Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Thema

Rechte-Eskalation

Die Ausweitung von Berechtigungen, eine Technik, mit der sich Angreifer unbefugten Zugriff auf Systeme und Daten verschaffen, indem sie Fehler oder Designschwächen ausnutzen, um ihre Zugriffsrechte zu erhöhen, stellt eine erhebliche Sicherheitsbedrohung dar. Sie dient oft als Sprungbrett für umfassendere Angriffe, die es Angreifern ermöglichen, an vertrauliche Informationen zu gelangen, malware einzusetzen oder dauerhaften Zugriff auf das Netzwerk eines Unternehmens zu erlangen. Die Mechanismen der Privilegienerweiterung zu verstehen und robuste Gegenmaßnahmen zu implementieren, ist für die Stärkung der Cybersicherheitsabwehr unerlässlich.
  • Einem Bericht zufolge sind über 80 % der Sicherheitsverletzungen auf den Missbrauch privilegierter Anmeldeinformationen zurückzuführen, was die Bedeutung des Schutzes vor einer Ausweitung der Rechte unterstreicht. (Quelle: Forrester)
  • Eine Umfrage ergab, dass 70 % der Unternehmen den Schutz vor Privilegieneskalation für eine wichtige Komponente ihrer Cybersicherheitsstrategie halten. (Quelle: CyberArk)

Verstehen, wie Angreifer Berechtigungsnachweise verwenden

Missbrauch von Berechtigungsnachweisen erkennen

Angreifer nutzen privilegierte Anmeldeinformationen, um sich in Netzwerken und Clouds zu bewegen und schwache Sicherheitskontrollen und Anwendungsschwachstellen auszunutzen. Verteidiger können proaktiv nach bösartigen Aktivitäten suchen, Angreifer aufspüren und Präventivmaßnahmen zum Schutz privilegierter Konten und Konfigurationen implementieren.

Wenn Angreifer privilegierte Zugangsdaten in die Hände bekommen, können sie auf eine Vielzahl von Netzwerk- und cloud Ressourcen zugreifen, ohne malware zu verwenden oder Alarme auszulösen. Die Durchsetzung strenger Berechtigungsstufen kann zwar helfen, aber die jüngsten Angriffe haben gezeigt, dass dies immer noch eine große Herausforderung darstellt.

Um das Problem des Missbrauchs gestohlener Anmeldedaten anzugehen, ist es wichtig zu erkennen, wann ein Missbrauch stattfindet. Dies ist jedoch nicht einfach, da sich Angreifer durch die Verwendung legitimer Berechtigungen und Aktionen, die nicht unbedingt neu oder verdächtig sind, tarnen können. In diesen dynamischen Umgebungen reicht es nicht aus, sich auf Warnungen über neue oder ungewöhnliche Aktivitäten zu verlassen.

Um den Missbrauch von Zugangsdaten wirksam zu erkennen und zu bekämpfen, ist ein sicherheitsorientierter Ansatz erforderlich. Dieser Ansatz berücksichtigt die spezifischen Aktionen, die ein Angreifer mit gestohlenen Zugangsdaten durchführen will. Wenn wir die Ziele des Angreifers verstehen, können wir den Missbrauch privilegierter Zugangsdaten besser erkennen und verhindern.

Erkennung des Missbrauchs von Berechtigungsnachweisen

Vectra kann den Missbrauch gestohlener Berechtigungsnachweise sowohl in Netzwerk- als auch in cloud -Umgebungen erkennen. Kern dieses sicherheitsorientierten Erkennungsansatzes ist das Verständnis dafür, was Angreifer mit gestohlenen Zugangsdaten tun. Der Wert privilegierter Zugangsdaten für einen Angreifer besteht in der Fähigkeit, auf Dienste und Funktionen zuzugreifen, die in der Umgebung als hochwertig und privilegiert gelten.

Die Sicherheitsforscher von Vectra haben herausgefunden, dass man eine Karte aller hochwertigen Ressourcen erhalten würde, wenn man die tatsächlichen Berechtigungen jedes Kontos, jedes Host-Rechners, jedes Dienstes und jeder Operation von cloud kennen würde. Obwohl die Konzepte der gewährten Privilegien gut etabliert sind, bietet diese Darstellung eine Obergrenze für die wahren Privilegien im Vergleich zu den minimal erforderlichen Privilegien. Stattdessen haben das Sicherheitsforschungsteam und das Data-Science-Team von Vectra einen neuen Weg gefunden, den Wert von Systemen in einer Umgebung auf der Grundlage von Beobachtungen im Laufe der Zeit darzustellen. Diese dynamische und bodenständige Sichtweise des Wertes wird als beobachtetes Privileg bezeichnet. Diese datenbasierte Sichtweise der Berechtigung bietet einen effektiven Null-Vertrauens-Ansatz für die Verwendung von Berechtigungsnachweisen ohne manuelle Konfigurationen.

Beobachtete Berechtigung ist eine Null-Vertrauensansicht der normalen Berechtigung, die ein Benutzer benötigt, um seine Arbeit zu erledigen. Die Nutzung von Privilegien, die über das normalerweise erforderliche Maß hinausgeht, rechtfertigt eine zusätzliche Prüfung.

Neudefinition der Bewertung von Berechtigungen durch die Analyse von Zugriffsmustern

Die KI von Vectra berechnet die beobachtete Berechtigung anhand der historischen Interaktionen zwischen den erfassten Entitäten und nicht anhand der von einem IT-Administrator festgelegten Berechtigung. Der Umfang und die Spezifität des Zugriffs und der Nutzung tragen in hohem Maße zur Bewertung bei. Ein System, das auf mehrere Systeme zugreift, auf die andere Systeme normalerweise zugreifen, hat eine niedrige Privilegierung, während ein System, das auf eine große Anzahl von Systemen zugreift, auf die andere Systeme nicht zugreifen, eine hohe Privilegierungsbewertung hat. Dieser Ansatz ermöglicht es Vectra, zwischen Domänenadministrator-Konten und normalen Benutzerkonten zu unterscheiden.

Vectra lernt die beobachteten Berechtigungsstufen anhand des Benutzerverhaltens. Ein Konto, das auf viele gängige Dienste zugreift, hat geringere Berechtigungen als eines, das auf Dienste zugreift, auf die nur wenige andere zugreifen.

Sobald die beobachteten Privilegienwerte berechnet wurden, werden alle Interaktionen zwischen Konten, Diensten, Hosts und cloud Operationen abgebildet, um die normalen historischen Interaktionen zwischen Systemen zu verstehen. Anschließend werden mit einer Reihe von Algorithmen für unüberwachtes Lernen, die die Privilegienwerte berücksichtigen, anormale Fälle von Privilegienmissbrauch identifiziert, wobei benutzerdefinierte Algorithmen zur Erkennung von Anomalien und Implementierungen von Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN) verwendet werden.

Vectra wendet unüberwachtes Lernen an, das beobachtete Privilegien und die Interaktionen zwischen Konten, Hosts, Diensten und cloud Operationen berücksichtigt, um Missbrauch von Zugangsdaten zu erkennen.

Das Ergebnis dieses ausgeklügelten sicherheitsorientierten Ansatzes ist die Fähigkeit, gestohlene Anmeldeinformationen zu identifizieren, die sowohl im cloud als auch in lokalen Netzwerken missbraucht werden. Die Metrik für beobachtete Berechtigungen fokussiert die Erkennung auf die anomalen Aktionen, die von Bedeutung sind, und ermöglicht sowohl eine höhere Präzision als auch einen besseren Rückruf als ein Ansatz, der diese kritische Perspektive ignoriert.

Die Verhinderung von Privilegieneskalation ist eine wichtige Komponente für die Aufrechterhaltung einer sicheren und widerstandsfähigen Cybersicherheit. Vectra AI bietet fortschrittliche Lösungen, die dabei helfen, Privilegieneskalationsversuche zu erkennen, zu verhindern und darauf zu reagieren, damit die digitalen Ressourcen Ihres Unternehmens geschützt bleiben. Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie wir Sie bei der Stärkung Ihres Schutzes vor hochentwickelten Cyber-Bedrohungen unterstützen können.

Zusätzliche Ressourcen über Privilegieneskalation

Leitfaden für bewährte Praktiken
Stoppen Sie identitätsbasierte Angriffe mit Privilege Account Analytics (PAA) in Ihrem SOC-Arsenal

Die Vectra AI Plattform erweitert die Abdeckung für Bedrohungen, die die Prävention umgehen, mit einem Einblick in das Verhalten von privilegierten Identitäten, um Ihr SOC-Team von den Mühen der ausufernden Privilegienkonten zu befreien.

Herunterladen
Mehr lesen
Technologie-Übersicht
Minderung des Risikos von Angriffen auf die Privilegienidentität mit der Vectra AI Plattform

Vectra AI Spots Privilegienmissbrauch mit unübertroffener Signalklarheit für Ihren XDR

Herunterladen
Mehr lesen
Forschungsbericht
2020 Spotlight-Bericht über privilegierten Zugang

Ist privilegierter Zugang gleich vertrauenswürdiger Zugang?

Herunterladen
Mehr lesen

Häufig gestellte Fragen

Was ist Privilegieneskalation?

Was sind die Anzeichen eines Angriffs zur Privilegienerweiterung?

Kann eine Privilegienerweiterung von Antivirensoftware erkannt werden?

Wie sollten Unternehmen auf einen Vorfall der Privilegieneskalation reagieren?

Wie verhält sich das Konzept des "Zero Trust" zur Verhinderung einer Privilegieneskalation?

Wie führen Angreifer die Privilegienerweiterung durch?

Wie können sich Unternehmen vor einer Eskalation der Berechtigungen schützen?

Welche Rolle spielt die Benutzerschulung bei der Verhinderung von Privilegieneskalation?

Welche Tools können bei der Erkennung von Privilegieneskalationsversuchen helfen?

Sind cloud Umgebungen anfällig für Angriffe zur Ausweitung von Privilegien?