Как следует из названия, атаки с повышением привилегий могут стать очень опасными и очень быстро. Так что же это такое? И как они осуществляются?
Все сети и операционные системы, независимо от степени их развития и безопасности, имеют недостатки и уязвимости, которые так или иначе могут быть использованы субъектами угроз
Эти дыры в системе безопасности позволяют проводить атаки с повышением привилегий, которые представляют собой кибератаки, направленные на получение несанкционированного и привилегированного доступа в нарушенной системе
Горизонтальная и вертикальная эскалация привилегий. Вертикальная эскалация привилегий
Каждая операционная система имеет встроенные механизмы, которые различают разные уровни привилегий: администраторы, опытные пользователи, обычные пользователи, гости и так далее. Целью атаки с повышением привилегий является достижение наивысшего уровня привилегий, хотя это не всегда возможно
Учитывая это, важно понимать, что существует два основных типа эскалации привилегий: горизонтальная и вертикальная. Оба они опасны, но различия между ними существенны
При горизонтальной атаке с повышением привилегий объект угрозы получает доступ к одной учетной записи, а затем перемещается по сети в горизонтальном направлении, пытаясь получить доступ к другим учетным записям с такими же или подобными привилегиями. А при вертикальной атаке с повышением привилегий киберпреступник пытается двигаться по сети вертикально: он компрометирует одного пользователя, а затем пытается скомпрометировать других пользователей с большими привилегиями
Как происходит эскалация привилегий
Для проникновения в систему киберпреступники используют самые разные техники, некоторые из которых сложнее других. Их можно разделить на три категории
1. Социальная инженерия
В кибербезопасности термин ‘социальная инженерия’ относится к любой попытке субъекта угрозы манипулировать объектом, чтобы заставить его предпринять какие-либо действия. Обычно это включает выдачу себя за законную организацию
Например, злоумышленник может отправить фишинговое письмо сотруднику низшего звена компании. Если сотрудник на это купится, злоумышленник получит доступ к системе. Затем они пытаются повысить свои привилегии. Существуют также атаки социальной инженерии типа vishing (голосовой фишинг) — в них злоумышленник связывается с целью и выдает себя за представителя власти, например, правоохранительных органов или ИТ-специалиста
Киберпреступник также может внедрить scareware – вредоносную программу, которая обманывает жертву, убеждая ее в необходимости загрузить программное обеспечение или предпринять действия, чтобы избавиться от вируса, но на самом деле направляет ее на загрузку вредоносного ПО. Также довольно распространены атаки типа ‘spear phishing’, ‘whaling’ и ‘pharming’
2. Вредоносное ПО
Вредоносное ПО (т.е.вредоносное программное обеспечение) может использоваться как для проникновения в систему, так и для эскалации привилегий внутри нее. Например, если злоумышленник видит возможность вертикального повышения привилегий, он может установить руткиты и получить практически полный контроль над системой
С другой стороны, программы-выкупы могут быть особенно полезны для горизонтальной эскалации привилегий, поскольку они имеют тенденцию быстро распространяться с целью блокировки всех данных, к которым они могут получить доступ. Черви также используются для горизонтального повышения привилегий, поскольку они по умолчанию реплицируют себя
Атаки шпионского ПО – еще один отличный способ проникновения в систему. Если киберпреступнику удается установить шпионское ПО в систему, он получает возможность отслеживать действия пользователя, включая нажатие клавиш или захват экрана. Таким образом, они могут получить доступ к учетным данным пользователя, скомпрометировать учетные записи и выполнить эскалацию привилегий
3. Атаки на основе учетных данных
Чтобы обойти защиту организации, злоумышленники также используют атаки на основе учетных данных, целью которых является получение доступа к паролям и именам пользователей. Организации, не использующие двухфакторную аутентификацию, особенно уязвимы для таких атак, поскольку сотрудники склонны повторно использовать пароли, передавать их коллегам или хранить в открытом виде на своих компьютерах
Киберпреступники могут получить доступ к учетным данным разными способами, включая атаки типа ‘передай хэш’ и ‘вброс учетных данных’, в ходе которых используются списки имен пользователей и паролей, которые были раскрыты в результате предыдущих взломов и попали в темную паутину. Распыление паролей и атаки методом перебора менее распространены, но все же случаются. То же самое можно сказать и о плечевом серфинге, который заключается в отслеживании действий привилегированных пользователей с помощью кейлоггеров и подобных вредоносных программ, через шпионские камеры или даже лично
Атаки на основе учетных данных особенно опасны, поскольку угрозы могут использовать украденные учетные данные для незамеченного перемещения по системе, повышая при этом привилегии
Субъекты угроз могут использовать любые комбинации вышеперечисленных методов для атаки на систему. Эти методы атаки часто переплетаются более чем одним способом. Одна-единственная трещина в любой системе или сети, какой бы незначительной или периферийной она ни казалась, может открыть киберпреступнику путь к прорыву через защиту организации. И как только они проникнут в сеть, они будут искать любой способ повысить привилегии и нанести удар
Как предотвратить атаки с повышением привилегий
Атаки с повышением привилегий направлены почти исключительно на организации, а не на отдельных людей, поэтому защита от них требует всеобъемлющего и целостного подхода к безопасности
Каждый серьезный бизнес должен установить строгий административный контроль— набор правил, которые все сотрудники должны понимать и соблюдать в любое время. В первую очередь это связано с установлением строгих правил предоставления доступа, а точнее с обеспечением того, чтобы сотрудники имели доступ только к тому, что им необходимо для надлежащего выполнения своих задач. Даже администраторы или опытные пользователи не должны иметь широкие права доступа
Инсайдерские угрозы, как злонамеренные, так и не злонамеренные, являются причиной утечки данных номер один. По этой причине крайне важно иметь строгую политику паролей. Хорошая политика паролей включает использование сложных паролей, периодическую смену паролей, двухфакторную или многофакторную аутентификацию, а также четко сформулированные рекомендации по управлению паролями
Кроме того, технические средства контроля как таковые являются основой любой хорошей системы безопасности. Очень важно использовать надежные протоколы шифрования, устанавливать надежное и безопасное программное обеспечение для защиты от вредоносных программ, устанавливать брандмауэры и регулярно устранять любые уязвимости в системе, как с помощью патчей и обновлений, так и с помощью других средств защиты
Лучший способ защиты от эскалации привилегий
Все программное обеспечение уязвимо к кибератакам, которые с каждым днем становятся все более изощренными. Добавьте сюда внутренние угрозы, и станет понятно, почему каждая организация, независимо от ее размера, нуждается в надлежащей защите, чтобы обезопасить себя от кражи данных и других угроз
Возможно, не существует универсального решения для обеспечения кибербезопасности, но есть несколько различных способов эффективно подойти к этому вопросу. И, вероятно, лучшим способом защиты системы является создание инфраструктуры безопасности с нулевым доверием, поскольку она включает в себя уровни контроля привилегий и механизмы аутентификации
Комментировать