Напади ескалације привилегија, технике и алати за превенцију

by
Tweet
Share
Share
Pin

Напади ескалације привилегија се дешавају када лоши актери искористе погрешне конфигурације, грешке, слабе лозинке и друге рањивости које им омогућавају приступ заштићеним средствима.

Типична експлоатација може почети тако што нападач прво добије приступ налогу са привилегијама ниског нивоа. Једном када се пријаве, нападачи ће проучити систем како би идентификовали друге рањивости које могу даље да искористе. Затим користе привилегије да се имитирају стварним корисницима, добију приступ циљним ресурсима и неоткривено обављају различите задатке.

Напади ескалације привилегија су или вертикални или хоризонтални.

Код вертикалног типа, нападач добија приступ налогу и затим извршава задатке као тај корисник. За хоризонтални тип, нападач ће прво добити приступ једном или више налога са ограниченим привилегијама, а затим ће компромитовати систем да би добио више дозвола за обављање административних улога.

Такве дозволе омогућавају нападачима да обављају административне задатке, постављају малвер или врше друге непожељне активности. На пример, могу пореметити операције, изменити безбедносна подешавања, украсти податке или компромитовати системе тако да оставе отворена задња врата за експлоатацију у будућности.

Генерално, баш као и сајбер напади, ескалација привилегија искоришћава системске и процесне рањивости у мрежама, услугама и апликацијама. Као такве, могуће их је спречити применом комбинације добрих безбедносних пракси и алата. Организација би идеално требало да примени решења која могу да скенирају, открију и спрече широк спектар потенцијалних и постојећих безбедносних пропуста и претњи.

Најбоље праксе за спречавање напада ескалације привилегија

Организације морају заштитити све своје критичне системе и податке, као и друге области које нападачима могу изгледати непривлачно. Све што нападач захтева је да продре у систем. Када уђу, могу да траже рањивости које даље искоришћавају да би добили додатне дозволе. Осим заштите имовине од спољних претњи, подједнако је важно предузети довољно мера за спречавање унутрашњих напада.

Иако се стварне мере могу разликовати у зависности од система, мрежа, окружења и других фактора, у наставку су неке технике које организације могу да користе за обезбеђивање своје инфраструктуре.

Заштитите и скенирајте своју мрежу, системе и апликације

Поред примене безбедносног решења у реалном времену, неопходно је редовно скенирати све компоненте ИТ инфраструктуре у потрази за рањивостима које би могле да омогуће продор нових претњи. У том циљу, можете користити ефикасан скенер рањивости да пронађете незакрпљене и несигурне оперативне системе и апликације, погрешне конфигурације, слабе лозинке и друге недостатке које нападачи могу да искористе.

Иако можете да користите различите скенере рањивости да бисте идентификовали слабости у застарелом софтверу, обично је тешко или није практично ажурирати или закрпити све системе. Посебно, ово је изазов када се ради о старим компонентама или великим производним системима.

У таквим случајевима можете да примените додатне безбедносне слојеве као што су заштитни зидови веб апликација (ВАФ) који откривају и заустављају злонамерни саобраћај на нивоу мреже. Обично ће ВАФ заштитити основни систем чак и када није закрпљен или застарео.

  Поправите грешку у анонимном режиму на Нетфлик-у

Правилно управљање налогом са привилегијама

Важно је управљати привилегованим налозима и осигурати да су сви безбедни, да се користе у складу са најбољом праксом и да нису изложени. Тимови за обезбеђење треба да имају инвентар свих рачуна, где постоје и за шта се користе.

Остале мере укључују

  • Минимизирање броја и обима привилегованих налога, праћење и вођење евиденције њихових активности.
  • Анализирање сваког привилегованог корисника или налога да би се идентификовали и решили сви ризици, потенцијалне претње, извори и намере нападача
  • Главни начини напада и мере превенције
  • Следите принцип најмање привилегија
  • Спречите администраторе да деле налоге и акредитиве.

Пратите понашање корисника

Анализа понашања корисника може открити да ли постоје компромитовани идентитети. Обично ће нападачи циљати на корисничке идентитете који омогућавају приступ системима организације. Ако успеју да добију акредитиве, они ће се пријавити на мрежу и могу остати неоткривени неко време.

Пошто је тешко ручно пратити понашање сваког корисника, најбољи приступ је имплементација решења Аналитике понашања корисника и ентитета (УЕБА). Такав алат континуирано прати активност корисника током времена. Затим ствара легитимну основу понашања коју користи да открије необичне активности које указују на компромис.

Добијени профил садржи информације као што су локација, ресурси, датотеке са подацима и услуге којима корисник приступа и учесталост, специфичне интерне и екстерне мреже, број хостова као и процеси који се извршавају. Са овим информацијама, алатка може да идентификује сумњиве радње или параметре који одступају од основне линије.

Јака политика и примена лозинки

Успоставите и примените јаке политике како бисте осигурали да корисници имају јединствене и тешко погодне лозинке. Поред тога, коришћење вишефакторске аутентификације додаје додатни слој безбедности уз превазилажење рањивости које се могу појавити када је тешко ручно применити јаке смернице за лозинку.

Безбедносни тимови би такође требало да примене неопходне алате као што су ревизори лозинки, спроводиоци политика и други који могу да скенирају системе, да идентификују и обележе слабе лозинке или да траже акцију. Алати за спровођење обезбеђују да корисници имају јаке лозинке у смислу дужине, сложености и смерница компаније.

Организације такође могу да користе алатке за управљање лозинкама предузећа да помогну корисницима да генеришу и користе сложене и безбедне лозинке које су у складу са смерницама за услуге које захтевају аутентификацију.

Додатне мере, као што је вишефакторска аутентификација за откључавање менаџера лозинки, додатно побољшавају његову безбедност и тако онемогућавају нападачима да приступе сачуваним акредитивима. Типични менаџери лозинки предузећа укључују Голман, Дасхлане, 1Пассворд.

Санитирајте уносе корисника и обезбедите базе података

Нападачи могу да користе рањива поља за унос корисника, као и базе података да убаце злонамерни код, добију приступ и компромитују системе. Из тог разлога, безбедносни тимови треба да користе најбоље праксе као што су јака аутентификација и ефикасни алати за заштиту база података и свих врста поља за унос података.

Добра пракса је шифровање свих података у транзиту и мировању, поред закрпе база података и дезинфекције свих корисничких уноса. Додатне мере укључују остављање датотека само за читање и давање приступа за писање групама и корисницима којима је то потребно.

  закажите састанак и пошаљите позивнице

Обучите кориснике

Корисници су најслабија карика у безбедносном ланцу организације. Стога је важно оснажити их и обучити их како да безбедно обављају своје задатке. У супротном, један клик корисника може довести до компромитовања целе мреже или система. Неки од ризика укључују отварање злонамерних веза или прилога, посећивање угрожених веб локација, коришћење слабих лозинки и још много тога.

У идеалном случају, организација треба да има редовне програме подизања свести о безбедности. Даље, требало би да имају методологију којом ће потврдити да је обука ефикасна.

Алати за превенцију напада ескалацијом привилегија

Спречавање напада ескалације привилегија захтева комбинацију алата. Ово укључује, али није ограничено на решења у наставку.

Решење за анализу понашања корисника и ентитета (УЕБА)

Екабеам

Тхе Екабеам платформа за управљање безбедношћу је брзо и лако применити решење за анализу понашања засновано на вештачкој интелигенцији које помаже да се прате активности корисника и налога у различитим услугама. Такође можете да користите Екабеам да бисте уносили евиденцију из других ИТ система и безбедносних алата, анализирали их и идентификовали и означили ризичне активности, претње и друге проблеме.

Карактеристике укључују

  • Евидентирање и пружање корисних информација за истраге инцидената. Ово укључује све сесије када је одређени налог или корисник приступио сервису, серверу или апликацији или ресурсу по први пут, налог се пријавио са нове ВПН везе, из необичне земље итд.
  • Скалабилно решење је применљиво за једну инстанцу, облак и локалну примену
  • Креира свеобухватан временски оквир који јасно показује пуну путању нападача на основу нормалног и ненормалног налога или понашања корисника.

Цинет 360

Тхе Цинет 360 платформа је свеобухватно решење које пружа аналитику понашања, безбедност мреже и крајњих тачака. Омогућава вам да креирате корисничке профиле укључујући њихове геолокације, улоге, радно време, обрасце приступа локалним ресурсима и ресурсима у облаку итд.

Платформа помаже да се идентификују необичне активности као што су;

  • Први пут се пријављује на систем или ресурсе
  • Необична локација за пријаву или коришћење нове ВПН везе
  • Вишеструке истовремене везе са неколико ресурса у веома кратком времену
  • Налози који приступају ресурсима ван радног времена

Алати за безбедност лозинке

Пассворд Аудитор

Тхе провера лозинки алати скенирају имена домаћина и ИП адресе да аутоматски идентификују слабе акредитиве за мрежне услуге и веб апликације као што су ХТТП веб обрасци, МИСКЛ, ФТП, ССХ, РДП, мрежни рутери и други који захтевају аутентификацију. Затим покушава да се пријави користећи слабе и уобичајене комбинације корисничког имена и лозинке да би идентификовао налоге са слабим акредитивима и упозорио их на њих.

Пассворд Манагер Про

Тхе МанагеЕнгине пассворд манагер про пружа вам свеобухватно решење за управљање, контролу, праћење и ревизију привилегованог налога током целог његовог животног циклуса. Може да управља привилегованим налогом, ССЛ сертификатом, даљинским приступом као и привилегованом сесијом.

Карактеристике укључују

  • Аутоматизује и спроводи честа ресетовања лозинки за критичне системе као што су сервери, мрежне компоненте, базе података и други ресурси
  • Чува и организује све привилеговане и осетљиве идентитете налога и лозинке у централизованом и безбедном трезору.
  • Омогућава организацијама да испуне критичне безбедносне ревизије, као и усклађеност са регулаторним стандардима као што су ХИПАА, ПЦИ, СОКС и још много тога
  • Омогућава члановима тима да безбедно деле административне лозинке.

Скенери рањивости

Инвицти

Инвицти је скалабилни, аутоматизовани скенер рањивости и решење за управљање које се може скалирати да испуни захтеве било које организације. Алат може да скенира сложене мреже и окружења док се неприметно интегрише са другим системима укључујући ЦИ/ЦД решења, СДЛЦ и друге. Има напредне могућности и оптимизован је за скенирање и идентификацију рањивости у сложеним окружењима и апликацијама.

  Како уклонити дупликате у Гоогле табелама

Поред тога, можете користити Инвицти да тестирате веб сервере на безбедносне погрешне конфигурације које нападачи могу да искористе. Генерално, алатка идентификује СКЛ ињекције, даљинско укључивање датотека, скриптовање на више локација (КССС) и друге ОВАСП топ-10 рањивости у веб апликацијама, веб услугама, веб страницама, АПИ-јима и још много тога.

Ацунетик

Ацунетик је свеобухватно решење са уграђеним скенирањем рањивости, управљањем и једноставном интеграцијом са другим безбедносним алатима. Помаже да се аутоматизују задаци управљања рањивостима као што су скенирање и санација, чиме вам омогућава да уштедите на ресурсима.

Карактеристике укључују;

  • Интегрише се са другим алатима као што је Јенкинс, трекерима за праћење проблема трећих страна као што су ГитХуб, Јира, Мантис и још много тога.
  • Локалне опције и опције примене у облаку
  • Прилагодљив према окружењу и захтевима корисника, као и подршка за више платформи.
  • Брзо идентификујте и одговорите на широк спектар безбедносних проблема, укључујући уобичајене веб нападе, скриптовање на више локација (КССС), СКЛ ињекције, малвер, погрешне конфигурације, изложену имовину итд.

Софтверска решења за управљање привилегованим приступом (ПАМ).

ЈумпЦлоуд

Јумпцлоуд је решење именика као услуге (ДааС) које безбедно потврђује аутентичност и повезује кориснике са мрежама, системима, услугама, апликацијама и датотекама. Генерално, скалабилни директоријум заснован на облаку је услуга која управља корисницима, апликацијама и уређајима, потврђује аутентичност и ауторизује их.

Карактеристике укључују;

  • Он ствара сигуран и централизован ауторитативни именик
  • Подржава управљање приступом корисника на више платформи
  • Пружа функције јединствене пријаве које подржавају контролу приступа корисника апликацијама преко ЛДАП, СЦИМ и САМЛ 2.0
  • Пружа безбедан приступ локалним серверима и серверима у облаку
  • Подржава вишефакторску аутентификацију
  • Има аутоматизовану администрацију безбедности и сродних функција као што су евидентирање догађаја, скриптовање, управљање АПИ-јем, ПоверСхелл и још много тога

Пинг идентитет

Пинг идентитет је интелигентна платформа која пружа вишефакторску аутентификацију, јединствену пријаву, услуге именика и још много тога. Омогућава организацијама да побољшају сигурност и искуство корисничког идентитета.

Карактеристике

  • Јединствена пријава која обезбеђује сигурну и поуздану аутентификацију и приступ услугама
  • Вишефакторска аутентификација која додаје додатне безбедносне слојеве
  • Побољшано управљање подацима и способност да се поштују прописи о приватности
  • Услуге именика које обезбеђују безбедно управљање корисничким идентитетима и подацима у великом обиму
  • Флексибилне опције примене у облаку као што су Идентити-ас-а-Сервице (ИДааС), контејнерски софтвер итд.

Фокпасс

Фокпасс је скалабилно решење за идентификацију и контролу приступа корпоративног нивоа за локалну и примену у облаку. Пружа функције управљања РАДИУС, ЛДАП и ССХ кључевима које осигуравају да сваки корисник приступа само одређеним мрежама, серверима, ВПН-овима и другим услугама у дозвољено време.

Алат се може неприметно интегрисати са другим услугама као што су Оффице 365, Гоогле Аппс и још много тога.

АВС Сецретс Манагер

АВС Сецретс Манагер пружа вам поуздано и ефикасно средство за заштиту тајни потребних за приступ услузи, апликацијама и другим ресурсима. Омогућава вам да лако управљате, ротирате и преузимате АПИ кључеве, акредитиве базе података и друге тајне.

Постоји више решења за тајно управљање које можете истражити.

Закључак

Баш као и сајбер напади, ескалација привилегија искоришћава систем и обрађује рањивости у мрежама, услугама и апликацијама. Као такве, могуће их је спречити применом одговарајућих безбедносних алата и пракси.

Ефикасне мере укључују спровођење најмање привилегија, јаке лозинке и политике аутентификације, заштиту осетљивих података, смањење површине напада, обезбеђивање акредитива налога и још много тога. Остале мере укључују одржавање свих система, софтвера и фирмвера ажурним и закрпљеним, праћење понашања корисника и обуку корисника о безбедном раду са рачунаром.