Steal Company Data. Minacce dall’interno.
A nessuno piace pensare che un dipendente o un consulente possa rubare i dati sensibili dell’azienda. La verità è un’altra, questo accade più spesso di quanto ci si aspetta. Secondo Accenture, il 69% delle aziende ha subito un incident legato a minacce interne negli ultimi 12 mesi. L’avvento di Shadow IT (Cisco stima che l’80% dei dipendenti utilizza software non autorizzato), in abbinamento ad altre tendenze come il BYOD e il lavoro a distanza, espone le aziende a un rischio ancora maggiore. La cosa importante è conoscere e analizzare i comportamenti che causano la perdita di dati interni.
Steal Company Data. Chi e perché.
Analizzeremo i metodi più comuni con cui gli utenti riescono a estrarre o perdere dati accidentalmente (da parte di utenti sia tecnici che non tecnici). Daremo anche qualche suggerimento sugli strumenti da fornire alle persone per ridurre al minimo il rischio di incident interni. Il fenomeno dell’insider threat è sempre più frequente e con esso i danni arrecati alle aziende o ai clienti delle stesse (nel caso di banche, enti sanitari, etc.). Di seguito, elenchiamo alcuni dei modi più comuni utilizzati per sottrarre dati da un’azienda.
Steal Company Data. Le possibili cause.
Removable Media.
I supporti rimovibili sono un modo comune per sottrarre dati da un’azienda.
Un dipendente può con molta facilità prendere i files che gli interessano e portarli via. Un utente più esperto invece può introdurre intenzionalmente malware sui PC aziendali utilizzando supporti rimovibili. Per prevenire questo tipo di violazione dei dati basata sulle minacce interne, le aziende possono:
- Bloccare le porte USB
- Monitorare l’attività dell’utente
- Sfruttare gli strumenti di protezione degli endpoint
- Applicare policies aziendali
- Educare i dipendenti
Hard Copies.
Anche se potrebbe non sembrare così comune come un tempo, i dati fisici sono ancora una delle principali cause di furto di dati. Se gli utenti stampano i dati riservati per lavorare in remoto o li annotano, tenere traccia delle copie cartacee dei dati aziendali sensibili o critici può diventare un problema serio. I documenti cartacei sono la causa più comune di perdita di dati nel settore sanitario, con il conseguente 65% di violazioni. Le aziende devono monitorare ciò che viene stampato e la frequenza con cui vengono utilizzate le stampanti, bloccare i record fisici sensibili e distruggere i documenti sensibili prima dello smaltimento.
Cloud Storage.
L’utilizzo di servizi di cloud storage come Dropbox e Google Drive è in aumento. Spesso questi servizi vengono utilizzati da dipendenti e collaboratori esterni senza il coinvolgimento dell’IT o del team di sicurezza, rendendo difficile il loro utilizzo. Invece di imporre politiche restrittive, le aziende possono consentire questi servizi con moderazione, monitorando attentamente chi sta accedendo ai documenti e se i documenti vengono condivisi con utenti non autorizzati e bloccano questo comportamento in caso di violazione delle norme.
Personal Email.
Gli account email personali sono spesso utilizzati dagli addetti ai lavori per eludere intenzionalmente i sistemi aziendali e trafugare dati. Sebbene questo uso non sia sempre dannoso (il lavoro remoto sta aumentando), l’uso non autorizzato di e-mail personali può essere un rischio per l’azienda. Per evitare la perdita di dati tramite account e-mail non aziendali è importante monitorare attentamente il traffico e-mail tra le reti aziendali e gli indirizzi personali. Assicuratevi di informare i dipendenti in merito all’utilizzo appropriato delle e-mail personali sul posto di lavoro e delle company property.
Mobile Devices.
I dispositivi mobili sono una realtà di tutte le aziende odiernei – per non parlare del grande vantaggio per la produttività dei dipendenti, dei lavoratori da remoto e la forza lavoro mobile. Tuttavia, rappresentano anche una minaccia per i dati a causa del loro uso polivalente come dispositivi di registrazione, fotocamere e archiviazione. Adottare una politica solida e attentamente applicata all’utilizzo e accesso dei dispositivi mobili (sia aziendali che personali) è fondamentale, nonché un modo per monitorare e controllare l’accesso sugli endpoint per tutti i dispositivi di proprietà aziendale.
Cloud Applications.
L’utilizzo di applicazioni cloud (come Salesforce, SharePoint e altre app aziendali da dispositivi personali) è una delle principali fonti di furto dei dati. Queste applicazioni contengono spesso documenti e informazioni sensibili, dati di clienti, informazioni sugli accordi e pipeline di vendita. Alcuni utenti possono anche accedere alle applicazioni “Shadow IT” che non rientrano nei criteri aziendali. Ad esempio, siti come WeTransfer consentono di inviare facilmente dati esternamente, ma possono causare problemi di sicurezza. È importante monitorare l’accesso e l’attività degli utenti su tutte le app cloud, applicare le policy su un uso accettabile e interrompere immediatamente l’accesso dopo che un dipendente o un consulente ha lasciato l’azienda per prevenire la perdita di dati.
Social Media.
L’uso non autorizzato dei social media è una preoccupazione per i team di sicurezza, dal momento che è relativamente facile per un dipendente far trapelare dati aziendali sensibili, sia intenzionalmente che involontariamente. Come per le applicazioni cloud, i team di sicurezza dovrebbero monitorare l’attività degli utenti e applicare delle policy sui social media sul posto di lavoro.
Developer Tools.
Gli utenti tecnici accedono spesso a siti di hosting basati sul Web come GitHub per il controllo della versione del codice, o siti che memorizzano frammenti di codice in testo normale, come Pastebin. Questi siti rendono più facile per gli sviluppatori collaborare ai vari progetti. Il rovescio della medaglia è che questi sistemi posso portare a gravi perdite di dati e codici. È importante che l’azienda applichi delle policies sui repository peri i codici monitorandone l’utilizzo e consentendone l’uso solo a chi autorizzato.
Screen Clipping or Screen Sharing.
Molti utenti tentano di aggirare le politiche IT aziendali con software o applicazioni non approvati. Servizi di screen clipping e screen sharing come Snagit posso essere facilmente utilizzati per trafugare dati. Se gli utenti accedono regolarmente a questi siti (o ad altri software non autorizzati), potrebbe essere un indicatore di una potenziale minaccia interna.
FTP Sharing Sites.
Molte aziende proibiscono anche l’uso di siti di condivisione FTP. A causa della loro facilità d’uso, sono però i primi punti di “data exfiltration”. È importante implementare il monitoraggio delle attività di file end-to-end, insieme a avvisi in tempo reale per i tentativi di estrapolazione dei dati per le applicazioni Web FTP.
Steal Company Data. Come prevenirlo.
Nell’ottica di prevenire perdite di dati su larga scala, è importante formare gli utenti. La formazione continua è la miglior prassi affinchè utenti sia tecnici che non possano utilizzare correttamente gli strumenti aziendali e personali in azienda. Applicare le regole non è semplice ma… è necessario!
Dare maggior flessibilità alle persone quando si tratta dei propri strumenti personali e dell’accesso al web è sicuramente meglio. Politiche eccessivamente restrittive sono difficili da far rispettare.
Con uno strumento di gestione delle minacce interne come ObserveIT, le aziende possono monitorare e rilevare i tentativi di estrapolazione dei dati e indagare sulle attività sospette degli utenti in pochi minuti. Vuoi saperne di più? Consulta subito la nostra pagina: http://www.bludis.it/p/observeit/
Se invece vuole subito maggiori informazioni di carattere tecnico o commerciale può contattare i nostri esperti allo 0643230077 o inviare una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.