Acesso privilegiado: proteja a joia da coroa

Quando uma violação acontece, a primeira pergunta que escutamos geralmente é “O que a empresa fez de errado?”. A resposta para essa questão é simples: depende. No entanto, sabemos que as empresas costumam cometer um erro comum ao permitir que usuários comuns tenham acesso à conta de administrador local.

Os hackers sabem muito bem tirar proveito disso, segundo o diretor de segurança sênior Jackson Shaw. “Os hackers estão tentando invadir, e estão usando as credenciais dos usuários. Eles ficam na expectativa até obter acesso por uma conta privilegiada”, explica Shaw.

O que devemos considerar por “contas privilegiadas”?

Contas de serviço e de administradores são alvos frequentes de ataque por causa do tipo de informação e das áreas infraestrutura a quem têm acesso. Esses usuários geralmente têm privilégios elevados em muitos sistemas e é comum que tenham a habilidade de mudar configurações e componentes da infraestrutura crítica.

Contas de executivos também podem ser consideradas privilegiadas, pois têm acesso a dados e comunicações altamente sensíveis. Recentemente, cada vez mais hacker tem tentado aplicar golpes de phishing em CEOs e outros executivos do C-level por causa de seu acesso a dados de propriedade intelectual, informações financeiras e informações pessoalmente identificáveis de clientes.

Como proteger o acesso a seus ativos mais preciosos

Padrões e frameworks de segurança já conhecidos, como o SANS Critical Security Controls, ISO 27001 e NIST Cybersecurity Framework, definem uma série de procedimentos para lidar com problemas comuns relacionados à cibersegurança. Veja algumas recomendações para lidar com o acesso privilegiado:

  • Monitore o uso de contas com privilégios administrativos
  • Remova privilégios de usuários que não precisam mais de acesso a informações críticas
  • Remova o excesso de privilégios e desabilite contas privilegiadas que não são mais necessárias

Mas isso é só o básico.

As empresas precisam implementar uma estratégia de gestão de contas privilegiadas e incorporá-la ao plano de proteção dos dados mais sensíveis da empresa. Confira alguns maneiras de fazer isso:

Faça um inventário das contas, usuários e grupos privilegiados e dos sistemas de arquivos

Pode haver centenas ou milhares de contas administrativas em seu ambiente. Além de identificá-las, é preciso localizar estruturas de grupos e usuários e permissões. Com essas informações, faça um mapeamento de diretórios e sistemas e o papel de cada usuário – o que podem acessar, como eles acessam e onde podem acessá-los.

Identifique os dados sensíveis

Faça uma varredura em seus sistemas de arquivos em busca de informações sensíveis com base em padrões, sequências de caracteres ou outro classificação. Assim, você descobre onde está sua joia da coroa e pode priorizar sua proteção.

Audite todos os sistemas de arquivos, e-mails e atividades de grupos e usuários

Auditar todos os arquivos e atividades não é uma tarefa fácil, especialmente com sistemas que produzem cada vez mais dados. No entanto, essa é uma etapa importante para estabelecer uma boa base de monitoramento de contas privilegiadas.

Sua equipe precisa conseguir responder as seguintes perguntas:

  • Quem adicionou esse usuário ao grupo de administradores, e quando?
  • O que esse usuário faz agora que tem acesso administrativos?
  • Quais arquivos ele abriu, criou, deletou, alterou ou mandou por e-mail?
  • Que outras mudanças ele fez no seus grupos de segurança?

Entender o uso dos dados é importante para identificar os proprietários dos dados, determinar possíveis vulnerabilidades e acelerar processos de recuperação e investigação digital forense durante um ataque cibernético.

Monitore o acesso privilegiado com o UBA

Depois de identificar contas privilegiadas, sua empresa pode contar com uma plataforma com user behaviour analytics (UBA) para monitorá-los. Essa tecnologia cria um modelo do que é o comportamento padrão de um usuário no ambiente e, quando detecta algo anormal (como arquivos de propriedade intelectual sendo copiados ou compartilhados), dispara um alerta para que os profissionais de segurança possam agir imediatamente, mitigando o risco de perdas.