Quando uma violação acontece, a primeira pergunta que escutamos geralmente é “O que a empresa fez de errado?”. A resposta para essa questão é simples: depende. No entanto, sabemos que as empresas costumam cometer um erro comum ao permitir que usuários comuns tenham acesso à conta de administrador local.
Os hackers sabem muito bem tirar proveito disso, segundo o diretor de segurança sênior Jackson Shaw. “Os hackers estão tentando invadir, e estão usando as credenciais dos usuários. Eles ficam na expectativa até obter acesso por uma conta privilegiada”, explica Shaw.
O que devemos considerar por “contas privilegiadas”?
Contas de serviço e de administradores são alvos frequentes de ataque por causa do tipo de informação e das áreas infraestrutura a quem têm acesso. Esses usuários geralmente têm privilégios elevados em muitos sistemas e é comum que tenham a habilidade de mudar configurações e componentes da infraestrutura crítica.
Contas de executivos também podem ser consideradas privilegiadas, pois têm acesso a dados e comunicações altamente sensíveis. Recentemente, cada vez mais hacker tem tentado aplicar golpes de phishing em CEOs e outros executivos do C-level por causa de seu acesso a dados de propriedade intelectual, informações financeiras e informações pessoalmente identificáveis de clientes.
Como proteger o acesso a seus ativos mais preciosos
Padrões e frameworks de segurança já conhecidos, como o SANS Critical Security Controls, ISO 27001 e NIST Cybersecurity Framework, definem uma série de procedimentos para lidar com problemas comuns relacionados à cibersegurança. Veja algumas recomendações para lidar com o acesso privilegiado:
Mas isso é só o básico.
As empresas precisam implementar uma estratégia de gestão de contas privilegiadas e incorporá-la ao plano de proteção dos dados mais sensíveis da empresa. Confira alguns maneiras de fazer isso:
Faça um inventário das contas, usuários e grupos privilegiados e dos sistemas de arquivos
Pode haver centenas ou milhares de contas administrativas em seu ambiente. Além de identificá-las, é preciso localizar estruturas de grupos e usuários e permissões. Com essas informações, faça um mapeamento de diretórios e sistemas e o papel de cada usuário – o que podem acessar, como eles acessam e onde podem acessá-los.
Identifique os dados sensíveis
Faça uma varredura em seus sistemas de arquivos em busca de informações sensíveis com base em padrões, sequências de caracteres ou outro classificação. Assim, você descobre onde está sua joia da coroa e pode priorizar sua proteção.
Audite todos os sistemas de arquivos, e-mails e atividades de grupos e usuários
Auditar todos os arquivos e atividades não é uma tarefa fácil, especialmente com sistemas que produzem cada vez mais dados. No entanto, essa é uma etapa importante para estabelecer uma boa base de monitoramento de contas privilegiadas.
Sua equipe precisa conseguir responder as seguintes perguntas:
Entender o uso dos dados é importante para identificar os proprietários dos dados, determinar possíveis vulnerabilidades e acelerar processos de recuperação e investigação digital forense durante um ataque cibernético.
Monitore o acesso privilegiado com o UBA
Depois de identificar contas privilegiadas, sua empresa pode contar com uma plataforma com user behaviour analytics (UBA) para monitorá-los. Essa tecnologia cria um modelo do que é o comportamento padrão de um usuário no ambiente e, quando detecta algo anormal (como arquivos de propriedade intelectual sendo copiados ou compartilhados), dispara um alerta para que os profissionais de segurança possam agir imediatamente, mitigando o risco de perdas.