Sei modi per prevenire gli attacchi di privilege escalation

Le organizzazioni devono prevenire gli attacchi di privilege escalation proteggendo i propri dati sensibili dagli accessi non autorizzati. Per prevenire gli attacchi di privilege escalation, le organizzazioni devono implementare l’accesso con privilegi minimi, seguire le migliori pratiche in fatto di sicurezza delle password, applicare l’autenticazione a più fattori (MFA), mantenere i software aggiornati, monitorare il traffico di rete ed eseguire regolarmente test di penetrazione.

Continua a leggere per scoprire di più sulle privilege escalation, come funzionano, i tipi di attacchi di privilege escalation e come le organizzazioni possono prevenirle.

Che cos’è una privilege escalation e come funziona?

La privilege escalation è un tipo di attacco informatico in cui i malintenzionati cercano di espandere i loro livelli di privilegi all’interno dei sistemi, delle applicazioni e della rete di un’organizzazione. Tramite una privilege escalation, i cybercriminali possono accedere ai dati e ai sistemi sensibili di un’organizzazione in modo da poter manipolare i dati, rubare le informazioni riservate, interrompere le operazioni, commettere frodi, estorcere l’organizzazione e diffondere i dati al pubblico o nel dark web.

La privilege escalation avviene a causa di una gestione degli accessi privilegiati (PAM) inadeguata. Dopo aver ottenuto l’accesso iniziale, i cybercriminali identificheranno e sfrutteranno privilegi non opportunamente gestiti, le vulnerabilità nella sicurezza, le configurazioni errate, gli errori umani e le falle all’interno dei sistemi di un’organizzazione al fine di espandere i propri privilegi e ottenere un ulteriore accesso non autorizzato. Cercheranno di ampliare la loro sfera di accesso agli account con privilegi simili oppure incrementeranno i loro privilegi ottenendo un accesso di livello superiore agli account di amministratore.

Come prevenire gli attacchi di privilege escalation

La privilege escalation può essere difficile da rilevare e può permettere ai cybercriminali di rubare i dati sensibili e interrompere le operazioni di un’organizzazione. Per prevenire gli attacchi di privilege escalation, le organizzazioni devono adottare le seguenti misure.

1. Implementare l’accesso con privilegi minimi

Il principio del privilegio minimo (PoLP) è un concetto di sicurezza informatica che concede agli utenti solo l’accesso alla rete sufficiente per usufruire delle informazioni e dei sistemi necessari per svolgere il proprio lavoro. Impedisce agli utenti di accedere alle risorse di cui non hanno bisogno e limita ciò che possono fare con le risorse a cui hanno accesso. L’accesso con privilegio minimo aiuta a mitigare gli effetti delle violazioni dei dati riducendo la superficie di attacco di un’organizzazione, minimizzando le minacce interne e impedendo i movimenti laterali da parte dei malintenzionati.

Il modo migliore per implementare l’accesso con privilegio minimo è utilizzare un privileged access manager. Un privileged access manager è una piattaforma centralizzata che consente alle organizzazioni di proteggere e gestire gli account con privilegi. Grazie a un privileged access manager, le organizzazioni hanno una visibilità completa sull’intera infrastruttura dei dati. Possono vedere chi accede alle risorse sensibili e come queste vengono utilizzate. Un privileged access manager consente alle organizzazioni di monitorare le sessioni con privilegi, determinare i privilegi per gli account, applicare l’accesso just-in-time e controllare regolarmente i privilegi.

2. Seguire le migliori pratiche in fatto di sicurezza delle password

Al fine di proteggere gli account con privilegi dagli accessi non autorizzati da parte dei cybercriminali, le organizzazioni devono seguire le migliori pratiche in materia di sicurezza delle password. I cybercriminali cercano di aumentare i propri privilegi eseguendo attacchi alle password per indovinare le password deboli e riciclate. Le organizzazioni devono utilizzare password forti e uniche per proteggere gli account con privilegi. Le password forti e uniche sono sia lunghe che complesse, rendendo difficile per i cybercriminali decifrarle e compromettere gli account con privilegi.

Per garantire che gli account con privilegi siano protetti con password forti e uniche, le organizzazioni devono investire in un password manager. Un password manager aziendale è uno strumento che memorizza e gestisce in modo sicuro le password dei dipendenti in una cassaforte digitale crittografata. La cassaforte digitale è protetta da più livelli di crittografia e può essere accessibile solo mediante una password principale forte. Un password manager consente agli amministratori di visualizzare come i dipendenti utilizzano le passowrd e far sì che utilizzino password forti. Spesso, alcuni degli accessi con privilegi sono dotati di funzionalità di gestione delle password che consentono alle organizzazioni di gestire facilmente la sicurezza degli account con privilegi.

3. Applicare l’uso dell’MFA

L’autenticazione a più fattori (MFA) è un protocollo di sicurezza che richiede agli utenti di fornire ulteriori livelli di autenticazione per accedere alla rete di un’organizzazione. Abilitando l’MFA, gli utenti devono fornire almeno due diverse forme di autenticazione.

Le organizzazioni devono applicare l’MFA per aggiungere un ulteriore livello di sicurezza agli account con privilegi garantendo così gli accessi autorizzati. Anche se le credenziali di accesso a un account con privilegi fossero compromesse, i cybercriminali non potrebbero comunque accedere all’account perché non sarebbero in grado di fornire l’ulteriore autenticazione richiesta.

4. Mantenere i software dell’organizzazione aggiornati

I cybercriminali spesso sfruttano le vulnerabilità nella sicurezza dei software obsoleti. Le organizzazioni devono aggiornare i propri software regolarmente per correggere eventuali bug e falle e aggiungere funzionalità di sicurezza al fine di fornire una protezione migliore. Aggiornare regolarmente il software contribuirà a evitare che i cybercriminali sfruttino le vulnerabilità nella sicurezza, ottengano l’accesso iniziale alla rete di un’organizzazione e quindi ottengano maggiori privilegi.

5. Monitorare il traffico di rete

Per individuare gli attacchi di privilege escalation, le organizzazioni devono monitorare il loro traffico di rete per rilevare eventuali comportamenti insoliti o sospetti da parte degli utenti. Monitorando il traffico di rete, le organizzazioni possono individuare immediatamente le privilege escalation e intraprendere azioni rapide per porvi rimedio. I privileged access manager consentono alle organizzazioni di visualizzare chi accede alla rete e di monitorare le sessioni con privilegi. Al fine di migliorare la sicurezza della rete, le organizzazioni devono creare segmenti che consentano di monitorare e gestire facilmente il traffico di rete.

6. Eseguire regolarmente test di penetrazione

Un test di penetrazione, o pen test, è un esercizio di sicurezza che simula un attacco informatico ai sistemi di un’organizzazione. Aiuta a valutare il livello di sicurezza di un’organizzazione e a individuare eventuali vulnerabilità nella sicurezza che i cybercriminali potrebbero sfruttare. Le organizzazioni devono eseguire regolarmente test di penetrazione per migliorare la sicurezza individuando le vulnerabilità e sviluppando soluzioni per porvi rimedio. Ciò contribuirà a individuare e rimuovere potenziali vie per le privilege escalation.

Tecniche utilizzate negli attacchi di privilege escalation

Le privilege escalation si suddividono in due categorie: privilege escalation orizzontali e verticali. Entrambe le tecniche cercano di ottenere l’accesso non autorizzato alle risorse di un’organizzazione, ma differiscono per il livello di privilegi che cercano di ottenere e per come agiscono.

Privilege escalation orizzontale

La privilege escalation orizzontale avviene quando un cybercriminale cerca di ottenere l’accesso a risorse e funzionalità con privilegi simili a quelli dell’account inizialmente compromesso. L’obiettivo della privilege escalation orizzontale è accedere ai dati, alle risorse e alle funzionalità di un altro utente senza aumentare i propri livelli di privilegi. I cybercriminali possono utilizzare la privilege escalation orizzontale per rubare i dati di un utente che hanno preso di mira o per accedere ad altre aree della rete.

Tra i vettori di attacco più diffusi utilizzati nella privilege escalation orizzontale ci sono:

• Attacco alle password: una categoria di attacco informatico che cerca di accedere a un account indovinandone la password. Spesso, i cybercriminali utilizzano diversi tipi di attacchi alle password, come attacchi di forza bruta, keylogger, password spray e tramite dizionario.
• Dirottamento delle sessioni: un tipo di attacco Man-in-the-Middle (MITM) in cui i cybercriminali rubano i cookie del browser per prendere il controllo della tua sessione Internet. Una volta che una sessione viene dirottata, i cybercriminali possono utilizzarla per accedere alle risorse della vittima.
• Pass-the-hash: un tipo di attacco informatico in cui i cybercriminali rubano una password con hash e la utilizzano per bypassare la rete o il protocollo di autenticazione del sistema. In questo modo, i cybercriminali possono muoversi lateralmente su una rete per accedere ad altri account con privilegi.

Privilege escalation verticale

La privilege escalation verticale mira ad aggiungere altri privilegi oltre a quelli già esistenti per un utente, un’applicazione o un sistema, passando dall’accesso di basso livello all’accesso di alto livello, ad esempio spostandosi da un account di utente standard a un account di amministratore con privilegi. L’obiettivo della privilege escalation verticale è ottenere un alto livello di controllo sulla rete. Una volta che i cybercriminali hanno il controllo sulla rete, possono accedere alle risorse con restrizioni ed eseguire azioni di amministratore, come modificare le configurazioni, installare software dannosi e creare nuovi account utente.

Tra i vettori di attacco più diffusi utilizzati nelle privilege escalation verticali ci sono:

• Social engineering: un tipo di manipolazione psicologica utilizzato dai malintenzionati per indurre le persone a rivelare informazioni private. Una forma comune di social engineering è il phishing. Il phishing avviene quando i cybercriminali inducono le persone a rivelare informazioni fingendosi una persona che la vittima conosce.
• Configurazioni errate: errori e lacune presenti nelle reti mal configurate. Spesso, i sistemi che richiedono la configurazione manuale presentano impostazioni vulnerabili e controlli di sicurezza eterogenei se non configurati correttamente. I cybercriminali cercano le configurazioni errate della rete per sfruttarle e ottenere maggiori privilegi.
• Software obsoleti: vulnerabilità presenti all’interno dei software obsoleti che i cybercriminali sfruttano per ottenere l’accesso non autorizzato. Solitamente, i software prevedono degli aggiornamenti che correggono i bug e le falle che vengono sfruttati dai cybercriminali. Tuttavia, utilizzando software obsoleti, i cybercriminali possono ottenere l’accesso non autorizzato e aumentare i loro privilegi.

Utilizza Keeper® per prevenire gli attacchi di privilege escalation

Il modo migliore per prevenire gli attacchi di privilege escalation è utilizzare un privileged access manager. Un privileged access manager aiuta le organizzazioni a implementare l’accesso con privilegi minimi, abilitare la visibilità completa sull’intera infrastruttura dati e controllare gli accessi alla rete.

KeeperPAM™ è una soluzione di gestione degli accessi privilegiati zero-trust e zero-knowledge che combina Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) e Keeper Connection Manager® (KCM). Con KeeperPAM, le organizzazioni possono proteggere password, credenziali, segreti, privilegi e accessi da remoto, tutto in un’unica piattaforma. KeeperPAM consente alle organizzazioni di ottenere visibilità, sicurezza e controllo completi su ogni utente e dispositivo con privilegi sulla rete.