L'utente privilegiato di una rete è cosiddetto perché può accedere a risorse sensibili e spesso altamente riservate. Se un criminale informatico riesce a compromettere l'account di un utente privilegiato, ha le chiavi del castello aziendale.
Una ricerca condotta da FINN Partners e Centrify ha rilevato che nel 74% dei casi di violazione dei dati, l'attacco è partito dalla porta di un utente privilegiato. La società di analisi Forrester ha fissato un tasso ancora più alto: l' 80% delle violazioni di dati è associato a credenziali privilegiate.
Indipendentemente dalla statistica più precisa, il punto è che l'accesso privilegiato porta alla violazione dei dati. Pertanto, la formazione di sensibilizzazione alla sicurezza per gli utenti privilegiati è fondamentale.
Ecco le migliori pratiche per garantire il successo di questa formazione.
Perché l'accesso degli utenti privilegiati deve essere protetto con una formazione di sensibilizzazione alla sicurezza
Gli utenti privilegiati comportano un livello di rischio unico per un'organizzazione. Questo livello di rischio giustifica la concentrazione su questo gruppo e la creazione di una campagna di sensibilizzazione sulla sicurezza che tenga conto del ruolo dell'utente privilegiato in un attacco informatico.
I criminali informatici prendono di mira gli utenti privilegiati a causa dei loro diritti di accesso. Ma gli utenti privilegiati hanno bisogno di questi diritti di accesso per svolgere il loro lavoro: questo enigma è uno scenario perfetto che consente lo spear-phishing e altre truffe di social engineering.
Un singolo errore da parte di un utente privilegiato e bang! L'hacker è nel sistema. Una volta entrati nella rete aziendale, gli aggressori possono utilizzare varie tecniche e tecnologie per spostarsi all'interno della rete, anche migliorando i diritti di accesso,(movimento laterale) per individuare i dati e/o installare malware come il ransomware.
Gli attacchi contro gli account degli utenti privilegiati comportano spesso un'ampia sorveglianza. Le informazioni raccolte vengono utilizzate per creare e-mail di spear-phishing su misura e altamente credibili. Il lavoro ibrido ha esacerbato il problema, secondo quanto riportato dall'FBI in un recente avviso. L'avviso contiene dettagli sulle truffe che comportano attacchi informatici in più parti contro utenti privilegiati, con criminali informatici che utilizzano la ricognizione, il phishing vocale via telefono (Vishing) e pagine Web contraffatte che vengono poi utilizzate per rubare i codici di autenticazione di secondo fattore e aggirare le misure di sicurezza come le VPN.
Questo complesso mix di abili tattiche dei criminali informatici significa che la tecnologia da sola non può impedire un attacco informatico contro un utente con account privilegiato. La consapevolezza della sicurezza è indispensabile per garantire che questi utenti non consegnino inavvertitamente le chiavi aziendali.
Tre importanti best practice nella formazione di sensibilizzazione alla sicurezza degli utenti privilegiati
Nello sviluppo di un pacchetto di formazione sulla consapevolezza della sicurezza per gli utenti privilegiati, si utilizzano le tre linee di base per le migliori pratiche:
Riconoscere gli utenti privilegiati con il ruolo di superutente
La formazione di sensibilizzazione alla sicurezza basata sui ruoli è un quadro di riferimento per fornire una formazione personalizzata in base al tipo di ruolo all'interno di un'organizzazione. Perché la formazione basata sui ruoli è una buona idea? I criminali informatici adattano le loro tattiche in base al ruolo aziendale o si rivolgono a determinate mansioni aziendali per determinati tipi di attacchi informatici e truffe.
Ad esempio, un addetto alla contabilità è una proposta allettante per un criminale informatico che voglia realizzare una truffa di tipo Business Email Compromise (BEC), per indurre un dipendente a trasferire denaro sul conto bancario del truffatore. Chi ha un accesso privilegiato alle risorse umane può essere preso di mira per ottenere informazioni sui dipendenti per truffe fiscali.
Gli utenti privilegiati devono essere visti come un "ruolo di superutente" e le campagne di formazione sulla sicurezza devono essere progettate in modo da riflettere questo aspetto. Da qui è possibile sviluppare un pacchetto personalizzato di sensibilizzazione al phishing e al social engineering che si adatti ai tipi di attacchi che si concentrano sugli utenti con accesso privilegiato.
Includere l'ingegneria sociale nella formazione sulla sicurezza
L'ingegneria sociale viene utilizzata per costruire il profilo di un'organizzazione e di un utente privilegiato mirato per far sì che un attacco informatico abbia successo. I recenti attacchi ransomware del gruppo Lapsus$ contro diverse aziende hanno utilizzato il social engineering. Un post di Microsoft che analizza gli attacchi spiega l'importanza del social engineering:
"(il gruppo Lapsus$) ha concentrato i propri sforzi di social engineering sulla raccolta di informazioni sulle operazioni commerciali dell'obiettivo. Tali informazioni includono la conoscenza intima dei dipendenti, delle strutture dei team, degli help desk, dei flussi di lavoro per la risposta alle crisi e dei rapporti con la catena di approvvigionamento. Esempi di queste tattiche di social engineering includono lo spam di un utente target con richieste di autenticazione a più fattori (MFA) e la chiamata all'help desk dell'organizzazione per reimpostare le credenziali del target".
Le truffe di social engineering assumono qualsiasi forma di cui il criminale informatico ha bisogno per raccogliere queste informazioni. Ciò include l'uso dei social media, le chiamate all'help desk e le telefonate generiche in ufficio che contribuiscono a creare un rapporto; anche le visite in ufficio potrebbero essere utilizzate per costruire le informazioni necessarie per portare a termine un attacco. I tentativi di social engineering possono richiedere mesi di lavoro per costruire il profilo di un utente privilegiato, in modo da portare a termine un attacco con successo.
Assicuratevi che i vostri utenti privilegiati comprendano i livelli a cui si spinge un criminale informatico per rendere credibili le sue e-mail di spear-phishing e i suoi siti web parodia.
Consapevolezza dello Spear-Phishing
Sapere quali tipi di minacce si concentrano sul ruolo di superutente. In genere, chi ha un accesso privilegiato viene preso di mira per tale accesso. Tuttavia, ciò può anche significare che fanno parte di una catena di attacchi più ampia e complessa.
Di solito, per rubare le credenziali di accesso di questo gruppo di utenti si ricorre allo spear-phishing o allo spear-vishing (phishing basato sulla voce). Le informazioni raccolte dai criminali informatici durante l'ingegneria sociale aiutano a creare scenari credibili, e-mail e siti web fasulli per ingannare gli utenti privilegiati.
Fornite esercizi di simulazione di phishing personalizzati e basati sul ruolo per educare i dipendenti sui trucchi utilizzati dai truffatori.
Chiudere la porta alla compromissione degli account privilegiati
Un'organizzazione deve concedere a determinati utenti un accesso privilegiato; infatti, la creazione di una gerarchia di accesso è una parte importante della gestione delle identità e degli accessi. Ma il privilegio è anche una potenziale vulnerabilità nell'armatura di un'organizzazione, un fatto che non sfugge ai criminali informatici. Utilizzando una serie di best practice nella formazione di sensibilizzazione alla sicurezza per gli utenti privilegiati, è possibile rafforzare questa armatura e controllare i privilegi.