Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Amos Kingatua in Security  |  Zuletzt aktualisiert: 15. März 2023
Teilen:

Eskalationsangriffe auf Privilegien, Präventionstechniken und -werkzeuge

Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Eskalationsangriffe auf Berechtigungen treten auf, wenn schlechte Akteure Fehlkonfigurationen, Fehler, schwache Kennwörter und andere Schwachstellen ausnutzen, die ihnen den Zugriff auf geschützte Assets ermöglichen.

Ein typischer Exploit kann damit beginnen, dass der Angreifer zuerst Zugriff auf ein Berechtigungskonto auf niedriger Ebene erhält. Sobald Sie angemeldet sind, untersuchen Angreifer das System, um andere Schwachstellen zu identifizieren, die sie weiter ausnutzen können. Anschließend verwenden sie die Berechtigungen, um sich als die tatsächlichen Benutzer auszugeben, Zugriff auf Zielressourcen zu erhalten und verschiedene Aufgaben unentdeckt auszuführen.

Eskalationsangriffe auf Berechtigungen sind entweder vertikal or horizontal.

Bei einem vertikalen Typ erhält der Angreifer Zugriff auf ein Konto und führt dann Aufgaben als dieser Benutzer aus. Beim horizontalen Typ erhält der Angreifer zunächst Zugriff auf ein oder mehrere Konten mit eingeschränkten Berechtigungen und gefährdet dann das System, um mehr Berechtigungen zum Ausführen von Verwaltungsrollen zu erhalten.

Mit solchen Berechtigungen können die Angreifer Verwaltungsaufgaben ausführen, Malware bereitstellen oder andere unerwünschte Aktivitäten ausführen. Beispielsweise können sie den Betrieb stören, Sicherheitseinstellungen ändern, Daten stehlen oder die Systeme so kompromittieren, dass sie Hintertüren offen lassen ausbeuten in der Zukunft.

Im Allgemeinen nutzt die Eskalation von Berechtigungen genau wie die Cyber-Angriffe die System- und Prozessschwachstellen in den Netzwerken, Diensten und Anwendungen aus. Daher können sie verhindert werden, indem eine Kombination aus bewährten Sicherheitspraktiken und Tools bereitgestellt wird. Ein Unternehmen sollte idealerweise Lösungen bereitstellen, mit denen eine Vielzahl potenzieller und vorhandener Sicherheitslücken und -bedrohungen gescannt, erkannt und verhindert werden können.

Best Practices zur Verhinderung von Eskalationsangriffen auf Berechtigungen

Unternehmen müssen alle ihre kritischen Systeme und Daten sowie andere Bereiche schützen, die unattraktiv aussehentractive zu den Angreifern. Ein Angreifer muss lediglich in ein System eindringen. Sobald sie drinnen sind, können sie es Suchen Sie nach Schwachstellen dass sie weiter ausnutzen, um zusätzliche Berechtigungen zu erhalten. Neben dem Schutz der Vermögenswerte vor externen Bedrohungen ist es ebenso wichtig, ausreichende Maßnahmen zu ergreifen, um interne Angriffe zu verhindern.

Während die tatsächlichen Maßnahmen je nach System, Netzwerk, Umgebung und anderen Faktoren unterschiedlich sein können, sind im Folgenden einige Techniken aufgeführt, mit denen Unternehmen ihre Infrastruktur sichern können.

Schützen und scannen Sie Ihr Netzwerk, Ihre Systeme und Anwendungen

Neben der Bereitstellung einer Echtzeit-Sicherheitslösung ist dies unbedingt erforderlich regelmäßig scannen Alle Komponenten der IT-Infrastruktur für Schwachstellen, durch die neue Bedrohungen eindringen können. Zu diesem Zweck können Sie einen effektiven Schwachstellenscanner verwenden, um nicht gepatchte und unsichere Betriebssysteme und Anwendungen, Fehlkonfigurationen, schwache Kennwörter und andere Fehler zu finden, die Angreifer ausnutzen können.

Scannen Sie Ihren Computer nach einer Infektion

Während Sie verschiedene Schwachstellenscanner verwenden können, um Schwachstellen in veralteter Software zu identifizieren, ist es normalerweise schwierig oder unpraktisch, alle Systeme zu aktualisieren oder zu patchen. Dies ist insbesondere beim Umgang mit Legacy-Komponenten oder großen Produktionssystemen eine Herausforderung.

Für solche Fälle können Sie zusätzliche bereitstellen Sicherheitsschichten wie Webanwendungs-Firewalls (WAF), die schädlichen Datenverkehr auf Netzwerkebene erkennen und stoppen. Typischerweise die WAF schützt das zugrunde liegende System, selbst wenn es ungepatcht oder veraltet ist.

Ordnungsgemäße Verwaltung von Berechtigungskonten

Es ist wichtig, die privilegierten Konten zu verwalten und sicherzustellen, dass sie alle sicher sind, gemäß den Best Practices verwendet werden und nicht offengelegt werden. Die Sicherheitsteams müssen über ein Inventar aller Konten verfügen, wo sie vorhanden sind und wofür sie verwendet werden. 

Andere Maßnahmen umfassen

  • Minimierung der Anzahl und des Umfangs der privilegierten Konten, Überwachung und Führung eines Protokolls ihrer Aktivitäten.
  • Analyse jedes privilegierten Benutzers oder Kontos, um Risiken, potenzielle Bedrohungen, Quellen und Absichten des Angreifers zu identifizieren und anzugehen
  • Wichtige Angriffsmodi und Präventionsmaßnahmen
  • Befolgen Sie das Prinzip der geringsten Privilegien
  • Verhindern Sie, dass Administratoren Konten und Anmeldeinformationen freigeben.

Überwachen Sie das Benutzerverhalten

Durch die Analyse des Benutzerverhaltens kann festgestellt werden, ob gefährdete Identitäten vorliegen. Normalerweise zielen die Angreifer auf die Benutzeridentitäten ab, die den Zugriff auf die Systeme der Organisation ermöglichen. Wenn es ihnen gelingt, die Anmeldeinformationen zu erhalten, melden sie sich beim Netzwerk an und bleiben möglicherweise einige Zeit unentdeckt.

Da es schwierig ist, das Verhalten jedes Benutzers manuell zu überwachen, besteht der beste Ansatz darin, eine UEBA-Lösung (User and Entity Behavior Analytics) bereitzustellen. Ein solches Tool überwacht kontinuierlich die Benutzeraktivität im Laufe der Zeit. Anschließend wird eine legitime Verhaltensgrundlage erstellt, anhand derer ungewöhnliche Aktivitäten ermittelt werden, die auf einen Kompromiss hinweisen.

Das resultierende Profil enthält Informationen wie Standort, Ressourcen, Datendateien und Dienste, auf die der Benutzer zugreift, und Häufigkeit, die spezifischen internen und externen Netzwerke, die Anzahl der Hosts sowie die ausgeführten Prozesse. Mit diesen Informationen kann das Tool verdächtige Aktionen oder Parameter identifizieren, die von der Basislinie abweichen.

Funktionsweise der Analyse des Benutzer- und Entitätsverhaltens

Starke Passwortrichtlinien und Durchsetzung

Richten Sie strenge Richtlinien ein und setzen Sie diese durch, um sicherzustellen, dass die Benutzer über eindeutige und schwer zu erratende Kennwörter verfügen. Darüber hinaus bietet die Verwendung einer Multi-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene und überwindet gleichzeitig die Sicherheitslücken, die auftreten können, wenn es schwierig ist, strenge Kennwortrichtlinien manuell durchzusetzen.

Sicherheitsteams sollten auch die erforderlichen Tools wie Kennwortprüfer, Richtlinienerzwinger und andere bereitstellen, mit denen Systeme gescannt, schwache Kennwörter identifiziert und gekennzeichnet oder Maßnahmen ergriffen werden können. Die Durchsetzungswerkzeuge stellen sicher, dass Benutzer haben starke Passwörter in Bezug auf Länge, Komplexität und Unternehmensrichtlinien.

Unternehmen können auch Tools zur Verwaltung von Unternehmenskennwörtern verwenden, um Benutzern das Generieren und Verwenden komplexer und sicherer Kennwörter zu erleichtern, die den Richtlinien für Dienste entsprechen, für die eine Authentifizierung erforderlich ist.

Zusätzliche Maßnahmen wie die Multi-Faktor-Authentifizierung zum Entsperren des Kennwortmanagers erhöhen die Sicherheit weiter und machen es Angreifern nahezu unmöglich, auf die gespeicherten Anmeldeinformationen zuzugreifen. Typische Kennwortmanager für Unternehmen sind: Hüter, Dashlane, 1Password.

Bereinigen Sie Benutzereingaben und sichern Sie die Datenbanken

Die Angreifer können anfällige Benutzereingabefelder sowie Datenbanken verwenden Schadcode einschleusen, erhalten Zugriff und gefährden die Systeme. Aus diesem Grund sollten Sicherheitsteams Best Practices wie eine starke Authentifizierung und effektive Tools verwenden, um die Datenbanken und alle Arten von Dateneingabefeldern zu schützen.

Es empfiehlt sich, alle Daten während der Übertragung und in Ruhe zu verschlüsseln, die Datenbanken zu patchen und alle Benutzereingaben zu bereinigen. Zusätzliche Maßnahmen umfassen das schreibgeschützte Belassen von Dateien und das Gewähren des Schreibzugriffs für die Gruppen und Benutzer, die diese benötigen.

Benutzer trainieren

Die Benutzer sind das schwächste Glied in der Sicherheitskette eines Unternehmens. Es ist daher wichtig, sie zu befähigen und darin zu schulen, wie sie ihre Aufgaben sicher ausführen können. Andernfalls kann ein einzelner Klick eines Benutzers zur Gefährdung eines gesamten Netzwerks oder Systems führen. Zu den Risiken zählen das Öffnen bösartiger Links oder Anhänge, der Besuch gefährdeter Websites, die Verwendung schwacher Kennwörter und vieles mehr.

Idealerweise sollte die Organisation über regelmäßige Sicherheitsbewusstseinsprogramme verfügen. Darüber hinaus sollten sie über eine Methodik verfügen, mit der überprüft werden kann, ob das Training effektiv ist.

Tools zur Verhinderung von Angriffen durch Eskalation von Berechtigungen

Um die Angriffe zur Eskalation von Berechtigungen zu verhindern, ist eine Kombination von Tools erforderlich. Dazu gehören unter anderem die folgenden Lösungen.

PAM-Softwarelösungen (Privileged Access Management)

Heimdal

Heimdals Privileged Access Management (PAM) ist eine Sicherheitslösung der Enterprise-Klasse, die Unternehmen dabei unterstützt, ihre wichtigsten Ressourcen und Daten zu schützen, indem sie den privilegierten Zugriff auf sensible Systeme und Anwendungen kontrolliert. Das Produkt bietet eine umfassende Reihe von Tools zum Verwalten, Überwachen und Prüfen des privilegierten Zugriffs, während gleichzeitig die Prinzipien der geringsten Rechte durchgesetzt und die Angriffsfläche reduziert werden.

heimdal-pam

Mit der PAM-Lösung von Heimdal können Unternehmen privilegierte Konten in ihrer gesamten IT-Infrastruktur, einschließlich lokaler und Cloud-Umgebungen, mithilfe eines zentralen Dashboards einfach identifizieren und verwalten. Es bietet eine granulare Kontrolle über Zugriffsrechte und Berechtigungen, sodass Administratoren Richtlinien definieren und Multi-Faktor-Authentifizierung, Sitzungsaufzeichnung und Passwortverwaltung durchsetzen können, um einen sicheren Zugriff auf kritische Systeme und Daten zu gewährleisten.

Es enthält auch mehrere erweiterte Funktionen, wie z. B. Sitzungsüberwachung und -aufzeichnung, die einen Echtzeit-Einblick in privilegierte Benutzeraktivitäten bieten und dabei helfen, verdächtiges Verhalten zu erkennen und darauf zu reagieren. Darüber hinaus bietet es automatisierte workflows Zugriffsanforderungs- und Genehmigungsprozesse zu rationalisieren, IT-Teams zu entlasten und die Einhaltung von Branchenvorschriften und -standards sicherzustellen.

Die Berichts- und Analysefunktionen der Lösung bieten Einblicke in das Benutzerverhalten, Audit-Trails und den Compliance-Status, sodass Unternehmen Risiken und Schwachstellen proaktiv identifizieren und mindern können.

Die PAM-Lösung von Heimdal lässt sich auch in bestehende IT-Systeme und -Anwendungen integrieren und bietet ein nahtloses Zugriffsmanagement im gesamten Unternehmen. Insgesamt bietet die PAM-Lösung von Heimdal eine umfassende und benutzerfreundliche Lösung für die Verwaltung des privilegierten Zugriffs, die Verringerung des Risikos von Datenschutzverletzungen und die Gewährleistung der Einhaltung von Industriestandards und -vorschriften. Mit ihren fortschrittlichen Funktionen und Integrationsmöglichkeiten bietet die Lösung einen robusten Schutz vor Cyber-Bedrohungen und hilft Unternehmen, eine starke Sicherheitslage zu erreichen.

JumpCloud

Sprungwolke ist eine Directory as a Service-Lösung (DaaS), die Benutzer sicher authentifiziert und mit Netzwerken, Systemen, Diensten, Apps und Dateien verbindet. Im Allgemeinen ist das skalierbare, Cloud-basierte Verzeichnis ein Dienst, der Benutzer, Anwendungen und Geräte verwaltet, authentifiziert und autorisiert.

JumpCloud-Benutzerverwaltung

Eigenschaften umfassen;

  • Es wird ein sicheres und zentrales autorisierendes Verzeichnis erstellt
  • Unterstützt die plattformübergreifende Benutzerzugriffsverwaltung
  • Bietet Single Sign-On-Funktionen, die die Steuerung des Benutzerzugriffs auf Anwendungen über LDAP, SCIM und SAML 2.0 unterstützen
  • Bietet sicheren Zugriff auf lokale und Cloud-Server
  • Unterstützt die Multi-Faktor-Authentifizierung
  • Verfügt über eine automatisierte Verwaltung der Sicherheit und verwandter Funktionen wie Ereignisprotokollierung, Skripterstellung, API-Verwaltung, PowerShell und mehr

Ping Identity

Ping-Identität ist eine intelligente Plattform, die Multi-Faktor-Authentifizierung, Single Sign-On, Verzeichnisdienste und mehr bietet. Es ermöglicht Organisationen, die Sicherheit und Erfahrung der Benutzeridentität zu verbessern.

Pingidentity Auth Authority-Diagramm

Eigenschaften

  • Single Sign-On, das eine sichere und zuverlässige Authentifizierung und Zugriff auf Dienste bietet
  • Multi-Faktor-Authentifizierung, die zusätzliche Sicherheitsebenen hinzufügt
  • Verbesserte Datenverwaltung und Fähigkeit zur Einhaltung der Datenschutzbestimmungen
  • Ein Verzeichnisdienst, der eine sichere Verwaltung von Benutzeridentitäten und Daten in großem Maßstab ermöglicht
  • Flexible Cloud-Bereitstellungsoptionen wie IDaaS (Identity-as-a-Service), containerisierte Software usw.

Foxpass

Fuchspass ist eine skalierbare Identitäts- und Zugriffssteuerungslösung für Unternehmen für On-Premise- und Cloud-Bereitstellungen. Es bietet RADIUS-, LDAP- und SSH-Schlüsselverwaltungsfunktionen, mit denen sichergestellt wird, dass jeder Benutzer zum zulässigen Zeitpunkt nur auf bestimmte Netzwerke, Server, VPNs und andere Dienste zugreift.

Das Tool kann nahtlos in andere Dienste wie Office 365, Google Apps und mehr integriert werden.

Foxpass-Zugangskontrolle

AWS Secrets Manager

AWS Secrets Manager bietet Ihnen ein zuverlässiges und effektives Mittel, um die Geheimnisse zu sichern, die für den Zugriff auf den Dienst, die Anwendungen und andere Ressourcen erforderlich sind. Sie können damit API-Schlüssel, Datenbankanmeldeinformationen und andere Geheimnisse einfach verwalten, drehen und abrufen.

AWS Secrets Manager

Da sind mehr geheime Managementlösungen Sie können erkunden.

User and Entity Behavior Analytics-Lösung (UEBA)

Exabeam

Das Exabeam Security Management Platform ist eine schnelle und einfache Bereitstellung einer AI-basierten Verhaltensanalyselösung, mit der Benutzer- und Kontoaktivitäten über verschiedene Dienste hinweg verfolgt werden können. Sie können Exabeam auch verwenden, um die Protokolle von anderen IT-Systemen und Sicherheitstools aufzunehmen, zu analysieren und riskante Aktivitäten, Bedrohungen und andere Probleme zu identifizieren und zu kennzeichnen.

Exabeam Sicherheitsmanagement-Plattform

Eigenschaften umfassen

  • Protokollierung und Bereitstellung nützlicher Informationen für die Untersuchung von Vorfällen. Dazu gehören alle Sitzungen, in denen ein bestimmtes Konto oder ein bestimmter Benutzer zum ersten Mal auf einen Dienst, einen Server, eine Anwendung oder eine Ressource zugegriffen hat. Das Konto meldet sich über eine neue VPN-Verbindung, aus einem ungewöhnlichen Land usw. An
  • Die skalierbare Lösung ist für Einzelinstanz-, Cloud- und On-Premise-Bereitstellungen anwendbar
  • Erstellt eine umfassende Zeitleiste, die den vollständigen Pfad eines Angreifers basierend auf dem normalen und abnormalen Konto- oder Benutzerverhalten klar anzeigt.

Cynet 360

Das Cynet 360-Plattform ist eine umfassende Lösung, die Verhaltensanalysen, Netzwerk- und Endpunktsicherheit bietet. Sie können Benutzerprofile erstellen, einschließlich ihrer Geolokalisierung, Rollen, Arbeitszeiten, Zugriffsmuster auf lokale und Cloud-basierte Ressourcen usw.

YouTube-Video

Die Plattform hilft dabei, ungewöhnliche Aktivitäten zu identifizieren, wie z.

  • Erstmalige Anmeldung am System oder an den Ressourcen
  • Ungewöhnlicher Anmeldestandort oder Verwendung einer neuen VPN-Verbindung
  • Mehrere gleichzeitige Verbindungen zu mehreren Ressourcen innerhalb kürzester Zeit
  • Konten, die außerhalb der Geschäftszeiten auf Ressourcen zugreifen

Tools zur Passwortsicherheit

Password Auditor

Das Passwort-Auditor Tools scannen die Hostnamen und IP-Adressen, um schwache Anmeldeinformationen für Netzwerkdienste und Webanwendungen wie HTTP-Webformulare, MYSQL, FTP, SSH, RDP, Netzwerkrouter und andere, die eine Authentifizierung erfordern, automatisch zu identifizieren. Anschließend wird versucht, sich mit den schwachen Kombinationen aus Benutzername und Kennwort anzumelden, um Konten mit schwachen Anmeldeinformationen zu identifizieren und darauf aufmerksam zu machen.

Passwortprüferbericht

Password Manager Pro

Das ManageEngine Passwort Manager Pro bietet Ihnen eine umfassende Verwaltungs-, Kontroll-, Überwachungs- und Überwachungslösung für das privilegierte Konto während seines gesamten Lebenszyklus. Es kann das privilegierte Konto, das SSL-Zertifikat, den Remotezugriff sowie die privilegierte Sitzung verwalten.

Password Manager Pro zentrales Passwortverwaltungssystem

Eigenschaften umfassen

  • Automatisiert und erzwingt häufiges Zurücksetzen von Kennwörtern für kritische Systeme wie Server, Netzwerkkomponenten, Datenbanken und andere Ressourcen
  • Speichert und organisiert alle privilegierten und vertraulichen Kontoidentitäten und -kennwörter in einem zentralen und sicheren Tresor.
  • Ermöglicht Unternehmen die Durchführung kritischer Sicherheitsüberprüfungen sowie die Einhaltung gesetzlicher Standards wie HIPAA, PCI, SOX und mehr
  • Ermöglicht Teammitgliedern die sichere Freigabe von Administratorkennwörtern.

Sicherheitslücken-Scanner

Invicti

Invicti ist eine skalierbare, automatisierte Schwachstellenscanner- und Verwaltungslösung, die an die Anforderungen jedes Unternehmens angepasst werden kann. Das Tool kann komplexe Netzwerke und Umgebungen scannen und sich nahtlos in andere Systeme integrieren, einschließlich CI / CD-Lösungen, SDLC und andere. Es verfügt über erweiterte Funktionen und ist optimiert, um Schwachstellen in komplexen Umgebungen und Anwendungen zu scannen und zu identifizieren.

Netsparker-Lösung für das Schwachstellenmanagement

Darüber hinaus können Sie Invicti verwenden, um die Webserver auf Sicherheitsfehlkonfigurationen zu testen, die Angreifer ausnutzen können. Im Allgemeinen identifiziert das Tool SQL-Injektionen, Remote-Dateieinschluss, Cross-Site-Scripting (XSS) und andere OWASP-Top-10-Schwachstellen in Webanwendungen, Webdiensten, Webseiten, APIs und mehr.

Acunetix

Acunetix ist eine umfassende Lösung mit integriertem Scannen, Verwalten und einfacher Integration von Sicherheitslücken in andere Sicherheitstools. Es hilft bei der Automatisierung von Schwachstellenmanagementaufgaben wie Scannen und Beheben, sodass Sie Ressourcen sparen können.

Acunetix Schwachstellen-Scanner

Eigenschaften umfassen;

  • Integriert sich in andere Tools wie Jenkins, Issue-Tracker von Drittanbietern wie GitHub, Jira, Gottesanbeterin und mehr.
  • On-Premise- und Cloud-Bereitstellungsoptionen
  • Anpassbar an die Kundenumgebung und -anforderungen sowie plattformübergreifenden Support.
  • Schnelle Identifizierung und Reaktion auf eine Vielzahl von Sicherheitsproblemen, einschließlich häufiger Webangriffe, Cross-Site Scripting (XSS), SQL-Injektionen, Malware, Fehlkonfigurationen, offengelegten Assets usw.

Fazit

Genau wie die Cyber-AngriffeDie Eskalation von Berechtigungen nutzt das System aus und verarbeitet Schwachstellen in den Netzwerken, Diensten und Anwendungen. Daher können sie verhindert werden, indem die richtigen Sicherheitstools und -praktiken bereitgestellt werden.

Zu den wirksamen Maßnahmen gehören die Durchsetzung der geringsten Berechtigungen, sicheren Kennwörter und Authentifizierungsrichtlinien, der Schutz sensibler Daten und die Reduzierung der Angriffsfläche, Sichern der Anmeldeinformationen des Kontos und mehr. Weitere Maßnahmen umfassen das Aktualisieren und Patchen aller Systeme, Software und Firmware, das Überwachen des Benutzerverhaltens und die Schulung der Benutzer zu sicheren Computerpraktiken.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder