shoulder surfing cafeteria

Estimated reading time: 8 minutes

Il termine shoulder surfing potrebbe evocare immagini di un piccolo surfista sul colletto della camicia, ma la realtà è molto più banale. Il shoulder surfing è una pratica criminale in cui i ladri rubano i tuoi dati personali spiandoti alle spalle mentre usi un laptop, un bancomat, un terminale pubblico o un altro dispositivo elettronico in mezzo ad altre persone. Questa tecnica di ingegneria sociale è un rischio per la sicurezza che può causare un disastro, soprattutto se le credenziali rubate sono aziendali.

La pratica precede di molto gli smartphone e i computer portatili e risale a quando i criminali spiavano gli utenti dei telefoni a pagamento mentre inserivano i numeri delle loro carte telefoniche per effettuare le chiamate. Sono passati molti anni, ma la tecnica non è andata perduta. I ladri si sono evoluti ad osservare le loro vittime mentre digitano il PIN del bancomat, pagano alle pompe self-service di benzina o anche mentre fanno un acquisto in un negozio.

Una tecnica analoga per il furto di bancomat prevede un dispositivo di clonazione della carta sovrapposto alla buchetta di inserimento della tessera e una microcamera per spiare il codice. La microcamera compie un atto di shoulder surfing. La clonazione della carta è essenziale perché senza un dispositivo fisico il pin è inutile, ma nel caso di credenziali di account in rete, non serve altro che user e password.

Shoulder surfing ATM

Quando avviene il Shoulder Surfing?

Il shoulder surfing può avvenire ogni volta che si condividono informazioni personali in un luogo pubblico. Questo include non solo i bancomat, le caffetterie e i dispositivi POS in generale, ma praticamente qualsiasi luogo in cui si utilizza un computer portatile, un tablet o uno smartphone per inserire dati personali.

I shoulder surfer di vecchia data, di solito, non incombevano alle spalle delle loro vittime per scrutare le informazioni. Invece, stavano a distanza di sicurezza e interpretavano i movimenti delle dita mentre le persone digitavano i numeri sulla tastiera. Allo stesso modo, gli ingegneri sociali di oggi spesso sfuggono all’attenzione mentre osservano tranquillamente gli altri in luoghi pubblici come le sale d’attesa degli aeroporti e i centri commerciali, i bar e i ristoranti, sui treni o le metropolitane, o ovunque ci sia gente, a dire il vero.

Addirittura, i più sofisticati criminali di oggi osservano da più lontano, nascosti alla vista. Potrebbero usare un binocolo, delle microcamere o la fotocamera del loro telefono o tablet per scrutare il tuo schermo o la tua tastiera. Non solo, potrebbero origliare mentre leggi i numeri delle carte di credito al telefono o fornisci altre informazioni sensibili. I criminali potrebbero anche scattare foto, fare un video o registrare l’audio delle informazioni e poi interpretarle in seguito.

Qualunque sia la metodologia, è chiaro che la tecnologia non solo ci ha aiutato a essere più connessi e poterci permettere di pagare un frappuccino con il cellulare, ma ci ha anche esposto a rischi per la nostra sicurezza. Quando si tratta di dati sensibili, soprattutto se c’è di mezzo un account aziendale da cui si potrebbe accedere a dati sensibili di altre persone, non si deve mai abbassare la guardia, le conseguenze potrebbero essere molto gravi.

Come avviene comunemente il shoulder surfing

Prima di suggerire alcuni metodi per prevenire il shoulder surfing da mettere in pratica immediatamente, vediamo ancora più nel dettaglio come potrebbe avvenire un furto di credenziale con questa tecnica.

Al bar o in caffetteria

Sei al bar di un ristorante affollato in attesa di un amico. Per passare il tempo, ti colleghi a Instagram. Sfortunatamente, non ti accorgi che la persona bloccata in fila accanto a te sta guardando la tua password, che si dà il caso sia la stessa che usi per il tuo account e-mail e il tuo conto bancario.

Al bancomat

Stai prendendo contanti a un bancomat. Ti senti al sicuro perché l’uomo dopo di te in fila è ad almeno 3 metri di distanza e sta addirittura guardando il suo telefono. In realtà, sta registrando i movimenti delle tue dita sul suo telefono e li decifrerà successivamente per ottenere il tuo numero PIN.

All’aeroporto

Il tuo volo è in ritardo, quindi prendi il portatile e ammazzi il tempo andando a leggere un paio di e-mail di lavoro, così per restare aggiornato. Accedi al sito aziendale per leggere la posta e inserisci nome utente e password. Sei così tranquillo, che non vedi la donna a pochi posti di distanza che fissa lo schermo mentre inserisci i dati.

shoulder surfing cafeteria

Quali sono le conseguenze del Shoulder Surfing?

Usare i dati della tua carta di credito per fare acquisti fraudolenti è solo un esempio dei danni che potresti subire se rimani vittima di shoulder surfing. Più informazioni personali un criminale cattura su di te, più le conseguenze possono essere gravi per il tuo conto bancario e la tua salute finanziaria.

Un grave caso di shoulder surfing può esporti al furto di identità. Un criminale potrebbe usare le tue informazioni personali, come il tuo codice fiscale, per aprire nuovi conti correnti, richiedere prestiti, affittare appartamenti o fare domanda di lavoro sotto il tuo nome. Un ladro d’identità potrebbe mettere le mani sul tuo rimborso delle tasse, usare il tuo nome per ottenere cure mediche o anche richiedere agevolazioni statali a tuo nome. Potrebbe anche commettere un crimine e fornire le tue informazioni personali quando interrogato dalla polizia, lasciandoti con una fedina penale sporca o un mandato d’arresto.

Ovviamente, se hai il sospetto che questo sia avvenuto, dovrai recarti immediatamente alla polizia, bloccare i conti correnti e avvisare la banca. Se azioni fraudolente sono già state effettuate a tuo nome, dovrai forse dimostrare che non tu non c’entri.

Le cose si fanno pericolose se i dati trafugati sono quelli di un account aziendale. Infatti, con l’uso di credenziali valide, chiunque potrebbe entrare nel sistema della compagnia e compiere ogni tipo di azione, come raccogliere ulteriori dati, piazzare un malware, avviare un ransomware, trafugare i dati dei clienti e poi venderli online.

Come difendersi dallo shoulder surfing

Si possono individuare due livelli di protezione, il primo è proattivo ed è orientato a evitare che le credenziali siano esposte a malintenzionati, il secondo è attivo e prevede dei software per individuare tentativi di utilizzo delle credenziali rubate.

Shoulder surfing

Difendersi proattivamente

Se proprio non puoi evitare di inserire dati sensibili nel laptop, tablet o smartphone in un luogo pubblico, dovresti seguire le contromisure elencate di seguito.

Suggerimento 1: Prima di inserire qualsiasi dato sensibile, trova un posto sicuro. Assicurati di sederti con le spalle al muro. Questo è il modo migliore per proteggersi da occhi indiscreti. Evita i mezzi pubblici, le poltroncine centrali di una sala d’aspetto e luoghi in cui c’è molto via vai di persone.

Suggerimento 2: Utilizzare un filtro per la privacy. Questo dispositivo hardware è un semplice foglio traslucido polarizzato che viene messo sopra lo schermo. Farà sembrare il tuo schermo nero a chiunque lo guardi da un qualunque angolo innaturale. Questo renderà molto più difficile per le persone non autorizzate vedere le tue informazioni.

Suggerimento 3: L’autenticazione a due fattori richiede che un utente provi la propria identità utilizzando due diversi componenti di autenticazione che sono indipendenti l’uno dall’altro. Poiché questo tipo di autenticazione passa solo quando entrambi i fattori sono utilizzati correttamente in combinazione, la misura di sicurezza è particolarmente efficace. Per esempio, questo metodo è spesso usato molto nell’online banking. Sono molti i servizi che permettono di usare anche il tuo cellulare come secondo fattore di autenticazione. Questo avviene tramite apposite app.

Suggerimento 4: un’altra soluzione è quella di utilizzare un gestore di password. Così facendo, non dovrai più inserire ogni password individualmente sul tuo computer. Il gestore di password lo farà per te dopo che avrai inserito la tua password principale. Questo impedisce a persone non autorizzate di usare la tua tastiera per determinare la vera password, a condizione che tu protegga adeguatamente la tua password principale.

Difendersi attivamente con un SOC e l’analisi del comportamento

Adesso immaginiamo che le credenziali dell’account aziendale siano state rubate. A questo punto solo un sistema di controllo del comportamento può far scattare un allarme e quindi il blocco dell’utente prima che ci siano dei danni.

Infatti, usando credenziali corrette, un normale SIEM tradizionale, non farebbe scattare nessun allarme. Per un SIEM di vecchia generazione l’accesso sarebbe legittimo, perché le credenziali risultano giuste. Il malintenzionato avrebbe libero accesso indisturbato al sistema e potrebbe proseguire con il suo piano di attacco.

Con il servizio SOCaaS di SOD, invece, l’accesso anomalo farebbe scattare un allarme. Il SOC messo a disposizione è equipaggiato con un Next Generation SIEM e un sistema UEBA di controllo del comportamento. Questo significa che ogni scostamento dal comportamento usuale dell’utente, verrebbe segnalato.

Nel caso del furto di credenziali, come avviene con il shoulder surfing, l’accesso effettuato dal malintenzionato farebbe quindi scattare un allarme perché ci sarebbe qualcosa che non torna. Per esempio il login potrebbe avvenire in fasce orarie anomale, in un’altra nazione/IP, da un sistema operativo differente, etc.

Conclusioni

Il shoulder surfing è una tecnica dell’ingegneria sociale che punta sulla disattenzione dell’utente mentre inserisce dati sensibili in un sistema. Nel caso in cui le credenziali aziendali di un utente venissero rubate, l’unica cosa davvero efficiente è avere un sistema che analizzi il comportamento degli utenti e segnali ogni volta che azioni sospette vengono individuate.

Se vuoi sapere nel dettaglio come un SOC e un sistema UEBA possano aiutare la tua azienda a difendersi da attacchi di ingegneria sociale, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Monitoring SIEM Analisi dati

Estimated reading time: 7 minutes

Poiché il panorama delle minacce alla sicurezza informatica diventa sempre più sofisticato, i fornitori di servizi, come SOD, devono prendere ulteriori precauzioni per proteggere le reti dei loro clienti. Un sistema di gestione delle informazioni e monitoring SIEM è una scelta eccellente sotto questo aspetto.

Questo sistema, infatti, aiuta a mitigare le minacce alla sicurezza informatica da due diverse angolazioni, il tutto da una singola interfaccia. Il sistema di monitoring SIEM raccoglie informazioni da più fonti: dati di rete, feed di informazioni sulle minacce, normative di conformità, firewall, ecc. Successivamente, utilizza tali dati per alimentare le funzionalità progettate per aiutare gli amministratori IT a rispondere agli eventi di minaccia in tempo reale.

Monitoring SIEM Raccolta dati

Vantaggi del monitoring SIEM

In contrasto con i singoli sistemi di controllo della sicurezza come la gestione delle risorse o il rilevamento delle intrusioni di rete, il SIEM consente di scavare più a fondo nelle vulnerabilità della sicurezza unificando le informazioni provenienti da vari sistemi anche molto differenti e offrendo una visibilità senza precedenti sugli eventi che si verificano nel sistema.

SIEM non è un sistema di rilevamento delle minacce in sé e per sé, ma migliora gli strumenti di sicurezza già in uso, fornendo approfondimenti in tempo reale su cui lavorare. In particolare, SOD utilizza un Next Gen SIEM in un modello SOAR (Security Orchestration, Automation and Response) che comprende anche strumenti avanzati di analisi comportamentale (UEBA).

Se si inseriscono log file di alta qualità in uno strumento SIEM, si ricevono approfondimenti di alta qualità sulla sicurezza della rete. Queste informazioni possono aiutare a migliorare i protocolli di sicurezza della rete.

Sfortunatamente, molti amministratori trattano l’implementazione SIEM come una soluzione da impostare e poi dimenticare. Per sperimentare tutti i benefici della gestione delle informazioni e degli eventi di sicurezza, è necessario implementare una serie di best practice per ottimizzare la soluzione, a partire proprio dalla registrazione di sicurezza.

I log di un SIEM

Come si inserisce il monitoring della sicurezza nelle best practice di implementazione del SIEM? Se si analizza il SIEM nei suoi componenti principali, si tratta di un sistema di gestione dei log.

Tutte le informazioni che uno strumento SIEM raccoglie sono sotto forma di log, o registrazioni di eventi che si verificano all’interno dell’infrastruttura IT e della rete di un’organizzazione.

Esempi di log raccolti da SIEM includono, ma non sono limitati a: Firewall, router, punti di accesso wireless, rapporti di vulnerabilità, informazioni sui partner, antivirus e antimalware.

Tuttavia, poiché gli strumenti SIEM hanno una portata molto ampia e raccolgono costantemente dati di log da ogni parte del sistema, possono essere un po’ complicati e poco pratici da implementare. Le best practice SIEM aiutano ad evitare i punti dolenti lungo la linea operativa. In questo modo si usa il SIEM nella maniera più efficace possibile fin dall’inizio.

Monitoring SIEM Analisi dati

Best practice

1. Iniziare con calma

L’errore più comune che si commette nell’implementazione del monitoring SIEM è cercare di fare troppo e troppo presto. Prima ancora di iniziare a cercare una soluzione SIEM, infatti, è meglio definire la portata dell’implementazione SIEM e pensare a ciò che si vuole che il SIEM faccia per la rete e l’infrastruttura.

Si inizia isolando gli obiettivi, facendo il punto sui protocolli di sicurezza esistenti e facendo un brainstorming su come questi protocolli si inseriscono nella futura implementazione SIEM. È anche possibile segmentare tutto ciò che si vuole monitorare in gruppi e definire come si vuole monitorarli. Questo aiuta a garantire di avere un piano preciso per la registrazione dei log.

Una volta che si è svolta una prima pianificazione, non bisogna ancora implementare il sistema SIEM nell’intera infrastruttura IT. È meglio infatti procedere in modo frammentario.

Si dovrebbe, quindi, testare la soluzione di monitoring SIEM su una piccola sezione del sistema, per verificare come funziona. Solo successivamente, si identificano le vulnerabilità chiave della sicurezza che dovrebbero essere affrontate immediatamente e si procede con l’implementazione nei segmenti successivi.

Impostare un monitoring SIEM poco alla volta, piuttosto che lanciare tutto subito, aiuterà a garantire che la raccolta di log funzioni in armonia con il resto della sezione IT.

2. Pensare ai requisiti

Il monitoring SIEM può aiutare l’azienda a dimostrare la conformità con i regolamenti e gli audit di sicurezza, ma solo sapendo quali sono questi standard in anticipo. Prima di impegnarvi in un sistema SIEM, si crea un elenco di HIPAA, GDPR, HITECH e qualsiasi altra normativa IT che è necessario rispettare. L’elenco viene poi usato per confrontare le normative richieste con le soluzioni che si mettono in pratica.

Non solo questo restringe la lista degli standard, ma costringerà a considerare la quantità di dati di log di cui si ha effettivamente bisogno. Tenere la quantità più corretta per essere conformi, si allinea anche con le best practice di registrazione e monitoraggio SIEM.

Ovviamente, le soluzioni e protocolli da seguire non sono uguali per tutti e necessitano di un adattamento in base alla posizione della singola azienda. Per questo particolare aspetto, SOD può aiutare la tua azienda sia in fase di raccolta delle informazioni necessarie per individuare a quali standard attenersi, sia nella verifica degli standard una volta implementati.

3. Sistemare le correlazioni

La correlazione SIEM ottimizza la sua implementazione, consentendo di configurare il sistema in base alle esigenze specifiche dei loro clienti. SIEM funziona raccogliendo dati da più fonti e poi filtrandoli, analizzandoli e correlandoli per determinare se meritino di essere segnalati come un allarme per la sicurezza.

Per questo è indispensabile correlare le regole e impostare soglie di allarme in base al tipo di dati e alla loro provenienza. È importante ricordare, infatti, che il SIEM è progettato per trovare connessioni tra gli eventi che non sarebbero altrimenti correlati tra loro.

Impostare un sistema di monitoring SIEM è un’operazione delicata ma fondamentale per migliorare il sistema di sicurezza per una determinata azienda.

4. Raccogliere i dati in modo efficiente

Attraverso un sistema di monitoring SIEM è possibile raccogliere una mole tale di dati che potrebbe diventare complicata da gestire. Diventa importante scegliere in modo equilibrato quali dati usare in modo tale da ottimizzarne la giusta quantità senza perdere il vantaggio di avere sotto controllo l’intero sistema.

Tra i dati che è meglio non tralasciare ci sono: Autorizzazioni riuscite e tentativi falliti, modifiche ai privilegi dell’utente, errori delle applicazioni e problemi di prestazioni, opt-in e in generale tutte le azioni fatte da utenti con privilegi amministrativi.

Vengono esclusi, invece: informazioni la cui raccolta è illegale, informazioni bancarie o dati di carte di credito, chiavi di crittografia, password e dati personali.

5. Avere un piano in caso di minaccia rilevata

Scegliere la giusta soluzione SIEM e impiegare le best practice di registrazione dei log è solo una parte del lavoro. È necessario avere un piano di azione in caso di cyber threat.

Per l’azienda che si affida a un MSSP come SOD, questo significa assicurarsi che il monitoring sia solo la prima parte del servizio erogato. Idealmente il monitoring SIEM è il primo tassello di un SOAR ben architettato che mette in campo operatori professionisti, notifiche di allerta e un recovery plan in accordo con il tipo di dati messi a rischio.

Sotto questo aspetto, il SOC as a Service che offriamo copre gran parte delle evenienze.

Monitoring SIEM Analisi dati

Conclusioni

Il monitoring è parte fondamentale del sistema di sicurezza aziendale e un SIEM è uno dei modi in cui metterlo in pratica. Non ci si deve però fermare alla raccolta di informazioni, bisogna saperle trattare, arricchire e analizzare.

SOD offre servizi completi che implementano sistemi di monitoring SIEM. La messa in opera implica, ovviamente, una “calibrazione” dei sistemi e delle correlazioni tra i dati in modo da offrire sempre la soluzione più adatta.

Se volessi ulteriori informazioni sui nostri prodotti, non esitare a contattarci, saremo lieti di rispondere alle tue domande.

Link utili:

Progetti di Secure Online Desktop

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Cos’è la Cyber Security? Definizione e proposte

Insider Threat, le minacce dall'interno
Tempo di lettura: 6 min

Le insider threat sono difficili da individuare perche’ provengono, appunto, dall’interno della vostra organizzazione. Dipendenti, contractor e partner richiedono diversi livelli di credenziali di accesso per poter svolgere il proprio lavoro. Gli aggressori possono ingannare questi insider per farli accedere o offrire loro denaro per sottrarre consapevolmente informazioni preziose all’azienda.

Le soluzioni di sicurezza tradizionali si concentrano sulla protezione dell’organizzazione da aggressori esterni. Questa strategia trascura i danni che una risorsa interna potrebbe fare all’organizzazione, consapevole o meno. Con una soluzione Nextgen SIEM si ha la possibilita’ di rilevare e rispondere alle minacce sia esterne che interne, con l’aiuto dall’UEBA per l’individuazione di comportamenti sospetti.

Insider threat - working in team

Insider threat, le motivazioni

I dipendenti o i contractor identificati come a rischio sono collegati al 60% dei casi di minaccia da parte di insider, aumentando la probabilita’ che tali incidenti comportino il furto di dati aziendali sensibili. Le insider threat si possono dividere in due gruppi: i distratti e gli ostili.

La meccanica di un attacco cambia significativamente in base alle motivazioni che lo generano. E’ quindi meglio capire a fondo quali caratteristiche sono tipiche delle motivazioni dietro agli attacchi, per poter fermare le potenziali minacce prima che diventino violazioni.

Guadagno economico

E’ chiaro per ogni dipendente quanto possano valere i dati che l’azienda custodisce. Ecco che, in caso di crisi, permettere la fuga dei dati in cambio di denaro potrebbe sembrare un rischio tutto sommato ridotto. Questo tipo di movente va considerato soprattutto quando, in tempi come quello attuale, un evento esterno (la pandemia di COVID-19) mette comunque a rischio il posto di lavoro. Con il rischio di un imminente licenziamento, la vendita dei dati a cui si ha accesso in qualita’ di dipendenti e’ una via di fuga piu’ che appetibile.

Incuranza

Il non rispetto delle regole di sicurezza e’ un rischio molto concreto e la causa piu’ comune di minacce interne. L’indolenza nel rispetto delle regole costa alle organizzazioni una media di $4.58mln all’anno. Le minacce arrivano, nello specifico, da alcune pratiche di sicurezza non rispettate, come per esempio il mancato logout dal sistema, la scrittura su carta delle proprie password o il loro riutilizzo. Non mancano poi in questa categoria violazioni nell’uso di software non autorizzati o una mancata protezione dei dati aziendali.

Le motivazioni dietro a questi comportamenti dannosi sono spesso, purtroppo, particolarmente semplici: si aggira la sicurezza per una presunta maggiore velocita’, produttivita’ o, peggio, per pigrizia.

Distrazione

Un tipo di dipendente negligente e’ quello distratto, che vale la pena trattare in modo isolato perche’ piu’ complicato da individuare. Mentre il comportamento seriale di violazione delle regole e’ facilmente individuabile, il distratto, che normalmente rispetta in modo diligente il regolamento, non viene individuato prima dell’unica, sfortunata, volta in cui la sua disattenzione non costa all’azienda un attacco andato a buon fine.

Danni all’azienda

Tra le insider threat piu’ subdole ci sono quelle di chi ha come unico scopo il danneggiamento dell’azienda. Il movente, in questi casi, e’ solitamente di tipo personale: un dipendente a cui viene rifiutato un aumento, uno screzio avvenuto con un superiore, etc. L’insider si muove quindi per screditare la propria azienda, provocando danni d’immagine che si traducono in investitori spaventati che ritirano i loro capitali o in perdita di clienti.

Sabotaggio e vendita di informazioni a terzi

Per le aziende che trattano dati sensibili, questo tipo di minaccia e’ un rischio concreto. Sia che l’azienda tratti proprieta’ intellettuali di valore o dati sensibili dei propri clienti, con grande probabilita’ c’e’ chi e’ interessato ad avere accesso a quei dati per usarli a proprio vantaggio. In questo scenario, l’attore che vuole entrare in possesso dei dati, recluta un insider per trafugarli. 

I casi che rientrano nella definizione di spionaggio o sabotaggio mediatico sono in aumento negli ultimi anni. Gli attacchi partono da nazioni come la Russia o la Corea del Nord, spesso coinvolte in questo tipo di traffici per poter guadagnare vantaggi politici contro gli stati e organizzazioni occidentali.

Difesa contro gli insider threat

La difesa contro gli attacchi che partono dall’interno si basa sull’analisi dei comportamenti sospetti di chi ha accesso ai sistemi. La difficolta’ si riscontra nella natura non violenta degli attacchi. E’ facile che gli insider non abbiamo bisogno di violare alcun controllo di sicurezza, avendo accesso gia’ in partenza.

Ma allora come fare per cogliere immediatamente le minacce?

Monitorare l’accesso degli utenti

Gli insider con accesso legittimo scelgono di abusare dei loro privilegi di accesso. Spesso vengono concessi diritti di accesso eccessivi per ridurre lo sforzo che la gestione dei privilegi richiede. Evitare questo tipo di comportamenti e’ gia’ un primo passo in una direzione proattiva di difesa.

Con un sistema di Nextgen SIEM, inoltre, e’ possibile monitorare gli utenti con accesso ad alto privilegio a database, server e applicazioni critiche. A quel punto e’ piu’ semplice individuare chi abusa dei propri accessi.

Rilevare il comportamento sospetto degli utenti

Gli attacchi piu’ sofisticati si basano sulla furtivita’. A tal fine gli aggressori si affidano sempre piu’ spesso alla compromissione delle risorse interne esistenti. Una volta entrati nella rete, eseguono lateral movement e rubano dati sotto le spoglie di un utente interno.

Un sistema come quello offerto dal SOCaaS di SOD permette, tra le altre cose, di identificare rapidamente gli account sospetti rilevando il comportamento anomalo dell’utente rispetto ai normali modelli di base e all’attivita’ dei colleghi.

I vantaggi di un sistema moderno

Minore tempo di risposta

Utilizzando l’analisi comportamentale e’ possibile identificare azioni anormale in modo da poter indagare in tempi molto rapidi.

Analisi comportamentale avanzata: con il sistema UEBA (incluso nel SOCaaS), gli analisti della sicurezza sono in grado di monitorare l’accesso e l’attivita’ degli utenti alle risorse piu’ importanti dell’azienda, consentendo di trovare le minacce interne con il minimo rumore per un rilevamento e una risposta rapidi.

Riconoscimento rapido degli utenti a rischio

Per consentire il rapido rilevamento delle insider threat, i team di sicurezza necessitano la capacita’ di collegare tra loro gli account di un utente per creare un profilo universale dell’utente. Questo e’ possibile con un sistema Nextgen SIEM. L’analisi del comportamento degli utenti e’ anche comparata a quella di un gruppo di pari, per individuare con maggiore precisione i comportamenti anomali, comprendendo come l’attivita’ di un utente sia diversa da quella dei suoi colleghi.

Le minacce che partono dell’interno del perimetro aziendale sono forse le piu’ rischiose per la loro natura poco rumorosa. Per fortuna, con sistemi sempre piu’ capaci di individuare comportamenti sospetti e aggregare ingenti quantita’ di dati relativi ai dipendenti, e’ possibile prendere contromisure efficaci per la lotta contro questo tipo di attacchi.

Link utili:

Customers

Newsletter