La recente violazione del Pentagono, in cui il membro della Guardia nazionale ventunenne Jack Teixeira avrebbe fatto trapelare informazioni sensibili sui siti di social media per migliorare la propria posizione sociale, sta riportando in auge le discussioni sulla protezione dei dati da aggressori interni malintenzionati. Dal serpente nel Giardino dell'Eden (l'aggressore interno originale) a Snowden, Manning, Winner e ora Teixeira, basta una mela marcia per cambiare il corso della storia.
L'accesso alle informazioni, e l'accesso eccessivo ai dati sensibili in generale, è un tema ricorrente che accomuna gli addetti ai lavori. Come spiega Robert Litt, ex Consigliere Generale dell'Ufficio del Direttore dell'Intelligence Nazionale, "all'indomani delle fughe di notizie sarebbe opportuno eseguire un'analisi lucida e approfondita della condivisione delle informazioni, del numero di persone con autorizzazioni di sicurezza, dell'attuazione dei criteri vigenti in materia di 'necessità di sapere' e del monitoraggio dei sistemi classificati".
Le minacce interne sono il pericolo più difficile da affrontare e possono causare i danni maggiori. Il Pentagono probabilmente ha agito correttamente all'interno dei suoi perimetri fisici e digitali; Teixeira ha lavorato in una SCIF, o struttura di informazioni compartimentate sensibili, che "protegge dalla sorveglianza elettronica e impedisce le fughe di dati".
Ciò significa che non era possibile far entrare né uscire nessuna chiave USB, caricare dati su Internet né eseguire nessun tipo di trasmissione. Tuttavia, nessuno di questi controlli perimetrali è utile a sventare questa minaccia.
Anatomia di un attacco interno
Quindi, cosa è andato storto? Al leaker è stato dato ampio accesso a dati sensibili di cui probabilmente non aveva bisogno. Nonostante il fermento del settore sullo zero trust, questo caso sembra essere un fallimento del modello della "necessità di conoscere" e/o un'interruzione del monitoraggio dei sistemi classificati.
In molte organizzazioni, l'attenzione si concentra spesso sulla salvaguardia dei perimetri, piuttosto che sulla protezione dell'obiettivo stesso: i dati all'interno.
Immagina questa conversazione tra un CEO e un team di sicurezza IT incaricato di proteggere i dati sensibili.
CEO: applichiamo una patch ai nostri sistemi?
Team di sicurezza IT: Certo. Gli aggressori sfrutterebbero le vulnerabilità se non lo facessimo.
CEO: Addestriamo i nostri dipendenti utilizzando tentativi di phishing simulati?
Team di sicurezza IT: Sì, addestriamo i dipendenti perché le persone ricevono continuamente e-mail di phishing.
CEO: Manteniamo il software di sicurezza sugli endpoint di tutti?
Team di sicurezza IT: Sì, perché dopo che le persone sono state oggetto di phishing, il software dell'endpoint aiuta a bloccare il malware che gli aggressori tentano di installare.
CEO: Blocchiamo le chiavi USB e i caricamenti in blocco?
Team di sicurezza IT: Sì, perché agevolano il furto di dati da parte degli addetti ai lavori.
CEO: blocchiamo e monitoriamo i nostri dati più importanti?
Team di sicurezza IT: No.
Non è strano che le organizzazioni abbiano così tanti controlli dove il rischio non è localizzato? Dopotutto, le banche non si concentrano di più su ciò che passa dalle loro porte e finestre rispetto a chi e cosa entra ed esce dal caveau, quindi la sicurezza del denaro è esattamente identica a quella riservata alle penne.
Se Teixeira non avesse avuto accesso a così tante informazioni sensibili, il danno potenziale avrebbe potuto essere inesistente o notevolmente ridotto e contenuto molto più rapidamente. Il Pentagono avrebbe forse avuto problemi a livello perimetrale, ma nessuno avrebbe saputo il nome di Teixeira se i dati fossero stati tenuti sempre protetti.
Trovare un equilibrio tra accesso e sicurezza
Bloccare il caveau nel mondo digitale è, ovviamente, una sfida non da poco. I dati più sensibili vengono archiviati in più luoghi ogni giorno e la collaborazione richiede un equilibrio tra produttività e sicurezza. I dati hanno valore solo se possono essere condivisi.
Se i dati vengono bloccati in modo completo o troppo rigido, la risorsa diventa congelata. La comunità di intelligence lo ha capito dopo aver limitato le informazioni condivise tra le varie agenzie prima dell'11 settembre. Se si allentano troppo le restrizioni, le risorse di informazioni possono diventare rapidamente una voce da ascrivere alle passività, come si è visto nella recente violazione del Pentagono.
Come bilanciare accesso e sicurezza? Ecco cinque passaggi da compiere per verificare la tua preparazione ad affrontare un aggressore interno malintenzionato o un aggressore esterno che compromette l'account o il computer di un aggressore interno.
- Fai un inventario delle tue regole sulla protezione dei dati sensibili. Hai deciso quando e come eliminare, mettere in quarantena o bloccare i dati sensibili?
- Verifica se puoi applicare queste regole manualmente o con l'automazione.
- Cerca di capire se è facile individuare le violazioni di queste regole.
- Individua regole che devono essere create, perfezionate o applicate in modo più efficace.
- Se hai appena iniziato, valuta la predisposizione di un inventario dei dati per capire dove gli utenti memorizzano i dati sensibili e con chi li condividono.
Nella maggior parte delle organizzazioni, i dipendenti accedono ai dati sensibili da qualsiasi luogo, da numerosi dispositivi, in applicazioni e archivi di dati collegati al cloud: praticamente l'opposto di un SCIF. Con un perimetro così distribuito e imprevedibile, ha ancora meno senso allocarvi la maggior parte delle nostre scarse risorse di sicurezza: non abbiamo la minima idea di dove avranno origine gli attacchi.
Tuttavia, sappiamo dove si dirigeranno gli aggressori. Forse la tua azienda non detiene informazioni top secret, ma è probabile che abbia informazioni che qualcuno vuole. Ed è qui che occorre concentrare le scarse risorse.
Proteggere le informazioni in base alla necessità di sapere e monitorare da vicino i dati alla ricerca di segni di attività insolite può contribuire a ridurre i danni causati dagli aggressori interni e a renderli più facili da individuare. Gli aggressori esterni che prendono il controllo di un computer o di un account dei dipendenti (e diventano di fatto aggressori interni) devono faticare molto di più per ottenere i dati che desiderano, dando alle soluzioni di monitoraggio più possibilità di catturarli.
Non importa se si gestiscono segreti militari o commerciali, o se i propri dipendenti lavorano in una SCIF, in un edificio o a casa: attribuire priorità ai controlli sui dati li protegge meglio dagli aggressori interni ed esterni. Così si prendono due piccioni con una fava.
Questo articolo è apparso per la prima volta su Forbes.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
