Gli utenti privilegiati hanno un accesso aggiuntivo alle risorse aziendali e ai sistemi IT; questi account sono aperti ad abusi, incidenti e sfruttamento, e sono un tipo di minaccia interna.
Questi diritti di accesso aggiuntivi hanno fatto sì che una recente indagine di Bitglass "Spies in the Enterprise" abbia identificato gli utenti privilegiati come la più grande fonte di rischio all'interno di un'organizzazione.
Un rapporto di Gurucul, concorda con questo, trovando che il 63% delle organizzazioni crede che gli utenti IT privilegiati presentino la più grande minaccia insider.
Questi due rapporti non sono i primi a scoprire che gli utenti privilegiati sono una fonte di rischio per la sicurezza e certamente non saranno gli ultimi. Ma perché questo gruppo di utenti lascia un'organizzazione aperta alle minacce alla sicurezza e cosa si può fare per mitigare il rischio di un utente privilegiato?
L'utente privilegiato nella macchina
L'indizio delle minacce alla sicurezza poste dagli utenti privilegiati è nel nome - privilegiati.
L'accesso privilegiato è dato a certi tipi di ruoli o gruppi all'interno di un'organizzazione. Gli individui che detengono l'accesso privilegiato, hanno bisogno di diritti di accesso aggiuntivi rispetto agli utenti standard perché gestiscono infrastrutture IT, o richiedono l'accesso a risorse aziendali sensibili, e così via.
Ma, sfortunatamente, una volta assegnato l'accesso privilegiato, questi utenti hanno le chiavi del vostro regno aziendale.
Il problema con il privilegio è che crea un'arma a doppio taglio. Da un lato, questi utenti hanno bisogno di diritti extra per accedere ad aree sicure e sensibili, ma questi diritti hanno il potenziale per essere abusati, usati male o dirottati.
Come far quadrare questo cerchio è una delle aree più difficili che un dipartimento IT deve affrontare. Alcuni dei problemi con gli utenti con accesso privilegiato includono:
Gli utenti con accesso privilegiato sono un bersaglio per i criminali informatici
Coloro che detengono la chiave dei dati sono obiettivi primari. I criminali informatici si concentrano su determinati ruoli e gruppi all'interno di un'organizzazione per trarre vantaggio dai loro diritti di accesso. Se un criminale informatico può ottenere quei diritti di accesso, può muoversi all'interno di un'organizzazione, entrando nelle aree sensibili di una rete, senza essere scoperto.
A causa di questo, gli utenti privilegiati diventano obiettivi di attacchi di spear-phishing. Gli hacker che creano campagne di spear-phishing conoscono bene il loro obiettivo. Passano il tempo a capire chi sono e a quali trigger reagiranno.
Reparti come la contabilità fornitori, per esempio, sono spesso vittime di attacchi di spear-phishing, perché possono potenzialmente accedere a conti finanziari e trasferire denaro. Per mettere questo in prospettiva, un rapporto del 2019 di Symantec ha scoperto che le email di spear-phishing sono state utilizzate dal 65% di tutti i gruppi conosciuti che hanno effettuato attacchi informatici mirati.
Gestione e controllo della conformità
Gli utenti privilegiati hanno spesso accesso ai permessi e ai controlli di sicurezza. Con l'accesso arriva il controllo. Se un utente privilegiato, anche inavvertitamente, apporta una modifica a un permesso o a un'impostazione di sicurezza, questo potrebbe spostare un'organizzazione al di fuori della conformità con le normative come il GDPR del Regno Unito, DPA2018, PCI, ecc.
Il privilegio cambia e si evolve
Gli utenti privilegiati spesso si spostano all'interno di un'organizzazione. Mentre lo fanno, i loro diritti di accesso potrebbero dover cambiare. Tuttavia, fare questo cambiamento può essere complicato se non è attentamente monitorato.
Inoltre, chi lascia l'azienda, che ha un accesso privilegiato, può spesso cadere attraverso la rete di sicurezza, lasciando un'azienda pur mantenendo i diritti di accesso privilegiato. Un rapporto dell'Aia Delta ha scoperto che coloro che lasciano un'azienda rappresentano la più grande minaccia insider all'esposizione dei dati. Inoltre, il rapporto ha scoperto che l'89% dei leavers aveva ancora accesso ai dati dopo aver lasciato l'organizzazione.
Modi per prevenire gli abusi e gli incidenti degli utenti privilegiati
Ci sono diversi modi per de-rischiare le minacce interne associate agli utenti privilegiati. Ecco alcuni dei più efficaci:
Gestire i privilegi
C'è un principio noto come "minimo privilegio" che è un principio fondamentale del controllo in un'organizzazione. Funziona così: date ai vostri impiegati solo i permessi necessari per fare il loro lavoro, e non di più.
Un modo per far funzionare tutto ciò è essere granulare nel modo in cui si impostano i permessi. Così, per esempio, richiedete i permessi su una base per applicazione piuttosto che globale e impostate i diritti di accesso basati su un utente piuttosto che su un intero gruppo di utenti. Più diritti date a qualcuno, più alto è il rischio.
Formare gli utenti privilegiati sull'ingegneria sociale
Poiché gli utenti privilegiati sono sotto i riflettori dei criminali informatici, sono spesso sotto attacco utilizzando l'ingegneria sociale. I criminali informatici in genere usano la raccolta di informazioni e la sorveglianza, prendendo di mira gli utenti privilegiati, per preparare un attacco o una truffa o per informare una campagna di spear-phishing.
Educate i vostri utenti privilegiati sull'aumento del rischio associato ai loro diritti di accesso e su come individuare i segni rivelatori dell'ingegneria sociale usati per colpire gli utenti privilegiati.
Educare gli utenti privilegiati sui trucchi e le tattiche di phishing
Le campagne di spear-phishing che prendono di mira gli utenti privilegiati possono essere estremamente difficili da individuare. Tuttavia, se si adattano i modelli di simulazione di phishing per riflettere i segni più sottili di un messaggio di spear-phishing, è possibile dare ai vostri utenti privilegiati gli strumenti per aiutare a identificare i messaggi sospetti.
Queste simulazioni di spear-phishing dovrebbero essere usate in combinazione con l'addestramento sulla consapevolezza dell'ingegneria sociale.
Processo e politica
Creare politiche formali intorno all'emissione di account di accesso privilegiato. Queste politiche dovrebbero essere progettate per imporre la responsabilità. Dovrebbero anche riflettere il principio del minimo privilegio e offrire una guida su come i controlli degli account privilegiati sono determinati, usando revisioni formali e approvazioni attraverso una gerarchia di stakeholder.
Politiche e processi per gestire, educare e controllare gli utenti privilegiati dovrebbero essere una parte fondamentale della vostra strategia di sicurezza.
Credenziali robuste
Applicare una politica di autenticazione robusta, a più fattori e basata sul rischio, alla vostra strategia generale di sicurezza. Questo aiuta come parte di una strategia globale nella mitigazione delle minacce esterne basate sull'acquisizione di account privilegiati interni.
Gli utenti privilegiati sono un anello debole in un'organizzazione a causa dell'accesso a dati sensibili e sistemi IT. Ma gli utenti privilegiati sono necessari per il buon funzionamento di un'organizzazione. Applicando le migliori pratiche agli utenti privilegiati, tra cui la formazione, i processi e l'applicazione delle politiche, un'organizzazione può ridurre il rischio di questo importante tipo di account.