Основное различие между управлением идентификацией и доступом (IAM) и управлением привилегированным доступом (PAM) заключается в том, что IAM управляет тем, кто к каким ресурсам имеет доступ,...
Чтобы защитить конфиденциальные данные от несанкционированного доступа, организациям необходимо предотвращать атаки с повышением привилегий. Для этого организациям следует внедрять принцип доступа с наименьшими привилегиями, соблюдать рекомендации по обеспечению безопасности паролей, применять многофакторную аутентификацию, обновлять программное обеспечение, отслеживать сетевой трафик и регулярно проводить тесты на проникновение.
Читайте дальше, чтобы узнать больше о повышении привилегий, о том, как оно устроено, о типах атак с повышением привилегий и о том, как организации могут предотвратить их.
Что такое повышение привилегий и как оно устроено?
Повышение привилегий — это тип кибератаки, когда злоумышленники пытаются расширить уровень своих привилегий в системах, приложениях и сети организации. С помощью повышения привилегий злоумышленники могут получить доступ к конфиденциальным данным и системам организации. Это позволит им манипулировать сведениями, красть конфиденциальную информацию, нарушать работу, совершать мошенничество, вымогать деньги у организации и размещать данные в открытом доступе или в даркнете.
Повышение привилегий происходит из-за неправильного управления привилегированным доступом (PAM). Получив первоначальный доступ, злоумышленники выявляют и используют привилегии, которыми неэффективно управляют, уязвимости в системе безопасности, неправильные конфигурации, человеческий фактор и недостатки в системах организации, чтобы расширить свои привилегии и получить еще больший несанкционированный доступ. Они будут пытаться либо расширить сферу доступа к учетным записям с аналогичными привилегиями, либо повысить свои привилегии за счет доступа к учетным записям администратора более высокого уровня.
Как предотвратить атаки с повышением привилегий?
Повышение привилегий трудно обнаружить, и это может позволить злоумышленникам украсть конфиденциальные данные и нарушить работу организации. Чтобы предотвратить атаки с повышением привилегий, организациям следует соблюдать следующие рекомендации.
1. Реализуйте доступ с наименьшими привилегиями
Принцип наименьших привилегий представляет собой концепцию кибербезопасности, согласно которой пользователям предоставляется только минимально необходимый для работы сетевой доступ к информации и системам. Он не позволяет пользователям получать доступ к тем ресурсам, которые им не нужны. Кроме того, этот принцип ограничивает возможность использования тех ресурсов, к которым у пользователей уже есть доступ. Доступ с наименьшими привилегиями помогает смягчить последствия утечек данных за счет уменьшения поверхности атаки организации, минимизации внутрисистемных угроз и предотвращения горизонтального перемещения злоумышленников.
Лучший способ реализовать доступ с наименьшими привилегиями — менеджер привилегированного доступа. Менеджер привилегированного доступа — это централизованная платформа, которая позволяет организациям защищать привилегированные учетные записи и управлять ими. С помощью решения для управления привилегированным доступом организации получают полную информацию обо всей инфраструктуре данных. Они могут видеть, кто получает доступ к конфиденциальным ресурсам и как они используются. Менеджер привилегированного доступа позволяет организациям отслеживать привилегированные сеансы, определять привилегии для учетных записей, обеспечивать своевременный доступ и регулярно проводить аудит привилегий.
2. Следуйте рекомендациям по обеспечению безопасности паролей
Чтобы защитить привилегированные учетные записи от несанкционированного доступа злоумышленников, организациям нужно соблюдать рекомендации по обеспечению безопасности паролей. Злоумышленники будут пытаться повысить свои привилегии, выполняя атаки на пароль, чтобы угадать ненадежные и повторно используемые пароли. Для защиты привилегированных учетных записей организациям необходимо использовать надежные и уникальные пароли. Надежные и уникальные пароли являются одновременно длинными и сложными, что затрудняет злоумышленникам их взлом, а также компрометацию привилегированных учетных записей.
Чтобы обеспечить защиту привилегированных учетных записей с помощью надежных и уникальных паролей, организациям следует приобрести менеджер паролей. Корпоративный менеджер паролей — это инструмент, который надежно хранит и контролирует пароли сотрудников в цифровом зашифрованном хранилище. Цифровое хранилище защищено несколькими уровнями шифрования, и доступ к нему возможен только с помощью надежного мастер-пароля. Менеджер паролей позволяет администраторам просматривать способы создания паролей сотрудниками и следить за использованием надежных паролей. Некоторые менеджеры привилегированного доступа часто поставляются с функциями управления паролями, что позволяет организациям легко контролировать безопасность привилегированных учетных записей.
3. Применяйте многофакторную аутентификацию
Многофакторная аутентификация — это протокол безопасности, который требует от пользователей предоставлять дополнительные формы аутентификации для получения доступа к сети организации. Когда многофакторная аутентификация включена, пользователи должны предоставить как минимум две различные формы аутентификации.
Организациям необходимо применять многофакторную аутентификацию, чтобы дополнительно защитить привилегированные учетные записи и обеспечить авторизацию доступа. Даже если учетные данные привилегированной учетной записи скомпрометируют, злоумышленники все равно не смогут войти в нее, поскольку не пройдут дополнительную аутентификацию.
4. Обновляйте ПО организации
Злоумышленники часто используют уязвимости в системе безопасности устаревшего программного обеспечения. Чтобы исправить ошибки и недостатки, а также добавить функции безопасности, которые обеспечивают более надежную защиту, организациям нужно регулярно обновлять программное обеспечение. Регулярное обновление программного обеспечения поможет предотвратить использование злоумышленниками уязвимостей в системе безопасности, получение первоначального доступа к сети организации и последующее повышение привилегий.
5. Отслеживайте сетевой трафик
Чтобы выявить атаки с повышением привилегий, организациям нужно отслеживать сетевой трафик на предмет необычного трафика и подозрительного поведения пользователей. Мониторинг сетевого трафика позволяет организациям немедленно выявлять случаи повышения привилегий и быстро принимать меры по их устранению. Благодаря менеджерам привилегированного доступа организации могут видеть, кто получает доступ к сети, и отслеживать привилегированные сеансы. Для повышения безопасности сети организации должны создавать сегменты, позволяющие легко контролировать сетевой трафик и управлять им.
6. Регулярно проводите тесты на проникновение
Тест на проникновение — это мероприятие по обеспечению безопасности, имитирующее кибератаку на системы организации. Оно помогает оценить уровень безопасности организации и выявить уязвимые места, которыми могут воспользоваться злоумышленники. Чтобы укрепить безопасность за счет выявления уязвимостей и разработки решений для их устранения, организациям следует регулярно проводить тесты на проникновение. Это поможет найти и устранить потенциальные пути повышения привилегий.
Способы, применяемые в атаках с повышением привилегий
Существует два типа повышения привилегий: горизонтальное и вертикальное. Оба способа направлены на получение несанкционированного доступа к ресурсам организации, но отличаются уровнем привилегий, которые злоумышленники пытаются получить, а также тем, как они это делают.
Горизонтальное повышение привилегий
Горизонтальное повышение привилегий происходит, когда злоумышленники пытаются получить доступ к ресурсам и возможностям с теми же привилегиями, что и у скомпрометированной ими учетной записи. Цель горизонтального повышения привилегий — получить доступ к данным, ресурсам и функциям другого пользователя без повышения уровня привилегий. Так, злоумышленники могут использовать горизонтальное повышение привилегий, чтобы украсть данные у целевого пользователя или получить доступ к другим областям сети.
К числу распространенных векторов атаки, используемых при горизонтальном повышении привилегий, относятся следующие:
- Атака на пароль. Категория кибератак, при которых пытаются получить доступ к учетной записи путем угадывания пароля. Злоумышленники часто используют различные типы атак на пароль, такие как подбор, кейлоггеры, распыление паролей и перебор по словарю.
- Перехват сеанса. Тип атаки через посредника (MITM), когда злоумышленники крадут файлы cookie браузера, чтобы перехватить интернет-сеанс. После перехвата сеанса злоумышленники могут использовать его для доступа к ресурсам жертвы.
- Pass-the-hash. Тип кибератаки, когда злоумышленники крадут хэшированный пароль и используют его для обхода протокола аутентификации сети или системы. Это позволяет злоумышленникам горизонтально перемещаться по сети и получать доступ к другим привилегированным учетным записям.
Вертикальное повышение привилегий
Вертикальное повышение привилегий — это попытка повысить привилегии сверх тех, что уже есть у пользователя, приложения или системы, и перейти от низкоуровневого доступа к высокоуровневому, например сделать стандартную учетную запись пользователя привилегированной учетной записью администратора. Цель вертикального повышения привилегий — получить контроль над сетью на высоком уровне. Контролируя сеть, злоумышленники могут получить доступ к конфиденциальным ресурсам и выполнять такие административные действия, как изменение конфигурации, установка вредоносного программного обеспечения и создание новых учетных записей пользователей.
К числу распространенных векторов атаки, используемых при вертикальном повышении привилегий, относятся следующие:
- Социотехника. Тип психологического манипулирования, используемый злоумышленниками, чтобы заставить людей раскрыть личную информацию. Распространенной формой социотехники является фишинг. Фишинг происходит, когда злоумышленники обманом заставляют людей раскрыть информацию, выдавая себя за того, кого жертва знает.
- Неправильная конфигурация. Ошибки и пробелы, обнаруженные в неправильно сконфигурированных сетях. При неправильной конфигурации системы, требующие настройки вручную, часто содержат уязвимые параметры, а их средства контроля безопасности разрознены. Злоумышленники ищут ошибки в конфигурации сети, чтобы воспользоваться ими и повысить свои привилегии.
- Устаревшее программное обеспечение. Уязвимости в устаревшем программном обеспечении, которые злоумышленники используют для получения несанкционированного доступа. Для большинства программ регулярно выпускают обновления, которые исправляют ошибки и недостатки, используемые злоумышленниками. Однако устаревшее программное обеспечение позволяет злоумышленникам получить несанкционированный доступ и повысить свои привилегии.
Используйте Keeper® для предотвращения атак с повышением привилегий
Лучший способ предотвратить атаки с повышением привилегий — менеджер привилегированного доступа. Менеджер привилегированного доступа помогает организациям реализовать доступ с наименьшими привилегиями, а также полностью контролировать инфраструктуру данных и доступ к сети.
KeeperPAM™ — это решение для управления привилегированным доступом с нулевым доверием и нулевым разглашением. Оно объединяет Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) и Keeper Connection Manager® (KCM). KeeperPAM позволяет организациям защитить пароли, учетные данные, секреты, привилегии и удаленный доступ с помощью одной платформы. KeeperPAM предоставляет организациям всю информацию, а также обеспечивает безопасность и контроль каждого привилегированного пользователя и устройства в сети.