Perché gli utenti privilegiati sono un grave rischio per la sicurezza

Gli utenti privilegiati hanno un accesso supplementare alle risorse aziendali e ai sistemi IT; questi account sono esposti ad abusi, incidenti e sfruttamento e rappresentano un tipo di minaccia insider.

Questi diritti di accesso aggiuntivi hanno fatto sì che una recente indagine di Bitglass “Spies in the Enterprise” abbia identificato gli utenti privilegiati come la principale fonte di rischio all’interno di un’organizzazione.

Il 63% delle organizzazioni ritiene che gli utenti IT privilegiati rappresentino la principale minaccia insider.

Questi due rapporti non sono i primi a scoprire che gli utenti privilegiati sono una fonte di rischio per la sicurezza e di certo non saranno gli ultimi. Ma perché questo gruppo di utenti espone un’organizzazione alle minacce alla sicurezza e cosa si può fare per mitigare il rischio di un utente privilegiato?

L’utente privilegiato nella macchina

L’indizio delle minacce alla sicurezza poste dagli utenti privilegiati è nel nome: privilegiati.

L’accesso privilegiato viene concesso a determinati tipi di ruoli o gruppi all’interno di un’organizzazione. Le persone che detengono l’accesso privilegiato hanno bisogno di diritti di accesso aggiuntivi rispetto agli utenti standard perché gestiscono l’infrastruttura IT o richiedono l’accesso a risorse aziendali sensibili, e così via.

Ma purtroppo, una volta assegnato l’accesso privilegiato, questi utenti hanno le chiavi del tuo regno aziendale.

Il problema dei privilegi è che creano un’arma a doppio taglio. Da un lato, questi utenti hanno bisogno di diritti extra per accedere ad aree sicure e sensibili, ma questi diritti hanno il potenziale per essere abusati, usati male o dirottati.

La quadratura del cerchio è una delle aree più difficili da gestire per un dipartimento IT. Alcuni dei problemi legati agli utenti con accesso privilegiato sono:

Gli utenti con accesso privilegiato sono un bersaglio per i criminali informatici

Coloro che possiedono le chiavi dei dati sono i bersagli principali. I criminali informatici si concentrano su determinati ruoli e gruppi all’interno di un’organizzazione per sfruttare i loro diritti di accesso. Se un criminale informatico riesce a ottenere tali diritti di accesso, può muoversi all’interno di un’organizzazione, entrando nelle aree sensibili di una rete, senza essere scoperto.

Per questo motivo, gli utenti privilegiati diventano bersaglio di attacchi di spear-phishing. Gli hacker che creano campagne di spear-phishing conoscono bene il loro obiettivo. Dedicano tempo a capire chi sono e a quali fattori scatenanti reagiranno.

Reparti come la contabilità fornitori, ad esempio, sono spesso vittime di attacchi di spear-phishing, perché potenzialmente possono accedere a conti finanziari e trasferire denaro. Per mettere le cose in prospettiva, un rapporto del 2019 di Symantec ha rilevato che le e-mail di spear-phishing sono state utilizzate dal 65% di tutti i gruppi noti che hanno effettuato attacchi informatici mirati.

Gestione e controllo della conformità

Gli utenti privilegiati hanno spesso accesso ai permessi e ai controlli di sicurezza. L’accesso comporta il controllo. Se un utente privilegiato, anche inavvertitamente, modifica un’autorizzazione o un’impostazione di sicurezza, l’organizzazione potrebbe non essere conforme a normative come il GDPR, il DPA2018, il PCI, ecc.

Il privilegio cambia e si evolve

Gli utenti privilegiati si spostano spesso all’interno di un’organizzazione. In questo caso, i loro diritti di accesso potrebbero dover cambiare. Tuttavia, se non viene monitorato con attenzione, questo cambiamento può essere complicato.

Inoltre, chi lascia l’azienda e ha un accesso privilegiato può spesso cadere nella rete di sicurezza, lasciando l’azienda pur mantenendo i diritti di accesso privilegiato. Un rapporto dell’Aia Delta ha rilevato che coloro che lasciano un’azienda rappresentano la più grande minaccia insider per l’esposizione dei dati. Inoltre, il rapporto ha rilevato che l’89% di chi lascia l’azienda ha ancora accesso ai dati dopo averla lasciata.

Modi per prevenire gli abusi e gli incidenti degli utenti privilegiati

Esistono diversi modi per ridurre il rischio di minacce interne associate agli utenti privilegiati. Ecco alcuni dei più efficaci:

Gestisci i privilegi

Esiste un principio noto come “minimo privilegio” che è un principio fondamentale del controllo in un’organizzazione. Il principio è il seguente: dai ai tuoi dipendenti solo i permessi necessari per svolgere il loro lavoro, e non di più.

Un modo per far funzionare questo sistema è quello di impostare le autorizzazioni in modo granulare. Ad esempio, richiedi i permessi su base individuale piuttosto che globale e imposta i diritti di accesso in base a un utente piuttosto che a un intero gruppo di utenti. Più diritti dai a qualcuno, più alto è il rischio.

Istruisci gli utenti privilegiati sull’ingegneria sociale

Poiché gli utenti privilegiati sono sotto i riflettori dei criminali informatici, sono spesso oggetto di attacchi di social engineering. I criminali informatici in genere utilizzano la raccolta di informazioni e la sorveglianza, prendendo di mira gli utenti privilegiati, per preparare un attacco o una truffa o per informare una campagna di spear-phishing.

Istruisci i tuoi utenti privilegiati sul rischio maggiore associato ai loro diritti di accesso e su come individuare i segnali rivelatori del social engineering utilizzato per colpire gli utenti privilegiati.

Educare gli utenti privilegiati sui trucchi e le tattiche di phishing

Le campagne di spear-phishing che prendono di mira gli utenti privilegiati possono essere estremamente difficili da individuare. Tuttavia, se adatti i modelli di simulazione di phishing in modo da riflettere i segni più sottili di un messaggio di spear-phishing, puoi dare ai tuoi utenti privilegiati gli strumenti per identificare i messaggi sospetti.

Queste simulazioni di spear-phishing dovrebbero essere utilizzate in combinazione con una formazione di sensibilizzazione all’ingegneria sociale.

Processo e politica

Crea politiche formali per l’emissione di account di accesso privilegiato. Queste politiche devono essere concepite per imporre la responsabilità. Dovrebbero inoltre riflettere il principio del minimo privilegio e offrire indicazioni su come vengono determinati i controlli sugli account privilegiati, utilizzando revisioni e approvazioni formali da parte di una gerarchia di stakeholder.

Le politiche e i processi per gestire, educare e controllare gli utenti privilegiati devono essere una parte fondamentale della tua strategia di sicurezza.

Credenziali robuste

Applica una politica di autenticazione robusta, a più fattori e basata sul rischio, alla tua strategia di sicurezza complessiva. Questo aiuta a mitigare le minacce esterne basate sull’acquisizione di account privilegiati da parte di insider.

Gli utenti privilegiati sono un anello debole di un’organizzazione a causa dell’accesso a dati sensibili e sistemi IT. Ma gli utenti privilegiati sono necessari per il buon funzionamento di un’organizzazione. Applicando le migliori pratiche agli utenti privilegiati, tra cui la formazione, i processi e l’applicazione delle policy, un’organizzazione può ridurre il rischio di questo importante tipo di account.