Quando uma violação acontece, a primeira pergunta que escutamos geralmente é “O que a empresa fez de errado?”. A resposta para essa questão é simples: depende. No entanto, sabemos que as empresas costumam cometer um erro comum ao permitir que usuários comuns tenham acesso à conta de administrador local.
Os hackers sabem muito bem tirar proveito disso, segundo o diretor de segurança sênior Jackson Shaw. “Os hackers estão tentando invadir, e estão usando as credenciais dos usuários. Eles ficam na expectativa até obter acesso por uma conta privilegiada”, explica Shaw.
O que devemos considerar por “contas privilegiadas”?
Contas de serviço e de administradores são alvos frequentes de ataque por causa do tipo de informação e das áreas infraestrutura a quem têm acesso. Esses usuários geralmente têm privilégios elevados em muitos sistemas e é comum que tenham a habilidade de mudar configurações e componentes da infraestrutura crítica.
Contas de executivos também podem ser consideradas privilegiadas, pois têm acesso a dados e comunicações altamente sensíveis. Recentemente, cada vez mais hacker tem tentado aplicar golpes de phishing em CEOs e outros executivos do C-level por causa de seu acesso a dados de propriedade intelectual, informações financeiras e informações pessoalmente identificáveis de clientes.
Como proteger o acesso a seus ativos mais preciosos
Padrões e frameworks de segurança já conhecidos, como o SANS Critical Security Controls, ISO 27001 e NIST Cybersecurity Framework, definem uma série de procedimentos para lidar com problemas comuns relacionados à cibersegurança. Veja algumas recomendações para lidar com o acesso privilegiado:
- Monitore o uso de contas com privilégios administrativos
- Remova privilégios de usuários que não precisam mais de acesso a informações críticas
- Remova o excesso de privilégios e desabilite contas privilegiadas que não são mais necessárias
Mas isso é só o básico.
As empresas precisam implementar uma estratégia de gestão de contas privilegiadas e incorporá-la ao plano de proteção dos dados mais sensíveis da empresa. Confira alguns maneiras de fazer isso:
Faça um inventário das contas, usuários e grupos privilegiados e dos sistemas de arquivos
Pode haver centenas ou milhares de contas administrativas em seu ambiente. Além de identificá-las, é preciso localizar estruturas de grupos e usuários e permissões. Com essas informações, faça um mapeamento de diretórios e sistemas e o papel de cada usuário – o que podem acessar, como eles acessam e onde podem acessá-los.
Identifique os dados sensíveis
Faça uma varredura em seus sistemas de arquivos em busca de informações sensíveis com base em padrões, sequências de caracteres ou outro classificação. Assim, você descobre onde está sua joia da coroa e pode priorizar sua proteção.
Audite todos os sistemas de arquivos, e-mails e atividades de grupos e usuários
Auditar todos os arquivos e atividades não é uma tarefa fácil, especialmente com sistemas que produzem cada vez mais dados. No entanto, essa é uma etapa importante para estabelecer uma boa base de monitoramento de contas privilegiadas.
Sua equipe precisa conseguir responder as seguintes perguntas:
- Quem adicionou esse usuário ao grupo de administradores, e quando?
- O que esse usuário faz agora que tem acesso administrativos?
- Quais arquivos ele abriu, criou, deletou, alterou ou mandou por e-mail?
- Que outras mudanças ele fez no seus grupos de segurança?
Entender o uso dos dados é importante para identificar os proprietários dos dados, determinar possíveis vulnerabilidades e acelerar processos de recuperação e investigação digital forense durante um ataque cibernético.
Monitore o acesso privilegiado com o UBA
Depois de identificar contas privilegiadas, sua empresa pode contar com uma plataforma com user behaviour analytics (UBA) para monitorá-los. Essa tecnologia cria um modelo do que é o comportamento padrão de um usuário no ambiente e, quando detecta algo anormal (como arquivos de propriedade intelectual sendo copiados ou compartilhados), dispara um alerta para que os profissionais de segurança possam agir imediatamente, mitigando o risco de perdas.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.
