Elevazione dei privilegi
Approfondimenti chiave
- Secondo un rapporto, oltre l'80% delle violazioni della sicurezza comporta l'uso improprio di credenziali privilegiate, sottolineando l'importanza di proteggersi dall'escalation dei privilegi. (Fonte: Forrester)
- Da un sondaggio è emerso che il 70% delle organizzazioni ritiene che la protezione contro l'escalation dei privilegi sia una componente fondamentale della propria strategia di sicurezza informatica. (Fonte: CyberArk)
Comprendere come gli aggressori utilizzano le credenziali privilegiate
Gli aggressori sfruttano le credenziali privilegiate per muoversi all'interno delle reti e dei cloud, approfittando dei controlli di sicurezza deboli e delle vulnerabilità delle applicazioni. I difensori possono monitorare in modo proattivo le attività dannose, tracciare gli aggressori e implementare misure preventive per proteggere gli account e le configurazioni privilegiati.
Quando gli aggressori mettono le mani su credenziali privilegiate, possono accedere a un'ampia gamma di cloud di rete e cloud senza utilizzare malware far scattare allarmi. Sebbene l'applicazione di livelli di privilegio rigorosi possa essere d'aiuto, gli attacchi recenti hanno dimostrato che si tratta ancora di una sfida importante.
Per affrontare il problema dell'uso improprio delle credenziali rubate, è importante rilevare quando si verifica tale abuso. Tuttavia, ciò non è facile perché gli aggressori possono mimetizzarsi utilizzando autorizzazioni e azioni legittime che non sono necessariamente nuove o sospette. Affidarsi semplicemente agli avvisi di attività nuove o insolite non sarà efficace in questi ambienti dinamici.
Per identificare e combattere efficacemente l'abuso delle credenziali, è necessario un approccio basato sulla sicurezza. Questo approccio tiene conto delle azioni specifiche che un aggressore intende compiere con le credenziali rubate. Comprendendo i loro obiettivi, possiamo individuare e prevenire meglio l'abuso delle credenziali privilegiate.
Rilevamento dell'uso improprio delle credenziali privilegiate
Vectra è in grado di identificare l'uso improprio delle credenziali privilegiate rubate sia in cloud di rete che cloud . Alla base di questo approccio di rilevamento orientato alla sicurezza vi è la comprensione di ciò che gli aggressori fanno con le credenziali rubate. Il valore delle credenziali privilegiate per un aggressore risiede nella possibilità di accedere a servizi e funzionalità considerati di alto valore e privilegiati nell'ambiente.
I ricercatori di sicurezza di Vectra hanno scoperto che, se si conoscessero i privilegi effettivi di ogni account, macchina host, servizio e cloud , si otterrebbe una mappa di tutte le risorse di alto valore esistenti. Sebbene i concetti di privilegio concesso siano ben consolidati, questa rappresentazione fornisce un limite massimo al privilegio reale di qualcosa rispetto al privilegio minimo necessario. Il team di ricerca sulla sicurezza e il team di data science di Vectra hanno invece identificato un nuovo modo di rappresentare il valore dei sistemi in un ambiente basato su ciò che è stato osservato nel tempo. Questa visione dinamica e concreta del valore è chiamata privilegio osservato. Questa visione dei privilegi basata sui dati fornisce un approccio zero-trust efficace all'uso delle credenziali senza configurazioni manuali.
Ridefinizione della valutazione dei privilegi attraverso l'analisi dei modelli di accesso
L'intelligenza artificiale di Vectra calcola i privilegi osservati tenendo conto delle interazioni storiche tra le entità tracciate, non dei privilegi definiti da un amministratore IT. L'ampiezza e la specificità dell'accesso e dell'utilizzo contribuiscono in modo significativo ai punteggi. Un sistema che accede a diversi sistemi a cui normalmente accedono altri sistemi avrà un privilegio basso, mentre un sistema che accede a un numero elevato di sistemi a cui altri non accedono avrà un punteggio di privilegio elevato. Questo approccio consente a Vectra di distinguere tra account di amministratore di dominio e account utente normali.
Una volta calcolati i punteggi di privilegio osservati, tutte le interazioni tra account, servizi, host e cloud vengono mappate per comprendere le normali interazioni storiche tra i sistemi. Quindi, una suite di algoritmi di apprendimento non supervisionati che tengono conto dei punteggi di privilegio identifica i casi anomali di abuso di privilegi, in cui vengono utilizzati algoritmi personalizzati di rilevamento delle anomalie e implementazioni di Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN).
I risultati di questo sofisticato approccio basato sulla sicurezza sono la capacità di identificare le credenziali rubate che vengono utilizzate in modo improprio sia nel cloud nelle reti locali. La metrica dei privilegi osservata concentra il rilevamento sulle azioni anomale che contano e consente una maggiore precisione e un richiamo più elevato rispetto a un approccio che ignora questa prospettiva critica.
Prevenire l'escalation dei privilegi è una componente fondamentale per mantenere una posizione di sicurezza informatica sicura e resiliente. Vectra AI soluzioni avanzate che possono aiutare a rilevare, prevenire e rispondere ai tentativi di escalation dei privilegi, garantendo la protezione delle risorse digitali della vostra organizzazione. Contattateci per scoprire come possiamo aiutarvi a rafforzare le vostre difese contro le sofisticate minacce informatiche.
Altri fondamenti della sicurezza informatica
Domande frequenti
Che cos'è l'escalation dei privilegi?
L'escalation dei privilegi si verifica quando un aggressore ottiene un accesso non autorizzato a risorse che sono normalmente protette da un'applicazione o da un utente. Ciò può avvenire attraverso due vettori principali: l'escalation verticale, in cui un utente ottiene privilegi di livello superiore, e l'escalation orizzontale, in cui un utente estende il proprio accesso allo stesso livello di privilegi.
In che modo gli aggressori eseguono l'escalation dei privilegi?
Gli aggressori eseguono l'escalation dei privilegi sfruttando vulnerabilità nel software, configurazioni errate o difetti di progettazione all'interno dei sistemi. I metodi più comuni includono lo sfruttamento di configurazioni errate dei servizi, l'utilizzo di credenziali rubate, l'approfittare di vulnerabilità non corrette o lo sfruttamento di permessi di file non sicuri.
Quali sono i segnali di un attacco di escalation dei privilegi?
I segnali possono includere: Comportamento insolito del sistema o problemi di prestazioni. Modifiche non autorizzate alle impostazioni o ai file di sistema. Rilevamento di processi sconosciuti in esecuzione con privilegi elevati. Registri di controllo che mostrano tentativi di accesso imprevisti o modifiche dei privilegi.
In che modo le organizzazioni possono proteggersi dall'escalation dei privilegi?
Le organizzazioni possono proteggersi dall'escalation dei privilegi: applicando regolarmente patch e aggiornamenti ai sistemi per correggere le vulnerabilità note; applicando il principio del privilegio minimo per gli account utente e le applicazioni; monitorando e controllando le attività degli utenti e le modifiche al sistema per individuare eventuali modelli insoliti; implementando controlli di accesso rigorosi e l'autenticazione a più fattori; conducendo regolari valutazioni della sicurezza per identificare e mitigare potenziali punti deboli.
L'escalation dei privilegi può essere rilevata dal software antivirus?
Sebbene i software antivirus siano in grado di rilevare alcuni tipi di malware potrebbero essere utilizzati negli attacchi di escalation dei privilegi, potrebbero non identificare l'effettiva escalation dei privilegi. L'adozione di misure di sicurezza aggiuntive, come i sistemi di rilevamento delle intrusioni (IDS) e le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM), è fondamentale per un monitoraggio completo.
Che ruolo svolge la formazione degli utenti nella prevenzione dell'escalation dei privilegi?
La formazione degli utenti svolge un ruolo fondamentale nel sensibilizzare sui rischi degli phishing , del social engineering e delle pratiche informatiche non sicure che potrebbero portare al furto di credenziali o all'escalation involontaria dei privilegi. Gli utenti informati sono più propensi a seguire le migliori pratiche di sicurezza e a riconoscere le potenziali minacce.
Come dovrebbero reagire le organizzazioni a un incidente di escalation dei privilegi?
Le organizzazioni dovrebbero rispondere a un incidente di escalation dei privilegi: Contenendo immediatamente i sistemi interessati per impedire ulteriori accessi non autorizzati o danni. Indagando sull'incidente per determinare la causa e la portata della violazione. Revocando i privilegi elevati ottenuti dall'autore dell'attacco e reimpostando le credenziali interessate. Risolvendo le vulnerabilità o le configurazioni errate che hanno consentito l'escalation. Rivedendo e migliorando le politiche e i controlli di sicurezza per prevenire incidenti futuri.
Quali strumenti possono aiutare a rilevare i tentativi di escalation dei privilegi?
Gli strumenti che possono aiutare a rilevare i tentativi di escalation dei privilegi includono soluzioni di monitoraggio della sicurezza come SIEM, IDS, sistemi endpoint e risposta endpoint (EDR) e soluzioni di gestione degli accessi privilegiati (PAM) che monitorano le modifiche non autorizzate dei privilegi.
In che modo il concetto di "zero trust" è correlato alla prevenzione dell'escalation dei privilegi?
Il concetto di "zero trust" si riferisce alla prevenzione dell'escalation dei privilegi operando secondo il principio che nessun utente o sistema dovrebbe essere considerato affidabile per impostazione predefinita, indipendentemente dalla loro posizione o dal fatto che si trovino all'interno del perimetro della rete. L'implementazione zero trust una verifica rigorosa e controlli di accesso con privilegi minimi, riducendo in modo significativo la superficie di attacco per l'escalation dei privilegi.
cloud sono vulnerabili agli attacchi di escalation dei privilegi?
Cloud sono vulnerabili agli attacchi di escalation dei privilegi, spesso a causa di configurazioni errate, controlli di accesso inadeguati o credenziali compromesse. Garantire solide pratiche cloud , comprese le politiche di gestione delle identità e degli accessi (IAM) e il monitoraggio continuo, è fondamentale per le applicazioni e i servizi cloud.