Insider Threat. Save time for investigations!
Questa volta ci occuperemo delle indagini relative ad un insider threat. Il processo di investigations su un allarme causato da un insider threat può essere dispendioso sia in termini di tempo che di risorse. Inoltre, più dura a lungo e più dispendioso diventa per l’azienda. Con il giusto livello di visibilità, le indagini possono essere un processo semplice, consentendo all’organizzazione di mitigare i rischi in modo tempestivo. Di seguito tre modi per risparmiare tempo nel condurre indagini sulle minacce interne.
Insider Threat. Tempestività nelle notifiche.
Il modo peggiore per rallentare un’indagine è non sapere che cosa dovrebbe accadere! In alcuni casi, le aziende vengono a conoscenza di una violazione dall’esterno o da uno strumento interno ma solo dopo che il fatto è avvenuto. Se non si dispone di un sistema di alert per insider threat, non si scoprirà tempestivamente un incident. A prescindere dalla sua origine, l’alert dà il via all’indagine. Farlo rapidamente è la chiave per un’indagine tempestiva. Per ridurre il tempo medio di acquisizione, è importante avere un sistema che comprenda l’aspetto di una minaccia interna e invii un alert appropriato e tempestivo. Esistono strumenti come SIEMs che possono attivare alert per tutti i tipi di eventi di sicurezza. È però buona norma averne uno specifico per le minacce interne in atto a causa della natura unica di queste minacce. Un’intrusione di rete può essere abbastanza facile da rilevare, ma un dipendente o un esterno che tenta di estrarre dati tramite un canale legittimo può essere molto difficile da individuare utilizzando gli strumenti di sicurezza tradizionali. Investendo in una soluzione proattiva contro le minacce interne, le indagini saranno molto più veloci perché conoscerai gli incident quasi in tempo reale.
Insider Threat. Il giusto contesto.
Lo step successivo è raccogliere più informazioni. Molti strumenti di alert segnalano “cosa” è successo, ma non forniscono il giusto contesto. Gli analisti potrebbero aver bisogno di scavare un po’ per capire:
- Dove è successo? (In un’app? Sulla rete?)
- Quali sistemi sono interessati?
- Quando è avvenuta?
- Cos’altro stava succedendo in quel momento? (Il contesto necessario)
Fare queste analisi può richiedere molto tempo. Il team di sicurezza deve passare attraverso molti strumenti diversi, spesso cercando in enormi quantità di log e spesso sotto pressione! Per non parlare del fatto che potremmo ricevere anche centinaia di alert al giorno. È una vera e propria sfida separarli, identificare quelli che rappresentano problemi reali e capire il giusto contesto. Strumenti inefficaci possono rallentare l’intero processo e, nel frattempo, la minaccia potrebbe continuare a evolversi e mettere a rischio l’azienda. Si desidera investire in strumenti creati appositamente per la gestione delle minacce interne. Oggi è importante disporre di strumenti in grado di fornire rapidamente il contesto appropriato per proteggere la reputazione e le risorse dell’azienda.
Insider Threat. Concentrati sul “Perché”.
Una volta stabilito il contesto, si determina cosa e perché stesse facendo l’hacker. Ad esempio, se è coinvolto un utente, dovremo capire se c’è una storia intorno a questo utente che aiuti a capire cosa è successo. È un ex dipendente insoddisfatto che tenta di esfiltrare i dati? O qualcuno che ha fatto qualcosa di sbagliato per caso? Capire il perché è il modo più efficace per concludere un’indagine. Quando è chiaro cosa è successo e perché, è necessario mettere insieme le prove. Non si può solo dire <<Questo è quello che è successo>>. C’è bisogno di prove. Questo può essere particolarmente difficile quando tutto ciò che abbiamo a disposizione è un file di log! La chiave è usare una piattaforma di insider threat appositamente creata che possa fornire un contesto sufficiente per far luce sul perché. Questa piattaforma consentirà di costruire rapidamente le prove necessarie per agire in caso di necessità.
Insider Threat. Speedier Investigations, Less Risk.
Con i suggerimenti sopra riportati, si può ridurre drasticamente il tempo necessario per indagare su un incident da insider threat, giungere a una conclusione e intraprendere l’azione appropriata. Una piattaforma di insider threat ben strutturata può essere la differenza tra un’indagine tempestiva che preserva le risorse e la reputazione dell’azienda e un incident che termina in una spirale senza fine!
Per avere maggiori dettagli sulla piattaforma ObserveIT puoi consultare il nostro sito: http://www.bludis.it/p/observeit/
Se invece vuoi avere maggiori informazioni di carattere tecnico o commerciale puoi contattare gli specialisti di Bludis allo 0643230077 o inviare una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.