Il dilemma della sicurezza nella proliferazione dei dati
Man mano che il lavoro ibrido diventa la norma, anche la proliferazione dei dati aumenta. La proliferazione dei dati si riferisce alla diffusione delle informazioni aziendali in vari luoghi, che spesso deriva dall’utilizzo di applicazioni cloud distribuite e non gestite. Infatti, all’interno delle aziende di tutto il mondo, 1 dipendente su 5 utilizza applicazioni personali per caricare, creare, condividere o archiviare informazioni sensibili, che equivalgono a dati personali preziosi in troppi siti non sicuri e non autorizzati.
Man mano che le applicazioni, i servizi e gli strumenti che consentono il lavoro ibrido entrano nelle reti aziendali, gli attaccanti stanno rapidamente approfittando dei crescenti punti ciechi. Ecco cosa possono fare i responsabili della sicurezza per comprendere meglio questa tendenza e mitigare gli effetti della diffusione incontrollata dei dati.
Comprendere l’uso delle applicazioni all’interno dei posti di lavoro
Per proteggere adeguatamente i dati, i team di sicurezza devono sapere dove si trovano e chi può accedervi. Se i file, gli archivi e i dati analitici sensibili sono distribuiti su diverse piattaforme cloud, la visibilità può diventare quasi impossibile. Il problema cresce esponenzialmente se i dipendenti utilizzano diverse applicazioni esterne per condividere e archiviare gli stessi dati.
All’interno di un’azienda media, è normale che i dipendenti, durante il loro lavoro quotidiano, carichino, creino, condividano o archivino collettivamente i dati in circa 138 diverse applicazioni esterne. Molte delle applicazioni si sovrappongono nel funzionamento, con una media di 4 applicazioni di webmail, 7 applicazioni di cloud storage e 17 applicazioni di collaborazione in uso. Questo aspetto rappresenta una grande opportunità per i criminali informatici e un enorme problema per i team di sicurezza.
Incidenti di sicurezza recenti che sfruttano l’aumento dell’utilizzo delle applicazioni
Poiché l’uso delle applicazioni nelle aziende è diventato basilare per il business, i criminali informatici stanno ottenendo l’accesso a dati sensibili attraverso applicazioni che non sono sicure. Questi attaccanti possono facilmente infiltrarsi nelle applicazioni cloud o camuffarsi come tali applicazioni, rendendo difficile per i team di sicurezza distinguere gli strumenti cloud legittimi dal malware.
Questo accade più spesso di quanto si possa pensare. Ad esempio, Microsoft ha recentemente condotto un’importante indagine sulla sicurezza dopo che i dipendenti hanno caricato credenziali di accesso sensibili su GitHub, offrendo agli attaccanti un varco nei sistemi interni dell’azienda. Le informazioni erano collegate a un ID tenant Microsoft ufficiale e potevano essere utilizzate per accedere ad altri punti nel sistema interno di Microsoft.
Ci sono innumerevoli esempi di tali incidenti di sicurezza che si verificano nel mondo reale. La società di comunicazioni Twilio è stata vittima di un attacco di phishing all’inizio del 2022, in cui gli attaccanti hanno ottenuto le credenziali di accesso appartenenti a circa 10.000 persone imitando i popolari servizi di accesso. Gli investigatori sostengono che gli attaccanti volevano rubare dettagli specifici di business dagli account dei social media aziendali, dirottare i dettagli finanziari dell’azienda memorizzati sui siti e persino eseguire delle campagne pubblicitarie con i soldi delle aziende prese di mira. Gli attaccanti hanno utilizzato servizi cloud come Dropbox, iCloud e MediaFire per convincere le vittime a scaricare il malware.
Incidenti come questi inducono le organizzazioni a dare priorità, anche se in modo reattivo, a migliori policy di sicurezza che includono la visibilità e il monitoraggio dei dati, ma una strategia proattiva può essere più efficace nella salvaguardia dei dati sensibili in mezzo a una tale massiccia proliferazione di dati.
Controllo della proliferazione dei dati nei vari settori
I team di sicurezza possono esaminare mercati verticali specifici per capire cosa funziona (e cosa no) quando si tratta di limitare la proliferazione dei dati in azienda. Il settore finanziario, ad esempio, è un ottimo esempio di un settore che dispone di controlli e normative di sicurezza più rigorosi, e che limita quindi l’uso di applicazioni sul posto di lavoro. Il team di Netskope Threat Labs ha recentemente scoperto che meno di 1 dipendente su 10 nel settore finanziario utilizza applicazioni personali al lavoro. Utilizzano invece applicazioni gestite, che sono attentamente monitorate dai team di sicurezza.
Altri settori stanno incontrando maggiori difficoltà nel limitare la proliferazione dei dati, data la natura remota dell’attività e le normative di settore meno rigorose. I dipendenti del mondo retail, ad esempio, utilizzano regolarmente una serie di applicazioni cloud sul posto di lavoro. Infatti, il 40% degli utenti nel settore del retail carica dati aziendali su applicazioni personali. È fondamentale che i team di sicurezza IT, non solo in questo settore ma in tutti i settori, adottino misure proattive per ridurre al minimo il rischio di proliferazione dei dati.
Best practice nel limitare la proliferazione dei dati
Con le giuste strategie e policy di sicurezza in atto, i team di sicurezza possono adottare con fiducia i servizi cloud e gli ambienti di lavoro ibridi senza preoccuparsi della proliferazione dei dati. Questo avrà un aspetto diverso per ogni azienda, a seconda di fattori come dimensioni, livelli di maturità della sicurezza e obiettivi. Tuttavia, alcune best practice di sicurezza iniziali rimangono una costante e queste includono:
- Attivare il Single Sign-On (SSO) per tutte le applicazioni interne. Questo consente la gestione centralizzata degli utenti e garantisce che, quando i dipendenti lasciano l’organizzazione, si disponga di un sito centralizzato in cui è possibile rimuovere il loro accesso a tutte le risorse cloud che contengono dati aziendali sensibili.
- Configurare i controlli per limitare lo spostamento di dati sensibili su applicazioni e istanze di applicazioni non gestite. Implementare controlli di sicurezza che riconoscono le applicazioni e le istanze per impedire agli utenti di archiviare informazioni sensibili in posizioni non autorizzate. Ad esempio, i controlli di sicurezza dovrebbero essere in grado di distinguere tra l’account Google personale di un utente e l’account Google Workspace dell’azienda e impedire agli utenti di caricare dati sensibili sul primo. I criteri possono essere configurati in base al dispositivo, alla posizione o al rischio di un utente.
- Monitorare il comportamento rischioso degli utenti. L’analisi del comportamento degli utenti può integrare i controlli di sicurezza sopra descritti identificando i comportamenti rischiosi degli utenti, come l’aumento improvviso dei download da applicazioni gestite e istanze di applicazioni o upload su applicazioni e istanze di applicazioni non gestite. Questi comportamenti possono aiutare a identificare le aree che potrebbero richiedere controlli più severi o gli utenti che potrebbero richiedere una maggiore formazione.
- Formare accuratamente i dipendenti. Con policy e controlli adeguati, il passo successivo è comunicare efficacemente queste policy ai dipendenti. Occorre collaborare strettamente con le risorse umane per rendere la formazione sulla sicurezza un’attività regolare dell’onboarding dei dipendenti e della formazione annuale. Bisogna anche assicurarsi che le policy includano le minacce che potrebbero derivare da dipendenti in uscita dall’azienda, per verificare che non carichino le informazioni aziendali nelle applicazioni personali prima di lasciare l’organizzazione. Questa pratica può rappresentare una grave minaccia per le aziende, soprattutto in un periodo di dimissioni che stanno aumentando.
Sta diventando sempre più difficile proteggere i dati durante il passaggio al lavoro ibrido, in particolare quando si tratta del crescente utilizzo delle applicazioni cloud. Il viaggio delle aziende verso il cloud deve portare con sé policy di sicurezza rigorose e l’infrastruttura di sicurezza adeguata per anticipare l’uso indisciplinato delle applicazioni e l’enorme sfida di proliferazione dei dati che ne deriva. Il lavoro ibrido avrà successo solo se le organizzazioni, e in particolare i loro team di sicurezza, adotteranno un approccio proattivo per limitare la proliferazione dei dati.
Articolo a cura di Ray Canzanese, Threat Research Director, Netskope
Threat Research Director, Netskope