Privilege-eskaleringsangrep, forebyggingsteknikker og verktøy

by
Tweet
Share
Share
Pin
0 Shares

Privilege-eskaleringsangrep oppstår når dårlige aktører utnytter feilkonfigurasjoner, feil, svake passord og andre sårbarheter som lar dem få tilgang til beskyttede eiendeler.

En typisk utnyttelse kan starte med at angriperen først får tilgang til en lav-nivå privilegiekonto. Når angripere er logget på vil de studere systemet for å identifisere andre sårbarheter de kan utnytte ytterligere. De bruker deretter privilegiene til å etterligne de faktiske brukerne, få tilgang til målressurser og utføre ulike oppgaver uoppdaget.

Privilegeeskaleringsangrep er enten vertikale eller horisontale.

I en vertikal type får angriperen tilgang til en konto og utfører deretter oppgaver som den brukeren. For den horisontale typen vil angriperen først få tilgang til en eller flere kontoer med begrensede privilegier, og deretter kompromittere systemet for å få flere tillatelser til å utføre administrative roller.

Slike tillatelser gjør det mulig for angriperne å utføre administrative oppgaver, distribuere skadelig programvare eller gjøre andre uønskede aktiviteter. For eksempel kan de forstyrre operasjoner, endre sikkerhetsinnstillinger, stjele data eller kompromittere systemene slik at de lar åpne bakdører for å utnytte dem i fremtiden.

Generelt, akkurat som cyberangrepene, utnytter rettighetseskalering systemet og prosesssårbarhetene i nettverkene, tjenestene og applikasjonene. Som sådan er det mulig å forhindre dem ved å implementere en kombinasjon av god sikkerhetspraksis og verktøy. En organisasjon bør ideelt sett implementere løsninger som kan skanne, oppdage og forhindre et bredt spekter av potensielle og eksisterende sikkerhetssårbarheter og trusler.

Beste praksis for å forhindre eskaleringsangrep av privilegier

Organisasjoner må beskytte alle sine kritiske systemer og data, så vel som andre områder som kan virke lite attraktive for angriperne. Alt en angriper krever er å trenge inn i et system. Når de er inne, kan de se etter sårbarheter som de utnytter ytterligere for å få ytterligere tillatelser. Bortsett fra å beskytte eiendelene mot eksterne trusler, er det like viktig å sette inn nok tiltak for å forhindre interne angrep.

Selv om faktiske mål kan variere i henhold til systemene, nettverkene, miljøet og andre faktorer, er det noen teknikker som organisasjoner kan bruke for å sikre infrastrukturen nedenfor.

Beskytt og skann nettverket, systemene og applikasjonene dine

I tillegg til å distribuere en sanntids sikkerhetsløsning, er det viktig å regelmessig skanne alle komponentene i IT-infrastrukturen for sårbarheter som kan tillate nye trusler å trenge gjennom. Mot dette kan du bruke en effektiv sårbarhetsskanner for å finne uopprettede og usikre operativsystemer og applikasjoner, feilkonfigurasjoner, svake passord og andre feil som angripere kan utnytte.

Mens du kan bruke ulike sårbarhetsskannere for å identifisere svakheter i utdatert programvare, er det vanligvis vanskelig eller ikke praktisk å oppdatere eller lappe alle systemene. Spesielt er dette en utfordring når man arbeider med eldre komponenter eller storskala produksjonssystemer.

  Hvordan bli en Google Ads-spesialist: 9 nettkurs

I slike tilfeller kan du distribuere ytterligere sikkerhetslag som nettapplikasjonsbrannmurer (WAF) som oppdager og stopper ondsinnet trafikk på nettverksnivå. Vanligvis vil WAF beskytte det underliggende systemet selv når det er uoppdatert eller utdatert.

Riktig privilegium kontoadministrasjon

Det er viktig å administrere de privilegerte kontoene og sørge for at de alle er sikre, brukt i henhold til beste praksis og ikke eksponert. Sikkerhetsteamene må ha en oversikt over alle kontoene, hvor de finnes og hva de brukes til.

Andre tiltak inkluderer

  • Minimere antallet og omfanget av de privilegerte kontoene, overvåke og føre en logg over aktivitetene deres.
  • Analysere hver privilegert bruker eller konto for å identifisere og adressere eventuelle risikoer, potensielle trusler, kilder og angriperens hensikter
  • Store angrepsmåter og forebyggende tiltak
  • Følg minste privilegium-prinsippet
  • Hindre administratorer fra å dele kontoer og legitimasjon.

Overvåke brukeradferd

Å analysere brukeratferd kan oppdage om det er kompromitterte identiteter. Vanligvis vil angriperne målrette brukeridentitetene som gir tilgang til organisasjonens systemer. Hvis de lykkes med å få legitimasjonen, vil de logge på nettverket og kan forbli uoppdaget en stund.

Siden det er vanskelig å manuelt overvåke hver brukers atferd, er den beste tilnærmingen å implementere en løsning for bruker- og entitetsatferdsanalyse (UEBA). Et slikt verktøy overvåker kontinuerlig brukeraktivitet over tid. Deretter oppretter den en legitim atferdsgrunnlinje som den bruker til å oppdage uvanlige aktiviteter som indikerer et kompromiss.

Den resulterende profilen inneholder informasjon som plassering, ressurser, datafiler og tjenester brukeren får tilgang til og frekvens, de spesifikke interne og eksterne nettverkene, antall verter samt utførte prosesser. Med denne informasjonen kan verktøyet identifisere mistenkelige handlinger eller parametere som avviker fra grunnlinjen.

Sterke passordpolitikk og håndhevelse

Etabler og håndhev sterke retningslinjer for å sikre at brukerne har unike passord som er vanskelige å gjette. I tillegg gir bruk av en multifaktorautentisering et ekstra lag med sikkerhet samtidig som man overvinner sårbarhetene som kan oppstå når det er vanskelig å håndheve sterke passordpolicyer manuelt.

Sikkerhetsteam bør også distribuere de nødvendige verktøyene som passordrevisorer, policyhåndhevere og andre som kan skanne systemer, identifisere og flagge svake passord eller be om handling. Håndhevingsverktøyene sikrer at brukerne har sterke passord når det gjelder lengde, kompleksitet og selskapets retningslinjer.

Organisasjoner kan også bruke passordadministrasjonsverktøy for bedrifter for å hjelpe brukere med å generere og bruke komplekse og sikre passord som overholder retningslinjer for tjenester som krever autentisering.

Ytterligere tiltak som multifaktorautentisering for å låse opp passordbehandleren forbedrer sikkerheten ytterligere og gjør det nesten umulig for angripere å få tilgang til den lagrede legitimasjonen. Typiske bedriftspassordbehandlere inkluderer Keeper, Dashlane, 1Passord.

Rengjør brukerinndata og sikre databasene

Angriperne kan bruke sårbare brukerinndatafelter så vel som databaser for å injisere ondsinnet kode, få tilgang og kompromittere systemene. Av denne grunn bør sikkerhetsteam bruke beste praksis som sterk autentisering og effektive verktøy for å beskytte databasene og alle slags datainndatafelt.

En god praksis er å kryptere alle data under overføring og hvile i tillegg til å lappe databasene og rense alle brukerinndata. Ytterligere tiltak inkluderer å la filer være skrivebeskyttet og gi skrivetilgang til gruppene og brukerne som trenger dem.

  Slik sletter du kontakter fra iPhone

Tren brukere

Brukerne er det svakeste leddet i en organisasjons sikkerhetskjede. Det er derfor viktig å styrke dem og lære dem hvordan de skal utføre oppgavene sine sikkert. Ellers kan et enkelt klikk fra en bruker føre til kompromittering av et helt nettverk eller system. Noen av risikoene inkluderer å åpne ondsinnede lenker eller vedlegg, besøke kompromitterte nettsteder, bruke svake passord og mer.

Ideelt sett bør organisasjonen ha regelmessige sikkerhetsbevissthetsprogrammer. Videre bør de ha en metodikk for å bekrefte at opplæringen er effektiv.

Privilege-eskalering angriper forebyggende verktøy

For å forhindre privilegieeskaleringsangrepene krever en kombinasjon av verktøy. Disse inkluderer, men ikke begrenset til, løsningene nedenfor.

User and Entity Behavior Analytics-løsning (UEBA)

Exabeam

De Exabeam Security Management Platform er en rask og enkel å distribuere en AI-basert atferdsanalyseløsning som hjelper til med å spore bruker- og kontoaktiviteter på tvers av forskjellige tjenester. Du kan også bruke Exabeam til å innta loggene fra andre IT-systemer og sikkerhetsverktøy, analysere dem og identifisere og flagge risikofylte aktiviteter, trusler og andre problemer.

Funksjoner inkluderer

  • Logge og gi nyttig informasjon for hendelsesundersøkelser. Disse inkluderer alle økter når en bestemt konto eller bruker fikk tilgang til en tjeneste, server eller applikasjon, eller ressurs for første gang, konto logger på fra en ny VPN-tilkobling, fra et uvanlig land osv.
  • Den skalerbare løsningen er aktuelt for én enkelt forekomst, sky og on-premise distribusjoner
  • Oppretter en omfattende tidslinje som tydelig viser hele banen til en angriper basert på normal og unormal konto- eller brukeratferd.

Cynet 360

De Cynet 360-plattform er en omfattende løsning som gir atferdsanalyse, nettverks- og endepunktsikkerhet. Den lar deg lage brukerprofiler inkludert deres geolokasjoner, roller, arbeidstider, tilgangsmønstre til lokale og skybaserte ressurser, etc.

Plattformen hjelper til med å identifisere uvanlige aktiviteter som;

  • Førstegangspålogging til systemet eller ressursene
  • Uvanlig påloggingssted eller bruk av en ny VPN-tilkobling
  • Flere samtidige tilkoblinger til flere ressurser på svært kort tid
  • Kontoer som har tilgang til ressurser utenfor arbeidstid

Passordsikkerhetsverktøy

Passordrevisor

De passordrevisor verktøy skanner vertsnavnene og IP-adressene for automatisk å identifisere svak legitimasjon for nettverkstjenester og webapplikasjoner som HTTP-nettskjemaer, MYSQL, FTP, SSH, RDP, nettverksrutere og andre som krever autentisering. Deretter prøver den å logge på ved å bruke de svake, og de vanlige brukernavn- og passordkombinasjonene for å identifisere og varsle om kontoer med svak legitimasjon.

Password Manager Pro

De ManageEngine passordbehandler pro gir deg en omfattende løsning for styring, kontroll, overvåking og revisjon av den privilegerte kontoen gjennom hele livssyklusen. Den kan administrere den privilegerte kontoen, SSL-sertifikatet, ekstern tilgang så vel som den privilegerte økten.

Funksjoner inkluderer

  • Automatiserer og fremtvinger hyppig tilbakestilling av passord for kritiske systemer som servere, nettverkskomponenter, databaser og andre ressurser
  • Lagrer og organiserer alle de privilegerte og sensitive kontoidentitetene og passordene i et sentralisert og sikkert hvelv.
  • Gjør det mulig for organisasjoner å møte de kritiske sikkerhetsrevisjonene samt overholdelse av regulatoriske standarder som HIPAA, PCI, SOX og mer
  • Lar teammedlemmer trygt dele administrative passord.
  Hvordan overføre Amazon-gavekortsaldoen til en annen konto

Sårbarhetsskannere

Invicti

Invicti er en skalerbar, automatisert sårbarhetsskanner og administrasjonsløsning som kan skaleres for å møte enhver organisasjons krav. Verktøyet kan skanne komplekse nettverk og miljøer mens det sømløst integreres med andre systemer, inkludert CI/CD-løsninger, SDLC og andre. Den har avanserte funksjoner og er optimalisert for å skanne og identifisere sårbarheter i komplekse miljøer og applikasjoner.

I tillegg kan du bruke Invicti til å teste webserverne for sikkerhetsfeilkonfigurasjoner som angripere kan utnytte. Generelt identifiserer verktøyet SQL-injeksjoner, ekstern filinkludering, Cross-site Scripting (XSS) og andre OWASP Topp-10-sårbarheter i webapplikasjoner, webtjenester, nettsider, APIer og mer.

Acunetix

Acunetix er en omfattende løsning med innebygd sårbarhetsskanning, administrasjon og enkel integrasjon med andre sikkerhetsverktøy. Det hjelper til med å automatisere sårbarhetshåndteringsoppgaver som skanning og utbedring, slik at du kan spare på ressurser.

Funksjoner inkluderer;

  • Integrerer med andre verktøy som Jenkins, tredjeparts problemsporere som GitHub, Jira, Mantis og mer.
  • On-premise og skydistribusjonsalternativer
  • Kan tilpasses for å passe kundemiljøet og kravene, samt støtte på tvers av plattformer.
  • Identifiser og svar raskt på et bredt spekter av sikkerhetsproblemer, inkludert vanlige nettangrep, Cross-site Scripting (XSS), SQL-injeksjoner, skadelig programvare, feilkonfigurasjoner, eksponerte eiendeler, etc.

Programvareløsninger for Privileged Access Management (PAM).

JumpCloud

Jumpcloud er en Directory as a Service (DaaS)-løsning som sikkert autentiserer og kobler brukere til nettverk, systemer, tjenester, apper og filer. Vanligvis er den skalerbare, skybaserte katalogen en tjeneste som administrerer, autentiserer og autoriserer brukere, applikasjoner og enheter.

Funksjoner inkluderer;

  • Det skaper en sikker og sentralisert autoritativ katalog
  • Støtter administrasjon av brukertilgang på tvers av plattformer
  • Gir enkel påloggingsfunksjoner som støtter kontroll av brukertilgang til applikasjoner gjennom LDAP, SCIM og SAML 2.0
  • Gir sikker tilgang til lokale og skyservere
  • Støtter multi-faktor autentisering
  • Har automatisert administrasjon av sikkerhet og relaterte funksjoner som hendelseslogging, skripting, API-administrasjon, PowerShell og mer

Ping identitet

Ping identitet er en intelligent plattform som gir multifaktorautentisering, enkel pålogging, katalogtjenester og mer. Det gjør det mulig for organisasjoner å forbedre brukerens identitetssikkerhet og opplevelse.

Funksjoner

  • Enkel pålogging som gir sikker og pålitelig autentisering og tilgang til tjenester
  • Multifaktorautentisering som legger til ekstra sikkerhetslag
  • Forbedret datastyring og evne til å overholde personvernforskrifter
  • En katalogtjeneste som gir sikker administrasjon av brukeridentiteter og data i stor skala
  • Fleksible skydistribusjonsalternativer som Identity-as-a-Service (IDaaS), containerisert programvare, etc.

Foxpass

Foxpass er en skalerbar identitets- og tilgangskontrollløsning i bedriftsklasse for lokalt og sky-implementering. Den gir RADIUS-, LDAP- og SSH-nøkkeladministrasjonsfunksjoner som sikrer at hver bruker bare får tilgang til spesifikke nettverk, servere, VPN-er og andre tjenester på det tillatte tidspunktet.

Verktøyet kan integreres sømløst med andre tjenester som Office 365, Google Apps og mer.

AWS Secrets Manager

AWS Secrets Manager gir deg en pålitelig og effektiv måte å sikre hemmelighetene som kreves for å få tilgang til tjenesten, applikasjonene og andre ressurser. Den lar deg enkelt administrere, rotere og hente API-nøkler, databaselegitimasjon og andre hemmeligheter.

Det er flere hemmelige administrasjonsløsninger du kan utforske.

Konklusjon

Akkurat som cyberangrepene, utnytter rettighetseskalering systemet og behandler sårbarheter i nettverkene, tjenestene og applikasjonene. Som sådan er det mulig å forhindre dem ved å distribuere de riktige sikkerhetsverktøyene og -praksisene.

Effektive tiltak inkluderer å håndheve de minste privilegiene, sterke passord og autentiseringspolicyer, beskytte sensitive data, redusere angrepsoverflaten, sikre kontolegitimasjonen og mer. Andre tiltak inkluderer å holde alle systemer, programvare og fastvare oppdatert og lappet, overvåke brukeratferd og opplæring av brukere i sikker databehandling.