Insider Threat: un pericolo ancora sottovalutato

Quando si parla di cybersecurity, le minacce provenienti dall’interno non ricevono ancora l’importanza che spetterebbe loro. Eppure, non mancano in merito eventi di rilievo, anche recenti. Alcuni casi sono emblematici come la divulgazione di 100 GB di dati, inclusi dati personali di oltre 75.000 impiegati, da parte di ex dipendenti Tesla nel 2023; la violazione di Target nel 2013 – costata 18,5 milioni di dollari in risarcimenti a 47 stati USA e al Distretto di Columbia – a seguito della compromissione dei dati di pagamento di 40 milioni di clienti tramite un contractor; e l’incidente all’impianto di trattamento acque di Oldsmar in Florida nel 2021, causato da un dipendente remoto che ha inavvertitamente alterato i livelli di idrossido di sodio. Tutti eventi che evidenziano come, in ambiente industriale, le conseguenze di una minaccia interna possano essere ancora più gravi rispetto a un attacco che proviene dall’esterno.

Una minaccia interna riguarda il rischio che chiunque abbia un accesso autorizzato ai sistemi – dipendenti, ex collaboratori, contractor, fornitori – possa causare un incidente di sicurezza, intenzionalmente o meno.

Gli insider threat si dividono in 3 categorie:

1. Volontari: azioni intenzionali, motivate da guadagno personale o vendetta, per danneggiare o bloccare l’attività.
2. Compromessi: dipendenti raggirati tramite phishing o social engineering, le cui credenziali vengono rubate e utilizzate per attacchi esterni.
3. Negligenti: errori, disattenzioni o comportamenti imprudenti che causano danni o espongono l’organizzazione a rischi.

Secondo il report del 2022 di Proofpoint/Ponemon, è la negligenza a essere responsabile di oltre la metà degli incidenti (56%), seguita dalle azioni volontarie (26%) e infine dalla compromissione (17%). Le azioni volontarie sono tipicamente più facili da rilevare grazie a comportamenti anomali come accessi ripetuti a sistemi protetti a orari insoliti o da luoghi inusuali, installazione di software sospetti, trasferimento ed esfiltrazione di grandi quantità di dati.

Insider Threat in ambienti industriali: un rischio maggiore

Negli ambienti industriali (ICS), gli insider threat presentano caratteristiche peculiari e conseguenze più gravi. Il luogo di lavoro caotico e il frequente transito di personale, la possibilità di impatto fisico su impianti e macchinari, la conoscenza di vulnerabilità specifiche dell’infrastruttura, la diffusione di credenziali predefinite o condivise e la difficoltà nel monitorare gli accessi, amplificano il rischio. Un attacco in ambiente ICS può causare danni fisici, interrompere la produzione e compromettere la sicurezza, richiedendo una risposta immediata. Pur essendo grave, il furto di dati ha un impatto diverso rispetto a un danno fisico o un fermo produzione.

Sensori endpoint e analisi comportamentale: strumenti essenziali per la difesa

Per rilevare tempestivamente gli insider threat in ambito OT/ICS, è cruciale il monitoraggio dell’attività degli utenti tramite sensori endpoint e analisi comportamentale. A differenza di un monitoraggio passivo della rete, che rileva le comunicazioni tra workstation e PLC ma non identifica l’utente sulla macchina, i sensori endpoint forniscono informazioni in tempo reale sull’attività degli utenti. L’implementazione di agenti endpoint tradizionali, progettati per ambienti IT, risulta spesso inefficace o addirittura dannosa in ambito OT, a causa del loro impatto sulle prestazioni, dell’incapacità di riconoscere protocolli industriali legittimi e della generazione di falsi positivi, che possono causare malfunzionamenti o blocchi di sistema. Fortunatamente, la tecnologia dei sensori endpoint si è evoluta, offrendo agenti sicuri e specifici per i dispositivi OT, ideali per monitorare workstation di progettazione, HMI e hardware ICS. Questi agenti, leggeri e in grado di interpretare i protocolli industriali, permettono di identificare anomalie come l’accesso da laptop infetti, errori operativi, azioni di insider malintenzionati e l’utilizzo di credenziali rubate.

Strategie di sicurezza multilivello

Una strategia di sicurezza completa contro gli insider threat in ambito ICS richiede un approccio multilivello. Il controllo degli accessi fisici, basato su badge, è spesso inefficace contro gli insider, che per definizione possiedono autorizzazioni di accesso. Negli ambienti industriali, la presenza di contractor, fornitori e altro personale esterno rende ulteriormente complessa la gestione degli accessi fisici. Pertanto, è fondamentale adottare un approccio di difesa completo, con particolare attenzione alle seguenti misure:

• Accesso digitale e credenziali: rigorosa applicazione di un sistema di controllo basato su ruoli e minimi privilegi, esteso anche a fornitori e contractor. Riduzione dell’uso di credenziali predefinite e condivise, con tempestiva disattivazione di quelle del personale non più in servizio. Formazione sulla sicurezza per prevenire il furto di credenziali tramite phishing.
• Monitoraggio della rete: analisi in tempo reale della rete ICS, integrato con il monitoraggio degli endpoint, per una correlazione efficace degli eventi e una risposta tempestiva.
• Monitoraggio degli endpoint OT: utilizzo di agenti specifici per dispositivi OT, leggeri e compatibili con i protocolli industriali.
• Segmentazione della rete: implementazione e monitoraggio dell’efficacia della segmentazione di rete per limitare la propagazione delle minacce.
• Analisi comportamentale: impiego di tecniche di analisi comportamentale basate sull’intelligenza artificiale per individuare anomalie e deviazioni dalla baseline di attività.
• Piani di risposta agli incidenti: sviluppo di piani specifici per l’ambiente OT, con interventi manuali per una risposta rapida e mirata.

Il ruolo della condivisione delle informazioni

La scarsità di dati sugli insider threat in ambito industriale, dovuta alla mancata segnalazione o individuazione degli incidenti, rende difficile valutare l’entità del problema. Il report Ponemon del 2022, pur analizzando 278 organizzazioni vittime di minacce interne, non fornisce dati specifici sul settore industriale. Una maggiore condivisione di informazioni e strategie di mitigazione è essenziale per migliorare le difese e proteggere le infrastrutture critiche da questo pericolo silenzioso, ma insidioso. Condividere le esperienze e le best practice può contribuire a una migliore comprensione del fenomeno e allo sviluppo di difese più efficaci.