Privilegieneskalation

Wichtige Erkenntnisse

  • Einem Bericht zufolge sind über 80 % der Sicherheitsverletzungen auf den Missbrauch privilegierter Anmeldeinformationen zurückzuführen, was die Bedeutung des Schutzes vor einer Ausweitung der Rechte unterstreicht. (Quelle: Forrester)
  • Eine Umfrage ergab, dass 70 % der Unternehmen den Schutz vor Privilegieneskalation für eine wichtige Komponente ihrer Cybersicherheitsstrategie halten. (Quelle: CyberArk)

Verstehen, wie Angreifer Berechtigungsnachweise verwenden

Missbrauch von Berechtigungsnachweisen erkennen

Angreifer nutzen privilegierte Anmeldeinformationen, um sich in Netzwerken und Clouds zu bewegen und schwache Sicherheitskontrollen und Anwendungsschwachstellen auszunutzen. Verteidiger können proaktiv auf böswillige Aktivitäten achten, Angreifer aufspüren und Präventivmaßnahmen zum Schutz privilegierter Konten und Konfigurationen implementieren.

Wenn Angreifer privilegierte Anmeldedaten in die Hände bekommen, können sie auf eine Vielzahl von Netzwerk- und cloud zugreifen, ohne malware zu verwenden oder Alarme auszulösen. Die Durchsetzung strenger Berechtigungsstufen kann zwar helfen, aber die jüngsten Angriffe haben gezeigt, dass dies immer noch eine große Herausforderung darstellt.

Um das Problem des Missbrauchs gestohlener Anmeldedaten anzugehen, ist es wichtig zu erkennen, wann ein Missbrauch stattfindet. Dies ist jedoch nicht einfach, da Angreifer sich durch die Verwendung legitimer Berechtigungen und Aktionen, die nicht unbedingt neu oder verdächtig sind, tarnen können. In diesen dynamischen Umgebungen ist es nicht sinnvoll, sich einfach auf Warnungen vor neuen oder ungewöhnlichen Aktivitäten zu verlassen.

Um den Missbrauch von Zugangsdaten wirksam zu erkennen und zu bekämpfen, ist ein sicherheitsorientierter Ansatz erforderlich. Dieser Ansatz berücksichtigt die spezifischen Aktionen, die ein Angreifer mit gestohlenen Zugangsdaten durchführen will. Wenn wir die Ziele des Angreifers verstehen, können wir den Missbrauch privilegierter Zugangsdaten besser erkennen und verhindern.

Erkennung des Missbrauchs von Berechtigungsnachweisen

Vectra kann den Missbrauch von gestohlenen Berechtigungsnachweisen sowohl in Netzwerk- als auch in cloud erkennen. Der Kern dieses sicherheitsorientierten Erkennungsansatzes ist das Verständnis dafür, was Angreifer mit gestohlenen Berechtigungsnachweisen tun. Der Wert privilegierter Zugangsdaten für einen Angreifer besteht in der Fähigkeit, auf Dienste und Funktionen zuzugreifen, die in der Umgebung als besonders wertvoll und privilegiert gelten.

Die Sicherheitsforscher von Vectra haben herausgefunden, dass man eine Karte aller hochwertigen Ressourcen erhalten würde, wenn man die tatsächlichen Berechtigungen aller Konten, Host-Rechner, Dienste und cloud kennen würde. Obwohl die Konzepte der gewährten Privilegien gut etabliert sind, bietet diese Darstellung eine Obergrenze für die tatsächliche Privilegierung einer Sache im Vergleich zur minimal erforderlichen Privilegierung. Stattdessen haben das Sicherheitsforschungsteam und das Data-Science-Team von Vectra einen neuen Weg gefunden, den Wert von Systemen in einer Umgebung auf der Grundlage von Beobachtungen im Laufe der Zeit darzustellen. Diese dynamische und bodenständige Sichtweise des Wertes wird als beobachtetes Privileg bezeichnet. Diese datenbasierte Sichtweise der Berechtigung bietet einen effektiven Null-Vertrauens-Ansatz für die Verwendung von Berechtigungsnachweisen ohne manuelle Konfigurationen.

Beobachtete Berechtigung ist eine Null-Vertrauensansicht der normalen Berechtigung, die ein Benutzer benötigt, um seine Arbeit zu erledigen. Die Nutzung von Privilegien über das normale Maß hinaus rechtfertigt eine zusätzliche Prüfung.

Neudefinition der Bewertung von Berechtigungen durch die Analyse von Zugriffsmustern

Die KI von Vectra berechnet die beobachtete Berechtigung anhand der historischen Interaktionen zwischen den erfassten Entitäten und nicht anhand der von einem IT-Administrator festgelegten Berechtigung. Der Umfang und die Spezifität des Zugriffs und der Nutzung tragen in hohem Maße zur Bewertung bei. Ein System, das auf mehrere Systeme zugreift, auf die andere Systeme normalerweise zugreifen, hat eine niedrige Privilegierung, während ein System, das auf eine große Anzahl von Systemen zugreift, auf die andere Systeme nicht zugreifen, eine hohe Privilegierungsbewertung hat. Dieser Ansatz ermöglicht es Vectra, zwischen Domänenadministrator-Konten und normalen Benutzerkonten zu unterscheiden.

Vectra lernt die beobachteten Berechtigungsstufen anhand des Benutzerverhaltens. Ein Konto, das auf viele gängige Dienste zugreift, hat geringere Berechtigungen als eines, das auf Dienste zugreift, auf die nur wenige andere zugreifen.

Nach der Berechnung der beobachteten Privilegienwerte werden alle Interaktionen zwischen Konten, Diensten, Hosts und cloud abgebildet, um die normalen historischen Interaktionen zwischen den Systemen zu verstehen. Anschließend werden mit einer Reihe von Algorithmen für unüberwachtes Lernen, die die Privilegienwerte berücksichtigen, anomale Fälle von Privilegienmissbrauch identifiziert, wobei benutzerdefinierte Algorithmen zur Erkennung von Anomalien und Implementierungen von Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN) verwendet werden.

Vectra wendet unüberwachtes Lernen an, das beobachtete Privilegien und die Interaktionen zwischen Konten, Hosts, Services und cloud berücksichtigt, um den Missbrauch von Zugangsdaten zu erkennen.

Das Ergebnis dieses ausgeklügelten sicherheitsorientierten Ansatzes ist die Fähigkeit, gestohlene Anmeldeinformationen zu identifizieren, die sowohl in der cloud als auch in lokalen Netzwerken missbraucht werden. Die Metrik für beobachtete Berechtigungen fokussiert die Erkennung auf die anomalen Aktionen, die von Bedeutung sind, und ermöglicht sowohl eine höhere Präzision als auch einen besseren Rückruf als ein Ansatz, der diese kritische Perspektive ignoriert.

Die Verhinderung von Privilegieneskalation ist eine wichtige Komponente für die Aufrechterhaltung einer sicheren und widerstandsfähigen Cybersicherheitsstruktur. Vectra AI bietet fortschrittliche Lösungen, die helfen können, Versuche der Privilegieneskalation zu erkennen, zu verhindern und darauf zu reagieren, um sicherzustellen, dass die digitalen Ressourcen Ihres Unternehmens geschützt bleiben. Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie wir Sie bei der Stärkung Ihres Schutzes vor hochentwickelten Cyber-Bedrohungen unterstützen können.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was ist Privilegieneskalation?

Wie führen Angreifer die Privilegienerweiterung durch?

Was sind die Anzeichen für einen Angriff zur Ausweitung der Rechte?

Wie können sich Unternehmen vor einer Eskalation der Berechtigungen schützen?

Kann eine Privilegienerweiterung von Antivirensoftware erkannt werden?

Welche Rolle spielt die Benutzerschulung bei der Verhinderung von Privilegieneskalation?

Wie sollten Unternehmen auf einen Vorfall der Privilegieneskalation reagieren?

Welche Tools können bei der Erkennung von Privilegieneskalationsversuchen helfen?

Wie verhält sich das Konzept deszero trust" zur Verhinderung einer Privilegieneskalation?

Sind cloud anfällig für Angriffe zur Ausweitung von Berechtigungen?