Porque é que os utilizadores privilegiados são um grande risco para a segurança

Os utilizadores privilegiados têm acesso adicional aos recursos empresariais e aos sistemas de TI; estas contas estão abertas a abusos, contratempos e exploração, e são um tipo de ameaça interna.

Estes direitos de acesso adicionais levaram a que um recente inquérito da Bitglass “Spies in the Enterprise” identificasse os utilizadores privilegiados como a maior fonte de risco dentro de uma organização.

Um relatório da Gurucul concorda com esta afirmação, concluindo que 63% das organizações acreditam que os utilizadores de TI privilegiados representam a maior ameaça interna.

Estes dois relatórios não são os primeiros a constatar que os utilizadores privilegiados são uma fonte de risco de segurança e não serão certamente os últimos. Mas porque é que este grupo de utilizadores deixa uma organização exposta a ameaças à segurança e o que pode ser feito para mitigar o risco de um utilizador privilegiado?

O utilizador privilegiado na máquina

A pista para as ameaças à segurança colocadas pelos utilizadores privilegiados está no nome – privilegiados.

O acesso privilegiado é concedido a determinados tipos de funções ou grupos dentro de uma organização. As pessoas que têm acesso privilegiado necessitam de direitos de acesso adicionais aos dos utilizadores normais, porque gerem infra-estruturas de TI ou requerem acesso a recursos empresariais sensíveis, etc.

Mas, infelizmente, uma vez atribuído o acesso privilegiado, estes utilizadores têm as chaves do teu reino empresarial.

O problema do privilégio é que cria uma faca de dois gumes. Por um lado, estes utilizadores precisam de direitos adicionais para aceder a áreas seguras e sensíveis, mas estes direitos podem ser abusados, mal utilizados ou desviados.

A forma de resolver este problema é uma das áreas mais difíceis com que um departamento de TI tem de lidar. Alguns dos problemas com utilizadores de acesso privilegiado incluem:

Os utilizadores com acesso privilegiado são um alvo para os cibercriminosos

Aqueles que detêm a chave dos dados são os principais alvos. Os cibercriminosos concentram-se em determinadas funções e grupos dentro de uma organização para tirar partido dos seus direitos de acesso. Se um cibercriminoso conseguir obter esses direitos de acesso, pode movimentar-se numa organização, entrando em áreas sensíveis de uma rede, sem ser detectado.

Por este motivo, os utilizadores privilegiados tornam-se alvos de ataques de spear-phishing. Os hackers que criam campanhas de spear-phishing conhecem bem o seu alvo. Passam algum tempo a perceber quem são e a que estímulos reagem.

Departamentos como o de contas a pagar, por exemplo, são frequentemente vítimas de ataques de spear-phishing, porque podem potencialmente aceder a contas financeiras e transferir dinheiro. Para colocar isso em perspetiva, um relatório de 2019 da Symantec descobriu que os e-mails de spear-phishing foram usados por 65% de todos os grupos conhecidos que realizam ataques cibernéticos direcionados.

Gestão e controlo da conformidade

Os utilizadores privilegiados têm frequentemente acesso a permissões e controlos de segurança. Com o acesso vem o controlo. Se um utilizador privilegiado, mesmo que inadvertidamente, fizer uma alteração a uma permissão ou definição de segurança, isso pode fazer com que uma organização deixe de estar em conformidade com regulamentos como o RGPD do Reino Unido, DPA2018, PCI, etc.

O privilégio muda e evolui

Os utilizadores privilegiados deslocam-se frequentemente de uma organização para outra. Ao fazê-lo, os seus direitos de acesso podem ter de ser alterados. No entanto, fazer esta alteração pode ser complicado se não for cuidadosamente monitorizado.

Além disso, as pessoas que saem da empresa e que têm acesso privilegiado podem, muitas vezes, cair na rede de segurança, deixando a empresa e mantendo os direitos de acesso privilegiado. Um relatório da Hague Delta concluiu que as pessoas que deixam uma empresa representam a maior ameaça interna à exposição de dados. Além disso, o relatório concluiu que 89% dos que saem da empresa ainda têm acesso aos dados depois de deixarem a organização.

Formas de evitar abusos e contratempos de utilizadores privilegiados

Existem várias formas de reduzir o risco de ameaças internas associadas a utilizadores privilegiados. Aqui estão algumas das mais eficazes:

Gerir privilégios

Existe um princípio conhecido como “privilégio mínimo” que é um princípio fundamental de controlo numa organização. É mais ou menos assim: dá aos teus empregados apenas as permissões necessárias para fazerem o seu trabalho, e nada mais.

Uma maneira de fazer isto funcionar é ser granular na forma como defines as permissões. Assim, por exemplo, solicita permissões por aplicação em vez de globais e define os direitos de acesso com base num utilizador em vez de num grupo inteiro de utilizadores. Quanto mais direitos deres a alguém, maior é o risco.

Dá formação aos utilizadores privilegiados sobre engenharia social

Como os utilizadores privilegiados estão no centro das atenções dos cibercriminosos, são frequentemente atacados através da engenharia social. Os cibercriminosos utilizam normalmente a recolha de informações e a vigilância, visando os utilizadores privilegiados, para se prepararem para um ataque ou golpe ou para informar uma campanha de spear-phishing.

Educa os teus utilizadores privilegiados sobre o risco acrescido associado aos seus direitos de acesso e como detetar sinais de engenharia social utilizados para atingir utilizadores privilegiados.

Educa os utilizadores privilegiados sobre truques e tácticas de phishing

As campanhas de spear-phishing que visam utilizadores privilegiados podem ser extremamente difíceis de detetar. No entanto, se adaptar os modelos de simulação de phishing para refletir os sinais mais subtis de uma mensagem de spear-phishing, pode dar aos seus utilizadores privilegiados as ferramentas para ajudar a identificar mensagens suspeitas.

Estas simulações de spear-phishing devem ser utilizadas em combinação com a formação de sensibilização para a engenharia social.

Processo e política

Cria políticas formais para a emissão de contas de acesso privilegiado. Estas políticas devem ser concebidas para garantir a responsabilização. Devem também refletir o princípio do menor privilégio e oferecer orientações sobre a forma como os controlos de contas privilegiadas são determinados, utilizando revisões e aprovações formais através de uma hierarquia de partes interessadas.

As políticas e os processos para gerir, educar e controlar os utilizadores privilegiados devem ser uma parte fundamental da sua estratégia de segurança.

Credenciais robustas

Aplica uma política de autenticação robusta, multifactor e baseada no risco, à sua estratégia de segurança global. Isto ajuda como parte de uma estratégia global na mitigação de ameaças externas baseadas na tomada de controlo de contas privilegiadas.

Os utilizadores privilegiados são um elo fraco numa organização devido ao acesso a dados sensíveis e a sistemas informáticos. Mas os utilizadores privilegiados são necessários para o bom funcionamento de uma organização. Ao aplicar as melhores práticas aos utilizadores privilegiados, incluindo educação, processos e aplicação de políticas, uma organização pode reduzir o risco deste importante tipo de conta.