Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Hvorfor privilegerede brugere udgør en stor sikkerhedsrisiko

privilegerede brugere

om forfatteren

Del dette indlæg

Privilegerede brugere har yderligere adgang til virksomhedens ressourcer og it-systemer; disse konti er åbne for misbrug, uheld og udnyttelse, og er en type insidertrussel.

Disse ekstra adgangsrettigheder har betydet, at en nylig Bitglass-undersøgelse "Spies in the Enterprise" har identificeret privilegerede brugere som den største kilde til risiko i en organisation.

En rapport fra Gurucul bekræfter dette, idet 63 % af organisationerne mener, at privilegerede it-brugere udgør den største insidertrussel.

Disse to rapporter er ikke de første, der konstaterer, at privilegerede brugere er en kilde til sikkerhedsrisici, og det vil helt sikkert ikke være de sidste. Men hvorfor giver denne brugergruppe en organisation mulighed for sikkerhedstrusler, og hvad kan man gøre for at mindske risikoen fra en privilegeret bruger?

Den privilegerede bruger i maskinen

Anledningen til de sikkerhedstrusler, som privilegerede brugere udgør, ligger i navnet - privilegeret.

Privilegeret adgang gives til visse rolletyper eller grupper i en organisation. Personer, der har privilegeret adgang, har brug for yderligere adgangsrettigheder end standardbrugere, fordi de administrerer it-infrastruktur eller har brug for adgang til følsomme virksomhedsressourcer osv.

Men desværre har disse brugere nøglerne til virksomhedens kongerige, når de først har fået tildelt privilegeret adgang.

Problemet med privilegier er, at de skaber et tveægget sværd. På den ene side har disse brugere brug for ekstra rettigheder for at få adgang til sikre og følsomme områder, men disse rettigheder kan misbruges, misbruges eller kapres.

Hvordan denne runde skal gøres op, er et af de vanskeligste områder, som en it-afdeling skal tage sig af. Nogle af problemerne med brugere med privilegeret adgang er bl.a:

Brugere med privilegeret adgang er et mål for cyberkriminelle

De, der har nøglen til data, er de bedste mål. Cyberkriminelle vil fokusere på bestemte roller og grupper i en organisation for at udnytte deres adgangsrettigheder. Hvis en cyberkriminel kan få fat i disse adgangsrettigheder, kan han/hun bevæge sig rundt i en organisation og uopdaget komme ind på følsomme områder af et netværk.

På grund af dette bliver privilegerede brugere mål for spear-phishing-angreb. Hackere, der laver spear-phishing-kampagner, kender deres mål godt. De bruger tid på at forstå, hvem de er, og hvilke udløsende faktorer de vil reagere på.

Afdelinger som f.eks. kreditorerne er ofte ofre for spear-phishing-angreb, fordi de potentielt kan få adgang til finansielle konti og overføre penge. For at sætte dette i perspektiv fandt en 2019-rapport fra Symantec, at spear-phishing-e-mails blev brugt af 65 % af alle kendte grupper, der gennemfører målrettede cyberangreb.

Forvaltning og kontrol af overholdelse

Privilegerede brugere har ofte adgang til tilladelser og sikkerhedskontroller. Med adgang følger kontrol. Hvis en privilegeret bruger, selv utilsigtet, foretager en ændring af en tilladelse eller sikkerhedsindstilling, kan det medføre, at en organisation ikke overholder regler som f.eks. den britiske GDPR, DPA2018, PCI osv.

Privilegier ændrer sig og udvikler sig

Privilegerede brugere flytter ofte rundt i en organisation. Når de gør det, kan det være nødvendigt at ændre deres adgangsrettigheder. Det kan dog være kompliceret at foretage disse ændringer, hvis de ikke overvåges nøje.

Desuden kan personer, der forlader virksomheden, og som har privilegeret adgang, ofte falde igennem sikkerhedsnettet og forlade virksomheden, mens de stadig har privilegerede adgangsrettigheder. En rapport fra Hague Delta viste, at de personer, der forlader en virksomhed, udgør den største insidertrussel mod dataeksponering. Rapporten viste også, at 89 % af dem, der forlod virksomheden, stadig havde adgang til data, efter at de havde forladt den.

Måder at forebygge misbrug og uheld med privilegerede brugere

Der er flere måder at mindske risikoen for de insidertrusler, der er forbundet med privilegerede brugere. Her er nogle af de mest effektive:

Administrer privilegier

Der findes et princip, der er kendt som "mindste privilegier", som er et grundlæggende princip for kontrol i en organisation. Det lyder sådan her: Giv dine medarbejdere kun de tilladelser, der er nødvendige for at udføre deres arbejde, og ikke mere.

En måde at få dette til at fungere på er at være granulær i den måde, du indstiller tilladelser på. Så ansøg f.eks. om tilladelser pr. applikation i stedet for globalt, og opret adgangsrettigheder baseret på en bruger i stedet for en hel gruppe af brugere. Jo flere rettigheder du giver en person, jo større er risikoen.

Træn privilegerede brugere om social engineering

Fordi privilegerede brugere er i de cyberkriminelles søgelys, er de ofte udsat for angreb ved hjælp af social engineering. Cyberkriminelle bruger typisk indsamling af oplysninger og overvågning, der er rettet mod privilegerede brugere, til at forberede et angreb eller svindelnummer eller til at informere en spear-phishing-kampagne.

Undervis dine privilegerede brugere om den øgede risiko, der er forbundet med deres adgangsrettigheder, og hvordan du kan opdage afslørende tegn på social engineering, der bruges til at ramme privilegerede brugere.

Undervis privilegerede brugere om phishing-tricks og -taktik

Spearphishing-kampagner, der er rettet mod privilegerede brugere, kan være ekstremt svære at opdage. Men hvis du tilpasser phishing-simuleringsskabeloner til at afspejle de mere subtile tegn på en spear-phishing-meddelelse, kan du give dine privilegerede brugere værktøjer til at hjælpe med at identificere mistænkelige meddelelser.

Disse spear-phishing-simulationer bør bruges sammen med træning i social engineering.

Proces og politik

Udarbejd formelle politikker omkring udstedelse af konti med privilegeret adgang. Disse politikker bør være udformet således, at de sikrer ansvarlighed. De bør også afspejle princippet om mindste privilegier og give vejledning om, hvordan kontrol af privilegerede konti fastlægges ved hjælp af formelle gennemgange og godkendelser på tværs af et hierarki af interessenter.

Politikker og processer til at administrere, uddanne og kontrollere privilegerede brugere bør være en grundlæggende del af din sikkerhedsstrategi.

Robuste legitimationsoplysninger

Gennemfør en politik med robust, multifaktor- og risikobaseret autentificering i din overordnede sikkerhedsstrategi. Dette hjælper som en del af en overordnet strategi med at mindske eksterne trusler baseret på overtagelse af privilegerede insiderkonti.

Privilegerede brugere er et svagt led i en organisation, fordi de har adgang til følsomme data og it-systemer. Men privilegerede brugere er nødvendige for, at en organisation kan fungere gnidningsløst. Ved at anvende bedste praksis for privilegerede brugere, herunder uddannelse, processer og håndhævelse af politikker, kan en organisation mindske risikoen for denne vigtige kontotype.

Den ultimative guide til e-learning om cybersikkerhed

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante