Il costo reale della lotta alle minacce interne

Le minacce interne sono in aumento: +47% rispetto all’anno precedente e le organizzazioni pagano un prezzo molto alto. Il costo annuale degli incidenti insider si aggira ormai intorno agli 11,45 milioni di dollari. Si tratta di un aumento del 31% negli ultimi due anni.

Come per le minacce esterne, le tattiche e le motivazioni degli aggressori sono diverse. A differenza degli attacchi dall’esterno, gli aggressori non hanno bisogno di violare le difese, e molti non sono affatto consapevoli di essere una minaccia – il che li rende difficili da profilare, individuare e contrastare.

Che si tratti di intento criminale o di errore umano, il risultato è lo stesso. I costi annuali totali per le minacce basate sulla negligenza ammontano in media a 4,58 milioni di dollari, contro i 4,08 milioni di dollari di chi ha un movente doloso. In caso di perdita o furto delle credenziali, queste ultime costano a un’organizzazione in media 2,79 milioni di dollari.

Cifre di questa portata possono essere difficili da comprendere appieno. Ma per le aziende che li sostengono, l’impatto di una minaccia interna è incredibilmente reale. I costi salgono rapidamente in termini di manodopera supplementare e investimenti in tecnologia, fino all’interruzione dell’attività e al mancato guadagno. L’esborso finanziario medio per un singolo incidente è stimato in 307.111 dollari per una minaccia negligente, 755.760 dollari se dolosa e 871.686 dollari se comporta la perdita di credenziali.

Le minacce interne – intenzionali o meno – non possono essere completamente evitate. Questo non significa tuttavia che le aziende debbano accettare questi costi. Adottando un approccio proattivo, con strumenti e formazione efficaci dal punto di vista dei costi, è possibile ridurre al minimo gli incidenti e controllare i costi.

La realtà finanziaria delle minacce interne

Poiché la difesa dalle minacce interne è estesa, stratificata e variegata, lo sono anche i costi. Dalle attività proattive come il monitoraggio e la sorveglianza, fino a quelle reattive come post-analisi e risanamento, un insider threat ha un impatto su numerosi centri di attività di un’organizzazione.

Le minacce devono essere oggetto di un’indagine approfondita per determinarne la fonte e la portata, sono necessari incontri di escalation e di pianificazione per informare tutti gli stakeholder necessari e deve essere messa in atto una strategia di risposta. Tutto ciò comporta un costo sostanziale. Per una singola minaccia insider, le organizzazioni spendono circa 22.000 dollari per il monitoraggio e la sorveglianza e 125.000 dollari per le indagini e l’escalation.

Tutto questo prima di contabilizzare la parte più costosa dell’operazione: il contenimento.

Il contenimento di un incidente da parte di un insider rappresenta un terzo dei costi totali, pari a circa 211.000 dollari. Seguono la bonifica a 147.000 dollari e la risposta all’incidente a 118.000 dollari.

Non sorprende che la tecnologia e le ore uomo siano le due voci di costo più elevato, che rappresentano quasi la metà della spesa totale coprendo gli straordinari, il personale aggiuntivo, gli appaltatori e qualsiasi software e hardware necessario per porre rimedio alla situazione.

Vista la portata di un singolo incidente, è facile capire perché le minacce interne possono essere così distruttive. Senza tralasciare il costo di un potenziale disastro a livello di pubbliche relazioni e gli eventuali danni alla reputazione. Negli ultimi anni, sia Target che Capital One hanno visto crollare i profitti e le valutazioni in seguito alla violazione dei dati da parte di interni, e sono tutt’altro che soli.

Il modo più efficace per evitare conseguenze finanziarie così sostanziali è quello di ridurre al minimo il rischio che si verifichi una minaccia di questo tipo. E anche se le misure proattive comportano un costo, è sempre meglio spendere un centesimo per la prevenzione che un euro per la cura.

Purtroppo, molte aziende sono carenti in questo senso. La formazione, sebbene prevalente, è spesso inadeguata e i metodi utilizzati raramente sono i più convenienti in termini di costi. 

Il campo di battaglia attuale

Il recente report State of the Phish ha rilevato che il 95% delle organizzazioni di tutto il mondo intraprende una qualche forma di formazione sulla sicurezza informatica con i dipendenti. Purtroppo, sotto ulteriore esame, il contenuto, la frequenza e i metodi utilizzati sono risultati carenti.

Per la maggior parte dei dipendenti, la formazione sulla sicurezza dura in totale solo tre ore nell’arco di un anno. Molte organizzazioni addestrano solo una parte dei loro utenti e non effettuano sessioni di persona o attacchi simulati.

Di conseguenza, gran parte dei dipendenti non è istruita sulle comuni minacce IT. Solo il 61% è in grado di definire correttamente il phishing, mentre solo il 31% riconosce il ransomware e il 66% ha familiarità con il malware. In questo contesto, l’aumento degli insider negligenti ha perfettamente senso.

Quando si tratta di prevenire le minacce interne, la maggior parte delle aziende opta per una combinazione di consapevolezza della formazione degli utenti, prevenzione della perdita di dati e analisi del comportamento degli utenti per educare e preparare il personale.

Sia la formazione che l’analisi del comportamento degli utenti sono altamente efficaci dal punto di vista dei costi. Le aziende che utilizzano queste tecniche riferiscono risparmi sui costi rispettivamente di 3,42 milioni di dollari e 3,1 milioni di dollari. La prevenzione della perdita di dati, pur essendo importante, lo è meno, con un risparmio medio di 1,88 milioni di dollari.

Il metodo di gran lunga più efficace in termini di costi per ridurre al minimo e gestire le minacce interne è una combinazione di formazione alla consapevolezza, analisi del comportamento degli utenti e gestione degli accessi privilegiati (PAM) – quest’ultima riduce i costi medi di 3,1 milioni di dollari.  Nonostante ciò, il PAM è utilizzato solo dal 39% delle organizzazioni.

Le PAM, insieme ad altre soluzioni proattive e preventive, è la chiave non solo per ridurre i costi delle minacce interne, ma anche per minimizzare la loro frequenza e il loro tasso di successo.

Non trovatevi a raccogliere i cocci

Le minacce interne – siano esse malintenzionate o meno – si collocano al di fuori dei confini delle vostre difese informatiche standard e necessitano di un deterrente ad hoc. Tutte le aziende devono implementare un programma completo ed efficace di gestione per scoraggiare, rilevare e difendersi da un numero crescente di incidenti.

Il monitoraggio e la sorveglianza della rete, insieme a soluzioni PAM, dovrebbero essere una componente chiave. Il modo più efficace per evitare i danni causati dalle minacce da insider è quello di prevenirle, ove possibile. Utilizzare gli strumenti disponibili per segnalare le attività sospette, bloccare le richieste di accesso insolite e salvaguardare informazioni sensibili e credenziali privilegiate.

La formazione e l’istruzione sono altrettanto importanti. Assicuratevi che i vostri utenti siano consapevoli delle minacce comuni, che comprendano come il loro comportamento possa aumentare la probabilità e il successo degli attacchi e siano consapevoli del loro ruolo di difesa.

Se un attacco ha successo, il contenimento è la chiave. Più veloce è il contenimento di un incidente, minore è il costo. Assicuratevi che i protocolli e le protezioni siano in atto per identificare e correggere qualsiasi incidente il più presto possibile.

Prima, durante e dopo una minaccia dall’interno, la vigilanza e la prontezza di reazione sono vitali. Migliore è la conoscenza delle persone, dell’ambiente e dei sistemi, maggiore è la possibilità di proteggerli dalle minacce – sia che bussino alla porta, sia che siano già all’interno.

Proofpoint Threat Research Team