⚡ Ќовый онлайн курс по —етевым “ехнологи€м

до запуска осталось

ћерион Ќетворкс

12 минут чтени€

“ипичный эксплойт может начать с получени€ злоумышленником доступа к учетной записи с меньшими привилеги€ми. ѕосле входа в систему злоумышленники будут изучать систему дл€ вы€влени€ других у€звимостей, которые они могут использовать в дальнейшем. «атем они используют привилегии дл€ олицетворени€ фактических пользователей, получени€ доступа к целевым ресурсам и выполнени€ различных необнаруженных задач.

јтаки типа эскалации привилегий бывают вертикальными и горизонтальными.

¬ вертикальном типе злоумышленник получает доступ к учетной записи, а затем выполн€ет задачи в качестве этого пользовател€. ƒл€ горизонтального типа злоумышленник сначала получит доступ к одной или нескольким учетным запис€м с ограниченными привилеги€ми, а затем скомпрометирует систему, чтобы получить больше прав на выполнение административных ролей.

“акие права позвол€ют злоумышленникам выполн€ть административные задачи, развертывать вредоносные программы или выполн€ть другие нежелательные действи€. Ќапример, они могут нарушить работу, изменить параметры безопасности, украсть данные или скомпрометировать системы таким образом, чтобы оставить открытые бэкдоры дл€ использовани€ в будущем.

 ак правило, подобно кибератакам, эскалаци€ привилегий использует систему и обрабатывает у€звимости в сет€х, службах и приложени€х. “аким образом, их можно предотвратить, сочета€ передовые методов и инструменты обеспечени€ безопасности. ¬ идеале организаци€ должна развертывать решени€, которые могут сканировать, обнаруживать и предотвращать широкий спектр потенциальных и существующих у€звимостей и угроз безопасности.


–екомендации по предотвращению атак эскалации привилегий

ќрганизации должны защищать все критически важные системы и данные, а также другие области, которые могут выгл€деть непривлекательными дл€ злоумышленников. ¬се, что требуетс€ злоумышленнику Ц это проникнуть в систему. Ќаход€сь внутри, они могут искать у€звимости, которые используют в дальнейшем, чтобы получить дополнительные привилегии. ѕомимо защиты активов от внешних угроз, важно прин€ть достаточные меры дл€ предотвращени€ и внутренних атак.

’от€ примен€емые методы могут отличатьс€ в зависимости от систем, сетей, среды и других факторов, ниже приведены некоторые методы, которые организации могут использовать дл€ защиты своей инфраструктуры.


«ащита и сканирование сети, систем и приложений

¬ дополнение к развертыванию решени€ по обеспечению безопасности в режиме реального времени необходимо регул€рно провер€ть все компоненты »“-инфраструктуры на наличие у€звимостей, которые могут привести к новым угрозам проникновени€. ƒл€ этого можно использовать эффективный сканер у€звимостей дл€ поиска незащищенных операционных систем и приложений, неправильных настроек, слабых паролей и других недостатков, которые могут быть использованы злоумышленниками.

’от€ можно использовать различные сканеры у€звимостей дл€ вы€влени€ слабых мест в устаревшем программном обеспечении, обычно трудно или нецелесообразно обновл€ть, или исправл€ть все системы. ¬ частности, это €вл€етс€ проблемой при работе с устаревшими компонентами или крупномасштабными производственными системами.

¬ таких случа€х можно развернуть дополнительные уровни безопасности, такие как брандмауэры веб-приложений (WAF), которые обнаруживают и останавливают вредоносный трафик на сетевом уровне.  ак правило, WAF обеспечивает защиту базовой системы даже в том случае, если на нем не установлены необходимые патчи или устарела.


ѕравильное управление учетными запис€ми с привилеги€ми

¬ажно управл€ть привилегированными учетными запис€ми и гарантировать, что все они безопасны, используютс€ в соответствии с передовыми практиками и не раскрываютс€. √руппы безопасности должны иметь список всех привилегированных учетных записей, их расположение и дл€ чего они используютс€.

ƒругие меры включают:

  • ћинимизаци€ количества и объема привилегированных учетных записей, мониторинг и ведение журнала их де€тельности;
  • јнализ каждого привилегированного пользовател€ или учетной записи дл€ вы€влени€ и устранени€ любых рисков, потенциальных угроз, источников и намерений злоумышленников;
  • ќсновные виды атак и меры по предотвращению;
  • —облюдайте принцип наименьших привилегий;
  • «апретить администраторам предоставл€ть общий доступ к учетным запис€м и учетным данным.

ћониторинг поведени€ пользователей

јнализ поведени€ пользовател€ позвол€ет определить наличие скомпрометированных учетных записей. ќбычно злоумышленники нацеливаютс€ на пользователей, которые обеспечивают доступ к системам организации. ≈сли им удастс€ получить учетные данные, они войдут в сеть и могут остатьс€ незамеченными в течение некоторого времени.

ѕоскольку трудно вручную контролировать поведение каждого пользовател€, оптимальным подходом €вл€етс€ развертывание решени€ UEBA (User and Entity Behavior Analytics). “акой инструмент непрерывно отслеживает активность пользовател€ за определЄнное врем€. «атем создает нормальный базовый уровень поведени€, который используетс€ дл€ обнаружени€ необычных действий. Ёто один из показателей скомпрометированных учетных записей.

–езультирующий профиль содержит такую информацию, как местоположение, ресурсы, файлы данных и услуги, к которым обращаетс€ пользователь, и их частота, конкретные внутренние и внешние сети, количество хостов, а также выполн€емые процессы. — помощью этой информации инструмент может идентифицировать подозрительные действи€ или параметры, которые отклон€ютс€ от базовой линии.

UEBA

—оздание и применение политики надЄжных паролей

—оздайте и примен€йте надежные политики, чтобы пользователи имели уникальные и трудноугадываемые пароли.  роме того, многофакторна€ аутентификаци€ добавл€ет дополнительный уровень безопасности при преодолении у€звимостей, которые могут возникнуть, когда трудно вручную применить надежные политики паролей.

√руппы безопасности также должны развернуть необходимые средства, которые могут сканировать системы, вы€вл€ть и отмечать слабые пароли или предлагать действи€. Ёто аудиторы паролей, средства защиты политик и другие. —редства принудительного применени€ гарантируют наличие у пользователей надежных паролей с точки зрени€ длины, сложности и политик компании.

ќрганизации также могут использовать корпоративные средства управлени€ парол€ми, помогающие пользовател€м создавать и использовать сложные и безопасные пароли, соответствующие политикам служб, требующих проверки подлинности.

ƒополнительные меры, такие как многофакторна€ аутентификаци€ дл€ разблокировки диспетчера паролей, повышают его безопасность, что делает практически невозможным доступ злоумышленников к сохраненным учетным данным. “ипичные корпоративные менеджеры паролей включают Keeper, Dashlane, 1Password.


ќбезопасить пользовательские вводы и защитить базы данных

«лоумышленники могут использовать у€звимые пол€ пользовательского ввода, а также базы данных дл€ ввода вредоносного кода, получени€ доступа и компрометации систем. ѕо этой причине группы безопасности должны использовать такие передовые методы, как строга€ аутентификаци€ и эффективные инструменты дл€ защиты баз данных и всех типов полей ввода данных.

¬ дополнение к своевременному установлению патчей баз данных и защите всех пользовательских входных данных, хорошей практикой считаетс€ шифрование всех передаваемых и хран€щихс€ данных. Ќе лишним будет назначение файлам атрибута только дл€ чтени€, а доступ дл€ записи предоставл€ть группам и пользовател€м по запросу.


ќбучение пользователей

ѕользователи €вл€ютс€ самым слабым звеном в цепочке обеспечени€ безопасности организации. ѕоэтому важно расширить их возможности и обучить тому, как безопасно выполн€ть свои задачи. ¬ противном случае один щелчок пользовател€ может привести к компрометации всей сети или системы. Ќекоторые из рисков включают открытие вредоносных ссылок или вложений, посещение веб-сайтов с нарушением безопасности, использование слабых паролей и многое другое.

¬ идеале организаци€ должна иметь регул€рные программы повышени€ уровн€ безопасности.  роме того, они должны иметь методологию проверки эффективности обучени€.


—редства предотвращени€ атак эскалации привилегий

ѕредотвращение атак эскалации привилегий требует сочетани€ инструментов. ќни включают, но не ограничиваютс€ приведенными ниже решени€ми.


–ешение дл€ анализа поведени€ пользователей и объектов (UEBA)

1. Exabeam

ѕлатформа Exabeam Security Management - это быстрое и простое в развертывании решение дл€ анализа поведени€ на основе »», которое помогает отслеживать действи€ пользователей и учетных записей в различных службах. — помощью Exabeam можно также получать журналы из других »“-систем и средств безопасности, анализировать их, вы€вл€ть и отмечать опасные действи€, угрозы и другие проблемы.

Exabeam

‘ункции:

  • ¬едение журнала и предоставление полезной информации дл€ расследовани€ инцидентов.   ним относ€тс€ все сеансы, когда конкретна€ учетна€ запись или пользователь впервые получили доступ к службе, серверу, приложению или ресурсу, учетна€ запись входит в систему с нового VPN-соединени€, из другой страны и т.д;
  • ћасштабируемое решение применимо дл€ развертывани€ в одном экземпл€ре, облаке и локально;
  • —оздает всеобъемлющую временную шкалу, котора€ четко показывает полный путь злоумышленника на основе нормальной и ненормальной учетной записи или поведени€ пользовател€.

2. Cynet 360

ѕлатформа Cynet 360 - это комплексное решение, обеспечивающее поведенческую аналитику, защиту сети и конечных точек. ќна позвол€ет создавать профили пользователей, включа€ их геолокации, роли, часы работы, шаблоны доступа к локальным и облачным ресурсам и т.д.

Cynet 360

ѕлатформа помогает вы€вл€ть необычные виды де€тельности, такие как;

  • ¬ход в систему или ресурсы в первый раз
  • ¬ход с нового места или использование нового VPN-подключени€
  • Ќесколько параллельных подключений к нескольким ресурсам в течение очень короткого времени
  • ”четные записи, получающие доступ к ресурсам в нерабочее врем€

—редства защиты паролей

3. Password Auditor

—редства аудита паролей сканируют имена хостов и IP-адреса, чтобы автоматически идентифицировать слабые учетные данные дл€ таких сетевых служб и веб-приложений, как веб-формы HTTP, MYSQL, FTP, SSH, RDP, сетевые маршрутизаторы и другие, требующие аутентификации сервисы. «атем он пытаетс€ войти в систему с использованием слабых, а также часто используемых комбинаций имен пользователей и паролей дл€ идентификации и оповещени€ об учетных запис€х со слабыми учетными данными.

Password Auditor

4. Password Manager Pro

ћенеджер паролей ManageEngine pro предоставл€ет комплексное решение по управлению, контролю, мониторингу и аудиту привилегированной учетной записи на прот€жении всего ее жизненного цикла. ќн может управл€ть привилегированной учетной записью, SSL-сертификатом, удаленным доступом, а также привилегированным сеансом.

Password Manager Pro

‘ункции:

  • јвтоматизаци€ и обеспечение частого сброса паролей дл€ критически важных систем, таких как серверы, сетевые компоненты, базы данных и другие ресурсы
  • ’ранение и организаци€ всех привилегированных и конфиденциальных учетных записей и паролей в централизованном и безопасном хранилище.
  • ѕозвол€ет организаци€м выполн€ть критические аудиты безопасности, а также соответствовать нормативным требовани€м, таким как HIPAA, PCI, SOX и т.д.
  • ѕозвол€ет участникам группы безопасно обмениватьс€ административными парол€ми.

—канер у€звимостей

5. Netsparker

Netsparker - это масштабируемое автоматизированное решение дл€ поиска у€звимостей и управлени€, которое может масштабироватьс€ в соответствии с требовани€ми любой организации. Ёто средство может сканировать сложные сети и среды, обеспечива€ прозрачную интеграцию с другими системами, включа€ решени€ CI/CD, SDLC и другие. ќна обладает расширенными возможност€ми и оптимизирована дл€ сканировани€ и вы€влени€ у€звимостей в сложных средах и приложени€х.

Netsparker

 роме того, Netsparker можно использовать дл€ проверки веб-серверов на наличие неправильных настроек безопасности, которые могут использоватьс€ злоумышленниками.  ак правило, средство обнаруживает возможность SQL-инъекций, удаленное включение файлов, межсайтовый скриптинг (XSS) и другие у€звимости из Top-10 OWASP в веб-приложени€х, веб-службах, веб-страницах, API и т.д.


6. Acunetix

Acunetix - это комплексное решение со встроенными средствами поиска у€звимостей, управлени€ и простой интеграции с другими средствами безопасности. Ёто помогает автоматизировать такие задачи управлени€ у€звимост€ми, как сканирование и исправление, что позвол€ет экономить ресурсы.

Acunetix

‘ункции:

  • »нтегрируетс€ с другими инструментами, вроде Jenkins, GitHub, Jira, Mantis и многое другое;
  • Ћокальные и облачные варианты развертывани€;
  • ¬озможность настройки в соответствии со средой и требовани€ми заказчика, а также межплатформенна€ поддержка;
  • Ѕыстрое вы€вление и реагирование на широкий спектр проблем безопасности, включа€ распространенные веб-атаки, межсайтовые скриптинг (XSS), SQL- инъекции, вредоносные программы, неправильные настройки, незащищенные ресурсы и т.д.

–ешени€ PAM (Privileged Access Management)

7. JumpCloud

Jumpcloud - это решение Directory as a Service (DaaS), которое обеспечивает безопасную аутентификацию и подключение пользователей к сет€м, системам, службам, приложени€м и файлам.  ак правило, масштабируемый облачный каталог представл€ет собой службу, котора€ управл€ет, аутентифицирует и авторизирует пользователей, приложени€ и устройства.

Privileged Access Management

‘ункции:

  • —оздает безопасный и централизованный авторитетный каталог;
  • ѕоддержка межплатформенного управлени€ доступом пользователей;
  • ѕредоставл€ет функции единого входа, поддерживающие управление доступом пользователей к приложени€м через LDAP, SCIM и SAML 2.0;
  • ќбеспечивает безопасный доступ к локальным и облачным серверам;
  • ѕоддержка многофакторной аутентификации;
  • јвтоматизированное администрирование безопасности и св€занных с ней функций, вроде ведени€ журнала событий, создани€ сценариев, управлени€ API, PowerShell и многое другое

8. Ping Identity

Ping Identity - это интеллектуальна€ платформа, обеспечивающа€ многофакторную аутентификацию, единый вход, службы каталогов и многое другое. Ёто позвол€ет организаци€м повысить безопасность и эффективность идентификации пользователей.

Ping Identity

ќсобенности:

  • ≈диный вход, обеспечивающий безопасную и надежную аутентификацию и доступ к услугам;
  • ћногофакторна€ аутентификаци€, добавл€юща€ дополнительные уровни безопасности;
  • ”лучшенное управление данными и способность соблюдать правила конфиденциальности;
  • —лужбы каталогов, обеспечивающие безопасное управление идентификационными данными пользователей и данными;
  • √ибкие возможности развертывани€ облачных сред, такие как Identity-as-a-Service (IDaaS), контейнерное программное обеспечение и т.д.

9. Foxpass

Foxpass - это масштабируемое решение дл€ управлени€ идентификацией и доступом корпоративного уровн€ дл€ локальных и облачных развертываний. ќна предоставл€ет функции управлени€ ключами RADIUS, LDAP и SSH, которые обеспечивают доступ каждого пользовател€ только к определенным сет€м, серверам, VPN и другим услугам в разрешенное врем€.

—редство легко интегрируетс€ с другими службами, такими как Office 365, Google Apps и т.д.

Foxpass

10. AWS Secrets Manager

AWS Secrets Manager предоставл€ет надежные и эффективные средства защиты паролей и других данных, необходимых дл€ доступа к службе, приложени€м и другим ресурсам. ќна позвол€ет легко управл€ть ключами API, учетными данными базы данных и т.д.

AWS Secrets Manager

«аключение

ѕодобно кибератакам, эскалаци€ привилегий использует у€звимости в системе, сет€х, службах и приложени€х. “аким образом, их можно предотвратить, развернув правильные средства и методы обеспечени€ безопасности.

Ёффективные меры включают обеспечение наименьших привилегий, надежных паролей и политик проверки подлинности, защиту конфиденциальных данных, уменьшение поверхности атаки, защиту учетных данных пользователей и многое другое. Ќе будет лишним своевременное обновление и исправление всех систем, программного обеспечени€ и встроенного ѕќ, мониторинг поведени€ пользователей и обучение пользователей методам безопасной работы с вычислительными системами.


>