Os ataques de escalonamento de privilégios ocorrem quando agentes mal-intencionados exploram configurações incorretas, bugs, senhas fracas e outras vulnerabilidades que lhes permitem acessar ativos protegidos.
Uma exploração típica pode começar com o invasor primeiro obtendo acesso a uma conta de privilégio de baixo nível. Uma vez logados, os invasores estudarão o sistema para identificar outras vulnerabilidades que possam explorar ainda mais. Eles então usam os privilégios para representar os usuários reais, obter acesso aos recursos de destino e executar várias tarefas sem serem detectados.
Os ataques de escalonamento de privilégios são vertical ou horizontal.
Em um tipo vertical, o invasor obtém acesso a uma conta e executa tarefas como esse usuário. Para o tipo horizontal, o invasor primeiro obterá acesso a uma ou mais contas com privilégios limitados e, em seguida, comprometerá o sistema para obter mais permissões para desempenhar funções administrativas.
Essas permissões permitem que os invasores executem tarefas administrativas, implantem malware ou realizem outras atividades indesejáveis. Por exemplo, eles podem interromper operações, modificar configurações de segurança, roubar dados ou comprometer os sistemas de forma a deixar backdoors abertos para explorar no futuro.
Geralmente, assim como os ataques cibernéticos, a escalação de privilégios explora as vulnerabilidades do sistema e do processo nas redes, serviços e aplicativos. Dessa forma, é possível evitá-los implantando uma combinação de boas práticas e ferramentas de segurança. Idealmente, uma organização deve implantar soluções que possam verificar, detectar e prevenir uma ampla variedade de vulnerabilidades e ameaças de segurança existentes e potenciais.
Práticas recomendadas para evitar ataques de escalonamento de privilégios
As organizações devem proteger todos os seus sistemas e dados críticos, bem como outras áreas que podem parecer pouco atraentes para os invasores. Tudo o que um invasor precisa é penetrar em um sistema. Uma vez lá dentro, eles podem procure por vulnerabilidades que eles exploram ainda mais para obter permissões adicionais. Além de proteger os ativos contra ameaças externas, é igualmente importante colocar medidas suficientes para prevenir ataques internos.
Embora as medidas reais possam diferir de acordo com os sistemas, redes, ambiente e outros fatores, abaixo estão algumas técnicas que as organizações podem usar para proteger sua infraestrutura.
Proteja e verifique sua rede, sistemas e aplicativos
Além de implantar uma solução de segurança em tempo real, é fundamental digitalizar regularmente todos os componentes da infraestrutura de TI em busca de vulnerabilidades que possam permitir a penetração de novas ameaças. Para isso, você pode usar um scanner de vulnerabilidade eficaz para encontrar sistemas operacionais e aplicativos não corrigidos e inseguros, configurações incorretas, senhas fracas e outras falhas que os invasores podem explorar.
Embora você possa usar vários scanners de vulnerabilidade para identificar pontos fracos em software desatualizado, geralmente é difícil ou não prático atualizar ou corrigir todos os sistemas. Em particular, este é um desafio ao lidar com componentes legados ou sistemas de produção em larga escala.
Para tais casos, você pode implantar recursos adicionais camadas de segurança, como firewalls de aplicativos da web (WAF) que detectam e interrompem o tráfego malicioso no nível da rede. Normalmente, o WAF protegerá o sistema subjacente, mesmo quando não está corrigido ou desatualizado.
Gerenciamento adequado de contas de privilégio
É importante gerenciar as contas privilegiadas e garantir que todas estejam seguras, usadas de acordo com as melhores práticas e não expostas. As equipes de segurança precisam ter um inventário de todas as contas, onde elas existem e para que são usadas.
Outras medidas incluem
- Minimizando o número e o escopo das contas privilegiadas, monitorando e mantendo um registro de suas atividades.
- Analisar cada usuário ou conta privilegiada para identificar e abordar quaisquer riscos, ameaças potenciais, fontes e intenções do invasor
- Principais modos de ataque e medidas de prevenção
- Siga o princípio do menor privilégio
- Impeça que os administradores compartilhem contas e credenciais.
Monitore o comportamento do usuário
A análise do comportamento do usuário pode descobrir se há identidades comprometidas. Normalmente, os invasores têm como alvo as identidades dos usuários que fornecem acesso aos sistemas da organização. Se conseguirem obter as credenciais, eles farão login na rede e poderão passar despercebidos por algum tempo.
Como é difícil monitorar manualmente o comportamento de cada usuário, a melhor abordagem é implantar uma solução User and Entity Behavior Analytics (UEBA). Essa ferramenta monitora continuamente a atividade do usuário ao longo do tempo. Em seguida, ele cria uma linha de base de comportamento legítima que usa para descobrir atividades incomuns que indicam um comprometimento.
O perfil resultante contém informações como localização, recursos, arquivos de dados e serviços que o usuário acessa e frequência, as redes internas e externas específicas, número de hosts, bem como processos executados. Com essas informações, a ferramenta pode identificar ações ou parâmetros suspeitos que se desviam da linha de base.
Políticas e aplicação de senhas fortes
Estabeleça e aplique políticas fortes para garantir que os usuários tenham senhas únicas e difíceis de adivinhar. Além disso, o uso de uma autenticação multifator adiciona uma camada extra de segurança enquanto supera as vulnerabilidades que podem surgir quando é difícil aplicar manualmente políticas de senha forte.
As equipes de segurança também devem implantar as ferramentas necessárias, como auditores de senha, aplicadores de políticas e outros que possam verificar sistemas, identificar e sinalizar senhas fracas ou solicitar uma ação. As ferramentas de aplicação garantem que os usuários tenham senhas fortes em termos de extensão, complexidade e políticas da empresa.
As organizações também podem usar ferramentas corporativas de gerenciamento de senhas para ajudar os usuários a gerar e usar senhas complexas e seguras que cumpram as políticas de serviços que exigem autenticação.
Medidas adicionais, como autenticação multifator para desbloquear o gerenciador de senhas, aumentam ainda mais sua segurança, tornando quase impossível para os invasores acessarem as credenciais salvas. Gerenciadores de senhas corporativos típicos incluem Guardador , Dashlane , 1Senha .
Higienize as entradas do usuário e proteja os bancos de dados
Os invasores podem usar campos de entrada de usuário vulneráveis, bem como bancos de dados para injetar código malicioso , obter acesso e comprometer os sistemas. Por esse motivo, as equipes de segurança devem usar as melhores práticas, como autenticação forte e ferramentas eficazes para proteger os bancos de dados e todos os tipos de campos de entrada de dados.
Uma boa prática é criptografar todos os dados em trânsito e em repouso, além de corrigir os bancos de dados e limpar todas as entradas do usuário. Medidas adicionais incluem deixar os arquivos como somente leitura e conceder acesso de gravação aos grupos e usuários que precisam deles.
Treinar usuários
Os usuários são o elo mais fraco na cadeia de segurança de uma organização. Portanto, é importante capacitá-los e treiná-los sobre como realizar suas tarefas com segurança. Caso contrário, um único clique de um usuário pode levar ao comprometimento de toda uma rede ou sistema. Alguns dos riscos incluem abrir links ou anexos maliciosos, visitar sites comprometidos, usar senhas fracas e muito mais.
Idealmente, a organização deve ter programas regulares de conscientização de segurança. Além disso, eles devem ter uma metodologia para verificar se o treinamento é eficaz.
Ferramentas de prevenção de ataques de escalonamento de privilégios
Prevenir os ataques de escalonamento de privilégios requer uma combinação de ferramentas. Estes incluem, mas não se limitam às soluções abaixo.
Solução de User and Entity Behavior Analytics (UEBA)
Exabeam
o Plataforma de gerenciamento de segurança Exabeam é uma solução de análise comportamental baseada em IA rápida e fácil de implantar que ajuda a rastrear as atividades do usuário e da conta em diferentes serviços. Você também pode usar o Exabeam para ingerir os logs de outros sistemas de TI e ferramentas de segurança, analisá-los e identificar e sinalizar atividades de risco, ameaças e outros problemas.
Características incluem
- Registrar e fornecer informações úteis para investigações de incidentes. Isso inclui todas as sessões quando uma conta ou usuário específico acessou um serviço, servidor ou aplicativo ou recurso pela primeira vez, a conta faz login a partir de uma nova conexão VPN, de um país incomum etc.
- A solução escalável é aplicável para uma única instância, nuvem e implantações no local
- Cria uma linha do tempo abrangente que mostra claramente o caminho completo de um invasor com base na conta normal e anormal ou no comportamento do usuário.
Cynet 360
o Plataforma Cynet 360 é uma solução abrangente que fornece análise comportamental, segurança de rede e endpoint. Ele permite que você crie perfis de usuário, incluindo geolocalização, funções, horário de trabalho, padrões de acesso a recursos locais e baseados em nuvem, etc.
A plataforma ajuda a identificar atividades incomuns como;
- Primeiros logins no sistema ou recursos
- Local de login incomum ou usando uma nova conexão VPN
- Múltiplas conexões simultâneas para vários recursos em um tempo muito curto
- Contas que acessam recursos fora do expediente
Ferramentas de segurança de senha
Auditor de senha
o auditor de senhas As ferramentas verificam os nomes de host e endereços IP para identificar automaticamente credenciais fracas para serviços de rede e aplicativos da Web, como formulários da Web HTTP, MYSQL, FTP, SSH, RDP, roteadores de rede e outros que requerem autenticação. Em seguida, ele tenta fazer login usando as combinações de nome de usuário e senha fracas e comuns para identificar e alertar sobre contas com credenciais fracas.
Gerenciador de Senhas Profissional
o Gerenciador de senhas ManageEngine profissional fornece uma solução abrangente de gerenciamento, controle, monitoramento e auditoria da conta privilegiada durante todo o seu ciclo de vida. Ele pode gerenciar a conta privilegiada, certificado SSL, acesso remoto, bem como a sessão privilegiada.
Características incluem
- Automatiza e impõe redefinições de senha frequentes para sistemas críticos, como servidores, componentes de rede, bancos de dados e outros recursos
- Armazena e organiza todas as identidades e senhas de contas privilegiadas e confidenciais em um cofre centralizado e seguro.
- Permite que as organizações atendam às auditorias críticas de segurança, bem como à conformidade com os padrões regulatórios, como HIPAA, PCI, SOX e muito mais
- Permite que os membros da equipe compartilhem senhas administrativas com segurança.
Scanners de vulnerabilidade
Invicti
Invicti é um verificador de vulnerabilidade automatizado e escalável e uma solução de gerenciamento que pode ser dimensionada para atender aos requisitos de qualquer organização. A ferramenta pode escanear redes e ambientes complexos enquanto se integra perfeitamente a outros sistemas, incluindo soluções de CI/CD, SDLC e outros. Possui recursos avançados e é otimizado para escanear e identificar vulnerabilidades em ambientes e aplicativos complexos.
Além disso, você pode usar o Invicti para testar os servidores da Web quanto a configurações incorretas de segurança que os invasores podem explorar. Geralmente, a ferramenta identifica SQL Injections, inclusão remota de arquivos, Cross-site Scripting (XSS) e outras vulnerabilidades OWASP Top-10 em aplicativos da web, serviços da web, páginas da web, APIs e muito mais.
Acunetix
Acunetix é uma solução abrangente com varredura de vulnerabilidade integrada, gerenciamento e fácil integração com outras ferramentas de segurança. Ele ajuda a automatizar as tarefas de gerenciamento de vulnerabilidades, como verificação e correção, permitindo que você economize recursos.
Características incluem;
- Integra-se com outras ferramentas, como Jenkins, rastreadores de problemas de terceiros, como GitHub, Jira Mantis e muito mais.
- Opções de implantação no local e na nuvem
- Personalizável para se adequar ao ambiente e requisitos do cliente, bem como suporte multiplataforma.
- Identifique e responda rapidamente a uma ampla gama de problemas de segurança, incluindo ataques comuns na Web, Cross-site Scripting (XSS), injeções de SQL, malware, configurações incorretas, ativos expostos, etc.
Soluções de software de gerenciamento de acesso privilegiado (PAM)
JumpCloud
Jumpcloud é uma solução de diretório como serviço (DaaS) que autentica e conecta usuários com segurança a redes, sistemas, serviços, aplicativos e arquivos. Geralmente, o diretório escalonável baseado em nuvem é um serviço que gerencia, autentica e autoriza usuários, aplicativos e dispositivos.
Características incluem;
- Ele cria um diretório autoritativo seguro e centralizado
- Suporta gerenciamento de acesso de usuário de plataforma cruzada
- Fornece funções de logon único que suportam o controle de acesso do usuário a aplicativos por meio de LDAP, SCIM e SAML 2.0
- Fornece acesso seguro a servidores locais e na nuvem
- Suporta autenticação multifator
- Possui administração automatizada de segurança e funções relacionadas, como registro de eventos, scripts, gerenciamento de API, PowerShell e muito mais
Ping Identidade
Ping Identidade é uma plataforma inteligente que fornece autenticação multifator, logon único, serviços de diretório e muito mais. Ele permite que as organizações aprimorem a segurança e a experiência da identidade do usuário.
Recursos
- Logon único que fornece autenticação segura e confiável e acesso a serviços
- Autenticação multifator que adiciona camadas extras de segurança
- Governança de dados aprimorada e capacidade de cumprir os regulamentos de privacidade
- Um serviço de diretório que fornece gerenciamento seguro de identidades de usuários e dados em escala
- Opções flexíveis de implantação de nuvem, como identidade como serviço (IDaaS), software em contêiner, etc.
Foxpass
Foxpass é uma solução de controle de acesso e identidade de nível empresarial escalável para implantações no local e na nuvem. Ele fornece recursos de gerenciamento de chave RADIEUA, LDAP e SSH, o que garante que cada usuário acesse apenas redes, servidores, VPNs e outros serviços específicos no horário permitido.
A ferramenta pode se integrar perfeitamente a outros serviços, como Office 365, Google Apps e muito mais.
Gerenciador de segredos da AWS
Gerenciador de segredos da AWS fornece a você um meio confiável e eficaz de proteger os segredos necessários para acessar o serviço, aplicativos e outros recursos. Ele permite que você gerencie, gire e recupere facilmente as chaves de API, credenciais de banco de dados e outros segredos.
Há mais soluções de gerenciamento secreto você pode explorar.
Conclusão
Assim como o ataques cibernéticos , a escalação de privilégios explora o sistema e processa vulnerabilidades nas redes, serviços e aplicativos. Dessa forma, é possível evitá-los implantando as ferramentas e práticas de segurança corretas.
Medidas eficazes incluem a aplicação de privilégios mínimos, senhas fortes e políticas de autenticação, proteção de dados confidenciais, redução do superfície de ataque , protegendo as credenciais das contas e muito mais. Outras medidas incluem manter todos os sistemas, software e firmware atualizados e corrigidos, monitorar o comportamento do usuário e treinar os usuários em práticas seguras de computação.
