Il nemico interno: minacce interne attraverso l'abuso di accesso di autorizzazioni privilegiate. La mancanza di misure per controllare e limitare in modo granulare i diritti di accesso dei dipendenti rappresenta un rischio significativo per la sicurezza aziendale.La soluzione: implementare un approccio basato sul privilegio minimo.
Decifrare il codice, sconfiggere un boss o trovare una chiave smarrita sono tutti modi per salire di livello nei videogiochi. I giocatori ottengono quindi l'accesso a nuovi strumenti, poteri o altri componenti che alla fine li aiuteranno a vincere. Per molti versi, l'infrastruttura di rete è simile a un videogioco. I dipendenti hanno accesso a diversi livelli di informazioni e ricevono autorizzazioni specifiche in base al ruolo, all'anzianità o ad altri fattori. In genere, le informazioni sensibili ei sistemi critici sono riservati a utenti privilegiati come gli amministratori IT e di rete. Lo scopo della sicurezza aziendale è limitare le opportunità per i dipendenti regolari e gli aggressori esterni di passare al "livello successivo".
Tuttavia, la mancanza di misure per controllare in modo granulare e limitare i diritti di accesso dei dipendenti rappresenta un rischio significativo per la sicurezza aziendale.Di seguito è riportata una panoramica di quattro cause principali per l'abuso dei diritti privilegiati e le migliori pratiche per la protezione.
Mancanza di restrizioni di accesso a dati e sistemi sensibili
Una delle cause più comuni di una violazione dei dati è l'incapacità delle organizzazioni di limitare l'accesso a informazioni o sistemi sensibili. Maggiore è il numero di dipendenti che accedono alle risorse business-critical, maggiore è il rischio di fuga di dati. Ad esempio, senza controlli adeguati, un dipendente inconsapevole potrebbe scaricare un documento contenente informazioni sensibili dal server e condividerlo con altri membri del team, clienti, partner esterni o, nel peggiore dei casi, un utente malintenzionato in un attacco di spear phishing.
Minacce interne da dipendenti scontenti
Anche i dipendenti scontenti che sono stati licenziati o a cui è stato negato un aumento rappresentano un rischio elevato se le aziende non monitorano o limitano le loro identità digitali e le relative autorizzazioni. Se gli insider malintenzionati hanno accesso a dati, applicazioni e sistemi critici, possono rubare informazioni sensibili senza essere notati e venderle alla concorrenza o rendere disponibili al pubblico conoscenze privilegiate esplosive.
Scarsa igiene della password
Gli addetti ai lavori malintenzionati possono anche trarre vantaggio da password deboli. Secondo l'ultimo rapporto sulle password di NordPass, oltre 2,5 milioni di utenti utilizzano ancora "123456" come password. Rispetto agli aggressori esterni, gli addetti ai lavori hanno spesso una vasta conoscenza personale del loro obiettivo al fine di decifrare le credenziali di un account privilegiato e impersonare un utente legittimo.
Abuso di account privilegiati da parte di aggressori esterni
I criminali informatici sono sempre alla ricerca di modi per accedere a informazioni e sistemi riservati o manipolare dipendenti vulnerabili. Attraverso campagne di phishing, tecniche di ingegneria sociale, scanner digitali, sniffer di password o qualsiasi combinazione di questi metodi, gli hacker possono ottenere l'accesso alle credenziali di un dipendente e impersonare un utente legittimo. Una volta che un utente malintenzionato ottiene l'accesso, esplorerà il proprio ambiente, alla ricerca di modi per aumentare i propri privilegi di accesso per estrarre dati o utilizzare malware per sabotare processi aziendali critici.
Game over implementando un approccio di privilegio minimo
Che si tratti di un utente inconsapevole, di un insider malintenzionato o di un utente malintenzionato esterno che ottiene l'accesso a informazioni sensibili, le conseguenze possono essere devastanti per le organizzazioni.
Per evitare che i dipendenti ottengano un accesso eccessivo a sistemi e informazioni sensibili, le aziende dovrebbero prima identificare gli account amministrativi condivisi e conservarli in un deposito di password. Tutti gli altri utenti con privilegi dovrebbero disporre di controlli basati sul principio del privilegio minimo. Dovrebbe essere messo in atto un sistema per verificare chi sta richiedendo l'accesso, per quale motivo, e per determinare il rischio per la sicurezza dell'ambiente da cui ogni dipendente sta tentando di accedere. Pertanto, per porre fine agli aumenti inappropriati dei privilegi, le aziende dovrebbero attuare le seguenti misure:
1. Istituzione del privilegio minimo
Özkan Topal, direttore delle vendite di Thycotic Centrify
Ogni dipendente può potenzialmente essere vittima di un attacco informatico o diventare esso stesso un aggressore. L'architettura di sicurezza deve quindi essere strutturata di conseguenza. Le organizzazioni dovrebbero puntare a zero privilegi permanenti, il che significa chiudere l'accesso privilegiato ai dipendenti non appena un'attività è stata completata, in modo che non siano aperti agli attori delle minacce.
2. Controllo granulare delle risorse attraverso le zone di accesso
Nel caso di processi e compiti sensibili in particolare, si dovrebbe garantire che nessuna persona disponga di più diritti di accesso di quelli assolutamente necessari per il proprio lavoro. Le organizzazioni possono utilizzare le zone di accesso alle identità per legare i diritti di un utente alle risorse di cui hanno bisogno quotidianamente, in base al loro ruolo.
3. Implementazione dei workflow di richiesta di accesso e approvazione
Le organizzazioni dovrebbero controllare l'escalation dei privilegi attraverso una richiesta di accesso e un processo di approvazione in cui i dipendenti forniscano il motivo dell'elevazione dei privilegi temporanea desiderata. Ciò consente di tracciare chi ha approvato l'accesso e il contesto associato alla richiesta.
Un approccio alla sicurezza tradizionale, puramente perimetrale, oggi non è più sufficiente, poiché si deve sempre presumere che gli autori delle minacce siano già all'interno della rete aziendale. Adottando un approccio con privilegi minimi, controlli granulari sulle risorse attraverso le zone di accesso e implementando flussi di lavoro di richiesta e approvazione dell'accesso, le organizzazioni possono ridurre significativamente l'abuso di privilegi.
Altro su Centrify.com
Informazioni su Thycotic Centrify ThycoticCentrify è un fornitore leader di soluzioni per la sicurezza dell'identità nel cloud che consentono la trasformazione digitale su larga scala. Le soluzioni PAM (Privileged Access Management) leader del settore di ThycoticCentrify riducono i rischi, la complessità e i costi proteggendo i dati aziendali, i dispositivi e il codice in ambienti cloud, on-premise e ibridi. ThycoticCentrify è considerato affidabile da oltre 14.000 aziende leader in tutto il mondo, inclusa più della metà delle Fortune 100. I clienti includono le più grandi istituzioni finanziarie del mondo, agenzie di intelligence e società di infrastrutture critiche. Che si tratti di persone o macchine, nel cloud o on-premise, con ThycoticCentrify l'accesso privilegiato è sicuro.