身份和访问管理 (IAM) 和特权访问管理 (PAM
组织需要防止特权升级攻击,保护其敏感数据免遭未经授权的访问。 为防止特权升级攻击,组织应实施最小特权访问、遵循密码安全最佳实践、实施多因素身份验证 (MFA)、及时更新软件、监控网络流量并定期运行渗透测试。
继续阅读,详细了解特权升级、其运作原理、特权升级攻击的类型以及组织如何防止此类攻击。
什么是特权升级,它又是如何运作的?
特权升级是威胁行为者试图扩大其在组织的系统、应用程序和网络内的特权级别的一类网络攻击。 通过特权升级,网络犯罪分子可以访问组织的敏感数据和系统,允许他们操纵数据、窃取机密信息、扰乱运营、实施欺诈、勒索组织并将数据泄漏给公众或暗网。
特权升级是权限访问管理 (PAM) 不善导致的。 获得初始访问权限后,网络犯罪分子会识别并利用组织系统内的特权管理不善、安全漏洞、配置错误、人为错误和缺陷,扩大其特权并获得进一步未经授权的访问。 他们要么试图扩大对具有类似特权的帐户的访问范围,要么通过获得对管理员账户的更高层次的访问权限来提升其特权。
如何防止特权升级攻击
特权升级可能很难检测,它允许网络犯罪分子窃取敏感数据并扰乱组织的运营。 为防止特权升级攻击,组织应采取以下措施。
1. 实行最小权限访问原则
最小权限访问原则是一个网络安全概念,即用户应该只给予他们完成工作所需的信息和系统足够的网络访问权限,而不是更多的信息和权限。 它防止用户访问他们不需要的资源,并限制他们可以使用他们有权访问的资源做的事情。 最小权限访问通过减少组织的攻击面,最大限度减少内部威胁,并防止威胁行为者的横向移动,有助于减轻数据泄漏的影响。
实施最小权限访问的最佳方式是使用特权访问管理器。 特权访问管理器是一个支持组织保护和管理特权帐户的集中式平台。 通过特权访问管理器,组织可以全面了解其整个数据基础架构。 他们可以查看谁正在访问敏感资源,以及对资源的使用方式。 特权访问管理器支持组织监控特权会话,确定帐户的特权,实施即时访问,并定期审核特权。
2. 遵循密码安全最佳实践
为了保护特权帐户免遭网络犯罪分子未经授权的访问,组织需要遵循密码安全最佳实践。 网络犯罪分子试图通过执行密码攻击来升级其特权,以猜测弱密码和重复使用的密码。 组织需要使用唯一的强密码来保护特权帐户。 唯一的强密码既长又复杂,网络犯罪分子很难破解并入侵特权帐户。
为了确保特权帐户得到唯一强密码的保护,组织应投资密码管理器。 企业密码管理器是一种在数字加密保险库中安全地存储和管理员工密码的工具。 您的数字保险库受到多层加密的保护,只能使用强度高的主密码访问。 密码管理器允许管理员查看员工密码实践,并强制使用强密码。 有些特权访问管理器通常附带密码管理功能,支持组织轻松管理特权帐户的安全。
3. 强制使用 MFA
多因素身份验证 (MFA)是一种安全协议,要求用户提供其他身份验证方式,以访问组织的网络帐户。 启用 MFA 后,用户必须提供至少两种不同形式的身份验证。
组织需要实施 MFA,通过确保访问获得授权,为特权帐户提供额外一层保护。 即使特权帐户的登录凭证被盗,网络犯罪分子仍然无法访问帐户,因为他们无法提供必需的额外身份验证信息。
4. 软件始终更新至最新版本
网络犯罪分子通常利用过时软件的安全漏洞。 组织需要定期更新软件,修补任何漏洞和缺陷,并添加安全功能,提供更好的保护。 定期更新软件有助于防止网络犯罪分子利用安全漏洞,获得对组织的网络的初步访问权限,然后提升其特权。
5. 监控网络流量
为了帮助识别特权升级攻击,组织需要监控其网络流量中是否存在异常流量和可疑的用户行为。 通过监控网络流量,组织可以立即识别特权升级,并迅速采取行动予以补救。 特权访问管理器支持组织查看谁正在访问其网络,并监控特权会话。 为了帮助提高组织网络的安全,组织应该创建分段,轻松监控并管理网络流量。
6. 定期运行渗透测试
渗透测试 (pen test) 是一种模拟组织系统遭受的网络攻击的安全练习。 它有助于评估组织的安全强度,并识别网络犯罪分子可能会利用的任何安全漏洞。 组织应定期运行渗透测试,通过识别漏洞并开发修复它们的解决方案来帮助提高其安全性。 这有助于找到并删除特权升级的潜在路径。
特权升级攻击中使用的技术
特权升级分为两类:横向和垂直特权升级。 这两种技术都试图获得对组织资源未经授权的访问,但在试图获得的权限级别和访问方式上有所不同。
横向特权升级
横向特权升级是指网络犯罪分子试图以与其最初入侵的账户类似的权限访问资源和功能。 横向特权升级旨在访问其他用户的数据、资源和功能,而无需提升其特权级别。 网络犯罪分子可以利用横向特权升级来窃取目标用户的数据,或访问网络的其他区域。
横向特权升级中使用的常见攻击媒介包括:
- 密码攻击:一类试图通过猜测其密码来访问帐户的网络攻击。 网络犯罪分子通常使用不同类型的密码攻击,如暴力、击键、密码喷洒和字典攻击。
- 会话劫持:一类中间人 (MITM) 攻击,网络犯罪分子窃取浏览器 cookie 来接管您的互联网会话。 会话被劫持后,网络犯罪分子可以利用会话来访问受害者的资源。
- 哈希传递:一类网络犯罪分子窃取哈西密码并用来绕过网络或系统的身份验证协议的网络攻击。 这支持网络犯罪分子在网络中横向移动,以访问其他特权帐户。
处置特权升级
垂直特权升级试图增加其特权,超越用户、应用程序或系统已经拥有的权限,从低层访问提升到高级访问权限,如将标准用户帐户迁移到特权管理员帐户。 垂直特权升级的目的是活的对网络的高层次控制。 网络犯罪分子控制了网络后,就可以访问受限制的资源,并进行管理操作,如修改配置、安装恶意软件并创建新的用户帐户。
垂直特权升级中使用的常见攻击媒介包括:
- 社交工程:威胁行为者用来诱骗人们透漏私人信息的一类心理操纵。 社交工程的常见形式包括网络钓鱼。 网络钓鱼是指网络犯罪分子通过冒充受害者认识的人来诱骗人们透露信息。
- 配置错误:在配置错误的网络中发现的错误和漏洞。 需要手动配置的系统,如果配置不当,往往会出现易受攻击的设置和不同的安全控制。 网络犯罪分子会寻找网络配置错误的漏洞加以利用,并提升自己的权限。
- 过时的软件:网络犯罪分子利用过时软件中的漏洞获取未经授权的访问。 大多数软件都会定期更新,修补网络犯罪分子利用的漏洞和缺陷。 然而,运行过时的软件会让网络犯罪分子获得未经授权的访问权限,并提升他们的权限。
使用 Keeper® 防止特权升级攻击
防止特权升级攻击的最佳方法是使用权限访问管理器。 特权访问管理器可帮助企业实施最小特权访问,充分洞见整个数据基础设施,并控制对网络的访问。
KeeperPAM™ 是一种零信任和零知识权限访问管理解决方案,结合了 Keeper 的企业密码管理器 (EPM)、Keeper 密钥管理器® (KSM) 和 Keeper Connection Manager® (KCM)。 有了 KeeperPAM,企业可以在一个平台上确保密码、凭证、机密、权限和远程访问的安全。 KeeperPAM 支持组织全面了解、安全和控制其网络上的每个特权用户和设备。