Escalation dei privilegi
L'escalation dei privilegi, una tecnica utilizzata dagli aggressori per ottenere un accesso non autorizzato a sistemi e dati sfruttando falle o debolezze di progettazione per elevare il proprio livello di accesso, rappresenta una minaccia significativa per la sicurezza. Spesso funge da trampolino di lancio per attacchi più ampi, consentendo agli avversari di ottenere informazioni sensibili, distribuire malware o ottenere un accesso persistente alla rete di un'organizzazione. Comprendere i meccanismi dell'escalation dei privilegi e implementare solide contromisure è essenziale per rafforzare le difese di sicurezza informatica.
- Secondo un rapporto, oltre l'80% delle violazioni della sicurezza riguarda l'uso improprio di credenziali privilegiate, evidenziando l'importanza di proteggersi dall'escalation dei privilegi. (Fonte: Forrester)
- Un'indagine ha rilevato che il 70% delle organizzazioni ritiene che la protezione contro l'escalation dei privilegi sia una componente critica della propria strategia di cybersecurity. (Fonte: CyberArk)
Capire come gli attaccanti utilizzano le credenziali di privilegio
Gli aggressori sfruttano le credenziali privilegiate per muoversi all'interno di reti e cloud, sfruttando i controlli di sicurezza deboli e le vulnerabilità delle applicazioni. I difensori possono monitorare in modo proattivo le attività dannose, tracciare gli aggressori e implementare misure preventive per proteggere gli account e le configurazioni privilegiate.
Quando gli aggressori mettono le mani su credenziali privilegiate, possono accedere a un'ampia gamma di risorse di rete e di cloud senza utilizzare malware o far scattare allarmi. Sebbene l'applicazione di livelli di privilegio rigorosi possa essere d'aiuto, i recenti attacchi hanno dimostrato che si tratta ancora di una sfida importante.
Per risolvere il problema dell'abuso di credenziali rubate, è importante rilevare quando si verifica un abuso. Tuttavia, non è facile perché gli aggressori possono mimetizzarsi utilizzando autorizzazioni e azioni legittime che non sono necessariamente nuove o sospette. In questi ambienti dinamici non è sufficiente affidarsi agli avvisi di attività nuove o insolite.
Per identificare e combattere efficacemente l'abuso di credenziali, è necessario un approccio basato sulla sicurezza. Questo approccio considera le azioni specifiche che un attaccante intende compiere con le credenziali rubate. Comprendendo i loro obiettivi, possiamo individuare e prevenire meglio l'abuso di credenziali privilegiate.
Rilevare l'abuso di credenziali di privilegio
Vectra è in grado di identificare l'abuso di credenziali di privilegio rubate sia in rete che in ambienti cloud . Il fulcro di questo approccio di rilevamento guidato dalla sicurezza è la comprensione di ciò che gli aggressori fanno con le credenziali rubate. Il valore delle credenziali privilegiate per un aggressore è la possibilità di accedere a servizi e funzionalità considerati di alto valore e privilegiati nell'ambiente.
I ricercatori di Vectra si sono resi conto che se si conoscessero i privilegi effettivi di ogni account, macchina host, servizio e operazione di cloud , si avrebbe una mappa di tutte le risorse di alto valore esistenti. Sebbene i concetti di privilegio concesso siano ben consolidati, questa rappresentazione fornisce un limite superiore a quello che è il vero privilegio di qualcosa rispetto al privilegio minimo necessario. Il team di ricerca sulla sicurezza e il team di data science di Vectra hanno invece identificato un nuovo modo di rappresentare il valore dei sistemi in un ambiente basato su ciò che è stato osservato nel tempo. Questa visione dinamica e terrena del valore è chiamata privilegio osservato. Questa visione del privilegio basata sui dati fornisce un approccio efficace a fiducia zero all'uso delle credenziali senza configurazioni manuali.
Ridefinizione della valutazione dei privilegi attraverso l'analisi dei pattern di accesso
L'intelligenza artificiale di Vectra calcola il privilegio osservato considerando le interazioni storiche tra le entità monitorate, non il privilegio definito da un amministratore IT. L'ampiezza e la specificità dell'accesso e dell'utilizzo contribuiscono pesantemente ai punteggi. Un sistema che accede a diversi sistemi a cui normalmente accedono altri sistemi avrà un privilegio basso, mentre un sistema che accede a un numero elevato di sistemi a cui non accedono altri avrà un punteggio di privilegio alto. Questo approccio consente a Vectra di distinguere tra gli account degli amministratori di dominio e gli account degli utenti normali.
Una volta calcolati i punteggi di privilegio osservati, tutte le interazioni tra account, servizi, host e operazioni di cloud vengono mappate per comprendere le normali interazioni storiche tra i sistemi. Successivamente, una serie di algoritmi di apprendimento non supervisionato che considerano i punteggi di privilegio identificano i casi anomali di abuso di privilegi, utilizzando algoritmi di rilevamento delle anomalie personalizzati e implementazioni di Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN).
I risultati di questo sofisticato approccio guidato dalla sicurezza sono la capacità di identificare le credenziali rubate che vengono abusate sia nel sito cloud che nelle reti on-premises. La metrica dei privilegi osservati focalizza il rilevamento sulle azioni anomale che contano e consente una precisione e un richiamo maggiori rispetto a un approccio che ignora questa prospettiva critica.
La prevenzione dell'escalation dei privilegi è una componente fondamentale per mantenere una postura di cybersecurity sicura e resiliente. Vectra AI offre soluzioni avanzate che possono aiutare a rilevare, prevenire e rispondere ai tentativi di escalation dei privilegi, garantendo che le risorse digitali della vostra organizzazione rimangano protette. Contattateci per sapere come possiamo aiutarvi a rafforzare le vostre difese contro le minacce informatiche più sofisticate.