O utilizador privilegiado de uma rede é assim chamado porque pode aceder a recursos sensíveis e muitas vezes altamente confidenciais. Se um cibercriminoso pode comprometer a conta de um utilizador privilegiado, ele tem as chaves do castelo corporativo.
Uma pesquisa realizada pela FINN Partners and Centrify revelou que, em 74% dos casos de violação de dados, o ataque começou à porta de um utilizador privilegiado. A empresa de análise Forrester define a taxa ainda mais alta, com 80% das violações de dados associadas a credenciais privilegiadas.
Não importa qual seja o estatuto mais preciso, a questão é que o acesso privilegiado conduz a violações de dados. Por conseguinte, a Formação em Sensibilização para a Segurança para utilizadores privilegiados é vital.
Aqui estão as melhores práticas para garantir o sucesso desta formação.
Porque é que o acesso de utilizadores privilegiados deve ser protegido com formação de sensibilização para a segurança
Os utilizadores privilegiados trazem um nível de risco único a uma organização. Este nível de risco justifica a concentração neste grupo e a construção de uma campanha de sensibilização para a segurança que considere o papel do utilizador privilegiado num ataque cibernético.
Os cibercriminosos visam os utilizadores privilegiados devido aos seus direitos de acesso. Mas os utilizadores privilegiados precisam desses direitos de acesso para realizar o seu trabalho: este enigma é um cenário perfeito que permite o spear-phishing e outras fraudes de engenharia social.
Um único erro de um utilizador privilegiado, e bang! O hacker está no sistema. Uma vez na rede da empresa, os atacantes podem utilizar várias técnicas e tecnologias para se deslocarem através da rede, melhorando mesmo os direitos de acesso (movimento lateral), para localizar dados e/ou instalar malware, como o ransomware.
Os ataques contra contas de utilizadores privilegiados envolvem frequentemente uma grande quantidade de vigilância. As informações recolhidas são utilizadas para criar mensagens de correio eletrónico de spear-phishing personalizadas e altamente credíveis. O trabalho híbrido exacerbou o problema, de acordo com o FBI num aviso recente. O aviso contém pormenores de esquemas que envolvem ataques cibernéticos em várias partes contra utilizadores privilegiados, cibercriminosos que utilizam o reconhecimento, o phishing por voz via telefone (Vishing) e páginas Web falsas que são depois utilizadas para roubar códigos de autenticação de segundo fator e contornar medidas de segurança como as VPN.
Esta mistura complexa de tácticas inteligentes de cibercriminalidade significa que a tecnologia por si só não pode impedir um ataque cibernético contra um utilizador de conta privilegiada. A consciência da segurança é um imperativo para assegurar que estes utilizadores não entreguem inadvertidamente as chaves da empresa.
Três Melhores Práticas Importantes na Formação de Sensibilização dos Utilizadores Privilegiados para a Segurança
As três linhas de base seguintes para as melhores práticas são utilizadas no desenvolvimento de um pacote de Formação de Sensibilização para a Segurança para utilizadores privilegiados:
1. Reconhecer os utilizadores privilegiados como uma função de superutilizador
A formação de sensibilização para a segurança baseada no papel é um quadro para fornecer formação à medida com base num tipo de papel numa organização. Porque é que a formação baseada em papéis é uma boa ideia? Os cibercriminosos ajustam as suas tácticas para reflectir um papel empresarial ou visam certos trabalhos empresariais para certos tipos de ataques e esquemas cibernéticos.
Por exemplo, uma pessoa que trabalhe em contas a pagar é uma proposta atractiva para um cibercriminoso que pretenda levar a cabo uma burla de Business Email Compromise (BEC) que engane um empregado para que este transfira dinheiro para a conta bancária do burlão. Uma pessoa com acesso privilegiado nos RH pode ser alvo de uma tentativa de obter informações sobre os empregados para aplicar fraudes fiscais.
Os utilizadores privilegiados devem ser vistos como um "papel de superutilizador" e as campanhas de Formação de Sensibilização para a Segurança devem ser concebidas para reflectir isto. A partir daqui, é possível desenvolver um pacote personalizado de phishing e de sensibilização de engenharia social que se adapte aos tipos de ataques que se concentram em utilizadores de acesso privilegiado.
2. Inclua a engenharia social na sua formação de sensibilização para a segurança
A engenharia social é utilizada para construir o perfil de uma organização e de um utilizador privilegiado para que um ataque cibernético seja bem sucedido. Os recentes ataques de resgate do grupo Lapsus$ contra múltiplas empresas utilizaram a engenharia social. Um post da Microsoft que analisa os ataques explica a importância da engenharia social:
"(o grupo Lapsus$) concentrou os seus esforços de engenharia social para reunir conhecimentos sobre as operações comerciais do seu alvo. Tal informação inclui conhecimento íntimo sobre empregados, estruturas de equipa, balcões de atendimento, fluxos de trabalho de resposta a crises, e relações na cadeia de fornecimento. Exemplos destas tácticas de engenharia social incluem spamming de um utilizador alvo com autenticação multifactor (MFA) e chamadas ao help desk da organização para redefinir as credenciais de um alvo".
Os esquemas de engenharia social tomarão qualquer forma que o cibercriminoso necessite para reunir esta inteligência. Isto inclui a utilização de meios de comunicação social, chamadas para um help desk, e chamadas gerais de escritório que ajudam a formar uma relação; até mesmo visitas a um escritório poderiam ser utilizadas para construir a informação necessária para levar a cabo um ataque. As tentativas de engenharia social podem levar meses de trabalho para construir o perfil de um utilizador privilegiado, em prontidão para levar a cabo um ataque bem sucedido.
Assegure-se de que os seus utilizadores privilegiados compreendem os níveis a que um cibercriminoso irá chegar, a fim de tornar credíveis os seus e-mails de phishing de lança e os seus sites de falsificação.
3. Sensibilização para o Spear-Phishing
Saber que tipos de ameaças se concentrarão no papel de superutilizador. Tipicamente, as pessoas com acesso privilegiado serão visadas para esse acesso. Contudo, isto pode também significar que fazem parte de uma cadeia de ataque mais vasta e complexa.
Normalmente, o spear-phishing ou spear-vishing (phishing por voz) é utilizado para roubar as credenciais de login deste grupo de utilizadores. A inteligência recolhida pelos cibercriminosos durante a engenharia social ajuda a criar cenários credíveis, emails, e websites falsos para enganar o utilizador privilegiado.
Forneça exercícios de simulação de phishing personalizados e baseados em funções para educar os funcionários sobre os truques utilizados pelos burlões.
Leia mais sobre spear-phishing nestes artigos: "O que é spear phishing e como evitá-lo" e "Identificar um ataque de spear phishing".
Fechamento da Porta em Compromisso de Conta Privilegiada
Uma organização precisa de dar a certos utilizadores acesso privilegiado; de facto, a criação de uma hierarquia de acesso é uma parte importante da identidade e da gestão do acesso. Mas o privilégio é também uma potencial vulnerabilidade na blindagem de uma organização; um facto que não se perde com os cibercriminosos. Ao utilizar uma base de melhores práticas na Formação de Sensibilização para a Segurança para utilizadores privilegiados, pode endurecer esta blindagem e privilégio de controlo.
Para reforçar verdadeiramente a sua postura de segurança, é essencial reconhecer o papel vital que os executivos seniores desempenham na criação de uma cultura de cibersegurança. A sua liderança, empenho e envolvimento ativo em iniciativas de segurança podem definir o tom para toda a organização. Ao dar prioridade à segurança nos níveis superiores de gestão, as empresas podem promover uma cultura de consciencialização, vigilância e responsabilidade.
Explore a forma como os executivos seniores podem defender a cibersegurança e liderar o caminho para um ambiente organizacional mais seguro.