Атаки с повышением привилегий возникают, когда злоумышленники используют неправильную конфигурацию, ошибки, слабые пароли и другие уязвимости, позволяющие получить доступ к защищенным ресурсам. Типичная атака начинается с получения злоумышленником доступа к учетной записи с низким уровнем привилегий. Войдя в систему, злоумышленники изучают ее с целью выявления других уязвимостей, которые они могут использовать в дальнейшем. Затем они используют полученные привилегии для того, чтобы выдать себя за реальных пользователей, получить доступ к целевым ресурсам и выполнить различные задачи незамеченными.
Атаки с повышением привилегий бывают вертикальными и горизонтальными. При вертикальном типе злоумышленник получает доступ к учетной записи и затем выполняет задачи от имени этого пользователя. При горизонтальном типе злоумышленник сначала получает доступ к одной или нескольким учетным записям с ограниченными привилегиями, а затем компрометирует систему для получения дополнительных прав на выполнение административных функций.
Такие права позволяют злоумышленникам выполнять административные задачи, внедрять вредоносное ПО или совершать другие нежелательные действия. Например, они могут нарушить работу системы, изменить настройки безопасности, похитить данные или скомпрометировать систему таким образом, что в ней останутся открытые “черные ходы”, которые можно будет использовать в будущем.
В целом, как и при кибератаках, повышение привилегий использует уязвимости систем и процессов в сетях, сервисах и приложениях. Предотвратить их можно, используя комбинацию эффективных методов и средств обеспечения безопасности. В идеале организация должна внедрять решения, способные сканировать, обнаруживать и предотвращать широкий спектр потенциальных и существующих уязвимостей и угроз безопасности.
Лучшие практики предотвращения атак с повышением привилегий
Организации должны защищать все свои критически важные системы и данные, а также другие области, которые могут показаться привлекательными для злоумышленников. Все, что требуется злоумышленнику, – это проникнуть в систему. Проникнув внутрь, злоумышленник может искать уязвимости, которые он использует для получения дополнительных прав. Помимо защиты активов от внешних угроз, не менее важно принимать достаточные меры для предотвращения внутренних атак. Хотя конкретные меры могут различаться в зависимости от систем, сетей, окружения и других факторов, ниже приведены некоторые приемы, которые организации могут использовать для защиты своей инфраструктуры.
Защита и сканирование сети, систем и приложений
Помимо развертывания решения по обеспечению безопасности в режиме реального времени, необходимо регулярно проверять все компоненты ИТ-инфраструктуры на наличие уязвимостей, которые могут позволить проникнуть новым угрозам. Для этого можно использовать эффективный сканер уязвимостей, позволяющий находить непропатченные и незащищенные операционные системы и приложения, неправильную конфигурацию, слабые пароли и другие недостатки, которыми могут воспользоваться злоумышленники.
Хотя для выявления слабых мест в устаревшем программном обеспечении можно использовать различные сканеры уязвимостей, обновлять или исправлять все системы обычно сложно или нецелесообразно. В частности, такая проблема возникает при работе с устаревшими компонентами или крупномасштабными производственными системами. В таких случаях можно развернуть дополнительные уровни безопасности, например брандмауэры веб-приложений (WAF), которые обнаруживают и пресекают вредоносный трафик на сетевом уровне. Как правило, WAF защищает базовую систему, даже если она не обновлена или устарела.
Правильное управление привилегированными учетными записями
Важно управлять привилегированными учетными записями и следить за тем, чтобы все они были безопасными, использовались в соответствии с лучшими практиками и не подвергались риску. Команды безопасности должны иметь перечень всех учетных записей, знать, где они существуют и для чего используются. Другие меры включают:
- Минимизация числа и масштабов использования привилегированных учетных записей, мониторинг и ведение журнала их действий.
- Анализ каждого привилегированного пользователя или учетной записи для выявления и устранения любых рисков, потенциальных угроз, источников и намерений злоумышленника.
- Основные способы атак и меры по их предотвращению
- Соблюдение принципа наименьших привилегий
- Не допускать совместного использования администраторами учетных записей и учетных данных.
Мониторинг поведения пользователей
Анализ поведения пользователей позволяет выявить наличие скомпрометированных учетных данных. Обычно злоумышленники нацеливаются на учетные данные пользователей, обеспечивающие доступ к системам организации. Если им удается получить учетные данные, они входят в сеть и некоторое время могут оставаться незамеченными.
Поскольку вручную отслеживать поведение каждого пользователя достаточно сложно, оптимальным подходом является развертывание решения User and Entity Behavior Analytics (UEBA). Такой инструмент осуществляет непрерывный мониторинг активности пользователей в течение определенного времени. Затем создается базовый профиль легитимного поведения, который используется для обнаружения необычных действий, свидетельствующих о компрометации.
Полученный профиль содержит такую информацию, как местоположение, ресурсы, файлы данных и сервисы, к которым обращается пользователь, и частота их использования, конкретные внутренние и внешние сети, количество хостов, а также выполняемые процессы. С помощью этой информации можно выявить подозрительные действия или параметры, отклоняющиеся от базовой линии.
Строгие политики в отношении паролей и их применение
Создание и применение строгих политик гарантирует, что пользователи будут иметь уникальные и трудноугадываемые пароли. Кроме того, использование многофакторной аутентификации обеспечивает дополнительный уровень безопасности и устраняет уязвимости, которые могут возникнуть, когда трудно вручную обеспечить соблюдение строгих парольных политик.
Команды безопасности также должны развернуть необходимые инструменты, такие как аудиторы паролей, средства обеспечения соблюдения политик и другие, которые могут сканировать системы, выявлять и отмечать слабые пароли, а также запрашивать необходимые действия. Эти средства обеспечивают использование пользователями надежных паролей с точки зрения их длины, сложности и соответствия политике компании.
Организации также могут использовать корпоративные средства управления паролями, чтобы помочь пользователям создавать и использовать сложные и надежные пароли, соответствующие политикам для сервисов, требующих аутентификации. Дополнительные меры, такие как многофакторная аутентификация для разблокировки менеджера паролей, еще больше повышают его безопасность, делая доступ злоумышленников к сохраненным учетным данным практически невозможным. К типичным корпоративным менеджерам паролей относятся Keeper, Dashlane, 1Password.
Дезинфекция пользовательского ввода и защита баз данных
Злоумышленники могут использовать уязвимые поля пользовательского ввода, а также базы данных для внедрения вредоносного кода, получения доступа и компрометации систем. Поэтому команды безопасности должны использовать лучшие практики, такие как строгая аутентификация и эффективные инструменты для защиты баз данных и всех видов полей ввода данных.
Хорошей практикой является шифрование всех данных, передаваемых и находящихся в состоянии покоя, а также исправление баз данных и обеззараживание всех вводимых пользователем данных. Дополнительные меры включают в себя оставление файлов с доступом только для чтения и предоставление доступа на запись тем группам и пользователям, которым это необходимо.
Обучение пользователей
Пользователи являются самым слабым звеном в цепи безопасности организации. Поэтому важно расширить их возможности и обучить безопасному выполнению своих задач. В противном случае один щелчок пользователя может привести к компрометации всей сети или системы. К числу таких рисков относятся открытие вредоносных ссылок или вложений, посещение скомпрометированных веб-сайтов, использование слабых паролей и т.д.
В идеале организация должна иметь регулярные программы повышения осведомленности о безопасности. Кроме того, они должны иметь методику проверки эффективности обучения.
Средства предотвращения атак повышения привилегий
Для предотвращения атак с повышением привилегий необходима комбинация инструментов. К ним относятся, в частности, перечисленные ниже решения.
Программные решения для управления привилегированным доступом (PAM)
Heimdal
Система управления привилегированным доступом (PAM) компании Heimdal – это решение корпоративного уровня, призванное помочь организациям защитить наиболее важные активы и данные путем контроля привилегированного доступа к важным системам и приложениям. Продукт предоставляет полный набор инструментов для управления, мониторинга и аудита привилегированного доступа, обеспечивая соблюдение принципов наименьших привилегий и сокращая площадь атаки.
С помощью решения PAM компании Heimdal организации могут легко определять и управлять привилегированными учетными записями в своей ИТ-инфраструктуре, включая локальные и облачные среды, используя централизованную панель управления. Решение обеспечивает детальный контроль над правами доступа и разрешениями, позволяя администраторам определять политики и применять многофакторную аутентификацию, запись сеансов и управление паролями для обеспечения безопасного доступа к критическим системам и данным.
Кроме того, в состав решения входит ряд дополнительных функций, таких как мониторинг и запись сеансов, которые позволяют в режиме реального времени отслеживать действия привилегированных пользователей, выявлять и реагировать на подозрительное поведение. Кроме того, решение предлагает автоматизированные рабочие процессы, позволяющие оптимизировать процессы запроса и утверждения доступа, снижая нагрузку на ИТ-отделы и обеспечивая соответствие отраслевым нормам и стандартам.
Возможности отчетности и аналитики позволяют получать информацию о поведении пользователей, аудиторских записях и статусе соответствия требованиям, что позволяет организациям проактивно выявлять и минимизировать риски и уязвимости.
Решение Heimdal PAM также интегрируется с существующими ИТ-системами и приложениями, обеспечивая бесперебойное управление доступом в масштабах организации. В целом PAM-решение Heimdal представляет собой комплексное и простое в использовании решение для управления привилегированным доступом, снижения риска утечки данных и обеспечения соответствия отраслевым стандартам и нормативным требованиям. Благодаря расширенным функциям и возможностям интеграции решение обеспечивает надежную защиту от киберугроз и помогает организациям достичь высокого уровня безопасности.
JumpCloud
Jumpcloud – это решение Directory as a Service (DaaS), обеспечивающее безопасную аутентификацию и подключение пользователей к сетям, системам, сервисам, приложениям и файлам. В целом, масштабируемый облачный каталог представляет собой службу, которая управляет, аутентифицирует и авторизует пользователей, приложения и устройства.
К особенностям относятся:
- Создает безопасный и централизованный авторитетный каталог
- Поддерживает кроссплатформенное управление доступом пользователей
- Обеспечивает функции единого входа, поддерживающие контроль доступа пользователей к приложениям через LDAP, SCIM и SAML 2.0
- Обеспечивает безопасный доступ к локальным и облачным серверам
- Поддерживает многофакторную аутентификацию
- Обеспечивает автоматизированное администрирование системы безопасности и сопутствующих функций, таких как регистрация событий, создание сценариев, управление API, PowerShell и др.
Ping Identity
Ping Identity – это интеллектуальная платформа, обеспечивающая многофакторную аутентификацию, единый вход в систему, службы каталогов и многое другое. Она позволяет организациям повысить безопасность и удобство работы с идентификационными данными пользователей.
Особенности
- Единый вход в систему, обеспечивающий надежную и безопасную аутентификацию и доступ к сервисам
- Многофакторная аутентификация, обеспечивающая дополнительные уровни безопасности
- Улучшенное управление данными и возможность соблюдения требований к конфиденциальности
- Службы каталогов, обеспечивающие безопасное управление идентификационными данными пользователей и данными в масштабе.
- Гибкие возможности развертывания в облаке, такие как Identity-as-a-Service (IDaaS), контейнерное программное обеспечение и т.д.
Foxpass
Foxpass – это масштабируемое решение для управления идентификацией и доступом корпоративного уровня для локальных и облачных развертываний. Оно предоставляет функции управления ключами RADIUS, LDAP и SSH, что обеспечивает доступ каждого пользователя к определенным сетям, серверам, VPN и другим сервисам только в разрешенное время. Инструмент может легко интегрироваться с другими сервисами, такими как Office 365, Google Apps и др.
AWS Secrets Manager
AWS Secrets Manager предоставляет надежное и эффективное средство защиты секретов, необходимых для доступа к сервису, приложениям и другим ресурсам. Он позволяет легко управлять, поворачивать и извлекать ключи API, учетные данные баз данных и другие секреты.
Существуют и другие решения для управления секретами, которые вы можете изучить.
Решение UEBA (User and Entity Behavior Analytics)
Exabeam
Платформа управления безопасностью Exabeam – это быстрое и простое в развертывании решение поведенческой аналитики на основе искусственного интеллекта, которое помогает отслеживать действия пользователей и учетных записей в различных сервисах. С помощью Exabeam можно также получать журналы из других ИТ-систем и средств защиты, анализировать их, выявлять и отмечать рискованные действия, угрозы и другие проблемы.
Особенности включают
- Ведение журналов и предоставление полезной информации для расследования инцидентов. К ним относятся все сеансы, когда конкретная учетная запись или пользователь впервые обратился к сервису, серверу, приложению или ресурсу, вход в систему с нового VPN-соединения, из необычной страны и т.д.
- Масштабируемое решение применимо для развертывания в одном экземпляре, в облаке и в локальной сети.
- Создает комплексную временную шкалу, которая наглядно показывает весь путь злоумышленника на основе нормального и аномального поведения учетной записи или пользователя.
Cynet 360
Платформа Cynet 360 – это комплексное решение, обеспечивающее поведенческую аналитику, защиту сети и конечных точек. Она позволяет создавать профили пользователей с указанием их геолокации, ролей, рабочего времени, моделей доступа к локальным и облачным ресурсам и т.д. Платформа помогает выявить такие необычные действия, как:
- Первый вход в систему или ресурсы
- Необычное место входа в систему или использование нового VPN-соединения
- Несколько одновременных подключений к нескольким ресурсам в течение очень короткого времени
- Учетные записи, осуществляющие доступ к ресурсам в нерабочее время
Средства защиты паролей
Password Auditor
Средства аудита паролей сканируют имена хостов и IP-адреса для автоматического выявления слабых учетных данных для сетевых сервисов и веб-приложений, таких как веб-формы HTTP, MYSQL, FTP, SSH, RDP, сетевые маршрутизаторы и другие, требующие аутентификации. Затем производится попытка входа в систему с использованием слабых, а также распространенных комбинаций имени пользователя и пароля для выявления и оповещения об учетных записях со слабыми учетными данными.
Password Manager Pro
ManageEngine password manager pro предоставляет комплексное решение для управления, контроля, мониторинга и аудита привилегированной учетной записи на протяжении всего ее жизненного цикла. Он может управлять привилегированной учетной записью, SSL-сертификатом, удаленным доступом, а также привилегированным сеансом.
Функции включают:
- Автоматизирует и обеспечивает частый сброс паролей для критически важных систем, таких как серверы, сетевые компоненты, базы данных и другие ресурсы
- Хранение и организация всех идентификационных данных и паролей привилегированных и конфиденциальных учетных записей в централизованном и безопасном хранилище.
- Позволяет организациям проходить критически важные аудиты безопасности, а также соответствовать нормативным стандартам, таким как HIPAA, PCI, SOX и др.
- Позволяет членам команды безопасно обмениваться административными паролями.
Сканеры уязвимостей
Invicti
Invicti – это масштабируемый автоматизированный сканер уязвимостей и решение для управления ими, способное удовлетворить требования любой организации. Инструмент может сканировать сложные сети и среды, при этом легко интегрируясь с другими системами, включая CI/CD-решения, SDLC и другие. Он обладает расширенными возможностями и оптимизирован для сканирования и выявления уязвимостей в сложных средах и приложениях.
Кроме того, с помощью Invicti можно проверить веб-серверы на наличие ошибок в системе безопасности, которые могут использовать злоумышленники. Как правило, инструмент выявляет SQL-инъекции, удаленное включение файлов, межсайтовый скриптинг (XSS) и другие уязвимости из списка OWASP Top-10 в веб-приложениях, веб-сервисах, веб-страницах, API и т.д.
Acunetix
Acunetix – это комплексное решение со встроенными функциями сканирования уязвимостей, управления ими и простой интеграции с другими средствами защиты. Оно позволяет автоматизировать задачи управления уязвимостями, такие как сканирование и устранение, что дает возможность экономить ресурсы.
Особенности:
- Интеграция с другими инструментами, такими как Jenkins, сторонними системами отслеживания проблем, такими как GitHub, Jira, Mantis, и другими.
- Варианты локального и облачного развертывания
- Возможность настройки в соответствии со средой и требованиями заказчика, а также кроссплатформенная поддержка.
- Быстрое выявление и реагирование на широкий спектр проблем безопасности, включая распространенные веб-атаки, межсайтовый скриптинг (XSS), SQL-инъекции, вредоносное ПО, неправильную конфигурацию, открытые активы и т.д.
Заключение
Как и при кибератаках, при повышении привилегий используются уязвимости систем и процессов в сетях, сервисах и приложениях. Предотвратить их можно, внедрив правильные средства и методы обеспечения безопасности. Эффективные меры включают в себя применение политик наименьших привилегий, надежных паролей и аутентификации, защиту конфиденциальных данных, уменьшение площади атаки, защиту учетных данных и т.д. Кроме того, необходимо поддерживать все системы, программное обеспечение и микропрограммы в актуальном состоянии, следить за поведением пользователей и обучать их безопасной работе с компьютером.
