Etuoikeutetuilla käyttäjillä on ylimääräinen pääsy yrityksen resursseihin ja IT-järjestelmiin; nämä tilit ovat alttiita väärinkäytöksille, väärinkäytöksille ja hyväksikäytölle, ja ne ovat eräänlainen sisäpiirin uhka.
Nämä lisäoikeudet ovat johtaneet siihen, että Bitglassin tuoreessa tutkimuksessa "Spies in the Enterprise" etuoikeutetut käyttäjät on todettu suurimmaksi riskin lähteeksi organisaatiossa.
Guruculin raportissa todetaan, että 63 prosenttia organisaatioista uskoo, että etuoikeutetut IT-käyttäjät ovat suurin sisäpiirin uhka.
Nämä kaksi raporttia eivät ole ensimmäiset, joissa todetaan, että etuoikeutetut käyttäjät ovat tietoturvariskin lähde, eivätkä varmasti viimeisetkään. Mutta miksi tämä käyttäjäryhmä jättää organisaation alttiiksi tietoturvauhkille ja mitä voidaan tehdä etuoikeutettujen käyttäjien aiheuttaman riskin pienentämiseksi?
Koneen etuoikeutettu käyttäjä
Vihje etuoikeutettujen käyttäjien aiheuttamiin turvallisuusuhkiin on jo nimessä - etuoikeutettu.
Etuoikeudet annetaan tietyille roolityypeille tai ryhmille organisaatiossa. Henkilöt, joilla on etuoikeutettu käyttöoikeus, tarvitsevat tavallisia käyttäjiä laajemmat käyttöoikeudet, koska he hallinnoivat IT-infrastruktuuria tai tarvitsevat pääsyn arkaluonteisiin yritysresursseihin ja niin edelleen.
Mutta valitettavasti, kun etuoikeutetut käyttöoikeudet on myönnetty, näillä käyttäjillä on avaimet yrityksesi valtakuntaan.
Ongelmana etuoikeuksissa on se, että ne ovat kaksiteräinen miekka. Toisaalta nämä käyttäjät tarvitsevat lisäoikeuksia päästäkseen turvallisille ja arkaluonteisille alueille, mutta näitä oikeuksia voidaan käyttää väärin, väärinkäyttää tai kaapata.
Tämän kierroksen ratkaiseminen on yksi vaikeimmista asioista, joita IT-osaston on käsiteltävä. Eräitä etuoikeutettujen käyttäjien ongelmakohtia ovat muun muassa seuraavat:
Etuoikeutetun pääsyn käyttäjät ovat verkkorikollisten kohteena
Ne, joilla on avain tietoihin, ovat ensisijaisia kohteita. Tietoverkkorikolliset keskittyvät tiettyihin rooleihin ja ryhmiin organisaatiossa hyödyntääkseen niiden käyttöoikeuksia. Jos tietoverkkorikollinen saa nämä käyttöoikeudet haltuunsa, hän voi liikkua organisaatiossa ja päästä huomaamatta verkon arkaluonteisille alueille.
Tämän vuoksi etuoikeutetuista käyttäjistä tulee spear-phishing-hyökkäysten kohteita. Spear-phishing-kampanjoita tekevät hakkerit tuntevat kohteensa hyvin. He käyttävät aikaa sen ymmärtämiseen, keitä he ovat ja mihin laukaiseviin tekijöihin he reagoivat.
Esimerkiksi kirjanpidon kaltaiset osastot joutuvat usein spear-phishing-hyökkäysten uhreiksi, koska ne voivat mahdollisesti päästä käsiksi rahoitustileihin ja siirtää rahaa. Symantecin vuoden 2019 raportissa todettiin, että 65 prosenttia kaikista tiedossa olevista kohdennettuja verkkohyökkäyksiä tekevistä ryhmistä käytti spear-phishing-sähköposteja.
Vaatimustenmukaisuuden hallinta ja valvonta
Etuoikeutetuilla käyttäjillä on usein pääsy käyttöoikeuksiin ja tietoturvalaitteisiin. Pääsyn myötä syntyy valvontaa. Jos etuoikeutettu käyttäjä muuttaa käyttöoikeuksia tai tietoturva-asetuksia edes tahattomasti, organisaatio voi joutua noudattamatta Yhdistyneen kuningaskunnan GDPR:n, DPA2018:n, PCI:n jne. kaltaisia säännöksiä.
Etuoikeudet muuttuvat ja kehittyvät
Etuoikeutetut käyttäjät liikkuvat usein organisaatiossa. Näin tehdessään heidän käyttöoikeuksiaan saattaa olla tarpeen muuttaa. Muutosten tekeminen voi kuitenkin olla monimutkaista, jos niitä ei valvota huolellisesti.
Lisäksi etuoikeutetut käyttöoikeudet omaavat työntekijät voivat usein pudota turvaverkon läpi, jolloin he lähtevät yrityksestä, vaikka heillä on edelleen etuoikeutetut käyttöoikeudet. Haag Delta -yhtiön raportissa todettiin, että yrityksestä lähtevät henkilöt muodostavat suurimman sisäpiirin uhan tietojen paljastumiselle. Raportissa todettiin myös, että 89 prosentilla lähtijöistä oli edelleen pääsy tietoihin organisaatiosta lähdettyään.
Tapoja estää etuoikeutettujen käyttäjien väärinkäytökset ja onnettomuudet
On olemassa useita tapoja vähentää etuoikeutettuihin käyttäjiin liittyviä sisäpiirin uhkia. Seuraavassa on joitakin tehokkaimpia:
Oikeuksien hallinta
On olemassa periaate, joka tunnetaan nimellä "pienin etuoikeus" ja joka on organisaation valvonnan perusperiaate. Se kuuluu suunnilleen näin: anna työntekijöille vain ne oikeudet, joita he tarvitsevat työnsä tekemiseen, mutta ei enempää.
Yksi tapa saada tämä toimimaan on määrittää käyttöoikeudet yksityiskohtaisesti. Hae esimerkiksi käyttöoikeuksia pikemminkin sovelluskohtaisesti kuin globaalisti ja määritä käyttöoikeudet käyttäjäkohtaisesti eikä koko käyttäjäryhmän perusteella. Mitä enemmän oikeuksia annat jollekin, sitä suurempi riski.
Kouluta etuoikeutettuja käyttäjiä sosiaalisesta manipuloinnista
Koska etuoikeutetut käyttäjät ovat tietoverkkorikollisten huomion keskipisteessä, heihin hyökätään usein sosiaalista manipulointia käyttäen. Tietoverkkorikolliset käyttävät tyypillisesti etuoikeutettuihin käyttäjiin kohdistuvaa tiedustelua ja valvontaa hyökkäyksen tai huijauksen valmistelemiseksi tai spear-phishing-kampanjan toteuttamiseksi.
Kouluta etuoikeutettuja käyttäjiäsi heidän käyttöoikeuksiinsa liittyvästä lisääntyneestä riskistä ja siitä, miten havaita paljastavat merkit etuoikeutettuihin käyttäjiin kohdistuvasta sosiaalisesta manipuloinnista.
Kouluta etuoikeutettuja käyttäjiä phishing-tempuista ja -taktiikoista
Etuoikeutettuihin käyttäjiin kohdistuvia Spear-phishing-kampanjoita voi olla erittäin vaikea havaita. Jos kuitenkin räätälöit phishing-simulaatiomallit siten, että ne heijastavat spear-phishing-viestin hienovaraisempia merkkejä, voit antaa etuoikeutetuille käyttäjille työkaluja, joiden avulla he voivat tunnistaa epäilyttävät viestit.
Näitä spear-phishing-simulaatioita olisi käytettävä yhdessä sosiaalisen verkostoitumisen tietoisuutta lisäävän koulutuksen kanssa.
Prosessi ja politiikka
Luo viralliset käytännöt etuoikeutettujen käyttöoikeustilien myöntämistä varten. Nämä käytännöt olisi suunniteltava siten, että niillä varmistetaan vastuullisuus. Niiden olisi myös heijastettava vähimmän etuoikeuden periaatetta ja tarjottava ohjeita siitä, miten etuoikeutettujen tilien valvonta määritetään käyttämällä virallisia tarkistuksia ja hyväksyntöjä sidosryhmien hierarkiassa.
Etuoikeutettujen käyttäjien hallintaan, kouluttamiseen ja valvontaan tarkoitettujen toimintatapojen ja prosessien tulisi olla olennainen osa tietoturvastrategiaasi.
Vankat valtakirjat
Ota käyttöön vankka, monitekijäinen ja riskiperusteinen todennuskäytäntö yleiseen turvallisuusstrategiaasi. Tämä auttaa osana kokonaisstrategiaa lieventämään ulkoisia uhkia, jotka perustuvat etuoikeutettujen sisäpiiriläisten tilien haltuunottoon.
Etuoikeutetut käyttäjät ovat organisaation heikko lenkki, koska heillä on pääsy arkaluonteisiin tietoihin ja tietojärjestelmiin. Etuoikeutetut käyttäjät ovat kuitenkin välttämättömiä organisaation moitteettoman toiminnan kannalta. Soveltamalla etuoikeutettuihin käyttäjiin parhaita käytäntöjä, kuten koulutusta, prosesseja ja käytäntöjen noudattamisen valvontaa, organisaatio voi vähentää tämän tärkeän käyttäjätilin riskiä.