O utilizador privilegiado de uma rede é assim chamado porque pode aceder a recursos sensíveis e muitas vezes altamente confidenciais. Se um cibercriminoso conseguir comprometer a conta de um utilizador privilegiado, tem as chaves do castelo da empresa.

Uma pesquisa realizada pela FINN Partners e pela Centrify revelou que, em 74% dos casos de violação de dados, o ataque começou à porta de um utilizador privilegiado. A empresa de análise Forrester define a taxa ainda mais alta: 80% das violações de dados estão associadas a credenciais privilegiadas.

Independentemente da estatística mais precisa, a questão é que o acesso privilegiado conduz a violações de dados. Por isso, a formação em sensibilização para a segurança para utilizadores privilegiados é vital.

Eis as melhores práticas para garantir que esta formação seja bem sucedida.

Porque é que o acesso de utilizadores privilegiados deve ser protegido com formação de sensibilização para a segurança

Os utilizadores privilegiados representam um nível de risco único para uma organização. Este nível de risco justifica a concentração neste grupo e a criação de uma campanha de sensibilização para a segurança que tenha em conta o papel do utilizador privilegiado num ataque informático.

Os cibercriminosos visam os utilizadores privilegiados devido aos seus direitos de acesso. Mas os utilizadores privilegiados precisam desses direitos de acesso para realizar o seu trabalho: este enigma é um cenário perfeito que permite o spear-phishing e outros esquemas de engenharia social.

Um único erro de um utilizador privilegiado, e bang! O hacker está no sistema. Uma vez na rede empresarial, os atacantes podem utilizar várias técnicas e tecnologias para se deslocarem através da rede, melhorando mesmo os direitos de acesso(movimento lateral), para localizar dados e/ou instalar malware, como o ransomware.

Os ataques contra contas de utilizadores privilegiados envolvem muitas vezes uma grande quantidade de vigilância. As informações recolhidas são utilizadas para criar e-mails de spear-phishing personalizados e altamente credíveis. O trabalho híbrido exacerbou o problema, de acordo com o FBI num aviso recente. O aviso contém pormenores sobre esquemas que envolvem ataques cibernéticos em várias partes contra utilizadores privilegiados, cibercriminosos que utilizam o reconhecimento, o phishing por voz via telefone (Vishing) e páginas Web falsas que são depois utilizadas para roubar códigos de autenticação de segundo fator e contornar medidas de segurança como as VPN.

Esta mistura complexa de tácticas cibercriminosas inteligentes significa que a tecnologia, por si só, não pode impedir um ataque cibernético contra um utilizador com conta privilegiada. A sensibilização para a segurança é essencial para garantir que estes utilizadores não entregam inadvertidamente as chaves da empresa.

Três Práticas Recomendadas Importantes na Formação de Sensibilização para a Segurança de Utilizadores Privilegiados

As três linhas de base seguintes para as melhores práticas são utilizadas no desenvolvimento de um pacote de formação de sensibilização para a segurança para utilizadores privilegiados:

1. Reconhece os utilizadores privilegiados como uma função de superutilizador

A formação de sensibilização para a segurança com base nas funções é uma estrutura que permite fornecer formação personalizada com base num tipo de função numa organização. Porque é que a formação baseada em funções é uma boa ideia? Os cibercriminosos ajustam as suas tácticas de modo a refletir uma função empresarial ou a visar determinados postos de trabalho da empresa para determinados tipos de ciberataques e fraudes.

Por exemplo, uma pessoa que trabalhe em contas a pagar é uma proposta atractiva para um cibercriminoso que pretenda levar a cabo um esquema de Business Email Compromise (BEC) que engane um empregado para que este transfira dinheiro para a conta bancária do fraudador. Uma pessoa com acesso privilegiado nos RH pode ser alvo de uma tentativa de obter informações sobre os empregados para fraudes fiscais.

Os utilizadores privilegiados devem ser vistos como um “papel de superutilizador” e as campanhas de formação de sensibilização para a segurança devem ser concebidas de forma a refletir este facto. A partir daqui, pode então desenvolver um pacote personalizado de sensibilização para phishing e engenharia social que se adapte aos tipos de ataques que se concentram em utilizadores com acesso privilegiado.

2. Inclui a engenharia social na tua formação de sensibilização para a segurança

A engenharia social é utilizada para construir o perfil de uma organização e de um utilizador privilegiado para que um ataque informático seja bem sucedido. Os recentes ataques de ransomware do grupo Lapsus$ contra várias empresas utilizaram a engenharia social. Uma publicação da Microsoft que analisa os ataques explica a importância da engenharia social:

(o grupo Lapsus$) concentrou os seus esforços de engenharia social na recolha de conhecimentos sobre as operações comerciais do seu alvo. Essas informações incluem conhecimentos íntimos sobre funcionários, estruturas de equipas, help desks, fluxos de trabalho de resposta a crises e relações na cadeia de fornecimento. Exemplos destas tácticas de engenharia social incluem enviar spam a um utilizador alvo com avisos de autenticação multifactor (MFA) e telefonar para o help desk da organização para repor as credenciais de um alvo.”

As burlas de engenharia social assumem qualquer forma que o cibercriminoso necessite para recolher estas informações. Isto inclui a utilização das redes sociais, chamadas para um serviço de assistência e chamadas gerais para o escritório que ajudem a estabelecer uma relação; até mesmo visitas a um escritório podem ser utilizadas para obter as informações necessárias para efetuar um ataque. As tentativas de engenharia social podem levar meses de trabalho para construir o perfil de um utilizador privilegiado, de modo a preparar um ataque bem sucedido.  

Assegura-te de que os teus utilizadores privilegiados compreendem os níveis a que um cibercriminoso chegará para tornar credíveis os seus e-mails de spear-phishing e sites falsos.

3. Sensibilização para o Spear-Phishing

Sabe que tipos de ameaças se concentrarão na função de superutilizador. Normalmente, as pessoas com acesso privilegiado são visadas por esse acesso. No entanto, isso também pode significar que fazem parte de uma cadeia de ataque mais ampla e complexa.

Normalmente, o spear-phishing ou spear-vishing (phishing baseado na voz) é utilizado para roubar as credenciais de início de sessão deste grupo de utilizadores. A informação recolhida pelos cibercriminosos durante a engenharia social ajuda a criar cenários credíveis, e-mails e sites falsos para enganar o utilizador privilegiado.

Fornece exercícios de simulação de phishing personalizados e baseados em funções para educar os funcionários sobre os truques utilizados pelos burlões.

Lê mais sobre spear-phishing nestes artigos:O que é Spear-Phishing e como evitá-lo” e“Identificar um ataque de Spear-Phishing“.

Fechando a porta para o comprometimento de contas privilegiadas

Uma organização precisa de dar acesso privilegiado a determinados utilizadores; de facto, a criação de uma hierarquia de acesso é uma parte importante da gestão da identidade e do acesso. Mas o privilégio é também uma potencial vulnerabilidade na armadura de uma organização; um facto que não passa despercebido aos cibercriminosos. Ao utilizar uma linha de base de boas práticas na formação de sensibilização para a segurança dos utilizadores privilegiados, pode reforçar esta armadura e controlar os privilégios.

Para reforçar verdadeiramente a sua postura de segurança, é essencial reconhecer o papel vital que os executivos seniores desempenham na criação de uma cultura de cibersegurança. A sua liderança, empenho e envolvimento ativo em iniciativas de segurança podem definir o tom para toda a organização. Ao dar prioridade à segurança nos níveis superiores de gestão, as empresas podem promover uma cultura de consciencialização, vigilância e responsabilidade.

Explora como os executivos seniores podem defender a cibersegurança e liderar o caminho para um ambiente organizacional mais seguro.