La recente violazione di Twitter che ha compromesso diversi account di alto profilo ne è un altro esempio lampante.
L'accesso privilegiato è una parte fondamentale del movimento laterale nei cyberattacchi perché gli account privilegiati hanno la più ampia gamma di accesso alle informazioni critiche, rendendoli le risorse più preziose per gli aggressori. Gli avversari sfruttano gli account privilegiati per ottenere un accesso non autorizzato utilizzando diverse tecniche, che vanno dal furto di credenziali, all'abuso di protocolli, all'ingegneria sociale, al malware, al phishing, alla spruzzatura di password, o semplicemente indovinando nomi di account e password semplici e predefiniti.
C'è poi la minaccia di un uso improprio da parte di un dipendente, noto come rogue insider, che provoca intenzionalmente danni o ruba dati. Oppure problemi semplici come l'errore di configurazione di un dipendente autorizzato che espone account o sistemi. Sia gli avversari che i professionisti della sicurezza sono consapevoli dell'esposizione e del rischio dell'accesso privilegiato.
Un recente rapporto di Gartner rivela che l'accesso privilegiato è la priorità assoluta tra i professionisti della sicurezza. Inoltre, Forrester stima che l'80% delle violazioni della sicurezza riguardi gli account privilegiati. In effetti, quasi tutte le violazioni comportano una qualche forma di abuso degli accessi privilegiati.
A parte i casi di insider disonesti o di dipendenti ingannati, l'uso illegittimo di strumenti di amministrazione da parte di utenti legittimi è difficile da rilevare, ed è per questo che l'accesso privilegiato rimane un vettore di attacco critico in così tante violazioni.
L'attacco di alto profilo a Twitter sembra avere un successo limitato in termini di guadagno finanziario, ma per ovvie ragioni ha un impatto significativo in termini di visibilità e di potenziale danno alla reputazione del marchio. Nelle prossime ore e nei prossimi giorni, gli addetti alla risposta agli incidenti lavoreranno duramente per individuare la totalità della compromissione e per cercare qualsiasi prova di orchestrazione remota, nel caso in cui gli aggressori siano riusciti a penetrare e a persistere all'interno dei sistemi di Twitter.
Nel rapporto Spotlight di Vectra 2020: Does privileged access equal trusted access?, è emerso che le organizzazioni del settore finanziario e assicurativo, della sanità e dell'istruzione hanno mostrato il maggior numero di comportamenti anomali di accesso ai privilegi in nove diversi settori. Questi tre settori insieme rappresentano quasi la metà (47%) di tutti i comportamenti anomali di accesso ai privilegi rilevati.
La piattaforma Vectra Cognito adotta un approccio osservazionale che si concentra sulle entità privilegiate e fornisce funzionalità di rilevamento che evidenziano questi comportamenti dannosi laddove le misure preventive sono insufficienti.
Che sia guidato da un insider o da un attore esterno, il privilegio osservato è indispensabile come ulteriore punto critico per stabilire e comprendere una linea di base di comportamenti. Se siete pronti a cambiare il vostro approccio al monitoraggio e alla protezione delle entità privilegiate, contattateci per vedere una demo.