Атаки на підвищення привілеїв, методи та засоби запобігання

Автор

Атаки з підвищенням прав доступу: що це і як їм запобігти

Атаки, метою яких є підвищення привілеїв, виникають, коли зловмисники використовують недоліки конфігурацій, програмні помилки, нестійкі паролі та інші вразливі місця, щоб отримати доступ до захищених ресурсів. Ці дії дозволяють їм обійти встановлені обмеження доступу і отримати контроль над важливими компонентами системи.

Стандартна схема атаки може починатися з отримання зловмисником доступу до облікового запису з низьким рівнем привілеїв. Після цього, проникнувши в систему, зловмисник починає досліджувати її структуру, щоб виявити додаткові вразливості, які можна використовувати для подальшого підвищення рівня доступу. В результаті, використовуючи вищі права, вони маскуються під легітимних користувачів, отримують доступ до бажаних ресурсів і непомітно виконують шкідливі дії.

Атаки з підвищенням привілеїв поділяються на два типи: вертикальні та горизонтальні.

У вертикальних атаках зловмисник отримує доступ до облікового запису, а потім виконує дії від імені цього користувача. Горизонтальні атаки передбачають отримання зловмисником доступу до одного або декількох облікових записів з обмеженими правами, а потім компрометацію системи для отримання адміністративних прав.

Отримавши необхідні права, зловмисники можуть виконувати різноманітні адміністративні завдання, розповсюджувати шкідливе програмне забезпечення або здійснювати інші небажані дії. Наприклад, вони можуть викликати збої в роботі системи, змінювати налаштування безпеки, викрадати важливі дані або створювати приховані канали доступу для майбутніх атак.

По суті, атаки з підвищенням привілеїв, як і інші кібернетичні загрози, експлуатують слабкі місця в системі, процесах, мережах та програмах. Запобігти їм можна шляхом впровадження комплексних заходів безпеки і використання спеціалізованих інструментів. Організаціям необхідно використовувати рішення, які здатні сканувати, ідентифікувати та нейтралізувати широкий спектр потенційних та існуючих загроз безпеці.

Рекомендації для запобігання атакам підвищення привілеїв

Організації повинні забезпечити захист усіх важливих систем, даних та інших областей, які можуть здаватися непривабливими для зловмисників. Достатньо одного успішного проникнення в систему, щоб зловмисник розпочав пошук вразливостей, які можна використати для отримання додаткових прав. Окрім захисту від зовнішніх загроз, важливо вжити заходів для запобігання внутрішнім атакам.

Хоча конкретні заходи можуть відрізнятися залежно від систем, мереж та інших факторів, нижче наведено деякі методи, які організації можуть використовувати для підвищення рівня захисту своєї інфраструктури.

Захист та сканування мережі, систем і додатків

Окрім використання систем безпеки в режимі реального часу, необхідно регулярно сканувати всі компоненти IT-інфраструктури на предмет вразливостей, які можуть дозволити проникнення нових загроз. Для цього можна використовувати сканери вразливостей, щоб виявляти не оновлені операційні системи і додатки, недоліки конфігурацій, слабкі паролі та інші слабкі місця, якими можуть скористатися зловмисники.

Хоча існують різні сканери для виявлення вразливостей у застарілому програмному забезпеченні, оновлення або виправлення всіх систем може бути складним або неможливим. Особливо, це проблематично, коли мова йде про застарілі компоненти або системи, що активно використовуються.

У таких випадках можна застосувати додаткові рівні безпеки, наприклад, міжмережеві екрани веб-додатків (WAF), які здатні виявляти і блокувати шкідливий трафік на рівні мережі. Зазвичай WAF захищає базову систему, навіть якщо вона не виправлена або застаріла.

Належне управління обліковими записами з привілеями

Вкрай важливо здійснювати належне управління обліковими записами з підвищеними правами, гарантуючи їх захищеність, використання відповідно до встановлених норм і конфіденційність. Відділи безпеки повинні мати повний перелік таких облікових записів, їх розташування та призначення.

Інші заходи включають:

  • Зменшення кількості привілейованих облікових записів, постійний моніторинг їхньої активності.
  • Аналіз кожного привілейованого користувача або облікового запису для виявлення та усунення будь-яких ризиків, потенційних загроз та намірів зловмисника.
  • Дотримання принципу найменших привілеїв.
  • Заборона адміністраторам обмінюватися обліковими записами та паролями.

Моніторинг поведінки користувачів

Аналіз поведінки користувачів може виявити, чи не було скомпрометовано ідентифікаційні дані. Зловмисники часто націлюються на ідентифікатори користувачів, що надають доступ до систем організації. Отримавши ці дані, вони проникають у мережу і можуть залишатися непоміченими протягом тривалого періоду.

Оскільки ручний моніторинг поведінки кожного користувача є складним, кращим варіантом є використання систем аналізу поведінки користувачів і сутностей (UEBA). Такі інструменти постійно відстежують дії користувачів, створюючи базову лінію нормальної поведінки, яка потім використовується для виявлення будь-яких відхилень, що можуть вказувати на несанкціоновану активність.

Отриманий профіль містить інформацію про місцезнаходження, ресурси, файли даних і служби, до яких користувач має доступ, частоту доступу, конкретні внутрішні та зовнішні мережі, кількість хостів, а також виконані процеси. На основі цих даних система може ідентифікувати підозрілі дії, які відхиляються від встановленої норми.

Політика надійних паролів та її дотримання

Необхідно встановити та впровадити жорсткі політики, що гарантують використання користувачами унікальних та складних паролів. Також, використання багатофакторної автентифікації додає додатковий рівень безпеки, долаючи обмеження, які можуть виникнути при ручному контролі політик надійних паролів.

Служби безпеки також повинні застосовувати необхідні інструменти, такі як аудитори паролів, засоби забезпечення політики та інші, які сканують системи, виявляють та позначають слабкі паролі або вимагають їх зміни. Інструменти моніторингу гарантують, що користувачі використовують надійні паролі з точки зору довжини, складності та відповідності політиці компанії.

Організації також можуть використовувати корпоративні інструменти управління паролями для допомоги користувачам створювати та використовувати складні і безпечні паролі, що відповідають вимогам доступу до різних служб. Додаткові заходи, такі як багатофакторна аутентифікація для розблокування менеджера паролів, ще більше підвищують його безпеку, унеможливлюючи доступ зловмисників до збережених облікових даних. До типових корпоративних менеджерів паролів належать: Keeper, Dashlane, 1Password.

Очищення даних введення користувачем та захист баз даних

Зловмисники можуть використовувати вразливі поля введення даних користувачем, а також бази даних, для впровадження шкідливого коду, отримання доступу та компрометації систем. З цієї причини, команди безпеки повинні застосовувати найкращі практики, такі як надійна аутентифікація та ефективні інструменти для захисту баз даних і всіх видів полів введення даних.

Шифрування всіх даних під час передачі та в стані спокою, на додаток до захисту баз даних та дезінфекції всіх даних, введених користувачами, є ефективним способом захисту. Додаткові заходи включають встановлення файлів лише для читання та надання прав на запис лише групам і користувачам, які цього потребують.

Навчання користувачів

Користувачі є найслабшою ланкою в системі безпеки організації. Тому важливо надати їм знання і навчити безпечно виконувати свої завдання. В іншому випадку, один необережний клік користувача може призвести до злому всієї мережі або системи. Деякі з ризиків включають відкриття шкідливих посилань або вкладень, відвідування скомпрометованих веб-сайтів, використання слабких паролів тощо.

В ідеалі, організація повинна регулярно проводити програми навчання з питань безпеки, а також мати методологію перевірки ефективності навчання.

Інструменти запобігання атакам підвищення привілеїв

Запобігання атакам з підвищенням привілеїв вимагає використання комбінації інструментів. До них відносяться, але не обмежуються, перелічені нижче рішення.

Аналіз поведінки користувачів та суб’єктів (UEBA)

Exabeam

Платформа безпеки Exabeam є швидким і простим у використанні рішенням для поведінкової аналітики на основі штучного інтелекту, яке допомагає відстежувати дії користувачів і облікових записів у різних службах. Exabeam дозволяє завантажувати логи з різних IT-систем і інструментів безпеки, аналізувати їх, виявляти і позначати ризиковані дії, загрози та інші проблеми.

Основні характеристики:

  • Реєструє і надає корисну інформацію для розслідування інцидентів, включаючи всі сеанси доступу до служби, сервера, програми або ресурсу, вхід до облікового запису з нового VPN-з’єднання, з незвичної країни тощо.
  • Масштабоване рішення, яке підходить для розгортання на одному екземплярі, у хмарі або локально.
  • Створює повну хронологію, що чітко показує шлях дій зловмисника на основі аналізу нормальної та ненормальної поведінки облікових записів або користувачів.

Cynet 360

Платформа Cynet 360 є комплексним рішенням, що забезпечує поведінкову аналітику, безпеку мережі та кінцевих точок. Вона дозволяє створювати профілі користувачів, включаючи їх геолокацію, ролі, робочий час, шаблони доступу до локальних та хмарних ресурсів тощо.

Платформа допомагає ідентифікувати незвичайні дії, такі як:

  • Перший вхід у систему або до ресурсів.
  • Незвичайне місце входу або використання нового VPN-з’єднання.
  • Кілька одночасних підключень до декількох ресурсів за короткий час.
  • Облікові записи, що мають доступ до ресурсів у неробочий час.

Інструменти захисту паролів

Аудитор паролів

Інструменти аудиту паролів сканують імена хостів та IP-адреси для автоматичного виявлення слабких облікових даних для мережевих служб та веб-додатків, таких як HTTP, MYSQL, FTP, SSH, RDP, мережеві маршрутизатори та інші, що потребують аутентифікації. Потім вони намагаються увійти за допомогою слабких і поширених комбінацій імені користувача та пароля, щоб виявити облікові записи зі слабкими даними.

Password Manager Pro

Password Manager Pro від ManageEngine пропонує комплексне рішення для управління, контролю, моніторингу та аудиту привілейованих облікових записів протягом усього їхнього життєвого циклу. Він може керувати привілейованими обліковими записами, SSL сертифікатами, віддаленим доступом, а також привілейованими сеансами.

Основні характеристики:

  • Автоматизує та забезпечує часте скидання паролів для важливих систем, таких як сервери, мережеві компоненти, бази даних та інші ресурси.
  • Зберігає та організовує всі привілейовані та конфіденційні облікові записи та паролі у централізованому та безпечному сховищі.
  • Допомагає організаціям проходити перевірки безпеки та дотримуватися нормативних стандартів, таких як HIPAA, PCI, SOX тощо.
  • Дозволяє членам команди безпечно ділитися адміністраторськими паролями.

Сканери вразливостей

Invicti

Invicti — це масштабований автоматизований сканер вразливостей, що підходить для будь-якої організації. Він може сканувати складні мережі і середовища, плавно інтегруючись з іншими системами, включаючи рішення CI/CD, SDLC та інші. Invicti має розширені можливості сканування і виявлення вразливостей у складних середовищах та додатках.

Крім того, Invicti можна використовувати для перевірки веб-серверів на предмет неправильних конфігурацій безпеки, які можуть експлуатувати зловмисники. Загалом, інструмент визначає SQL-ін’єкції, віддалене включення файлів, міжсайтовий скриптинг (XSS) та інші топ-10 вразливостей OWASP у веб-додатках, веб-службах, веб-сторінках, API тощо.

Acunetix

Acunetix є комплексним рішенням з вбудованим скануванням, управлінням вразливостями та легкою інтеграцією з іншими інструментами безпеки. Це допомагає автоматизувати завдання управління вразливістю, такі як сканування та виправлення, що дозволяє економити ресурси.

Основні характеристики:

  • Інтегрується з іншими інструментами, такими як Jenkins, сторонні трекери проблем, як GitHub, Jira, Mantis та інші.
  • Варіанти локального та хмарного розгортання.
  • Можливість налаштування під потреби та вимоги клієнта, підтримка міжплатформності.
  • Швидке виявлення та реагування на широкий спектр проблем безпеки, включаючи поширені веб-атаки, міжсайтовий скриптинг (XSS), SQL-ін’єкції, шкідливе програмне забезпечення, неправильні конфігурації, розкриті активи та інше.

Програмні рішення для управління привілейованим доступом (PAM)

JumpCloud

JumpCloud — це рішення «каталог як послуга» (DaaS), що безпечно автентифікує і підключає користувачів до мереж, систем, служб, додатків і файлів. Це масштабований хмарний каталог, який управляє користувачами, програмами та пристроями, а також їх автентифікацією та авторизацією.

Основні характеристики:

  • Створює безпечний і централізований авторитетний каталог.
  • Підтримує кросплатформне управління доступом користувачів.
  • Надає функціонал єдиного входу, що підтримує контроль доступу користувачів до додатків через LDAP, SCIM і SAML 2.0.
  • Забезпечує безпечний доступ до локальних і хмарних серверів.
  • Підтримує багатофакторну аутентифікацію.
  • Має автоматизоване адміністрування безпеки та пов’язаних функцій, таких як лог подій, створення скриптів, управління API, PowerShell тощо.

Ping Identity

Ping Identity – це інтелектуальна платформа, що забезпечує багатофакторну автентифікацію, єдиний вхід, служби каталогів тощо. Вона дає змогу організаціям підвищити безпеку ідентифікації користувачів та їхній досвід.

Основні характеристики:

  • Система єдиного входу, що забезпечує безпечну та надійну аутентифікацію та доступ до послуг.
  • Багатофакторна аутентифікація для додаткового рівня безпеки.
  • Покращене управління даними та дотримання правил конфіденційності.
  • Служби каталогів, які забезпечують безпечне управління користувачами та даними в масштабі.
  • Гнучкі варіанти хмарного розгортання, такі як Identity-as-a-Service (IDaaS), програмне забезпечення в контейнерах та інші.

Foxpass

Foxpass — це масштабоване рішення ідентифікації та контролю доступу корпоративного рівня для локального та хмарного розгортання. Воно надає функції управління ключами RADIUS, LDAP та SSH, що гарантує, що кожен користувач отримує доступ лише до певних мереж, серверів, VPN та інших служб у дозволений час.

Інструмент легко інтегрується з іншими сервісами, такими як Office 365, Google Apps та іншими.

AWS Secrets Manager

AWS Secrets Manager надає надійні та ефективні засоби захисту секретів, необхідних для доступу до служб, додатків та інших ресурсів. Він дозволяє легко керувати, змінювати і отримувати ключі API, облікові дані баз даних та інші секрети.

Варто вивчити й інші рішення для управління секретами.

Висновок

Атаки з підвищенням привілеїв, як і інші кібератаки, використовують вразливості систем і процесів в мережах, службах та додатках. Запобігти їх можна за допомогою правильних інструментів та методів безпеки.

До ефективних заходів належить застосування принципу найменших привілеїв, надійні паролі та політики аутентифікації, захист конфіденційних даних, зменшення поверхні атаки, захист облікових даних та інше. Інші заходи включають підтримку всіх систем, програмного забезпечення і прошивок в актуальному стані, моніторинг поведінки користувачів і навчання користувачів безпечним методам роботи з комп’ютером.