Privilegerede brugere har yderligere adgang til virksomhedens ressourcer og it-systemer; disse konti er åbne for misbrug, uheld og udnyttelse, og er en type insidertrussel.
Disse ekstra adgangsrettigheder har betydet, at en nylig Bitglass-undersøgelse "Spies in the Enterprise" har identificeret privilegerede brugere som den største kilde til risiko i en organisation.
En rapport fra Gurucul bekræfter dette, idet 63 % af organisationerne mener, at privilegerede it-brugere udgør den største insidertrussel.
Disse to rapporter er ikke de første, der konstaterer, at privilegerede brugere er en kilde til sikkerhedsrisici, og det vil helt sikkert ikke være de sidste. Men hvorfor giver denne brugergruppe en organisation mulighed for sikkerhedstrusler, og hvad kan man gøre for at mindske risikoen fra en privilegeret bruger?
Den privilegerede bruger i maskinen
Anledningen til de sikkerhedstrusler, som privilegerede brugere udgør, ligger i navnet - privilegeret.
Privilegeret adgang gives til visse rolletyper eller grupper i en organisation. Personer, der har privilegeret adgang, har brug for yderligere adgangsrettigheder end standardbrugere, fordi de administrerer it-infrastruktur eller har brug for adgang til følsomme virksomhedsressourcer osv.
Men desværre har disse brugere nøglerne til virksomhedens kongerige, når de først har fået tildelt privilegeret adgang.
Problemet med privilegier er, at de skaber et tveægget sværd. På den ene side har disse brugere brug for ekstra rettigheder for at få adgang til sikre og følsomme områder, men disse rettigheder kan misbruges, misbruges eller kapres.
Hvordan denne runde skal gøres op, er et af de vanskeligste områder, som en it-afdeling skal tage sig af. Nogle af problemerne med brugere med privilegeret adgang er bl.a:
Brugere med privilegeret adgang er et mål for cyberkriminelle
De, der har nøglen til data, er de bedste mål. Cyberkriminelle vil fokusere på bestemte roller og grupper i en organisation for at udnytte deres adgangsrettigheder. Hvis en cyberkriminel kan få fat i disse adgangsrettigheder, kan han/hun bevæge sig rundt i en organisation og uopdaget komme ind på følsomme områder af et netværk.
På grund af dette bliver privilegerede brugere mål for spear-phishing-angreb. Hackere, der laver spear-phishing-kampagner, kender deres mål godt. De bruger tid på at forstå, hvem de er, og hvilke udløsende faktorer de vil reagere på.
Afdelinger som f.eks. kreditorerne er ofte ofre for spear-phishing-angreb, fordi de potentielt kan få adgang til finansielle konti og overføre penge. For at sætte dette i perspektiv fandt en 2019-rapport fra Symantec, at spear-phishing-e-mails blev brugt af 65 % af alle kendte grupper, der gennemfører målrettede cyberangreb.
Forvaltning og kontrol af overholdelse
Privilegerede brugere har ofte adgang til tilladelser og sikkerhedskontroller. Med adgang følger kontrol. Hvis en privilegeret bruger, selv utilsigtet, foretager en ændring af en tilladelse eller sikkerhedsindstilling, kan det medføre, at en organisation ikke overholder regler som f.eks. den britiske GDPR, DPA2018, PCI osv.
Privilegier ændrer sig og udvikler sig
Privilegerede brugere flytter ofte rundt i en organisation. Når de gør det, kan det være nødvendigt at ændre deres adgangsrettigheder. Det kan dog være kompliceret at foretage disse ændringer, hvis de ikke overvåges nøje.
Desuden kan personer, der forlader virksomheden, og som har privilegeret adgang, ofte falde igennem sikkerhedsnettet og forlade virksomheden, mens de stadig har privilegerede adgangsrettigheder. En rapport fra Hague Delta viste, at de personer, der forlader en virksomhed, udgør den største insidertrussel mod dataeksponering. Rapporten viste også, at 89 % af dem, der forlod virksomheden, stadig havde adgang til data, efter at de havde forladt den.
Måder at forebygge misbrug og uheld med privilegerede brugere
Der er flere måder at mindske risikoen for de insidertrusler, der er forbundet med privilegerede brugere. Her er nogle af de mest effektive:
Administrer privilegier
Der findes et princip, der er kendt som "mindste privilegier", som er et grundlæggende princip for kontrol i en organisation. Det lyder sådan her: Giv dine medarbejdere kun de tilladelser, der er nødvendige for at udføre deres arbejde, og ikke mere.
En måde at få dette til at fungere på er at være granulær i den måde, du indstiller tilladelser på. Så ansøg f.eks. om tilladelser pr. applikation i stedet for globalt, og opret adgangsrettigheder baseret på en bruger i stedet for en hel gruppe af brugere. Jo flere rettigheder du giver en person, jo større er risikoen.
Træn privilegerede brugere om social engineering
Fordi privilegerede brugere er i de cyberkriminelles søgelys, er de ofte udsat for angreb ved hjælp af social engineering. Cyberkriminelle bruger typisk indsamling af oplysninger og overvågning, der er rettet mod privilegerede brugere, til at forberede et angreb eller svindelnummer eller til at informere en spear-phishing-kampagne.
Undervis dine privilegerede brugere om den øgede risiko, der er forbundet med deres adgangsrettigheder, og hvordan du kan opdage afslørende tegn på social engineering, der bruges til at ramme privilegerede brugere.
Undervis privilegerede brugere om phishing-tricks og -taktik
Spearphishing-kampagner, der er rettet mod privilegerede brugere, kan være ekstremt svære at opdage. Men hvis du tilpasser phishing-simuleringsskabeloner til at afspejle de mere subtile tegn på en spear-phishing-meddelelse, kan du give dine privilegerede brugere værktøjer til at hjælpe med at identificere mistænkelige meddelelser.
Disse spear-phishing-simulationer bør bruges sammen med træning i social engineering.
Proces og politik
Udarbejd formelle politikker omkring udstedelse af konti med privilegeret adgang. Disse politikker bør være udformet således, at de sikrer ansvarlighed. De bør også afspejle princippet om mindste privilegier og give vejledning om, hvordan kontrol af privilegerede konti fastlægges ved hjælp af formelle gennemgange og godkendelser på tværs af et hierarki af interessenter.
Politikker og processer til at administrere, uddanne og kontrollere privilegerede brugere bør være en grundlæggende del af din sikkerhedsstrategi.
Robuste legitimationsoplysninger
Gennemfør en politik med robust, multifaktor- og risikobaseret autentificering i din overordnede sikkerhedsstrategi. Dette hjælper som en del af en overordnet strategi med at mindske eksterne trusler baseret på overtagelse af privilegerede insiderkonti.
Privilegerede brugere er et svagt led i en organisation, fordi de har adgang til følsomme data og it-systemer. Men privilegerede brugere er nødvendige for, at en organisation kan fungere gnidningsløst. Ved at anvende bedste praksis for privilegerede brugere, herunder uddannelse, processer og håndhævelse af politikker, kan en organisation mindske risikoen for denne vigtige kontotype.