L’utente privilegiato di una rete è cosiddetto perché può accedere a risorse sensibili e spesso altamente riservate. Se un criminale informatico riesce a compromettere l’account di un utente privilegiato, ha le chiavi del castello aziendale.

Una ricerca condotta da FINN Partners e Centrify ha rilevato che nel 74% dei casi di violazione dei dati, l’attacco è partito dalla porta di un utente privilegiato. La società di analisi Forrester ha fissato una percentuale ancora più alta: l ‘80% delle violazioni di dati è associato a credenziali privilegiate.

Non importa quale sia la statistica più precisa, il punto è che l’accesso privilegiato porta alla violazione dei dati. Per questo motivo, la formazione di sensibilizzazione alla sicurezza per gli utenti privilegiati è fondamentale.

Ecco le migliori pratiche per garantire il successo di questa formazione.

Perché l’accesso degli utenti privilegiati deve essere protetto con una formazione di sensibilizzazione alla sicurezza

Gli utenti privilegiati comportano un livello di rischio unico per un’organizzazione. Questo livello di rischio giustifica l’attenzione verso questo gruppo e la creazione di una campagna di sensibilizzazione sulla sicurezza che tenga conto del ruolo dell’utente privilegiato in un attacco informatico.

I criminali informatici prendono di mira gli utenti privilegiati a causa dei loro diritti di accesso. Ma gli utenti privilegiati hanno bisogno di questi diritti di accesso per svolgere il loro lavoro: questo enigma è uno scenario perfetto che permette lo spear-phishing e altre truffe di social engineering.

Un singolo errore da parte di un utente privilegiato e bang! L’hacker è nel sistema. Una volta entrati nella rete aziendale, gli aggressori possono utilizzare varie tecniche e tecnologie per spostarsi all’interno della rete, anche migliorando i diritti di accesso(movimento laterale), per individuare i dati e/o installare malware come il ransomware.

Gli attacchi contro gli account degli utenti privilegiati spesso comportano una grande quantità di sorveglianza. Le informazioni raccolte vengono utilizzate per creare email di spear-phishing su misura e altamente credibili. Il lavoro ibrido ha aggravato il problema, secondo quanto riportato dall’FBI in un recente avviso. L’avviso contiene dettagli sulle truffe che prevedono attacchi informatici in più parti contro utenti privilegiati, con criminali informatici che utilizzano la ricognizione, il phishing vocale via telefono (Vishing) e pagine web contraffatte che vengono poi utilizzate per rubare i codici di autenticazione a secondo fattore e aggirare le misure di sicurezza come le VPN.

Questo complesso mix di abili tattiche criminali informatiche significa che la tecnologia da sola non può impedire un attacco informatico contro un utente con account privilegiato. La consapevolezza della sicurezza è indispensabile per garantire che questi utenti non consegnino inavvertitamente le chiavi aziendali.

Tre importanti best practice nella formazione sulla sicurezza degli utenti privilegiati

Nello sviluppo di un pacchetto di formazione sulla consapevolezza della sicurezza per gli utenti privilegiati, vengono utilizzate le seguenti tre linee guida per le migliori pratiche:

1. Riconoscere gli utenti privilegiati come ruolo di superutente

La formazione di sensibilizzazione alla sicurezza basata sui ruoli è una struttura che consente di fornire una formazione personalizzata in base al tipo di ruolo ricoperto all’interno di un’organizzazione. Perché la formazione basata sui ruoli è una buona idea? I criminali informatici adattano le loro tattiche in base al ruolo aziendale o prendono di mira alcune mansioni aziendali per determinati tipi di attacchi informatici e truffe.

Ad esempio, un addetto alla contabilità è una proposta allettante per un criminale informatico che vuole realizzare una truffa BEC (Business Email Compromise) per indurre un dipendente a trasferire denaro sul conto bancario del truffatore. Chi ha un accesso privilegiato alle risorse umane può essere preso di mira per ottenere informazioni sui dipendenti da utilizzare per le truffe fiscali.

Gli utenti privilegiati devono essere visti come un “ruolo di superutente” e le campagne di formazione sulla sicurezza devono essere progettate in modo da riflettere questo aspetto. Da qui, puoi sviluppare un pacchetto personalizzato di sensibilizzazione al phishing e al social engineering che si adatti ai tipi di attacchi che si concentrano sugli utenti con accesso privilegiato.

2. Includi l’ingegneria sociale nella tua formazione di sensibilizzazione alla sicurezza

L’ingegneria sociale viene utilizzata per costruire il profilo di un’organizzazione e di un utente privilegiato mirato per far sì che un attacco informatico abbia successo. I recenti attacchi ransomware del gruppo Lapsus$ contro diverse aziende hanno utilizzato l’ingegneria sociale. Un post di Microsoft che analizza gli attacchi spiega l’importanza dell’ingegneria sociale:

(il gruppo Lapsus$) hanno concentrato i loro sforzi di ingegneria sociale sulla raccolta di informazioni sulle operazioni aziendali del loro obiettivo. Tali informazioni includono conoscenze intime sui dipendenti, sulle strutture dei team, sugli help desk, sui flussi di lavoro di risposta alle crisi e sui rapporti con la catena di approvvigionamento. Esempi di queste tattiche di social engineering includono lo spam di un utente target con richieste di autenticazione a più fattori (MFA) e la chiamata all’help desk dell’organizzazione per reimpostare le credenziali del target”.

Le truffe di social engineering assumono qualsiasi forma di cui il criminale informatico ha bisogno per raccogliere queste informazioni. Ciò include l’uso dei social media, le chiamate all’help desk e le telefonate generiche in ufficio che aiutano a creare una relazione; anche le visite in ufficio potrebbero essere utilizzate per costruire le informazioni necessarie per portare a termine un attacco. I tentativi di social engineering possono richiedere mesi di lavoro per costruire il profilo di un utente privilegiato, in modo da portare a termine un attacco con successo.  

Assicurati che i tuoi utenti privilegiati comprendano i livelli a cui si spinge un criminale informatico per rendere credibili le sue email di spear-phishing e i suoi siti web parodia.

3. Consapevolezza dello Spear-Phishing

Sappi che i tipi di minacce si concentrano sul ruolo di superutente. In genere, chi ha un accesso privilegiato viene preso di mira per tale accesso. Tuttavia, questo può anche significare che fanno parte di una catena di attacchi più ampia e complessa.

Di solito, per rubare le credenziali di accesso di questo gruppo di utenti si ricorre allo spear-phishing o allo spear-vishing (phishing basato sulla voce). Le informazioni raccolte dai criminali informatici durante l’ingegneria sociale aiutano a creare scenari credibili, e-mail e siti web fasulli per ingannare gli utenti privilegiati.

Fornisci esercizi di simulazione di phishing personalizzati e basati sul ruolo per educare i dipendenti sui trucchi utilizzati dai truffatori.

Per saperne di più sullo spear-phishing leggi questi articoli:Cos’è lo spear-phishing e come evitarlo” e“Identificare un attacco di spear-phishing”.

Chiudere la porta alla compromissione di account privilegiati

Un’organizzazione ha bisogno di concedere a determinati utenti un accesso privilegiato; infatti, la creazione di una gerarchia di accesso è una parte importante della gestione delle identità e degli accessi. Ma i privilegi sono anche una potenziale vulnerabilità nell’armatura di un’organizzazione, un fatto che non sfugge ai criminali informatici. Utilizzando una serie di best practice nella formazione di sensibilizzazione alla sicurezza per gli utenti privilegiati, puoi rafforzare questa armatura e controllare i privilegi.

Per rafforzare davvero la tua posizione di sicurezza, è essenziale riconoscere il ruolo vitale che gli alti dirigenti svolgono nella creazione di una cultura della sicurezza informatica. La loro leadership, il loro impegno e il loro coinvolgimento attivo nelle iniziative di sicurezza possono dare il tono all’intera organizzazione. Dando la priorità alla sicurezza ai livelli più alti del management, le aziende possono promuovere una cultura di consapevolezza, vigilanza e responsabilità.

Scopri come gli alti dirigenti possono sostenere la sicurezza informatica e aprire la strada a un ambiente organizzativo più sicuro.