Gli aggressori sfruttano le credenziali privilegiate per muoversi all'interno di reti e cloud, sfruttando i controlli di sicurezza deboli e le vulnerabilità delle applicazioni. I difensori possono monitorare in modo proattivo le attività dannose, tracciare gli aggressori e implementare misure preventive per proteggere gli account e le configurazioni privilegiate.
Quando gli aggressori mettono le mani su credenziali privilegiate, possono accedere a un'ampia gamma di risorse di rete e cloud senza utilizzare malware o attivare allarmi. Sebbene l'applicazione di livelli di privilegio rigorosi possa essere d'aiuto, i recenti attacchi hanno dimostrato che si tratta ancora di una sfida importante.
Per risolvere il problema dell'abuso di credenziali rubate, è importante rilevare quando si verifica un abuso. Tuttavia, non è facile perché gli aggressori possono mimetizzarsi utilizzando autorizzazioni e azioni legittime che non sono necessariamente nuove o sospette. In questi ambienti dinamici non è sufficiente affidarsi agli avvisi di attività nuove o insolite.
Per identificare e combattere efficacemente l'abuso di credenziali, è necessario un approccio basato sulla sicurezza. Questo approccio considera le azioni specifiche che un attaccante intende compiere con le credenziali rubate. Comprendendo i loro obiettivi, possiamo individuare e prevenire meglio l'abuso di credenziali privilegiate.
Vectra è in grado di identificare l'abuso di credenziali di privilegio rubate sia in rete che in ambienti cloud . Il fulcro di questo approccio di rilevamento guidato dalla sicurezza è la comprensione di ciò che gli aggressori fanno con le credenziali rubate. Il valore delle credenziali privilegiate per un aggressore è la possibilità di accedere a servizi e funzionalità considerati di alto valore e privilegiati nell'ambiente.
I ricercatori di Vectra si sono resi conto che se si conoscessero i privilegi effettivi di ogni account, macchina host, servizio e operazione cloud , si avrebbe una mappa di tutte le risorse ad alto valore esistenti. Sebbene i concetti di privilegio concesso siano ben consolidati, questa rappresentazione fornisce un limite superiore a quello che è il vero privilegio di qualcosa rispetto al privilegio minimo necessario. Il team di ricerca sulla sicurezza e il team di data science di Vectra hanno invece identificato un nuovo modo di rappresentare il valore dei sistemi in un ambiente basato su ciò che è stato osservato nel tempo. Questa visione dinamica e terrena del valore è chiamata privilegio osservato. Questa visione del privilegio basata sui dati fornisce un approccio efficace a fiducia zero all'uso delle credenziali senza configurazioni manuali.
L'intelligenza artificiale di Vectra calcola il privilegio osservato considerando le interazioni storiche tra le entità monitorate, non il privilegio definito da un amministratore IT. L'ampiezza e la specificità dell'accesso e dell'utilizzo contribuiscono pesantemente ai punteggi. Un sistema che accede a diversi sistemi a cui normalmente accedono altri sistemi avrà un privilegio basso, mentre un sistema che accede a un numero elevato di sistemi a cui non accedono altri avrà un punteggio di privilegio alto. Questo approccio consente a Vectra di distinguere tra gli account degli amministratori di dominio e gli account degli utenti normali.
Una volta calcolati i punteggi di privilegio osservati, tutte le interazioni tra account, servizi, host e operazioni cloud vengono mappate per comprendere le normali interazioni storiche tra i sistemi. Successivamente, una serie di algoritmi di apprendimento non supervisionato che considerano i punteggi di privilegio identificano i casi anomali di abuso di privilegi, utilizzando algoritmi di rilevamento delle anomalie personalizzati e implementazioni di Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN).
I risultati di questo sofisticato approccio guidato dalla sicurezza sono la capacità di identificare le credenziali rubate che vengono abusate sia nel cloud che nelle reti on-premises. La metrica dei privilegi osservati focalizza il rilevamento sulle azioni anomale che contano e consente una precisione e un richiamo maggiori rispetto a un approccio che ignora questa prospettiva critica.
La prevenzione dell'escalation dei privilegi è una componente fondamentale per mantenere una postura di cybersecurity sicura e resiliente. Vectra AI offre soluzioni avanzate che possono aiutare a rilevare, prevenire e rispondere ai tentativi di privilege escalation, garantendo che le risorse digitali della vostra organizzazione rimangano protette. Contattateci per sapere come possiamo aiutarvi a rafforzare le vostre difese contro le minacce informatiche più sofisticate.
L'escalation dei privilegi si verifica quando un aggressore ottiene un accesso elevato non autorizzato a risorse normalmente protette da un'applicazione o da un utente. Ciò può avvenire attraverso due vettori principali: l'escalation verticale, in cui un utente ottiene privilegi di livello superiore, e l'escalation orizzontale, in cui un utente estende il proprio accesso allo stesso livello di privilegi.
Gli aggressori eseguono l'escalation dei privilegi sfruttando le vulnerabilità del software, le configurazioni errate o i difetti di progettazione dei sistemi. I metodi più comuni includono lo sfruttamento di configurazioni errate dei servizi, l'utilizzo di credenziali rubate, lo sfruttamento di vulnerabilità non patchate o l'utilizzo di permessi di file non sicuri.
I segnali possono includere Comportamento insolito del sistema o problemi di prestazioni. Modifiche non autorizzate alle impostazioni o ai file di sistema. Rilevamento di processi sconosciuti in esecuzione con privilegi elevati. Registri di audit che mostrano tentativi di accesso inattesi o modifiche dei privilegi.
Le organizzazioni possono proteggersi contro l'escalation dei privilegi Applicando regolarmente patch e aggiornamenti ai sistemi per risolvere le vulnerabilità note. Utilizzando il principio del minimo privilegio per gli account utente e le applicazioni. Monitorando e controllando le attività degli utenti e le modifiche al sistema per individuare modelli insoliti. L'implementazione di forti controlli di accesso e di autenticazione a più fattori. Condurre valutazioni periodiche della sicurezza per identificare e ridurre i potenziali punti deboli.
Sebbene il software antivirus sia in grado di rilevare alcuni tipi di malware che potrebbero essere utilizzati negli attacchi di privilege escalation, potrebbe non identificare l'effettiva escalation dei privilegi. L'impiego di misure di sicurezza aggiuntive, come sistemi di rilevamento delle intrusioni (IDS) e piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM), è fondamentale per un monitoraggio completo.
La formazione degli utenti svolge un ruolo fondamentale, sensibilizzandoli sui rischi di attacchi phishing , social engineering e pratiche informatiche non sicure che potrebbero portare al furto di credenziali o all'escalation involontaria dei privilegi. Gli utenti istruiti sono più propensi a seguire le best practice di sicurezza e a riconoscere le potenziali minacce.
Le organizzazioni devono reagire a un incidente di escalation dei privilegi Contenere immediatamente i sistemi interessati per impedire ulteriori accessi non autorizzati o danni. Indagare sull'incidente per determinare la causa e la portata della violazione. Revocare i privilegi elevati ottenuti dall'aggressore e ripristinare le credenziali interessate. Correggere le vulnerabilità o le configurazioni errate che hanno permesso l'escalation. Rivedere e migliorare le politiche e i controlli di sicurezza per prevenire incidenti futuri.
Gli strumenti che possono aiutare a rilevare i tentativi di escalation dei privilegi includono soluzioni di monitoraggio della sicurezza come SIEM, IDS, sistemi di rilevamento e risposta endpoint (EDR) e soluzioni di gestione degli accessi privilegiati (PAM) che monitorano le modifiche non autorizzate dei privilegi.
Il concetto dizero trust" si riferisce alla prevenzione dell'escalation dei privilegi, operando secondo il principio che nessun utente o sistema deve essere considerato affidabile per impostazione predefinita, indipendentemente dalla sua posizione o dalla sua presenza all'interno del perimetro di rete. L'implementazione della zero trust implica una verifica rigorosa e controlli di accesso con privilegi minimi, riducendo in modo significativo la superficie di attacco per l'escalation dei privilegi.
Gli ambienti Cloud sono soggetti ad attacchi di privilege escalation, spesso dovuti a configurazioni errate, controlli di accesso inadeguati o credenziali compromesse. Per le applicazioni e i servizi cloud è fondamentale garantire solide pratiche di sicurezza, tra cui politiche di gestione dell'identità e dell'accesso (IAM) e un monitoraggio continuo.