El usuario privilegiado de una red se llama así porque puede acceder a recursos sensibles y a menudo altamente confidenciales. Si un ciberdelincuente puede comprometer la cuenta de un usuario privilegiado, tiene las llaves del castillo corporativo.
Una investigación realizada por FINN Partners y Centrify reveló que en el 74% de los casos de violación de datos, el ataque comenzó en la puerta de un usuario con privilegios. La empresa de análisis Forrester establece que el 80% de las violaciones de datos están asociadas a credenciales privilegiadas.
No importa cuál sea la estadística más precisa, la cuestión es que el acceso privilegiado conduce a violaciones de datos. Por lo tanto, la formación en materia de seguridad para los usuarios con privilegios es vital.
He aquí las mejores prácticas para garantizar el éxito de esta formación.
Por qué hay que proteger el acceso de los usuarios con privilegios mediante la formación en materia de seguridad
Los usuarios con privilegios aportan un nivel de riesgo único a una organización. Este nivel de riesgo justifica centrarse en este grupo y crear una campaña de concienciación sobre la seguridad que tenga en cuenta el papel del usuario privilegiado en un ciberataque.
Los ciberdelincuentes tienen como objetivo a los usuarios privilegiados debido a sus derechos de acceso. Pero los usuarios privilegiados necesitan estos derechos de acceso para llevar a cabo su trabajo: este enigma es un escenario perfecto que permite el spear-phishing y otras estafas de ingeniería social.
Un solo error de un usuario privilegiado, y ¡bang! El hacker está en el sistema. Una vez en la red corporativa, los atacantes pueden utilizar diversas técnicas y tecnologías para moverse por la red, incluso mejorando los derechos de acceso,(movimiento lateral) para localizar datos y/o instalar malware como el ransomware.
Los ataques contra cuentas de usuarios privilegiados suelen implicar una gran cantidad de vigilancia. La información recopilada se utiliza para crear correos electrónicos de spear-phishing adaptados y muy creíbles. El trabajo híbrido ha exacerbado el problema, según informa el FBI en un aviso reciente. El aviso contiene detalles de estafas que implican ciberataques en varias partes contra usuarios privilegiados, los ciberdelincuentes utilizan el reconocimiento, el phishing de voz por teléfono (Vishing) y las páginas web falsas que luego se utilizan para robar los códigos de autenticación de segundo factor y eludir las medidas de seguridad como las VPN.
Esta compleja mezcla de inteligentes tácticas cibercriminales significa que la tecnología por sí sola no puede evitar un ciberataque contra un usuario con cuenta privilegiada. La concienciación en materia de seguridad es imprescindible para garantizar que estos usuarios no entreguen inadvertidamente las claves corporativas.
Tres importantes prácticas recomendadas en la formación sobre seguridad de usuarios con privilegios
Las siguientes tres líneas de base para las mejores prácticas se utilizan cuando se desarrolla un paquete de formación de concienciación sobre la seguridad para usuarios privilegiados:
Reconocer a los usuarios con privilegios como un rol de superusuario
La formación de concienciación sobre la seguridad basada en funciones es un marco para proporcionar formación a medida basada en un tipo de función en una organización. ¿Por qué es una buena idea la formación basada en roles? Los ciberdelincuentes ajustan sus tácticas para reflejar un rol de la empresa o apuntan a ciertos puestos corporativos para ciertos tipos de ciberataques y estafas.
Por ejemplo, una persona que trabaje en el departamento de contabilidad es una propuesta atractiva para un ciberdelincuente que quiera llevar a cabo una estafa de compromiso de correo electrónico empresarial (BEC) que engañe a un empleado para que transfiera dinero a la cuenta bancaria del estafador. Alguien con acceso privilegiado en RRHH puede ser el objetivo para obtener información de los empleados para estafas fiscales.
Los usuarios con privilegios deben ser considerados como un "rol de superusuario" y las campañas de formación en materia de concienciación sobre seguridad deben diseñarse para reflejar esto. A partir de aquí, se puede desarrollar un paquete personalizado de concienciación sobre el phishing y la ingeniería social que se ajuste a los tipos de ataques que se centran en los usuarios con acceso privilegiado.
Incluya la ingeniería social en su formación sobre seguridad
La ingeniería social se utiliza para construir el perfil de una organización y de un usuario privilegiado al que se dirige para que un ciberataque tenga éxito. Los recientes ataques de ransomware del grupo Lapsus$ contra múltiples empresas utilizaron la ingeniería social. Un post de Microsoft que analiza los ataques explica la importancia de la ingeniería social:
"(El grupo Lapsus$) centró sus esfuerzos de ingeniería social en reunir conocimientos sobre las operaciones empresariales de su objetivo. Dicha información incluye el conocimiento íntimo de los empleados, las estructuras de los equipos, las mesas de ayuda, los flujos de trabajo de respuesta a la crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen el envío de spam a un usuario objetivo con avisos de autenticación multifactor (MFA) y la llamada al servicio de asistencia de la organización para restablecer las credenciales de un objetivo."
Las estafas de ingeniería social adoptarán cualquier forma que el ciberdelincuente necesite para reunir esta información. Esto incluye el uso de las redes sociales, las llamadas a un servicio de asistencia y las llamadas generales a la oficina que ayudan a formar una relación; incluso las visitas a una oficina podrían utilizarse para construir la información necesaria para llevar a cabo un ataque. Los intentos de ingeniería social pueden llevar meses de trabajo para construir el perfil de un usuario privilegiado, en preparación para llevar a cabo un ataque exitoso.
Asegúrese de que sus usuarios privilegiados comprendan los niveles a los que llegará un ciberdelincuente para hacer creíbles sus correos electrónicos de spear-phishing y sus sitios web falsos.
Concienciación sobre el Spear-Phishing
Sepa qué tipos de amenazas se centrarán en el rol de superusuario. Normalmente, las personas con acceso privilegiado serán el objetivo de ese acceso. Sin embargo, esto también puede significar que forman parte de una cadena de ataque más amplia y compleja.
Normalmente, se utiliza el spear-phishing o spear-vishing (phishing basado en la voz) para robar las credenciales de acceso de este grupo de usuarios. La información recopilada por los ciberdelincuentes durante la ingeniería social ayuda a crear escenarios creíbles, correos electrónicos y sitios web falsos para engañar al usuario privilegiado.
Ofrezca ejercicios de simulación de phishing adaptados y basados en roles para educar a los empleados sobre los trucos utilizados por los estafadores.
Cerrando la puerta al compromiso de cuentas privilegiadas
Una organización necesita dar a ciertos usuarios acceso privilegiado; de hecho, crear una jerarquía de acceso es una parte importante de la gestión de identidades y accesos. Pero los privilegios también son una vulnerabilidad potencial en la armadura de una organización; un hecho que no se les escapa a los ciberdelincuentes. Utilizando una base de buenas prácticas en la formación de concienciación sobre la seguridad para los usuarios con privilegios, se puede endurecer este blindaje y controlar los privilegios.
