Los usuarios con privilegios tienen acceso adicional a los recursos corporativos y a los sistemas de TI; estas cuentas están abiertas a abusos, contratiempos y explotación, y son un tipo de amenaza interna.
Estos derechos de acceso adicionales han hecho que un reciente estudio de Bitglass "Spies in the Enterprise" haya identificado a los usuarios privilegiados como la mayor fuente de riesgo dentro de una organización.
Un informe de Gurucul coincide con esta afirmación, ya que el 63% de las organizaciones cree que los usuarios privilegiados de TI representan la mayor amenaza interna.
Estos dos informes no son los primeros que constatan que los usuarios con privilegios son una fuente de riesgo para la seguridad y seguramente no serán los últimos. Pero, ¿por qué este grupo de usuarios deja a una organización expuesta a amenazas de seguridad y qué se puede hacer para mitigar el riesgo de un usuario privilegiado?
El usuario privilegiado en la máquina
La pista de las amenazas a la seguridad que suponen los usuarios privilegiados está en el nombre: privilegiados.
El acceso privilegiado se otorga a determinados tipos de funciones o grupos dentro de una organización. Las personas que tienen acceso privilegiado necesitan derechos de acceso adicionales a los de los usuarios estándar porque gestionan la infraestructura de TI, o necesitan acceder a recursos corporativos sensibles, etc.
Pero, por desgracia, una vez que se asigna el acceso privilegiado, estos usuarios tienen las llaves de su reino corporativo.
El problema del privilegio es que crea un arma de doble filo. Por un lado, estos usuarios necesitan derechos adicionales para acceder a áreas seguras y sensibles, pero estos derechos tienen el potencial de ser abusados, mal utilizados o secuestrados.
Cómo cuadrar esta ronda es una de las áreas más difíciles que debe tratar un departamento de TI. Algunos de los problemas de los usuarios con acceso privilegiado son:
Los usuarios con acceso privilegiado son un objetivo para los ciberdelincuentes
Quienes tienen la llave de los datos son los principales objetivos. Los ciberdelincuentes se centrarán en determinadas funciones y grupos dentro de una organización para aprovechar sus derechos de acceso. Si un ciberdelincuente consigue hacerse con esos derechos de acceso, puede moverse por una organización, entrando en áreas sensibles de una red, sin ser detectado.
Por ello, los usuarios privilegiados se convierten en objetivo de los ataques de spear-phishing. Los hackers que crean campañas de spear-phishing conocen bien a su objetivo. Dedican tiempo a entender quiénes son y a qué desencadenantes reaccionarán.
Departamentos como el de cuentas por pagar, por ejemplo, suelen ser víctimas de ataques de spear-phishing, porque pueden acceder potencialmente a cuentas financieras y transferir dinero. Para poner esto en perspectiva, un informe de 2019 de Symantec encontró que los correos electrónicos de spear-phishing fueron utilizados por el 65% de todos los grupos conocidos que llevan a cabo ciberataques dirigidos.
Gestión y control de la conformidad
Los usuarios con privilegios suelen tener acceso a los permisos y controles de seguridad. El acceso conlleva el control. Si un usuario con privilegios, aunque sea de forma inadvertida, realiza un cambio en un permiso o en una configuración de seguridad, podría hacer que una organización dejara de cumplir con normativas como el GDPR del Reino Unido, DPA2018, PCI, etc.
El privilegio cambia y evoluciona
Los usuarios con privilegios se desplazan a menudo por la organización. A medida que lo hacen, puede ser necesario cambiar sus derechos de acceso. Sin embargo, realizar este cambio puede ser complicado si no se supervisa cuidadosamente.
Además, las personas que abandonan la empresa, que tienen acceso privilegiado, a menudo pueden caer a través de la red de seguridad, dejando una empresa mientras todavía mantienen los derechos de acceso privilegiado. Un informe de Hague Delta reveló que las personas que abandonan una empresa suponen la mayor amenaza interna de exposición de datos. Además, el informe reveló que el 89% de las personas que abandonan la empresa siguen teniendo acceso a los datos después de dejarla.
Formas de prevenir los abusos y percances de los usuarios con privilegios
Hay varias formas de reducir el riesgo de las amenazas internas asociadas a los usuarios privilegiados. He aquí algunas de las más eficaces:
Gestionar los privilegios
Hay un principio conocido como "mínimo privilegio" que es un principio fundamental de control en una organización. Es algo así como: sólo da a tus empleados los permisos necesarios para hacer su trabajo, y no más.
Una manera de hacer que esto funcione es ser granular en la forma de establecer los permisos. Así, por ejemplo, solicite permisos por aplicación en lugar de globales y establezca los derechos de acceso en función de un usuario y no de todo un grupo de usuarios. Cuantos más derechos se concedan a alguien, mayor será el riesgo.
Formar a los usuarios con privilegios sobre la ingeniería social
Dado que los usuarios privilegiados están en el punto de mira de los ciberdelincuentes, a menudo son objeto de ataques mediante ingeniería social. Los ciberdelincuentes suelen utilizar la recopilación de información y la vigilancia, dirigida a los usuarios privilegiados, para preparar un ataque o una estafa o para informar de una campaña de spear-phishing.
Eduque a sus usuarios privilegiados sobre el mayor riesgo asociado a sus derechos de acceso y sobre cómo detectar los signos reveladores de la ingeniería social utilizada para dirigirse a los usuarios privilegiados.
Educar a los usuarios con privilegios sobre los trucos y tácticas de phishing
Las campañas de spear-phishing dirigidas a usuarios con privilegios pueden ser extremadamente difíciles de detectar. Sin embargo, si adapta las plantillas de simulación de phishing para reflejar los signos más sutiles de un mensaje de spear-phishing, puede dar a sus usuarios privilegiados las herramientas para ayudar a identificar los mensajes sospechosos.
Estos simulacros de spear-phishing deben utilizarse en combinación con la formación en ingeniería social.
Proceso y política
Crear políticas formales en torno a la emisión de cuentas de acceso privilegiado. Estas políticas deben estar diseñadas para imponer la responsabilidad. También deben reflejar el principio de mínimo privilegio y ofrecer orientación sobre cómo se determinan los controles de las cuentas privilegiadas, utilizando revisiones y aprobaciones formales a través de una jerarquía de partes interesadas.
Las políticas y los procesos para gestionar, educar y controlar a los usuarios privilegiados, deben ser una parte fundamental de su estrategia de seguridad.
Credenciales sólidas
Aplique una política de autenticación robusta, multifactorial y basada en el riesgo, a su estrategia global de seguridad. Esto ayuda como parte de una estrategia global en la mitigación de las amenazas externas basadas en la toma de cuentas privilegiadas de los internos.
Los usuarios con privilegios son un eslabón débil en una organización debido al acceso a datos y sistemas informáticos sensibles. Pero los usuarios privilegiados son necesarios para el buen funcionamiento de una organización. Aplicando las mejores prácticas a los usuarios privilegiados, incluyendo la educación, los procesos y la aplicación de políticas, una organización puede reducir el riesgo de este importante tipo de cuenta.