Los administradores de las infraestructuras tecnológicas con frecuencia son llamados sysadmin. Estas personas son quienes se encargan de manejar a todos los usuarios y servicios de una empresa. Los usuarios son los empleados de las empresas que utilizan sus credenciales para autenticarse a sus equipos de tal manera que puedan trabajar en su día a día. Los servicios son usuarios especiales en los que se permite utilizar la web, teléfono, aplicación web, carpetas compartidas, etc. Estas credenciales son complejas y usualmente son estáticas, por lo que no se realizan cambios constantes de credenciales.
Un usuario de una empresa debe de tener permisos limitados con el motivo de solo tener acceso a los recursos necesarios para que puedan llevar acabo su trabajo. Esto se refiere cuando un usuario no tiene acceso a ciertas carpetas compartidas, acceso a servidores, ejecutar otras aplicaciones que no son las permitidas (ej. Comando de línea). Esto es de suma importancia, mantener este tipo de control, ya que si unas credenciales de un usuario de la empresa son comprometidas, el atacante solo tendría permisos limitados. Esto seria la segunda defensa de una infraestructura si el usuario fue comprometido en una campaña phishing.
Una cuenta de servicio debe estar igual de limitada que un usuario normal. Aunque existen momentos que ciertos servicios requerían permisos adicionales, en los cuales, si son comprometidas, pueden afectar la confidencialidad, integridad y disponibilidad de la infraestructura. Entonces, si contiene permisos de un usuario administrativo es de suma importancia monitorear estos servicios específicos. Lo ideal es realizar cambios de credenciales cada cierto tiempo para evitar la reutilización de credenciales de este servicio.
Uno de los primeros pasos de un ciberdelincuente, al momento de conseguir acceso a una infraestructura de una empresa, es verificar los servicios que estén ejecutándose con el propósito de robar las credenciales de estas cuentas de servicios. Es aquí que una brecha de seguridad puede convertirse de nivel medio a un nivel crítico si estas cuentas de servicios están siendo ejecutadas desde un equipo que fue comprometido. Por eso es la importancia de un monitoreo constante de donde se están autenticando estas cuentas de servicios. Al final, una de las maneras con las que se puede evitar estos escalamientos de privilegios es monitoreando cambios de credenciales constantemente y limitar de manera correcta a cada usuario.