinare le capacità umane e la potenza dell’intelligenza artificiale
Quando si tratta di smascherare le attività di malintenzionati interni all’azienda, la difficoltà maggiore consiste nel separare le potenziali azioni dannose dalle «normali» attività lavorative prima che sia troppo tardi. Distinguere le une dalle altre non è come cercare un ago in un pagliaio quanto piuttosto come cercare un ago tra una montagna di altri aghi, perché le azioni di un malintenzionato che lavora per l’azienda possono apparire legittime in superficie ma nascondere un intento dannoso. I malintenzionati interni all’azienda sono un problema «umano» che spesso richiede un intervento umano.
Per riuscire a seguire e monitorare in maniera proattiva qualsiasi attività sospetta prima che si verifichi una compromissione grave, i responsabili IT e della sicurezza dell’azienda devono essere adeguatamente equipaggiati. La loro «cassetta degli attrezzi» può contenere soluzioni che impediscono l’uso di chiavette per esportare i dati o che registrano i dati dei sistemi di posta elettronica in modo granulare per far risaltare le e-mail che contengono IP aziendali reindirizzati a indirizzi e-mail personali ma, in fin dei conti, per smascherare un essere umano serve un altro essere umano. Per questo motivo, una squadra specializzata in threat hunting – interna all’azienda o esterna a contratto – è un elemento indispensabile in un mondo basato sullo smart working. Le squadre specializzate in threat hunting sono in grado di rilevare la presenza di tecniche «Living-off-the-Land» e di attività sospette usando tecnologie avanzate per il monitoraggio degli endpoint e l’analisi dei big data.
Una soluzione aziendale per un problema umano
Proteggere l’azienda dalle azioni di dipendenti malintenzionati non è una responsabilità esclusiva del team IT e della sicurezza. Così come i dirigenti e i consigli di amministrazione trovano il modo di salvaguardare i profitti adattandosi a una forza lavoro diventata improvvisamente remota, è necessario che l’IT, le risorse umane e i responsabili di tutte le unità operative facciano fronte comune. I responsabili delle unità operative devono collaborare e farsi promotori di iniziative strategiche volte a informare e istruire il consiglio di amministrazione sui rischi crescenti e sempre nuovi legati alla sicurezza e sulla necessità di investire adeguatamente per dotarsi delle politiche, delle risorse e degli strumenti necessari per proteggere l’azienda.
A prescindere dal reparto in cui lavorano, molti dipendenti godono di una qualche forma di accesso privilegiato alla rete, ai sistemi e ai dati riservati dell’azienda. Fare in modo che tutti i livelli aziendali siano consapevoli degli accessi privilegiati di cui gode ogni collaboratore, del tipo di informazioni riservate che gestisce e dei processi da seguire per far uscire in sicurezza un dipendente dall’azienda sono misure fondamentali per mettersi al riparo da attacchi interni.
Ordinaria amministrazione in tempi straordinari
L’emergenza sanitaria causata dal Covid-19 sta sconvolgendo la normalità delle nostre vite lavorative. Tuttavia, questo non significa che le misure adottate per proteggere la tua azienda in questo momento andranno perse. Scegliendo in modo oculato tecnologia, persone e processi, le aziende possono realizzare e mantenere una barriera solida contro le minacce interne ed esterne che si rivelerà utile anche quando la forza lavoro non sarà più costretta a casa. Una volta messe in atto queste soluzioni, sarà meno complicato anche smantellare un «ufficio casalingo» qualora un dipendente decidesse di lasciare l’azienda. Le aziende e i collaboratori potranno così continuare il proprio cammino in tutta sicurezza, anche quando le loro strade si dividono.
Autore: Shawn Henry, Presidente di CrowdStrike Services e CSO di CrowdStrike
