Privilege-escalatie-aanvallen, preventietechnieken en -hulpmiddelen

Privilege-escalatie-aanvallen treden op wanneer kwaadwillenden misbruik maken van verkeerde configuraties, bugs, zwakke wachtwoorden en andere kwetsbaarheden die hen toegang geven tot beschermde activa.

Een typische exploit kan beginnen wanneer de aanvaller eerst toegang krijgt tot een account met een laag privilege. Eenmaal ingelogd, zullen aanvallers het systeem bestuderen om andere kwetsbaarheden te identificeren die ze verder kunnen misbruiken. Vervolgens gebruiken ze de privileges om zich voor te doen als de daadwerkelijke gebruikers, toegang te krijgen tot doelbronnen en verschillende taken onopgemerkt uit te voeren.

Privilege-escalatie-aanvallen zijn verticaal of horizontaal.

In een verticaal type krijgt de aanvaller toegang tot een account en voert hij vervolgens taken uit als die gebruiker. Voor het horizontale type krijgt de aanvaller eerst toegang tot een of meer accounts met beperkte rechten en compromitteert vervolgens het systeem om meer rechten te krijgen om beheerdersrollen uit te voeren.

Dergelijke machtigingen stellen de aanvallers in staat om administratieve taken uit te voeren, malware te implementeren of andere ongewenste activiteiten uit te voeren. Ze kunnen bijvoorbeeld operaties verstoren, beveiligingsinstellingen wijzigen, gegevens stelen of de systemen compromitteren zodat ze achterdeuren openlaten om in de toekomst te misbruiken.

Over het algemeen maakt privilege-escalatie, net als de cyberaanvallen, misbruik van het systeem en proceskwetsbaarheden in de netwerken, services en applicaties. Als zodanig is het mogelijk om ze te voorkomen door een combinatie van goede beveiligingspraktijken en -tools in te zetten. Een organisatie zou idealiter oplossingen moeten implementeren die een breed scala aan potentiële en bestaande beveiligingskwetsbaarheden en -bedreigingen kunnen scannen, detecteren en voorkomen.

Best practices om privilege-escalatie-aanvallen te voorkomen

Organisaties moeten al hun kritieke systemen en gegevens beschermen, evenals andere gebieden die voor aanvallers onaantrekkelijk kunnen lijken. Het enige dat een aanvaller nodig heeft, is een systeem binnendringen. Eenmaal binnen kunnen ze zoeken naar kwetsbaarheden die ze verder uitbuiten om extra rechten te krijgen. Naast het beschermen van de assets tegen externe bedreigingen, is het net zo belangrijk om voldoende maatregelen te nemen om interne aanvallen te voorkomen.

Hoewel de daadwerkelijke maatregelen kunnen verschillen afhankelijk van de systemen, netwerken, omgeving en andere factoren, staan ​​hieronder enkele technieken die organisaties kunnen gebruiken om hun infrastructuur te beveiligen.

Bescherm en scan uw netwerk, systemen en applicaties

Naast het inzetten van een realtime beveiligingsoplossing, is het essentieel om regelmatig alle componenten van de IT-infrastructuur te scannen op kwetsbaarheden waardoor nieuwe dreigingen kunnen binnendringen. Hiervoor kunt u een effectieve kwetsbaarheidsscanner gebruiken om niet-gepatchte en onveilige besturingssystemen en toepassingen, verkeerde configuraties, zwakke wachtwoorden en andere fouten te vinden die aanvallers kunnen misbruiken.

Hoewel u verschillende kwetsbaarheidsscanners kunt gebruiken om zwakke punten in verouderde software te identificeren, is het meestal moeilijk of niet praktisch om alle systemen bij te werken of te patchen. Dit is met name een uitdaging bij het omgaan met legacy-componenten of grootschalige productiesystemen.

Voor dergelijke gevallen kunt u extra beveiligingslagen implementeren, zoals webtoepassingsfirewalls (WAF) die kwaadaardig verkeer op netwerkniveau detecteren en stoppen. Doorgaans zal de WAF het onderliggende systeem beschermen, zelfs als het niet is gepatcht of verouderd is.

Correct privilege-accountbeheer

Het is belangrijk om de geprivilegieerde accounts te beheren en ervoor te zorgen dat ze allemaal veilig zijn, worden gebruikt volgens de best practices en niet worden blootgesteld. De beveiligingsteams moeten een inventaris hebben van alle accounts, waar ze bestaan ​​en waarvoor ze worden gebruikt.

  Hoe code op te maken in VS-code

Andere maatregelen zijn onder meer:

  • Het aantal en de reikwijdte van de geprivilegieerde accounts minimaliseren, toezicht houden en een logboek bijhouden van hun activiteiten.
  • Elke bevoorrechte gebruiker of account analyseren om risico’s, potentiële bedreigingen, bronnen en de bedoelingen van de aanvaller te identificeren en aan te pakken
  • Belangrijke aanvalsmodi en preventiemaatregelen
  • Volg het principe van de minste privileges
  • Voorkom dat beheerders accounts en inloggegevens delen.

Gebruikersgedrag volgen

Door het gedrag van gebruikers te analyseren, kan worden vastgesteld of er identiteiten zijn gecompromitteerd. Meestal richten de aanvallers zich op de gebruikersidentiteiten die toegang geven tot de systemen van de organisatie. Als het ze lukt om de inloggegevens te verkrijgen, loggen ze in op het netwerk en kunnen ze enige tijd onopgemerkt blijven.

Aangezien het moeilijk is om het gedrag van elke gebruiker handmatig te controleren, is de beste aanpak het implementeren van een User and Entity Behavior Analytics (UEBA)-oplossing. Zo’n tool houdt de gebruikersactiviteit in de loop van de tijd continu in de gaten. Vervolgens creëert het een legitieme gedragsbasis die het gebruikt om ongebruikelijke activiteiten te ontdekken die wijzen op een compromis.

Het resulterende profiel bevat informatie zoals locatie, bronnen, gegevensbestanden en services waartoe de gebruiker toegang heeft en frequentie, de specifieke interne en externe netwerken, het aantal hosts en de uitgevoerde processen. Met deze informatie kan de tool verdachte acties of parameters identificeren die afwijken van de baseline.

Sterk wachtwoordbeleid en handhaving

Stel een krachtig beleid op en handhaaf dit om ervoor te zorgen dat de gebruikers unieke en moeilijk te raden wachtwoorden hebben. Bovendien voegt het gebruik van multi-factor authenticatie een extra beveiligingslaag toe en overwint het de kwetsbaarheden die kunnen optreden wanneer het moeilijk is om handmatig sterke wachtwoordbeleidsregels af te dwingen.

Beveiligingsteams moeten ook de nodige tools inzetten, zoals wachtwoordauditors, beleidshandhavers en anderen die systemen kunnen scannen, zwakke wachtwoorden kunnen identificeren en markeren of om actie kunnen vragen. De handhavingstools zorgen ervoor dat gebruikers sterke wachtwoorden hebben in termen van lengte, complexiteit en bedrijfsbeleid.

Organisaties kunnen ook bedrijfshulpprogramma’s voor wachtwoordbeheer gebruiken om gebruikers te helpen bij het genereren en gebruiken van complexe en veilige wachtwoorden die voldoen aan het beleid voor services die authenticatie vereisen.

Aanvullende maatregelen zoals multi-factor authenticatie om de wachtwoordbeheerder te ontgrendelen, verbeteren de beveiliging verder, waardoor het voor aanvallers bijna onmogelijk wordt om toegang te krijgen tot de opgeslagen inloggegevens. Typische wachtwoordmanagers voor bedrijven zijn onder meer: Keeper, Dashlane, 1Wachtwoord.

Ontsmet gebruikersinvoer en beveilig de databases

De aanvallers kunnen kwetsbare invoervelden van gebruikers en databases gebruiken om kwaadaardige code te injecteren, toegang te krijgen en de systemen te compromitteren. Om deze reden moeten beveiligingsteams best practices gebruiken, zoals sterke authenticatie en effectieve tools om de databases en allerlei soorten gegevensinvoervelden te beschermen.

Een goede gewoonte is om alle gegevens in transit en in rust te versleutelen, naast het patchen van de databases en het opschonen van alle gebruikersinvoer. Extra maatregelen zijn onder meer bestanden met alleen-lezen laten staan ​​en schrijftoegang geven aan de groepen en gebruikers die ze nodig hebben.

Train gebruikers

De gebruikers zijn de zwakste schakel in de beveiligingsketen van een organisatie. Het is daarom belangrijk om hen te empoweren en te trainen in het veilig uitvoeren van hun taken. Anders kan een enkele klik van een gebruiker leiden tot het compromitteren van een volledig netwerk of systeem. Enkele van de risico’s zijn het openen van kwaadaardige links of bijlagen, het bezoeken van gecompromitteerde websites, het gebruik van zwakke wachtwoorden en meer.

  Hoe "Unified Memory" de M1 ARM Macs van Apple versnelt

Idealiter zou de organisatie regelmatig beveiligingsbewustzijnsprogramma’s moeten hebben. Verder moeten ze een methodologie hebben om te verifiëren dat de training effectief is.

Preventietools voor privilege-escalatie-aanvallen

Het voorkomen van privilege-escalatie-aanvallen vereist een combinatie van tools. Deze omvatten maar zijn niet beperkt tot de onderstaande oplossingen.

User and Entity Behavior Analytics-oplossing (UEBA)

Exabeam

De Exabeam-platform voor beveiligingsbeheer is een snel en eenvoudig te implementeren AI-gebaseerde oplossing voor gedragsanalyse die helpt bij het volgen van gebruikers- en accountactiviteiten in verschillende services. U kunt Exabeam ook gebruiken om de logboeken van andere IT-systemen en beveiligingshulpmiddelen op te nemen, deze te analyseren en risicovolle activiteiten, bedreigingen en andere problemen te identificeren en te markeren.

Functies omvatten:

  • Loggen en verstrekken van nuttige informatie voor incidentonderzoeken. Deze omvatten alle sessies wanneer een bepaalde account of gebruiker voor de eerste keer toegang heeft tot een service, server of applicatie of bron, account inlogt vanaf een nieuwe VPN-verbinding, vanuit een ongebruikelijk land, enz.
  • De schaalbare oplossing is toepasbaar voor een enkele instantie, cloud en on-premise implementaties
  • Creëert een uitgebreide tijdlijn die duidelijk het volledige pad van een aanvaller laat zien op basis van het normale en abnormale account- of gebruikersgedrag.

Cynet 360

De Cynet 360-platform is een uitgebreide oplossing die gedragsanalyses, netwerk- en eindpuntbeveiliging biedt. Hiermee kunt u gebruikersprofielen maken, inclusief hun geolocaties, rollen, werkuren, toegangspatronen tot on-premise en cloudgebaseerde bronnen, enz.

Het platform helpt bij het identificeren van ongebruikelijke activiteiten zoals;

  • Eerste keer inloggen op het systeem of bronnen
  • Ongebruikelijke inloglocatie of gebruik van een nieuwe VPN-verbinding
  • Meerdere gelijktijdige verbindingen met verschillende bronnen binnen een zeer korte tijd
  • Accounts die buiten kantooruren toegang hebben tot bronnen

Hulpprogramma’s voor wachtwoordbeveiliging

Wachtwoordcontroleur

De wachtwoord auditor tools scannen de hostnamen en IP-adressen om automatisch zwakke referenties te identificeren voor netwerkservices en webapplicaties zoals HTTP-webformulieren, MYSQL, FTP, SSH, RDP, netwerkrouters en andere die authenticatie vereisen. Vervolgens probeert het in te loggen met de zwakke en de gebruikelijke combinaties van gebruikersnaam en wachtwoord om accounts met zwakke inloggegevens te identificeren en te waarschuwen.

Wachtwoord Manager Pro

De ManageEngine wachtwoordmanager pro biedt u een uitgebreide oplossing voor beheer, controle, bewaking en auditing van het geprivilegieerde account gedurende de gehele levenscyclus. Het kan het bevoorrechte account, het SSL-certificaat, de externe toegang en de bevoorrechte sessie beheren.

Functies omvatten:

  • Automatiseert en dwingt frequente wachtwoordresets af voor kritieke systemen zoals servers, netwerkcomponenten, databases en andere bronnen
  • Slaat en organiseert alle bevoorrechte en gevoelige accountidentiteiten en wachtwoorden in een gecentraliseerde en veilige kluis.
  • Stelt organisaties in staat om te voldoen aan de kritieke beveiligingsaudits en te voldoen aan wettelijke normen zoals de HIPAA, PCI, SOX en meer
  • Stelt teamleden in staat om beheerderswachtwoorden veilig te delen.

Kwetsbaarheidsscanners

invicti

invicti is een schaalbare, geautomatiseerde kwetsbaarheidsscanner en beheeroplossing die kan worden geschaald om aan de vereisten van elke organisatie te voldoen. De tool kan complexe netwerken en omgevingen scannen en naadloos integreren met andere systemen, waaronder de CI/CD-oplossingen, SDLC en andere. Het heeft geavanceerde mogelijkheden en is geoptimaliseerd om kwetsbaarheden in complexe omgevingen en applicaties te scannen en te identificeren.

Bovendien kunt u Invicti gebruiken om de webservers te testen op misconfiguraties van de beveiliging die aanvallers kunnen misbruiken. Over het algemeen identificeert de tool SQL-injecties, externe bestandsopname, Cross-site Scripting (XSS) en andere OWASP Top-10-kwetsbaarheden in webapplicaties, webservices, webpagina’s, API’s en meer.

  6 Marktplaats om SaaS-productdeals te vinden bij Cheap for Startup

Acunetix

Acunetix is een uitgebreide oplossing met ingebouwde kwetsbaarheidsscans, beheer en eenvoudige integratie met andere beveiligingstools. Het helpt om kwetsbaarheidsbeheertaken zoals scannen en herstel te automatiseren, waardoor u kunt besparen op resources.

Functies omvatten;

  • Integreert met andere tools zoals Jenkins, trackers van externe problemen zoals GitHub, Jira, Mantis en meer.
  • Opties voor implementatie op locatie en in de cloud
  • Aanpasbaar aan de omgeving en vereisten van de klant, evenals ondersteuning voor meerdere platforms.
  • Identificeer en reageer snel op een breed scala aan beveiligingsproblemen, waaronder veelvoorkomende webaanvallen, Cross-site Scripting (XSS), SQL-injecties, malware, verkeerde configuraties, blootgestelde activa, enz.

Privileged Access Management (PAM) softwareoplossingen

JumpCloud

Jumpcloud is een Directory as a Service (DaaS)-oplossing die gebruikers veilig verifieert en verbindt met netwerken, systemen, services, apps en bestanden. Over het algemeen is de schaalbare, cloudgebaseerde directory een service die gebruikers, applicaties en apparaten beheert, verifieert en autoriseert.

Functies omvatten;

  • Het creëert een veilige en gecentraliseerde gezaghebbende directory
  • Ondersteunt platformonafhankelijk gebruikerstoegangsbeheer
  • Biedt functies voor eenmalige aanmelding die het beheer van gebruikerstoegang tot toepassingen ondersteunen via LDAP, SCIM en SAML 2.0
  • Biedt veilige toegang tot lokale en cloudservers
  • Ondersteunt multi-factor authenticatie
  • Heeft geautomatiseerd beheer van beveiliging en gerelateerde functies zoals gebeurtenisregistratie, scripting, API-beheer, PowerShell en meer

Identiteit pingen

Identiteit pingen is een intelligent platform dat multi-factor authenticatie, eenmalige aanmelding, directoryservices en meer biedt. Het stelt organisaties in staat om de beveiliging en ervaring van gebruikersidentiteit te verbeteren.

Functies

  • Single sign-on die veilige en betrouwbare authenticatie en toegang tot services biedt
  • Multi-factor authenticatie die extra beveiligingslagen toevoegt
  • Verbeterd gegevensbeheer en het vermogen om te voldoen aan privacyregelgeving
  • Een directoryservice die veilig beheer van gebruikersidentiteiten en gegevens op schaal biedt
  • Flexibele cloudimplementatie-opties zoals Identity-as-a-Service (IDaaS), gecontaineriseerde software, enz.

Foxpass

Foxpass is een schaalbare oplossing voor identiteits- en toegangscontrole op ondernemingsniveau voor implementaties op locatie en in de cloud. Het biedt RADIUS-, LDAP- en SSH-sleutelbeheerfuncties die ervoor zorgen dat elke gebruiker alleen toegang heeft tot specifieke netwerken, servers, VPN’s en andere services op het toegestane tijdstip.

De tool kan naadloos worden geïntegreerd met andere services zoals Office 365, Google Apps en meer.

AWS Secrets Manager

AWS Secrets Manager biedt u een betrouwbaar en effectief middel om de geheimen te beveiligen die nodig zijn om toegang te krijgen tot de service, toepassingen en andere bronnen. Hiermee kunt u eenvoudig de API-sleutels, databasereferenties en andere geheimen beheren, roteren en ophalen.

Er zijn meer geheime beheeroplossingen die u kunt verkennen.

Conclusie

Net als de cyberaanvallen, maakt escalatie van bevoegdheden misbruik van het systeem en worden kwetsbaarheden in de netwerken, services en applicaties verwerkt. Als zodanig is het mogelijk om ze te voorkomen door de juiste beveiligingstools en -praktijken in te zetten.

Effectieve maatregelen omvatten het afdwingen van de minste privileges, sterke wachtwoorden en authenticatiebeleid, het beschermen van gevoelige gegevens, het verkleinen van het aanvalsoppervlak, het beveiligen van de inloggegevens van de account en meer. Andere maatregelen zijn onder meer het up-to-date houden en patchen van alle systemen, software en firmware, het monitoren van het gebruikersgedrag en het trainen van gebruikers in veilige computerpraktijken.

gerelateerde berichten