Muitas organizações ainda não investiram em uma solução de PAM porque podem ser caras e complexas. Embora isso seja verdade para algumas soluções de PAM legadas,
As organizações precisam evitar ataques de escalada de privilégios para proteger seus dados confidenciais contra acesso não autorizado. Para evitar ataques de escalada de privilégios, organizações devem implementar o acesso de menor privilégio, seguir as práticas recomendadas de segurança com senhas, aplicar o uso da autenticação multifator (MFA), manter softwares atualizados, monitorar o tráfego de rede e realizar testes de penetração regularmente.
Continue lendo para saber mais sobre escalada de privilégios, como funciona, os tipos de ataques de escalada de privilégios e como as organizações podem evitá-los.
O que é escalada de privilégios e como ela funciona?
A escalada de privilégios é um tipo de ataque cibernético no qual agentes maliciosos tentam expandir seus níveis de privilégios dentro dos sistemas, dos aplicativos e da rede de uma organização. Com a escalada de privilégios, cibercriminosos podem acessar os dados e sistemas confidenciais de uma organização, o que lhes permite manipular dados, roubar informações confidenciais, interromper operações, cometer fraudes, extorquir a organização e vazar os dados para o público ou para a dark web.
A escalada de privilégios ocorre devido a um gerenciamento de acesso privilegiado (PAM) inadequado. Após obter acesso inicial, cibercriminosos identificam e exploram privilégios gerenciados incorretamente, vulnerabilidades de segurança, configurações incorretas, erro humano e falhas nos sistemas de uma organização para expandir seus privilégios e obter acesso não autorizado. Eles tentam ampliar sua esfera de acesso a contas com privilégios semelhantes ou elevar seus privilégios obtendo acesso de nível superior a contas de administrador.
Como evitar ataques de escalada de privilégios
A escalada de privilégios pode ser difícil de detectar e pode permitir que cibercriminosos roubem dados confidenciais e interrompam as operações de uma organização. Para evitar ataques de escalada de privilégios, organizações devem adotar as seguintes práticas.
1. Implementar o acesso de menor privilégio
O princípio do menor privilégio (PoLP) é um conceito de segurança cibernética que fornece aos usuários o acesso de rede apenas às informações e sistemas de que precisam para realizar suas funções, e nada além isso. Ele impede que usuários acessem recursos que não precisam e limita o que podem fazer com os recursos aos quais têm acesso. O acesso com menor privilégio ajuda a minimizar os efeitos de violações de dados reduzindo a superfície de ataque de uma organização, minimizando ameaças internas e evitando movimentos laterais por agentes maliciosos.
A melhor maneira de implementar o acesso de menor privilégio é utilizando um gerenciador de acesso privilegiado. Um gerenciador de acesso privilegiado é uma plataforma centralizada que permite às organizações proteger e gerenciar contas privilegiadas. Com um gerenciador de acesso privilegiado, as organizações têm visibilidade total de toda a sua infraestrutura de dados. Elas podem ver quem está acessando recursos confidenciais e como os recursos estão sendo utilizados. Um gerenciador de acesso privilegiado permite que as organizações monitorem sessões privilegiadas, determinem os privilégios para contas, apliquem o acesso just-in-time e auditem privilégios regularmente.
2. Seguir as práticas recomendadas de segurança com senhas
Para proteger contas privilegiadas contra acesso não autorizado por cibercriminosos, as organizações precisam seguir as práticas recomendadas de segurança com senhas. Cibercriminosos tentam escalar seus privilégios executando ataques de senhas para adivinhar senhas fracas e reutilizadas. As organizações precisam utilizar senhas fortes e exclusivas para proteger contas privilegiadas. Senhas fortes e exclusivas são longas e complexas, dificultando sua violação e o comprometimento de contas privilegiadas por cibercriminosos.
Para garantir que contas privilegiadas sejam protegidas com senhas fortes e exclusivas, as organizações devem investir em um gerenciador de senhas. Um gerenciador de senhas empresarial é uma ferramenta que armazena e gerencia senhas de funcionários com segurança em um cofre criptografado digitalmente. O cofre digital é protegido por várias camadas de criptografia e pode ser acessado apenas utilizando uma senha principal forte. Um gerenciador de senhas permite que os administradores visualizem as práticas com senhas dos funcionários e apliquem o uso de senhas fortes. Alguns gerenciadores de acesso privilegiado geralmente vêm com recursos de gerenciamento de senhas que permitem às organizações gerenciar facilmente a segurança de contas privilegiadas.
3. Aplicar o uso da MFA
A autenticação multifator (MFA) é um protocolo de segurança que exige que os usuários forneçam formas adicionais de autenticação para obter acesso à rede de uma organização. Quando a MFA está habilitada, os usuários devem fornecer pelo menos duas formas diferentes de autenticação.
As organizações precisam aplicar a MFA para adicionar uma camada extra de segurança em contas privilegiadas, garantindo que o acesso seja autorizado. Mesmo que as credenciais de login de uma conta privilegiada sejam comprometidas, cibercriminosos ainda não poderão acessar a conta porque não poderão fornecer a autenticação adicional necessária.
4. Manter os softwares da organização atualizados
Cibercriminosos geralmente exploram as vulnerabilidades de segurança de softwares desatualizados. As organizações precisam manter regularmente seus softwares atualizados para corrigir quaisquer bugs e falhas, além de adicionar recursos de segurança que forneçam uma melhor proteção. Atualizar regularmente seus softwares ajuda a evitar que cibercriminosos explorem vulnerabilidades de segurança, obtenham acesso inicial à rede de uma organização e elevem seus privilégios.
5. Monitorar o tráfego de rede
Para ajudar a identificar ataques de escalada de privilégios, as organizações precisam monitorar seu tráfego de rede em busca de qualquer tráfego incomum e comportamentos suspeitos dos usuários. Ao monitorar o tráfego de rede, as organizações podem identificar imediatamente a escalada de privilégios e tomar medidas rápidas para remediá-la. Gerenciadores de acesso privilegiado permitem que as organizações visualizem quem está acessando sua rede e monitorem sessões privilegiadas. Para ajudar a melhorar sua segurança da rede, as organizações devem criar segmentos para monitorar e gerenciar facilmente o tráfego de rede.
6. Executar testes de penetração regularmente
Um teste de penetração, ou pen test, é um exercício de segurança que simula um ataque cibernético aos sistemas de uma organização. Isso ajuda a avaliar a força da segurança de uma organização e identificar quaisquer vulnerabilidades de segurança que cibercriminosos possam explorar. As organizações devem realizar testes de penetração regularmente para ajudar a melhorar sua segurança, identificando vulnerabilidades e desenvolvendo soluções para remediá-las. Isso ajudará a encontrar e remover possíveis caminhos para a escalada de privilégios.
Técnicas utilizadas em ataques de escalada de privilégios
A escalada de privilégios é separada em duas categorias: escalada de privilégios horizontal e vertical. Ambas as técnicas tentam obter acesso não autorizado aos recursos de uma organização, mas diferem no nível de privilégios que tentam obter e como fazê-lo.
Escalada de privilégios horizontal
A escalada de privilégios horizontal ocorre quando um cibercriminoso tenta obter acesso a recursos e capacidades com privilégios semelhantes à conta inicialmente comprometida. O objetivo da escalada de privilégios horizontal é acessar os dados, recursos e funcionalidades de outro usuário sem elevar seus níveis de privilégios. Cibercriminosos podem utilizar a escalada de privilégios horizontal para roubar dados de um usuário alvo ou acessar outras áreas da rede.
Vetores de ataque comuns utilizados na escalada de privilégios horizontal incluem:
- Ataque de senhas: uma categoria de ataque cibernético que tenta obter acesso a uma conta adivinhando sua senha. Cibercriminosos geralmente utilizam diferentes tipos de ataques de senhas, como força bruta, registrador de teclas, pulverização de senhas e ataques de dicionário.
- Sequestro de sessão: um tipo de ataque man-in-the-middle (MITM) no qual cibercriminosos roubam cookies de navegador para assumir o controle da sua sessão de internet. Quando uma sessão é sequestrada, cibercriminosos podem utilizá-la para acessar os recursos da vítima.
- Pass-the-hash: um tipo de ataque cibernético no qual cibercriminosos roubam uma senha com hash e a utilizam para contornar o protocolo de autenticação da rede ou do sistema. Isso permite que cibercriminosos se movam lateralmente por uma rede para obter acesso a outras contas privilegiadas.
Escalada de privilégios vertical
A escalada de privilégios vertical tenta aumentar os privilégios além do que um usuário, aplicativo ou sistema já tem, e elevar-se do acesso de baixo nível para o de alto nível, como mover uma conta de usuário padrão para uma conta de administrador privilegiado. O objetivo da escalada de privilégios vertical é obter controle de alto nível sobre a rede. Quando cibercriminosos obtêm controle sobre a rede, podem acessar recursos restritos e realizar ações administrativas, como modificar configurações, instalar softwares maliciosos e criar novas contas de usuário.
Vetores de ataque comuns utilizados na escalada de privilégios vertical incluem:
- Engenharia social: um tipo de manipulação psicológica utilizada por agentes maliciosos para fazer com que as pessoas revelem informações privadas. Uma forma comum de engenharia social inclui o phishing. O phishing acontece quando cibercriminosos enganam pessoas para revelar informações fingindo ser alguém que a vítima conhece.
- Configurações incorretas: erros e falhas encontrados em redes mal configuradas. Sistemas que exigem configuração manual geralmente têm configurações vulneráveis e controles de segurança díspares se não estiverem configurados corretamente. Cibercriminosos buscam configurações incorretas de rede para explorar e elevar seus privilégios.
- Softwares desatualizados: vulnerabilidades encontradas em softwares desatualizados que cibercriminosos exploram para obter acesso não autorizado. A maioria dos softwares tem atualizações regulares que corrigem os bugs e as falhas que cibercriminosos exploram. No entanto, executar softwares desatualizados permite que cibercriminosos obtenham acesso não autorizado e elevem seus privilégios.
Utilize o Keeper® para evitar ataques de escalada de privilégios
A melhor maneira de evitar ataques de escalada de privilégios é com um gerenciador de acesso privilegiado. Um gerenciador de acesso privilegiado ajuda as organizações a implementar o acesso de menor privilégio, permite a visibilidade total de toda a sua infraestrutura de dados e o controle de acesso à sua rede.
O KeeperPAM™ é uma solução de gerenciamento de acesso privilegiado de confiança zero e conhecimento zero que combina o Keeper Enterprise Password Manager (EPM), o Keeper Secrets Manager® (KSM) e o Keeper Connection Manager® (KCM). Com o KeeperPAM, organizações podem proteger senhas, credenciais, segredos, privilégios e acesso remoto, tudo em uma só plataforma. O KeeperPAM permite que as organizações obtenham visibilidade, segurança e controle completos sobre cada usuário e dispositivo privilegiado em sua rede.