Ihr Unternehmen kann dauerhaften Zugriff eliminieren, indem es Just-in-Time-Zugriff (JIT), Remote Browser Isolation (RBI), Zero Trust Network Access (ZTNA) und das Prinzip der geringsten Privilegien (PoLP)
Unternehmen müssen Privilegien-Eskalationsangriffe verhindern, um ihre sensiblen Daten vor unbefugtem Zugriff zu schützen. Um Privilegien-Eskalationsangriffe zu verhindern, sollten Unternehmen den Zugriff mit den geringsten Rechten implementieren, Best Practices für die Passwortsicherheit befolgen, die Multifaktor-Authentifizierung (MFA) durchsetzen, die Software auf dem neuesten Stand halten, den Netzwerkverkehr überwachen und regelmäßig Penetrationstests durchführen.
Lesen Sie weiter, um mehr über Privilegien-Eskalation zu erfahren, ihre Funktionsweise, die Arten von Privilegien-Eskalationsangriffen und wie Unternehmen sie verhindern können.
Was ist Privilegien-Eskalation und wie funktioniert sie?
Privilegien-Eskalation ist eine Art von Cyberangriff, bei dem Bedrohungsakteure versuchen, ihre Privilegien innerhalb der Systeme, Anwendungen und des Netzwerks eines Unternehmens zu erweitern. Durch Privilegien-Eskalation können Cyberkriminelle auf die sensiblen Daten und Systeme eines Unternehmens zugreifen. So können sie Daten manipulieren, vertrauliche Daten stehlen, den Betrieb stören, Betrug begehen, das Unternehmen erpressen und die Daten an die Öffentlichkeit oder ins Darknet weiterleiten.
Privilegien-Eskalation tritt aufgrund eines mangelhaften Privileged Access Management (PAM) auf. Nach dem ersten Zugriff identifizieren und nutzen Cyberkriminelle falsch verwaltete Privilegien, Sicherheitsschwachstellen, Fehlkonfigurationen, menschliches Versagen und Mängel innerhalb der Systeme eines Unternehmens aus, um ihre Privilegien zu erweitern und sich weiteren unbefugten Zugriff zu verschaffen. Sie werden entweder versuchen, ihren Zugriffsbereich auf Konten mit ähnlichen Privilegien zu erweitern oder ihre Privilegien zu erhöhen, indem sie sich Zugriff auf Administratorkonten auf höherer Ebene verschaffen.
So verhindern Sie Privilegien-Eskalationsangriffe
Privilegien-Eskalation ist oft schwer zu erkennen und kann es Cyberkriminellen ermöglichen, sensible Daten zu stehlen und den Betrieb eines Unternehmens zu stören. Um Privilegien-Eskalationsangriffe zu verhindern, sollten Unternehmen folgende Maßnahmen ergreifen.
1. Implementieren des Zugriffs mit geringsten Rechten
Das Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) ist ein Cybersicherheitskonzept, das Benutzern gerade genug Netzwerkzugriff auf Informationen und Systeme gewährt, um ihre Arbeit zu erledigen, und nicht mehr. Dies verhindert, dass Benutzer auf Ressourcen zugreifen, die sie nicht benötigen, und schränkt ein, was sie mit den Ressourcen tun können, auf die sie Zugriff haben. Der Zugriff mit den geringsten Rechten trägt dazu bei, die Auswirkungen von Datenschutzverletzungen abzuschwächen, indem die Angriffsfläche einer Organisation reduziert, die Insider-Bedrohungen minimiert und die Seitwärtsbewegung von Bedrohungsakteuren verhindert wird.
Der beste Weg, um den Zugriff mit den geringsten Rechten zu implementieren, ist die Verwendung eines Privileged Access Managers. Ein Privileged Access Manager ist eine zentralisierte Plattform, mit der Unternehmen privilegierte Konten schützen und verwalten können. Mit einem Privileged Access Manager erhalten Gesundheitseinrichtungen volle Transparenz über ihre gesamte Dateninfrastruktur. Sie können sehen, wer auf sensible Ressourcen zugreift und wie die Ressourcen genutzt werden. Ein Privileged Access Manager ermöglicht es Unternehmen, privilegierte Sitzungen zu überwachen, die Berechtigungen für Konten festzulegen, Just-in-Time-Zugriff durchzusetzen und Privilegien regelmäßig zu überprüfen.
2. Befolgen der Best Practices für die Passwortsicherheit
Um privilegierte Konten vor unbefugtem Zugriff durch Cyberkriminelle zu schützen, müssen Unternehmen Best Practices für die Passwortsicherheit anwenden. Cyberkriminelle versuchen, ihre Privilegien zu eskalieren, indem sie Passwortangriffe ausführen, um schwache und wiederverwendete Passwörter zu erraten. Unternehmen müssen starke und einzigartige Passwörter verwenden, um privilegierte Konten zu schützen. Starke und einzigartige Passwörter sind sowohl lang als auch komplex, was es Cyberkriminellen erschwert, sie zu knacken und privilegierte Konten zu kompromittieren.
Um sicherzustellen, dass privilegierte Konten durch sichere und einzigartige Passwörter geschützt sind, sollten Unternehmen in einen Password Manager investieren. Ein Enterprise Password Manager ist ein Tool, das die Passwörter der Mitarbeitenden in einem digital verschlüsselten Tresor sicher speichert und verwaltet. Der digitale Tresor ist durch mehrere Verschlüsselungsebenen geschützt und der Zugriff ist nur mit einem starken Master-Passwort möglich. Ein Password Manager ermöglicht es Administratoren, die Passwortpraktiken von Mitarbeitenden einzusehen und die Verwendung starker Passwörter durchzusetzen. Einige Privileged Access Manager verfügen häufig über Passwortverwaltungsfunktionen, mit denen Unternehmen die Sicherheit privilegierter Konten einfach verwalten können.
3. Durchsetzen der Verwendung von MFA
Bei der Multifaktor-Authentifizierung (MFA) handelt es sich um ein Sicherheitsprotokoll, bei dem Benutzer zusätzliche Authentifizierungsebenen angeben müssen, um Zugriff auf das Netzwerk eines Unternehmens zu erhalten. Wenn MFA aktiviert ist, müssen Benutzer mindestens zwei verschiedene Formen der Authentifizierung angeben.
Unternehmen müssen MFA durchsetzen, um eine zusätzliche Sicherheitsebene für privilegierte Konten zu schaffen, indem sie sicherstellen, dass der Zugriff autorisiert ist. Selbst wenn die Anmeldeinformationen für ein privilegiertes Konto kompromittiert würden, könnten Cyberkriminelle immer noch nicht auf das Konto zugreifen, da sie die erforderliche zusätzliche Authentifizierung nicht vornehmen könnten.
4. Halten Sie die Software Ihres Unternehmens auf dem neuesten Stand
Cyberkriminelle nutzen häufig die Sicherheitsschwachstellen veralteter Software aus. Unternehmen müssen ihre Software regelmäßig auf den neuesten Stand bringen, um Fehler und Schwachstellen zu beheben und Sicherheitsfunktionen hinzuzufügen, die einen noch besseren Schutz bieten. Durch die regelmäßige Aktualisierung Ihrer Software wird verhindert, dass Cyberkriminelle Sicherheitsschwachstellen ausnutzen, sich ersten Zugriff auf das Netzwerk eines Unternehmens verschaffen und dann ihre Privilegien erhöhen.
5. Überwachen des Netzwerkverkehrs
Um Privilegien-Eskalationsangriffe zu erkennen, müssen Unternehmen ihren Netzwerkverkehr auf ungewöhnlichen Datenverkehr und verdächtiges Benutzerverhalten überwachen. Durch die Überwachung des Netzwerkverkehrs können Unternehmen eine Privilegien-Eskalation sofort erkennen und schnell Gegenmaßnahmen ergreifen. Privileged Access Manager ermöglichen es Unternehmen, einzusehen, wer auf ihr Netzwerk zugreift, und privilegierte Sitzungen zu überwachen. Um die Sicherheit des Netzwerks eines Unternehmens zu verbessern, sollten Unternehmen Segmente erstellen, um den Netzwerkverkehr einfach zu überwachen und zu verwalten.
6. Durchführen regelmäßiger Penetrationstests
Ein Penetrationstest oder Pen-Test ist eine Sicherheitsübung, bei der ein Cyberangriff auf die Systeme eines Unternehmens simuliert wird. Dieser hilft dabei, die Stärke der Sicherheit eines Unternehmens zu bewerten und Sicherheitsschwachstellen zu identifizieren, die Cyberkriminelle ausnutzen könnten. Unternehmen sollten regelmäßig Penetrationstests durchführen, um ihre Sicherheit zu verbessern, indem sie Schwachstellen aufdecken und Lösungen zu deren Behebung entwickeln. Dies hilft, potenzielle Pfade für die Privilegien-Eskalation zu finden und zu beseitigen.
Techniken, die bei Privilegien-Eskalationsangriffen verwendet werden
Privilegien-Eskalation ist in zwei Kategorien unterteilt: horizontale und vertikale Privilegien-Eskalation. Beide Techniken versuchen, unbefugten Zugriff auf die Ressourcen eines Unternehmens zu erlangen, unterscheiden sich jedoch in der Höhe der angestrebten Privilegien und in der Vorgehensweise, mit der sie dies tun.
Horizontale Privilegien-Eskalation
Horizontale Privilegien-Eskalation tritt auf, wenn ein Cyberkrimineller versucht, Zugriff auf Ressourcen und Funktionen mit ähnlichen Privilegien wie das ursprünglich kompromittierte Konto zu erhalten. Das Ziel der horizontalen Privilegien-Eskalation besteht darin, auf die Daten, Ressourcen und Funktionen eines anderen Benutzers zuzugreifen, ohne dessen Privilegienstufen zu erhöhen. Cyberkriminelle können die horizontale Privilegien-Eskalation nutzen, um Daten von einem bestimmten Benutzer zu stehlen oder auf andere Bereiche des Netzwerks zuzugreifen.
Zu den gängigen Angriffsvektoren, die bei der horizontalen Privilegien-Eskalation verwendet werden, gehören:
- Passwortangriff: Eine Kategorie von Cyberangriffen, bei denen versucht wird, durch Erraten des Passworts Zugriff auf ein Konto zu erhalten. Cyberkriminelle nutzen oft verschiedene Arten von Passwortangriffen, wie Brute-Force-, Keylogger-, Passwort-Spraying– und Wörterbuchangriffe.
- Session-Hijacking: Eine Art von Man-in-the-Middle-Angriff (MITM), bei dem Cyberkriminelle Browser-Cookies stehlen, um Ihre Internetsitzung zu übernehmen. Wenn eine Sitzung gekapert wird, können Cyberkriminelle die Sitzung nutzen, um auf die Ressourcen des Opfers zuzugreifen.
- Pass-the-Hash: Eine Art von Cyberangriff, bei dem Cyberkriminelle ein gehashtes Passwort stehlen und es verwenden, um das Authentifizierungsprotokoll des Netzwerks oder Systems zu umgehen. Dadurch können sich Cyberkriminelle seitlich im Netzwerk bewegen, um Zugriff auf andere privilegierte Konten zu erhalten.
Vertikale Privilegien-Eskalation
Vertikale Privilegien-Eskalation versucht, die Privilegien eines Benutzers, einer Anwendung oder eines Systems über das hinaus zu erhöhen, was er/sie bereits hat, und von einem niedrigen Zugriff zu einem hohen Zugriff zu gelangen, z. B. ein normales Benutzerkonto zu einem privilegierten Administrator zu machen. Das Ziel der vertikalen Privilegien-Eskalation besteht darin, die Kontrolle über das Netzwerk auf höchster Ebene zu erlangen. Sobald Cyberkriminelle die Kontrolle über das Netzwerk haben, können sie auf eingeschränkte Ressourcen zugreifen und verwaltungstechnische Aktionen durchführen, wie z. B. das Ändern von Konfigurationen, die Installation bösartiger Software und die Erstellung neuer Benutzerkonten.
Zu den gängigen Angriffsvektoren, die bei der vertikalen Privilegien-Eskalation verwendet werden, gehören:
- Social Engineering: Eine Art der psychologischen Manipulation, die von Bedrohungsakteuren eingesetzt wird, um Menschen zur Preisgabe privater Daten zu bewegen. Eine gängige Form von Social Engineering ist Phishing. Phishing liegt vor, wenn Cyberkriminelle Menschen zur Preisgabe von Informationen verleiten, indem sie sich als jemand ausgeben, den das Opfer kennt.
- Fehlkonfigurationen: Fehler und Lücken, die in falsch konfigurierten Netzwerken gefunden wurden. Systeme, die eine manuelle Konfiguration erfordern, weisen oft anfällige Einstellungen und uneinheitliche Sicherheitskontrollen auf, wenn sie nicht ordnungsgemäß konfiguriert sind. Cyberkriminelle suchen nach Fehlkonfigurationen im Netzwerk, um diese auszunutzen und ihre Privilegien zu erhöhen.
- Veraltete Software: Schwachstellen in veralteter Software, die Cyberkriminelle ausnutzen, um sich unbefugten Zugriff zu verschaffen. Für die meiste Softwares gibt es regelmäßig Updates, die Bugs und Schwachstellen beheben, die von Cyberkriminellen ausgenutzt werden. Die Verwendung veralteter Software ermöglicht es Cyberkriminellen jedoch, sich unbefugten Zugriff zu verschaffen und ihre Privilegien zu erhöhen.
Verwenden Sie Keeper®, um Privilegien-Eskalationsangriffe zu verhindern
Der beste Weg, um Privilegien-Eskalationsangriffe zu verhindern, ist mit einem Privileged Access Manager. Ein Privileged Access Manager unterstützt Unternehmen bei der Implementierung des Zugriffs mit den geringsten Privilegien, der vollständigen Transparenz ihrer gesamten Dateninfrastruktur und der Kontrolle des Zugriffs auf ihr Netzwerk.
KeeperPAM™ ist eine Lösung für Privileged Access Management auf Basis von Zero-Trust und Zero-Knowledge, die Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) und Keeper Connection Manager® (KCM) kombiniert. Mit KeeperPAM können Unternehmen Passwörter, Anmeldeinformationen, Geheimnisse, Privilegien und Fernzugriff schützen – alles in einer Plattform. KeeperPAM ermöglicht Unternehmen vollständige Transparenz, Sicherheit und Kontrolle über jeden privilegierten Benutzer und Gerät in ihrem Netzwerk.