03/29/2024

Atacuri de escaladare a privilegiilor, tehnici și instrumente de prevenire

Atacurile de escaladare a privilegiilor apar atunci când actorii răi exploatează configurațiile greșite, erorile, parolele slabe și alte vulnerabilități care le permit să acceseze activele protejate.

O exploatare tipică poate începe cu atacatorul care primește mai întâi acces la un cont cu privilegii de nivel scăzut. Odată conectați, atacatorii vor studia sistemul pentru a identifica alte vulnerabilități pe care le pot exploata în continuare. Apoi folosesc privilegiile pentru a uzurpa identitatea utilizatorilor reali, pentru a obține acces la resursele țintă și pentru a efectua diverse sarcini nedetectate.

Atacurile de escaladare a privilegiilor sunt fie verticale, fie orizontale.

Într-un tip vertical, atacatorul obține acces la un cont și apoi execută sarcini ca utilizatorul respectiv. Pentru tipul orizontal, atacatorul va obține mai întâi acces la unul sau mai multe conturi cu privilegii limitate, apoi va compromite sistemul pentru a obține mai multe permisiuni pentru a îndeplini roluri administrative.

Astfel de permisiuni le permit atacatorilor să efectueze sarcini administrative, să implementeze programe malware sau să facă alte activități nedorite. De exemplu, pot perturba operațiunile, pot modifica setările de securitate, pot fura date sau pot compromite sistemele astfel încât să lase ușile din spate deschise pentru a le exploata în viitor.

În general, la fel ca atacurile cibernetice, escaladarea privilegiilor exploatează vulnerabilitățile sistemului și proceselor din rețele, servicii și aplicații. Ca atare, este posibil să le preveniți prin implementarea unei combinații de bune practici și instrumente de securitate. În mod ideal, o organizație ar trebui să implementeze soluții care pot scana, detecta și preveni o gamă largă de vulnerabilități și amenințări de securitate potențiale și existente.

Cele mai bune practici pentru a preveni atacurile de escaladare a privilegiilor

Organizațiile trebuie să își protejeze toate sistemele și datele critice, precum și alte zone care pot părea neatractive pentru atacatori. Tot ceea ce are nevoie un atacator este să pătrundă într-un sistem. Odată înăuntru, ei pot căuta vulnerabilități pe care le exploatează în continuare pentru a obține permisiuni suplimentare. În afară de protejarea activelor împotriva amenințărilor externe, este la fel de important să se ia suficiente măsuri pentru a preveni atacurile interne.

În timp ce măsurile reale pot diferi în funcție de sisteme, rețele, mediu și alți factori, mai jos sunt câteva tehnici pe care organizațiile le pot utiliza pentru a-și securiza infrastructura.

Protejați-vă și scanați-vă rețeaua, sistemele și aplicațiile

Pe lângă implementarea unei soluții de securitate în timp real, este esențial să scanați în mod regulat toate componentele infrastructurii IT pentru vulnerabilități care ar putea permite pătrunderea noilor amenințări. În acest sens, puteți utiliza un scaner eficient de vulnerabilități pentru a găsi sisteme și aplicații de operare nepatchate și nesigure, configurări greșite, parole slabe și alte defecte pe care atacatorii le pot exploata.

Deși puteți utiliza diverse scanere de vulnerabilități pentru a identifica punctele slabe ale software-ului învechit, este de obicei dificil sau nu practic să actualizați sau să corectați toate sistemele. În special, aceasta este o provocare atunci când aveți de-a face cu componente vechi sau sisteme de producție la scară largă.

  Codurile taoiste nemuritoare: răscumpărați acum

Pentru astfel de cazuri, puteți implementa straturi de securitate suplimentare, cum ar fi firewall-uri pentru aplicații web (WAF) care detectează și opresc traficul rău intenționat la nivel de rețea. În mod obișnuit, WAF-ul va proteja sistemul de bază chiar și atunci când acesta nu este corectat sau depășit.

Gestionarea corectă a contului de privilegii

Este important să gestionați conturile privilegiate și să vă asigurați că toate sunt sigure, utilizate conform celor mai bune practici și nu expuse. Echipele de securitate trebuie să aibă un inventar al tuturor conturilor, unde există și pentru ce sunt folosite.

Alte măsuri includ

  • Minimizarea numărului și domeniului conturilor privilegiate, monitorizarea și păstrarea unui jurnal al activităților acestora.
  • Analizarea fiecărui utilizator sau cont privilegiat pentru a identifica și aborda orice riscuri, potențiale amenințări, surse și intențiile atacatorului
  • Moduri de atac majore și măsuri de prevenire
  • Urmați principiul celui mai mic privilegiu
  • Împiedicați administratorii să partajeze conturi și acreditări.

Monitorizați comportamentul utilizatorului

Analizând comportamentul utilizatorului se poate descoperi dacă există identități compromise. De obicei, atacatorii vor viza identitățile utilizatorilor care oferă acces la sistemele organizației. Dacă reușesc să obțină acreditările, se vor conecta în rețea și pot rămâne nedetectați pentru o perioadă de timp.

Deoarece este dificil să monitorizați manual comportamentul fiecărui utilizator, cea mai bună abordare este implementarea unei soluții de analiză a comportamentului utilizatorilor și entităților (UEBA). Un astfel de instrument monitorizează continuu activitatea utilizatorului în timp. Apoi creează o bază de comportament legitim pe care o folosește pentru a descoperi activități neobișnuite care indică un compromis.

Profilul rezultat conține informații precum locația, resursele, fișierele de date și serviciile pe care utilizatorul le accesează și frecvența, rețelele interne și externe specifice, numărul de gazde precum și procesele executate. Cu aceste informații, instrumentul poate identifica acțiunile suspecte sau parametrii care deviază de la linia de bază.

Politici puternice și aplicare a parolelor

Stabiliți și aplicați politici puternice pentru a vă asigura că utilizatorii au parole unice și greu de ghicit. În plus, utilizarea unei autentificări cu mai mulți factori adaugă un nivel suplimentar de securitate, depășind în același timp vulnerabilitățile care pot apărea atunci când este dificil să aplicați manual politici puternice de parole.

Echipele de securitate ar trebui să implementeze, de asemenea, instrumentele necesare, cum ar fi auditorii de parole, responsabilii de aplicare a politicilor și altele care pot scana sistemele, identifica și semnaliza parolele slabe sau pot solicita acțiuni. Instrumentele de aplicare se asigură că utilizatorii au parole puternice în ceea ce privește lungimea, complexitatea și politicile companiei.

Organizațiile pot folosi, de asemenea, instrumente de gestionare a parolelor de întreprindere pentru a ajuta utilizatorii să genereze și să utilizeze parole complexe și sigure care respectă politicile pentru serviciile care necesită autentificare.

Măsuri suplimentare, cum ar fi autentificarea cu mai mulți factori pentru deblocarea managerului de parole, îi sporesc și mai mult securitatea, făcând aproape imposibil pentru atacatori să acceseze acreditările salvate. Managerii de parole tipici de întreprindere includ Portar, Dashlane, 1 Parolă.

Dezinfectează intrările utilizatorilor și securizează bazele de date

Atacatorii pot folosi câmpuri de intrare vulnerabile ale utilizatorilor, precum și baze de date pentru a injecta cod rău intenționat, pentru a obține acces și pentru a compromite sistemele. Din acest motiv, echipele de securitate ar trebui să utilizeze cele mai bune practici, cum ar fi autentificarea puternică și instrumente eficiente pentru a proteja bazele de date și toate tipurile de câmpuri de introducere a datelor.

O bună practică este să criptați toate datele în tranzit și în repaus, pe lângă corectarea bazelor de date și igienizarea tuturor intrărilor de utilizator. Măsurile suplimentare includ lăsarea fișierelor cu doar citire și acordarea accesului de scriere grupurilor și utilizatorilor care le solicită.

  Cum se remediază corupția heap în modul Kernel – arhivă

Antrenează utilizatorii

Utilizatorii sunt veriga cea mai slabă din lanțul de securitate al unei organizații. Prin urmare, este important să-i împuterniciți și să-i instruiți cu privire la modul de a-și îndeplini sarcinile în siguranță. În caz contrar, un singur clic de la un utilizator poate duce la compromiterea unei întregi rețele sau a unui sistem. Unele dintre riscuri includ deschiderea de linkuri sau atașamente rău intenționate, vizitarea site-urilor web compromise, utilizarea parolelor slabe și multe altele.

În mod ideal, organizația ar trebui să aibă programe regulate de conștientizare a securității. În plus, ei ar trebui să aibă o metodologie pentru a verifica dacă instruirea este eficientă.

Instrumente de prevenire a atacurilor pentru escaladarea privilegiilor

Prevenirea atacurilor de escaladare a privilegiilor necesită o combinație de instrumente. Acestea includ, dar fără a se limita la, soluțiile de mai jos.

Soluție de analiză a comportamentului utilizatorilor și entităților (UEBA)

Exabeam

The Platforma de management al securității Exabeam este o soluție de analiză comportamentală bazată pe inteligență artificială, rapid și ușor de implementat, care ajută la urmărirea activităților utilizatorilor și ale contului în diferite servicii. De asemenea, puteți utiliza Exabeam pentru a ingera jurnalele din alte sisteme IT și instrumente de securitate, pentru a le analiza și pentru a identifica și semnala activități riscante, amenințări și alte probleme.

Caracteristicile includ

  • Înregistrarea și furnizarea de informații utile pentru investigarea incidentelor. Acestea includ toate sesiunile când un anumit cont sau utilizator a accesat un serviciu, un server sau o aplicație sau o resursă pentru prima dată, contul se conectează de la o nouă conexiune VPN, dintr-o țară neobișnuită etc.
  • Soluția scalabilă este aplicabilă pentru o singură instanță, cloud și implementări on-premise
  • Creează o cronologie cuprinzătoare care arată în mod clar calea completă a unui atacator pe baza contului normal și anormal sau a comportamentului utilizatorului.

Cynet 360

The Platforma Cynet 360 este o soluție cuprinzătoare care oferă analiză comportamentală, securitatea rețelei și a punctelor finale. Vă permite să creați profiluri de utilizator, inclusiv locațiile lor geografice, roluri, orele de lucru, modele de acces la resurse on-premise și bazate pe cloud etc.

Platforma ajută la identificarea activităților neobișnuite, cum ar fi;

  • Prima conectare la sistem sau resurse
  • Locație de conectare neobișnuită sau folosirea unei noi conexiuni VPN
  • Conexiuni multiple simultane la mai multe resurse într-un timp foarte scurt
  • Conturi care accesează resurse în afara orelor de program

Instrumente de securitate prin parolă

Auditor de parole

The auditor de parole instrumentele scanează numele de gazdă și adresele IP pentru a identifica automat acreditările slabe pentru serviciile de rețea și aplicațiile web, cum ar fi formularele web HTTP, MYSQL, FTP, SSH, RDP, routerele de rețea și altele care necesită autentificare. Apoi încearcă să se autentifice folosind combinațiile slabe și comune de nume de utilizator și parolă pentru a identifica și a alerta despre conturile cu acreditări slabe.

Password Manager Pro

The Manager de parole ManageEngine pro vă oferă o soluție cuprinzătoare de gestionare, control, monitorizare și auditare a contului privilegiat pe parcursul întregului său ciclu de viață. Poate gestiona contul privilegiat, certificatul SSL, accesul de la distanță, precum și sesiunea privilegiată.

Caracteristicile includ

  • Automatizează și impune resetări frecvente de parole pentru sisteme critice, cum ar fi servere, componente de rețea, baze de date și alte resurse
  • Stochează și organizează toate identitățile și parolele de cont privilegiate și sensibile într-un seif centralizat și securizat.
  • Permite organizațiilor să îndeplinească auditurile critice de securitate, precum și conformitatea cu standardele de reglementare, cum ar fi HIPAA, PCI, SOX și multe altele
  • Permite membrilor echipei să partajeze în siguranță parolele administrative.
  The Forest este pe Xbox One?

Scanere de vulnerabilitate

Invicti

Invicti este un scaner de vulnerabilități scalabil și automatizat și o soluție de management care se poate scala pentru a îndeplini cerințele oricărei organizații. Instrumentul poate scana rețele și medii complexe în timp ce se integrează perfect cu alte sisteme, inclusiv soluțiile CI/CD, SDLC și altele. Are capabilități avansate și este optimizat pentru a scana și identifica vulnerabilități în medii și aplicații complexe.

În plus, puteți utiliza Invicti pentru a testa serverele web pentru configurări greșite de securitate pe care atacatorii le pot exploata. În general, instrumentul identifică injecțiile SQL, includerea fișierelor de la distanță, Cross-site Scripting (XSS) și alte vulnerabilități OWASP Top-10 în aplicații web, servicii web, pagini web, API-uri și multe altele.

Acunetix

Acunetix este o soluție cuprinzătoare cu scanare, gestionare a vulnerabilităților și o integrare ușoară cu alte instrumente de securitate. Ajută la automatizarea sarcinilor de gestionare a vulnerabilităților, cum ar fi scanarea și remedierea, permițându-vă astfel să economisiți resurse.

Caracteristicile includ;

  • Se integrează cu alte instrumente, cum ar fi Jenkins, instrumente de urmărire a problemelor terțelor, cum ar fi GitHub, Jira, Mantis și multe altele.
  • Opțiuni de implementare on-premise și cloud
  • Personalizat pentru a se potrivi mediului și cerințelor clientului, precum și suport multiplatform.
  • Identificați și răspundeți rapid la o gamă largă de probleme de securitate, inclusiv atacuri web obișnuite, Cross-site Scripting (XSS), injecții SQL, malware, configurări greșite, active expuse etc.

Soluții software de gestionare a accesului privilegiat (PAM).

JumpCloud

Jumpcloud este o soluție Directory as a Service (DaaS) care autentifică în siguranță și conectează utilizatorii la rețele, sisteme, servicii, aplicații și fișiere. În general, directorul scalabil, bazat pe cloud, este un serviciu care gestionează, autentifică și autorizează utilizatorii, aplicațiile și dispozitivele.

Caracteristicile includ;

  • Acesta creează un director autorizat securizat și centralizat
  • Suportă gestionarea accesului utilizatorilor pe mai multe platforme
  • Oferă funcții de conectare unică care acceptă controlul accesului utilizatorilor la aplicații prin LDAP, SCIM și SAML 2.0
  • Oferă acces securizat la serverele on-premise și cloud
  • Acceptă autentificarea cu mai mulți factori
  • Are administrare automată a securității și a funcțiilor conexe, cum ar fi înregistrarea evenimentelor, scripting, management API, PowerShell și multe altele

Ping Identity

Ping Identity este o platformă inteligentă care oferă autentificare cu mai mulți factori, conectare unică, servicii de director și multe altele. Acesta permite organizațiilor să îmbunătățească securitatea și experiența identității utilizatorilor.

Caracteristici

  • Conectare unică care oferă autentificare și acces sigur și fiabil la servicii
  • Autentificare cu mai mulți factori care adaugă straturi de securitate suplimentare
  • Guvernanță îmbunătățită a datelor și capacitatea de a respecta reglementările privind confidențialitatea
  • Un director de servicii care asigură gestionarea securizată a identităților și datelor utilizatorilor la scară
  • Opțiuni flexibile de implementare în cloud, cum ar fi Identity-as-a-Service (IDaaS), software în containere etc.

Foxpass

Foxpass este o soluție scalabilă de control al identității și al accesului la nivel de întreprindere pentru implementări on-premise și cloud. Oferă funcții de gestionare a cheilor RADIUS, LDAP și SSH, care asigură că fiecare utilizator accesează numai anumite rețele, servere, VPN-uri și alte servicii la momentul permis.

Instrumentul se poate integra perfect cu alte servicii, cum ar fi Office 365, Google Apps și multe altele.

Manager de secrete AWS

Manager de secrete AWS vă oferă un mijloc de încredere și eficient pentru a securiza secretele necesare pentru a accesa serviciul, aplicațiile și alte resurse. Vă permite să gestionați, să rotiți și să preluați cu ușurință cheile API, acreditările bazei de date și alte secrete.

Există mai multe soluții de management secret pe care le puteți explora.

Concluzie

La fel ca atacurile cibernetice, escaladarea privilegiilor exploatează sistemul și procesează vulnerabilitățile din rețele, servicii și aplicații. Ca atare, este posibil să le preveniți prin implementarea instrumentelor și practicilor de securitate potrivite.

Măsurile eficiente includ aplicarea celor mai puține privilegii, parole puternice și politici de autentificare, protejarea datelor sensibile, reducerea suprafeței de atac, securizarea acreditărilor conturilor și multe altele. Alte măsuri includ menținerea tuturor sistemelor, software-ului și firmware-ului la zi și corectate, monitorizarea comportamentului utilizatorilor și instruirea utilizatorilor cu privire la practicile de calcul sigure.