Combattere le minacce interne: una strada a 3 corsie

Pochi giorni fa, a un seminario, incontrai uno dei responsabili della sicurezza di una banca: parlando della minaccia interna mi disse che l'azienda aveva già implementato filtri e sistemi di monitoraggio di tutto il traffico in entrata e in uscita attraverso le email, nonché sistemi che eliminavano i pericoli della web mail e dell'Instant Messaging.
C'era ancora qualcos'altro che, a mio parere, doveva essere fatto?
La risposta inizia con "Sicuramente sì", e continua così...

Negli ultimi 5 anni molte aziende hanno investito in modo significativo per proteggere i propri sistemi email da virus, spam, spyware, attacchi sulla porta SMTP (ivi inclusi i Denial-of-Service e i directory harvest attack).

Esistono oggi nuove tecnologie di filtraggio per analizzare il contenuto delle comunicazioni verso l'esterno: in alcuni casi le iniziative delle aziende prendono la mossa dalle necessità di adeguamento alle normative (il Codice in materia di protezione dei dati personali in Italia - DL 196/3) o la Legge Federale del 19 giugno 1992 sulla protezione dei dati (LPD) in Svizzera, e altre leggi similari che sono state implementate nella maggior parte dei paesi europei seguendo le direttive UE).
In altri casi ancora, le aziende che fondano la propria attività sulla proprietà intellettuale

Sfortunatamente, la maggior parte delle soluzioni di e-mail scan utilizzano una tecnologia obsoleta per l'analisi dei contenuti, come il riconoscimento delle parole chiave (keyword) o il matching di regular-expression, trovando quindi solo dati in formato fisso come i numeri di carta di credito o parole chiave come "documento confidenziale" all'interno del messaggio.

E' comprensibile che questo tipo di soluzioni rappresenti il "meglio-che-niente", poiché sono ancora molte le aziende dove i dati sfuggono senza il minimo controllo e senza che nessuno se ne renda conto.

Il modo migliore, quindi, per proteggere le loro comunicazioni dalle minacce interne (sia che si tratti di atti dolosi o semplici errori umani) deve seguire tre strade parallele:

• scoprire e identificare tutti i contenuti che possono rappresentare un rischio quando oltrepassano il perimetro aziendale. Tutti i file contenenti informazioni personali o proprietà intellettuale che possono essere localizzati in dischi condivisi, sui laptop, sulle postazioni aziendali, o in qualsiasi database o archivio dati. Una volta individuato, il dato deve essere firmato e registrato per evitare che possa essere divulgato all'esterno via mail o con altri tipi di comunicazioni, come IM, FTP, IRC ecc. I prodotti di gestione delle email non sono fatti per proteggere i cosiddetti data-at-rest (i dati a riposo in qualche punto della rete);
• implementare tecnologie di analisi del contenuto che vadano oltre il semplice esame dei formati fissi, che cerchino pattern di numeri e lettere. Esistono soluzioni in grado di guardare all'interno degli allegati, individuare la presenza di lingue straniere, ricercare identificatori univoci che possano rappresentare un rischio, o ancora fare un match con contenuti preregistrati. Le tecnologie di analisi dei contenuti devono anche essere multicanale, in grado cioè di individuare oltre ai contenuti delle email, anche l'uso delle webmail, dell'IM, ecc;
• comprendere che la email non è il solo punto di rischio. Il motivo per cui è fondamentale il monitoraggio multicanale è dovuto al fatto che, sebbene molte aziende implementino policy e sottopongono le proprie persone a un adeguato training, sebbene blocchino l'installazione di software non aziendale sui PC e impediscano l'accesso a porte USB o CD, esiste sempre una possibilità che delle azioni fraudolente possano essere perpetrate.

Stefano Bonacina - http://connexioni.blogspot.com/