Os utilizadores privilegiados têm acesso adicional a recursos empresariais e sistemas informáticos; estas contas estão abertas a abusos, contratempos e exploração, e são um tipo de ameaça privilegiada.
Estes direitos de acesso adicionais significaram que um recente inquérito Bitglass "Spies in the Enterprise" identificou os utilizadores privilegiados como a maior fonte de risco dentro de uma organização.
Um relatório da Gurucul, concorda com isto, concluindo que 63% das organizações acreditam que os utilizadores privilegiados de TI representam a maior ameaça interna.
Estes dois relatórios não são os primeiros a descobrir que os utilizadores privilegiados são uma fonte de risco de segurança e certamente não serão os últimos. Mas porque é que este grupo de utilizadores deixa uma organização aberta a ameaças à segurança e o que pode ser feito para mitigar o risco de um utilizador privilegiado?
O Utilizador Privilegiado na Máquina
A pista para as ameaças à segurança colocadas por utilizadores privilegiados está no nome - privilegiado.
É dado acesso privilegiado a certos tipos de papéis ou grupos dentro de uma organização. Os indivíduos que possuem acesso privilegiado, necessitam de direitos de acesso adicionais a utilizadores normais porque gerem infra-estruturas de TI, ou necessitam de acesso a recursos empresariais sensíveis, etc.
Mas, infelizmente, uma vez atribuído o acesso privilegiado, estes utilizadores têm as chaves do seu reino empresarial.
O problema com o privilégio é que ele cria uma espada de dois gumes. Por um lado, estes utilizadores precisam de direitos adicionais para aceder a áreas seguras e sensíveis, mas estes direitos têm o potencial de serem abusados, mal utilizados, ou desviados.
Como conciliar esta ronda é uma das áreas mais difíceis com que um departamento de TI deve lidar. Algumas das questões com utilizadores de acesso privilegiado incluem:
Utilizadores de Acesso Privilegiado são um alvo para os Cibercriminosos
Aqueles que possuem a chave dos dados são os alvos principais. Os cibercriminosos concentrar-se-ão em determinados papéis e grupos dentro de uma organização para tirar partido dos seus direitos de acesso. Se um cibercriminoso conseguir obter esses direitos de acesso, pode deslocar-se por uma organização, entrando em áreas sensíveis de uma rede, sem ser detectado.
Devido a isto, os utilizadores privilegiados tornam-se alvos de ataques de caça submarina. Os hackers que criam campanhas de spear-phishing conhecem bem o seu alvo. Passam o tempo a compreender quem são e a que é que desencadeia a sua reacção.
Departamentos como as contas a pagar, por exemplo, são frequentemente vítimas de ataques de pesca submarina, porque podem potencialmente aceder a contas financeiras e transferir dinheiro. Para pôr isto em perspectiva, um relatório de 2019 da Symantec descobriu que os e-mails de pesca submarina eram utilizados por 65% de todos os grupos conhecidos que realizavam ataques cibernéticos direccionados.
Gestão e Controlo de Conformidade
Os utilizadores privilegiados têm frequentemente acesso a permissões e controlos de segurança. Com o acesso vem o controlo. Se um utilizador privilegiado, mesmo inadvertidamente, fizer uma alteração a uma permissão ou configuração de segurança, isto pode mover uma organização para fora do cumprimento de regulamentos como o GDPR do Reino Unido, DPA2018, PCI, etc.
Mudanças e Evoluções dos Privilégios
Os utilizadores privilegiados deslocam-se frequentemente por uma organização. Ao fazê-lo, os seus direitos de acesso podem ter de mudar. No entanto, fazer esta mudança pode ser complicado se não for cuidadosamente monitorizado.
Além disso, os que saem da empresa, que têm acesso privilegiado, podem muitas vezes cair pela rede de segurança, deixando uma empresa enquanto ainda mantém direitos de acesso privilegiado. Um relatório do Delta de Haia descobriu que aqueles que deixam uma empresa representam a maior ameaça interna à exposição de dados. Além disso, o relatório concluiu que 89% dos que abandonam a empresa ainda têm acesso aos dados após deixarem a organização.
Formas de prevenir abusos e contratempos de utilizadores privilegiados
Existem várias formas de desarrolhar as ameaças internas associadas a utilizadores privilegiados. Aqui estão algumas das mais eficazes:
Gerir Privilégios
Há um princípio conhecido como "menor privilégio" que é um princípio fundamental de controlo numa organização. É algo do género: dê aos seus empregados apenas as permissões necessárias para fazer o seu trabalho, e não mais.
Uma forma de fazer este trabalho é ser granular na forma como se estabelecem as permissões. Assim, por exemplo, solicitar permissões numa base per capita em vez de global e estabelecer direitos de acesso com base num utilizador em vez de num grupo inteiro de utilizadores. Quanto mais direitos der a alguém, maior será o risco.
Formar Utilizadores Privilegiados Sobre Engenharia Social
Porque os utilizadores privilegiados estão no centro das atenções dos cibercriminosos, estão frequentemente sob ataque utilizando a engenharia social. Os cibercriminosos utilizam normalmente a recolha e vigilância de informações, visando utilizadores privilegiados, para se prepararem para um ataque ou esquema ou para informar uma campanha de pesca submarina.
Eduque os seus utilizadores privilegiados sobre o elevado risco associado aos seus direitos de acesso e como detectar os sinais de engenharia social usados para atingir os utilizadores privilegiados.
Educar Utilizadores Privilegiados em Truques e Tácticas de Phishing
As campanhas de Spear-phishing que visam utilizadores privilegiados podem ser extremamente difíceis de detectar. No entanto, se adaptar os modelos de simulação de phishing para reflectir os sinais mais subtis de uma mensagem de spear-phishing, pode dar aos seus utilizadores privilegiados as ferramentas para ajudar a identificar mensagens suspeitas.
Estas simulações de spear-phishing devem ser utilizadas em combinação com formação de sensibilização em engenharia social.
Processo e política
Criar políticas formais em torno da emissão de contas de acesso privilegiado. Estas políticas devem ser concebidas para impor a responsabilização. Devem também reflectir o princípio do privilégio mínimo e oferecer orientação sobre como os controlos de contas privilegiados são determinados, utilizando revisões e aprovações formais através de uma hierarquia de partes interessadas.
Políticas e processos para gerir, educar, e controlar utilizadores privilegiados, devem ser uma parte fundamental da sua estratégia de segurança.
Credenciais Robustas
Aplique uma política de autenticação robusta, multi-factor, e baseada no risco, à sua estratégia global de segurança. Isto ajuda como parte de uma estratégia global na mitigação de ameaças externas com base na tomada de conta privilegiada por parte de quem está por dentro.
Os utilizadores privilegiados são um elo fraco numa organização devido ao acesso a dados sensíveis e sistemas informáticos. Mas os utilizadores privilegiados são necessários para o bom funcionamento de uma organização. Ao aplicar as melhores práticas a utilizadores privilegiados, incluindo a educação, os processos e a aplicação de políticas, uma organização pode desriscar este importante tipo de conta.
