PAM 
Tożsamości nieosobowe (NHI) to tożsamości używane przez maszyny, aplikacje i zautomatyzowane procesy. Polegają na poświadczeniach – takich jak klucze API, tokeny lub certyfikaty – w celu
Publikowany w dniu 15 kwietnia, 2024
Organizacje muszą zapobiegać atakom związanym z eskalacją uprawnień, aby chronić dane poufne przed nieautoryzowanym dostępem. Aby zapobiegać atakom związanym z eskalacją uprawnień, organizacje powinny wdrażać dostęp z najniższym poziomem uprawnień, stosować najlepsze praktyki w zakresie bezpieczeństwa haseł, wymuszać uwierzytelnianie wieloskładnikowe (MFA), aktualizować oprogramowanie, monitorować ruch w sieci i regularnie przeprowadzać testy penetracyjne.
Czytaj dalej, aby dowiedzieć się więcej o eskalacji uprawnień, na czym polega, jakie są rodzaje ataków związanych z eskalacją uprawnień oraz poznaj sześć sposobów zapobiegania takim atakom.
Co to jest eskalacja uprawnień i na czym polega?
Eskalacja uprawnień to rodzaj cyberataku, w którym atakujący próbują rozszerzyć poziom uprawnień w systemach, aplikacjach i sieci organizacji. Eskalacja uprawnień umożliwia cyberprzestępcom uzyskanie dostępu do poufnych danych i systemów organizacji, a następnie manipulowanie danymi, kradzież poufnych informacji, zakłócenie działania firmy, popełnienie oszustwa, szantaż i powodowanie wycieku danych, które stają się dostępne publicznie lub w sieci dark web.
Eskalacja uprawnień jest wynikiem niewłaściwego zarządzania uprzywilejowanym dostępem (PAM). Po uzyskaniu wstępnego dostępu cyberprzestępcy identyfikują i wykorzystują niewłaściwie zarządzane uprawnienia, luki w zabezpieczeniach, błędne konfiguracje, błędy ludzkie i błędy w systemach organizacji w celu rozszerzenia uprawnień i dalszego nieautoryzowanego dostępu. Cyberprzestępcy próbują rozszerzyć zakres dostępu do kont z podobnymi uprawnieniami lub podnoszą uprawnienia poprzez uzyskanie dostępu na wyższym poziomie do kont administratora.
Jak zapobiegać atakom związanym z eskalacją uprawnień
Eskalacja uprawnień może być trudna do wykrycia, umożliwiając cyberprzestępcom kradzież danych poufnych i zakłócenie działalności organizacji. Aby zapobiegać atakom związanym z eskalacją uprawnień, organizacje powinny wdrożyć następujące działania.
1. Nadawanie dostępu na zasadzie niezbędnych minimalnych uprawnień
Zasada dostępu z najniższym poziomem uprawnień (PoLP) to koncepcja cyberbezpieczeństwa, zgodnie z którą użytkownicy powinni mieć dostęp sieciowy do informacji i systemów tylko w stopniu niezbędnym do wykonywania swoich zadań. Zapobiega dostępowi użytkowników do zasobów, których nie potrzebują i ogranicza możliwości wykorzystania zasobów, do których mają dostęp. Dostęp z najniższym poziomem uprawnień pomaga ograniczyć skutki naruszeń danych poprzez zmniejszenie powierzchni ataku w organizacji, minimalizację zagrożeń wewnętrznych i zapobieganie poruszaniu się atakujących w sieci organizacji.
Najlepszym sposobem na wdrożenie dostępu z najniższym poziomem uprawnień jest korzystanie z menedżera dostępu uprzywilejowanego. Menedżer dostępu uprzywilejowanego to scentralizowana platforma, która umożliwia organizacjom zabezpieczanie kont uprzywilejowanych i zarządzanie nimi. Menedżer dostępu uprzywilejowanego zapewnia organizacjom pełny wgląd w całą infrastrukturę danych. Umożliwia sprawdzenie, kto uzyskuje dostęp do poufnych zasobów i jak takie zasoby są wykorzystywane. Menedżer dostępu uprzywilejowanego umożliwia organizacjom monitorowanie sesji uprzywilejowanych, określanie uprawnień kont, egzekwowanie dostępu typu just-in-time i regularne audyty uprawnień.
2. Przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa haseł
Organizacje muszą przestrzegać najlepszych praktyk w zakresie bezpieczeństwa haseł, aby chronić konta uprzywilejowane przed nieautoryzowanym dostępem cyberprzestępców. Cyberprzestępcy próbują zwiększyć uprawnienia, przeprowadzając ataki mające na celu odgadnięcie słabych i ponownie używanych haseł. Organizacje muszą wykorzystywać silne i unikatowe hasła do zabezpieczenia kont uprzywilejowanych. Silne i niepowtarzalne hasła są długie i złożone, co utrudnia cyberprzestępcom ich złamanie i naruszenie kont uprzywilejowanych.
Organizacje powinny korzystać z menedżera haseł, aby zapewnić ochronę kont uprzywilejowanych za pomocą silnych i unikatowych haseł. Menedżer haseł dla przedsiębiorstw to narzędzie, które bezpiecznie przechowuje hasła pracowników i zarządza nimi w zaszyfrowanym cyfrowo magazynie. Magazyn cyfrowy jest chroniony przez wiele warstw szyfrowania i można uzyskać do niego dostęp tylko przy pomocy silnego hasła głównego. Menedżer haseł umożliwia administratorom wgląd w praktyki pracowników w zakresie haseł i egzekwowanie stosowania silnych haseł. Niektóre menedżery dostępu uprzywilejowanego oferują funkcje zarządzania hasłami, które umożliwiają organizacjom łatwe zarządzanie bezpieczeństwem kont uprzywilejowanych.
3. Wymuszanie stosowania MFA
Uwierzytelnianie wieloskładnikowe (MFA) to protokół bezpieczeństwa, który wymaga od użytkowników zastosowania dodatkowych warstw uwierzytelniania w celu uzyskania dostępu do sieci organizacji. Po włączeniu MFA użytkownicy muszą zastosować co najmniej dwie różne formy uwierzytelniania.
Organizacje powinny wymuszać stosowanie MFA, aby dodać dodatkową warstwę zabezpieczeń kont uprzywilejowanych poprzez autoryzację dostępu. Nawet po naruszeniu danych uwierzytelniających konta uprzywilejowanego cyberprzestępcy nie będą mogli uzyskać dostępu do takiego konta, ponieważ nie będą w stanie zapewnić dodatkowego wymaganego uwierzytelnienia.
4. Aktualizowanie oprogramowania organizacji
Cyberprzestępcy często wykorzystują luki w zabezpieczeniach nieaktualnego oprogramowania. Organizacje muszą regularnie aktualizować oprogramowanie, aby usuwać błędy i dodawać funkcje zabezpieczeń, które zapewniają lepszą ochronę. Regularne aktualizowanie oprogramowania pomaga zapobiegać wykorzystaniu przez cyberprzestępców luk w zabezpieczeniach, uzyskaniu wstępnego dostępu do sieci organizacji, a następnie podniesieniu uprawnień.
5. Monitorowanie ruchu sieciowego
Organizacje muszą monitorować ruch w sieci pod kątem nietypowych transmisji i podejrzanego zachowania użytkowników, aby rozpoznawać ataki związane z eskalacją uprawnień. Monitorowanie ruchu w sieci umożliwia organizacjom natychmiastowe rozpoznanie eskalacji uprawnień i podjęcie szybkich działań. Menedżery dostępu uprzywilejowanego zapewniają organizacjom wgląd w to, kto uzyskuje dostęp do sieci i monitorowanie sesji uprzywilejowanych. Aby poprawić bezpieczeństwo sieci organizacji, organizacje powinny tworzyć segmenty umożliwiające łatwe monitorowanie ruchu w sieci i zarządzanie nim.
6. Regularne przeprowadzanie testów penetracyjnych
Test penetracyjny to działanie z zakresu bezpieczeństwa, które symuluje cyberatak na systemy organizacji. Pomaga w ocenie siły zabezpieczeń organizacji i identyfikacji luk w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców. Organizacje powinny regularnie przeprowadzać testy penetracyjne w celu poprawy bezpieczeństwa poprzez identyfikację luk w zabezpieczeniach i opracowywanie sposobów ich usunięcia. Pomaga to znaleźć i usunąć potencjalne ścieżki eskalacji uprawnień.
Techniki wykorzystywane w atakach związanych z eskalacją uprawnień
Wyróżniamy dwie kategorie eskalacji uprawnień: poziomą i pionową. Obie techniki mają na celu uzyskanie nieautoryzowanego dostępu do zasobów organizacji, ale różnią się pod względem poziomu uprawnień, które próbują uzyskać cyberprzestępcy i sposobu ich uzyskania.
Pozioma eskalacja uprawnień
Pozioma eskalacja uprawnień ma miejsce, gdy cyberprzestępca próbuje uzyskać dostęp do zasobów i możliwości z uprawnieniami zbliżonymi do pierwotnie naruszonego konta. Celem poziomej eskalacji uprawnień jest uzyskanie dostępu do danych, zasobów i możliwości innego użytkownika bez podnoszenia poziomu uprawnień. Cyberprzestępcy mogą wykorzystać poziomą eskalację uprawnień na potrzeby kradzieży danych użytkownika lub uzyskania dostępu do innych obszarów sieci.
Do typowych ataków wykorzystywanych w ramach poziomej eskalacji uprawnień należą:
- Atak związany z hasłami: rodzaj cyberataku, w którym atakujący próbuje uzyskać dostęp do konta poprzez odgadnięcie hasła. Cyberprzestępcy często wykorzystują różne rodzaje ataków związanych z hasłami, takie jak ataki siłowe, keyloggery (programy rejestrujące naciśnięcia klawiszy), rozpylanie haseł i ataki słownikowe.
- Przechwycenie sesji: rodzaj ataku typu man-in-the-middle (MITM), w którym cyberprzestępcy kradną pliki cookie przeglądarki na potrzeby przejęcia sesji w Internecie. Po przejęciu sesji cyberprzestępcy mogą wykorzystać ją w celu uzyskania dostępu do zasobów ofiary.
- Pass-the-hash: rodzaj cyberataku, w którym cyberprzestępcy kradną zaszyfrowane hasło i wykorzystują je do ominięcia protokołu uwierzytelniania sieci lub systemu. Umożliwia to cyberprzestępcom poruszanie się w sieci w celu uzyskania dostępu do innych kont uprzywilejowanych.
Pionowa eskalacja uprawnień
Pionowa eskalacja uprawnień ma na celu zwiększenie uprawnień poza obecne uprawnienia użytkownika, aplikacji lub systemu oraz przejście z dostępu niskiego poziomu na dostęp na wysokim poziomie, na przykład przejście ze standardowego konta użytkownika na uprzywilejowane konto administratora. Celem pionowej eskalacji uprawnień jest uzyskanie kontroli nad siecią na wysokim poziomie. Po przejęciu kontroli nad siecią cyberprzestępcy mogą uzyskać dostęp do zastrzeżonych zasobów i wykonywać działania administracyjne, takie jak modyfikacja konfiguracji, instalacja złośliwego oprogramowania i tworzenie nowych kont użytkowników.
Do typowych ataków wykorzystywanych w ramach pionowej eskalacji uprawnień należą:
- Ataki socjotechniczne: to rodzaj manipulacji psychologicznej wykorzystywanej przez atakujących w celu nakłonienia użytkowników do ujawnienia prywatnych informacji. Typowym rodzajem ataku socjotechnicznego jest wyłudzanie informacji. Wyłudzanie informacji ma miejsce, gdy cyberprzestępcy nakłaniają użytkowników do ujawnienia informacji, podszywając się pod osobę znaną ofierze.
- Błędne konfiguracje: błędy i luki wykryte w nieprawidłowo skonfigurowanych sieciach. Systemy, które wymagają ręcznej konfiguracji, często mają luki w ustawieniach i niespójne mechanizmy kontroli bezpieczeństwa, jeśli nie są odpowiednio skonfigurowane. Cyberprzestępcy wyszukują błędne konfiguracje sieci w celu ich wykorzystania i zwiększenia uprawnień.
- Nieaktualne oprogramowanie: luki w zabezpieczeniach nieaktualnego oprogramowania, które cyberprzestępcy wykorzystują na potrzeby uzyskania nieautoryzowanego dostępu. W przypadku większości oprogramowania dostępne są regularne aktualizacje, które usuwają błędy i luki wykorzystywane przez cyberprzestępców. Korzystanie z nieaktualnego oprogramowania umożliwia cyberprzestępcom uzyskanie nieautoryzowanego dostępu i podwyższenie uprawnień.
Korzystaj z rozwiązania Keeper®, aby zapobiegać atakom związanym z eskalacją uprawnień
Wykorzystanie menedżera dostępu uprzywilejowanego jest najlepszym sposobem na zapobieganie atakom związanym z eskalacją uprawnień. Menedżer dostępu uprzywilejowanego ułatwia organizacjom wdrożenie dostępu z najniższym poziomem uprawnień, umożliwia pełny wgląd w całą infrastrukturę danych i kontrolę dostępu do sieci.
KeeperPAM™ to rozwiązanie do zarządzania dostępem uprzywilejowanym wykorzystujące podejście zero-trust i zero-knowledge, które łączy w sobie następujące składniki: Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) i Keeper Connection Manager® (KCM). KeeperPAM umożliwia organizacjom zabezpieczanie haseł, danych uwierzytelniających, wpisów tajnych, uprawnień i dostępu zdalnego w ramach jednej platformy. KeeperPAM zapewnia organizacjom pełny wgląd, bezpieczeństwo i kontrolę nad każdym uprzywilejowanym użytkownikiem oraz urządzeniem w sieci.
