Dopo le rivelazioni di Edward Snowden, che ha ammesso l’uso da parte degli Stati Uniti e della Gran Bretagna di diversi programmi di sorveglianza di massa (fino ad oggi tenuti segreti), i team di sicurezza delle aziende hanno iniziato a dedicare molto più tempo a monitorare le attività degli utenti accreditati per tutelarne la privacy.
A questo proposito entrano in gioco le tecnologie comportamentali. Le User Behavior Analytics (UBA), in particolare, costituiscono una componente strategica: in sintesi, si usa la scienza dei dati per monitorare l’attività degli utenti all’interno della rete eprevenire l’uscita dall’azienda di dati sensibili
Grazie ai software di User Behavior Analytics (UBA) i team di sicurezza possono monitorare i dati e le attività individuali degli utenti molto più semplicemente rispetto alle tecnologie precedenti sviluppate in questo ambito, riuscendo così a intercettare le minacce alla sicurezza derivanti dagli utenti interni di un’azienda.
Come funzionano le tecnologie di analisi comportamentale?
Qual è la differenza tra l’analisi della sicurezza e questi nuovi strumenti? In primis, queste tecnologie si basano sull’identità di ogni singolo utente: concentrandosi sulle persone, monitorano le loro interazioni di base confrontandole con uno storico per capire i cambiamenti che avvengono nel corso del tempo. La maggior parte di queste piattaforme tengono traccia di ogni utente, e non solo di quelli considerati ad alto rischio per la sicurezza.
Che si tratti di un furto di dati sensibili o di proprietà intellettuali, o perdita di dati accidentalmente causati da dipendenti in buona fede, il monitoraggio degli utenti cosiddetti a rischio rimane una delle principali preoccupazioni dei professionisti della sicurezza di alto livello.
L’insicurezza interna potrebbe essere meglio gestita
Secondo un sondaggio di Wisigate del 2014, le minacce interne per la sicurezza dei dati sono in cima alle preoccupazione per quanto riguarda la vulnerabilità di un’azienda (59%) seguito dal phishing (55%), dal malware al terzo posto (45%) e da rischi derivanti da terze parti al quarto posto (32%). I professionisti IT intervistati, inoltre, sono molto preoccupati perché non hanno a disposizione personale adatto per la lotta a queste minacce.
Sotto la voce minacce interne sono compresi i problemi di sicurezza che possono derivare dal comportamento degli attuali ed ex dipendenti, dai partner commerciali e fornitori vari che hanno accesso autorizzato alle reti e ai sistemi che contengono dati critici.
I problemi maggiori che il team IT deve affrontare riguardano la protezione della rete che viene messa in serio pericolo dall’utilizzo di credenziali di accesso autorizzate, ma non utilizzate dall’utente abilitato. Altro problema riguarda l’utilizzo di utenti autorizzati di scorciatoie tecnologiche nell’utilizzo quotidiano come Dropbox o altri sistemi che rientrano nella categoria dello Shadow IT.
Quando è l’utente finale il più pericoloso
Un esempio su tutti di ex dipendenti che creano problemi di sicurezza fu quello che coinvolse Sergey Aleynikov, l’ex programmatore della società Goldman Sachs che si tenne per se l’IP quando lasciò l’azienda. Accusato di un presunto furto di IP nel 2009, Aleynikov è anche indagato per aver copiato il codice sorgente della piattaforma di negoziazione azionaria utilizzata dalla Goldman Sachs e impiegato successivamente dalla startup Teza Technlogies di cui era fondatore. Secondo la difesa Aleynikov può aver violato un accordo di riservatezza, ma l’utilizzo del codice sorgente non è ipotizzabile come un crimine.
Mentre l’abuso di un ruolo all’interno di un’organizzazione è ancora considerato nella definizione “violazione dei dati da parte di un utente interno” che rimane nel 55% dei casi il problema più frequente, secondo i dati del nel Verizon Data Breanch Report del 2015, nell’anno corrente ci sono stati il maggior numero di incidenti che hanno coinvolto gli utenti finali da quanto esiste tale report. Dal 2011 i dipendenti definiti casher hanno superato gli end user per numero di abusi nella sicurezza dei dati rispetto del proprio ruolo, ma nel 2014 questa tendenza si è invertita arrivando a un percentuale di incidenti causati dagli end user pari al 38% contro il 17% dei casher, seguiti in terza posizione dei dipendenti dell’area finanziaria con l’11%. Gli Executive e i manager, invece, hanno causato il 40% in meno di incidenti rispetto agli utenti finali. L’abuso dei dipendenti, di norma, viene scoperto dopo un’analisi forense dei dispositivi utilizzati da quest’ultimi una volta lasciata l’azienda.
Il monitoraggio degli utenti
Le aziende hanno analizzato per anni la rete e il comportamento del traffico dati. Ultimamente con l’avvento dell’analisi più approfondita di questi dati per garantire una maggiore sicurezza, stanno prendendo piede alcuni strumenti che si occupano della gestione centralizzata degli archivi dei log, e che offrono funzionalità orientate ad analizzare il comportamento degli utenti e le anomalie in tali comportamenti, confrontandoli in tempo reale con lo storico dei dati contenuti in tutti i log archiviati. Questa è un’operazione che richiede un impegno notevole di potenza di calcolo, soprattutto per aziende che hanno oltre 100 mila utenti accreditati ad accedere alla rete.
Il difficile è capire quali problemi ogni utente potrebbe generare. Le aziende hanno percorso fondamentalmente due strade. La prima prevede che se capita un problema, avendo tutte le registrazioni di ciò che accade nella rete, l’incidente si può trovare e capire da chi e perché è stato provocato. L’altra opzione prevede di essere al corrente di tutti i tipi di attacchi che si possono attuare, e vedere se i malintenzionati utilizzano uno di questi per bloccarlo sul nascere.
Behavior Analytics versus Exabeam
Annunciata nel mese di giugno 2014, la piattaforma Exabeam, è già operativa presso diversi clienti, tra cui la catena di supermercati statunitense Safeway. Il software on-promise è stato progettato per monitorare tutti gli utenti ed esplorare i dati che utilizzano a tutti i livelli da parte del team addetto alla sicurezza. Exebeam ha brevettato la sua tecnologia di monitoraggio per ogni sessione utente, ed offre una timeline molto simile a Facebook per aiutare gli analisti della sicurezza nei loro compiti.
Se l’approccio di Exabeam è totalmente nuovo, non bisogno sottovalutare i sistemi UBA che in varie forme, sono sul mercato da almeno un decennio, generalmente customizzati dai vendor e che offrono moduli user-driven per monitorare i dati strutturati. La maggior parte dei sistemi UBA analizzano i registri storici dei dati di rete, di sistema e i registri di sistema che sono raccolti e memorizzanti nei sistemi di Security Information and Event Management (SIEM) e Splunk. Da questi, offrono modelli per sviluppare singoli profili comportamentali e il sistema genera un profilo base di ogni utente. Il comportamento dell’utente sulla rete è monitorato in base allo storico dei log e su quelli del suo team di lavoro.
SIEM versus UBA
Se i SIEM offrono un buon livello di monitoraggio delle attività di base, le piattaforme UBA, secondo Gartner, regalano generalmente una profilazione più dettagliata e monitoraggio migliore che rispetta le politiche dei diritti di autenticazione utilizzate dagli sistemi di Identity and Access Management (IAM). Sempre secondo Gartner, le aziende dovrebbero rivedere il monitoraggio degli utenti, la profilazione e funzionalità di rilevamento delle anomalie nei loro sistemi SIEM attuali prima di valutare piattaforme UBA. Tutta via, nella sua ricerca sulle piattaforme UBA, Gartner avverte che ogni sistema UBA richiede una qualche forma di messa a punto, anche per quelle che offrono tutte le analisi già programmate.
I rischi causati dagli utenti
Fortscale, software-house con sede a San Francisco e dipartimento di R& S a Tel Aviv offre una soluzione UBA che dispone di strumenti per l’analisi avanzata e che non richiede regole personalizzate o firme definite. La società, recentemente, ha potenziato la sua piattaforma UBA portando il livello di monitoraggio anche alle applicazioni utilizzate sulla rete aziendale.
Gli analisti della sicurezza ricevono avvisi quando la piattaforma UBA individua comportamenti anomali degli utenti accreditati, sia quando interagiscono con il software aziendale, sia quando utilizzano applicazioni personalizzate. Questi comportamenti non conformi sono basati sui dati di accesso, sul trasferimento dei contenuti in base al volume di dati, sul tempo di attività sulla rete e così via.
“La maggior parte delle tipologie di attacchi dei giorni nostri si svolgono con le cosiddette catene d’attacco”, spiega Guy Mordecai, Director of Product Management di Fortscale. “Molti attacchi cercano di carpire le credenziali di un qualche utente per violare la rete, ma non sanno che siamo a conoscenza di tutte le credenziali in uso e possiamo bloccare sul nascere qualsiasi tentativo fraudolento di accesso alla rete. Per questo la maggior parte delle catene d’attacco non riescono a violare le reti controllate dal nostro software”.
“Quando si parla di minacce interne”, continua Mordecai, “ potrebbero derivare da uno stagista o da un pirata informatico esterno che sta cercando di entrare in azienda come dipendente”. E continua: “le aziende al giorno d’oggi devono conoscere non solo chi è connesso, ma anche quello che fanno gli utenti una volta autenticati.
La soluzione Hadoop
La società Hadoop che commercializza l’omonimo framework, è tra le migliori della categoria SIEM, e utilizza algoritmi di apprendimento automatico dei dati contestuali, in arrivo, ad esempio da IAM, debiti commerciali, risorse umane e sistemi di viaggi. Questi dati servono per analizzare i vari log e arricchire la profilazione degli utenti, monitorare le eccezioni e creare un “punteggio di rischio” di tali utenti. Handoop consente alla tecnologia su cui si basa di scalare linearmente ed economicamente. Alla base della filosofia di Handopp c’è l’idea di ridurre i tempi di risposta in caso di attacchi cercando di individuare celermente i comportamenti anomali degli utenti attivi sulla rete.
Altri UBA
Secondo la rivista Fortune, oltre mille aziende dei settori finanza, assicurazioni e tecnologia, hanno registrato comportamenti anomali sulla rete dei propri dipendenti.
Durante la conferenza RSA dello scorso mese di aprile, il CEO e co-fondatore dell’azienda Sandbox Idan Tendler, ha spiegato che molti di questi sono banalmente dipendenti curiosi, o quelli che hanno terminato il loro mandato in azienda e hanno iniziato a scavare nei server dove sono contenuti dati sensibili e, anche se non sono riusciti, lasciano comunque delle tracce del loro comportamento scorretto.
La piaga della curiosità dei dipendenti è molto sentita nei call center. Sempre secondo gli esperti molti dipendenti sbirciano nei dati sensibili dei clienti contenuti in applicazioni CRM, ma le piattaforme protette da Sandbox hanno aiutato le aziende a bloccare sul nascere questa cattiva abitudine.
“I vantaggi che offriamo agli analisti- spiega Tendler – non riguardano solo la possibilità di individuare i cattivi utenti, ma soprattutto nel rendere più veloce e più precisa questa attività”.
Secondo Tendler, Fortscale, è attualmente focalizzata nel monitoraggio, ma la società ultimamente è interessata a sviluppare strumenti per le politiche di prevenzione. Come altre tecnologie UBA, anche questa piattaforma è stata progettata per analizzare i dati raccolti da SIEM, ma nel caso non ci fossero, per qualsiasi motivo, Fortscale diventerebbe un software inutile.
Come Exabeam anche Fortscale ha avuto un’impennata di vendite nel quarto trimestre 2014. Il software è venduto con la formula dell’abbonamento, che può essere di uno, due o tre anni. Il costo di basa principalmente sul numero di account che possono essere monitorati, e in genere, per le aziende, questo è un investimento a sei cifre.
Alcune società della lista Fortune 1000, vedono le tecnologie UBA come una nuova disciplina. Nonostante alcune di esse siano molto qualificate e hanno molta esperienza, non hanno familiarità con l’approccio user-centric delle piattaforme UBA. Fortscale ha quindi formato analisti che lavorano a stretto contatto con i clienti, in modo che quest’ultimi possano utilizzare nel dettaglio e in modo efficiente il software. Spesso viene coinvolto anche l’ufficio legale per il controllo interno delle informazioni che devono essere mappate.
Oltre a Exabeam e Fortscale, nell’affollato mercato della piattaforme UBA, spiccano vendor quali Gurucul, IBM, Oracle, Secournix e Splunk. HP introdotto l’analisi di comportamento degli utenti per la sua piattaforma ArcSight solo nel mese di aprile. Ma solo una manciata di fornitori offrono approcci innovativi che consentono di rilevare le minacce avanzate e gli insider.
