Privilegieneskalation

Wichtige Erkenntnisse

Einem Bericht zufolge sind über 80 % der Sicherheitsverletzungen auf den Missbrauch privilegierter Anmeldeinformationen zurückzuführen, was die Bedeutung des Schutzes vor einer Ausweitung der Rechte unterstreicht. (Quelle: Forrester)
Eine Umfrage ergab, dass 70 % der Unternehmen den Schutz vor Privilegieneskalation für eine wichtige Komponente ihrer Cybersicherheitsstrategie halten. (Quelle: CyberArk)

Verstehen, wie Angreifer Berechtigungsnachweise verwenden

Missbrauch von Berechtigungsnachweisen erkennen

Angreifer nutzen privilegierte Anmeldeinformationen, um sich in Netzwerken und Clouds zu bewegen und schwache Sicherheitskontrollen und Anwendungsschwachstellen auszunutzen. Verteidiger können proaktiv auf böswillige Aktivitäten achten, Angreifer aufspüren und Präventivmaßnahmen zum Schutz privilegierter Konten und Konfigurationen implementieren.

Wenn Angreifer privilegierte Anmeldedaten in die Hände bekommen, können sie auf eine Vielzahl von Netzwerk- und cloud zugreifen, ohne malware zu verwenden oder Alarme auszulösen. Die Durchsetzung strenger Berechtigungsstufen kann zwar helfen, aber die jüngsten Angriffe haben gezeigt, dass dies immer noch eine große Herausforderung darstellt.

Um das Problem des Missbrauchs gestohlener Anmeldedaten anzugehen, ist es wichtig zu erkennen, wann ein Missbrauch stattfindet. Dies ist jedoch nicht einfach, da Angreifer sich durch die Verwendung legitimer Berechtigungen und Aktionen, die nicht unbedingt neu oder verdächtig sind, tarnen können. In diesen dynamischen Umgebungen ist es nicht sinnvoll, sich einfach auf Warnungen vor neuen oder ungewöhnlichen Aktivitäten zu verlassen.

Um den Missbrauch von Zugangsdaten wirksam zu erkennen und zu bekämpfen, ist ein sicherheitsorientierter Ansatz erforderlich. Dieser Ansatz berücksichtigt die spezifischen Aktionen, die ein Angreifer mit gestohlenen Zugangsdaten durchführen will. Wenn wir die Ziele des Angreifers verstehen, können wir den Missbrauch privilegierter Zugangsdaten besser erkennen und verhindern.

Erkennung des Missbrauchs von Berechtigungsnachweisen

Vectra kann den Missbrauch von gestohlenen Berechtigungsnachweisen sowohl in Netzwerk- als auch in cloud erkennen. Der Kern dieses sicherheitsorientierten Erkennungsansatzes ist das Verständnis dafür, was Angreifer mit gestohlenen Berechtigungsnachweisen tun. Der Wert privilegierter Zugangsdaten für einen Angreifer besteht in der Fähigkeit, auf Dienste und Funktionen zuzugreifen, die in der Umgebung als besonders wertvoll und privilegiert gelten.

Die Sicherheitsforscher von Vectra haben herausgefunden, dass man eine Karte aller hochwertigen Ressourcen erhalten würde, wenn man die tatsächlichen Berechtigungen aller Konten, Host-Rechner, Dienste und cloud kennen würde. Obwohl die Konzepte der gewährten Privilegien gut etabliert sind, bietet diese Darstellung eine Obergrenze für die tatsächliche Privilegierung einer Sache im Vergleich zur minimal erforderlichen Privilegierung. Stattdessen haben das Sicherheitsforschungsteam und das Data-Science-Team von Vectra einen neuen Weg gefunden, den Wert von Systemen in einer Umgebung auf der Grundlage von Beobachtungen im Laufe der Zeit darzustellen. Diese dynamische und bodenständige Sichtweise des Wertes wird als beobachtetes Privileg bezeichnet. Diese datenbasierte Sichtweise der Berechtigung bietet einen effektiven Null-Vertrauens-Ansatz für die Verwendung von Berechtigungsnachweisen ohne manuelle Konfigurationen.

Beobachtete Berechtigung ist eine Null-Vertrauensansicht der normalen Berechtigung, die ein Benutzer benötigt, um seine Arbeit zu erledigen. Die Nutzung von Privilegien über das normale Maß hinaus rechtfertigt eine zusätzliche Prüfung.

Neudefinition der Bewertung von Berechtigungen durch die Analyse von Zugriffsmustern

Die KI von Vectra berechnet die beobachtete Berechtigung anhand der historischen Interaktionen zwischen den erfassten Entitäten und nicht anhand der von einem IT-Administrator festgelegten Berechtigung. Der Umfang und die Spezifität des Zugriffs und der Nutzung tragen in hohem Maße zur Bewertung bei. Ein System, das auf mehrere Systeme zugreift, auf die andere Systeme normalerweise zugreifen, hat eine niedrige Privilegierung, während ein System, das auf eine große Anzahl von Systemen zugreift, auf die andere Systeme nicht zugreifen, eine hohe Privilegierungsbewertung hat. Dieser Ansatz ermöglicht es Vectra, zwischen Domänenadministrator-Konten und normalen Benutzerkonten zu unterscheiden.

Vectra lernt die beobachteten Berechtigungsstufen anhand des Benutzerverhaltens. Ein Konto, das auf viele gängige Dienste zugreift, hat geringere Berechtigungen als eines, das auf Dienste zugreift, auf die nur wenige andere zugreifen.

Nach der Berechnung der beobachteten Privilegienwerte werden alle Interaktionen zwischen Konten, Diensten, Hosts und cloud abgebildet, um die normalen historischen Interaktionen zwischen den Systemen zu verstehen. Anschließend werden mit einer Reihe von Algorithmen für unüberwachtes Lernen, die die Privilegienwerte berücksichtigen, anomale Fälle von Privilegienmissbrauch identifiziert, wobei benutzerdefinierte Algorithmen zur Erkennung von Anomalien und Implementierungen von Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN) verwendet werden.

*Vectra wendet unüberwachtes Lernen an, das beobachtete Privilegien und die Interaktionen zwischen Konten, Hosts, Services und cloud berücksichtigt, um den Missbrauch von Zugangsdaten zu erkennen.*

Das Ergebnis dieses ausgeklügelten sicherheitsorientierten Ansatzes ist die Fähigkeit, gestohlene Anmeldeinformationen zu identifizieren, die sowohl in der cloud als auch in lokalen Netzwerken missbraucht werden. Die Metrik für beobachtete Berechtigungen fokussiert die Erkennung auf die anomalen Aktionen, die von Bedeutung sind, und ermöglicht sowohl eine höhere Präzision als auch einen besseren Rückruf als ein Ansatz, der diese kritische Perspektive ignoriert.

‍

Die Verhinderung von Privilegieneskalation ist eine wichtige Komponente für die Aufrechterhaltung einer sicheren und widerstandsfähigen Cybersicherheitsstruktur. Vectra AI bietet fortschrittliche Lösungen, die helfen können, Versuche der Privilegieneskalation zu erkennen, zu verhindern und darauf zu reagieren, um sicherzustellen, dass die digitalen Ressourcen Ihres Unternehmens geschützt bleiben. Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie wir Sie bei der Stärkung Ihres Schutzes vor hochentwickelten Cyber-Bedrohungen unterstützen können.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was ist Privilegieneskalation?

Eine Privilegienerweiterung liegt vor, wenn ein Angreifer unbefugten erweiterten Zugriff auf Ressourcen erhält, die normalerweise vor einer Anwendung oder einem Benutzer geschützt sind. Dies kann über zwei Hauptvektoren geschehen: vertikale Eskalation, bei der ein Benutzer höhere Privilegien erlangt, und horizontale Eskalation, bei der ein Benutzer seinen Zugriff auf dieselbe Privilegsebene ausdehnt.

Wie führen Angreifer die Privilegienerweiterung durch?

Angreifer nutzen Schwachstellen in der Software, Fehlkonfigurationen oder Designfehler in Systemen aus, um ihre Rechte zu erweitern. Zu den gängigen Methoden gehören die Ausnutzung von Fehlkonfigurationen bei Diensten, die Verwendung gestohlener Anmeldeinformationen, die Ausnutzung ungepatchter Schwachstellen oder die Ausnutzung unsicherer Dateiberechtigungen.

Was sind die Anzeichen für einen Angriff zur Ausweitung der Rechte?

Anzeichen können sein: Ungewöhnliches Systemverhalten oder Leistungsprobleme. Nicht autorisierte Änderungen an Systemeinstellungen oder Dateien. Erkennung von unbekannten Prozessen, die mit hohen Berechtigungen laufen. Audit-Protokolle, die unerwartete Zugriffsversuche oder Änderungen der Berechtigungen zeigen.

Wie können sich Unternehmen vor einer Eskalation der Berechtigungen schützen?

Unternehmen können sich gegen die Ausweitung von Rechten schützen, indem sie: Regelmäßiges Patchen und Aktualisieren der Systeme, um bekannte Schwachstellen zu beheben. Anwendung des Prinzips der geringsten Privilegien für Benutzerkonten und Anwendungen. Überwachung und Prüfung von Benutzeraktivitäten und Systemänderungen auf ungewöhnliche Muster. Einführung von strengen Zugangskontrollen und einer mehrstufigen Authentifizierung. Durchführung regelmäßiger Sicherheitsüberprüfungen, um potenzielle Schwachstellen zu ermitteln und zu beseitigen.

Kann eine Privilegienerweiterung von Antivirensoftware erkannt werden?

Antivirensoftware kann zwar bestimmte Arten von malware erkennen, die für Angriffe zur Ausweitung von Privilegien verwendet werden könnten, aber sie kann die tatsächliche Ausweitung von Privilegien nicht erkennen. Der Einsatz zusätzlicher Sicherheitsmaßnahmen wie Intrusion Detection Systems (IDS) und Security Information and Event Management (SIEM)-Plattformen ist entscheidend für eine umfassende Überwachung.

Welche Rolle spielt die Benutzerschulung bei der Verhinderung von Privilegieneskalation?

Die Aufklärung der Benutzer spielt eine entscheidende Rolle, indem sie das Bewusstsein für die Risiken von phishing , Social Engineering und unsicheren Computerpraktiken schärft, die zum Diebstahl von Zugangsdaten oder zur unbeabsichtigten Ausweitung von Berechtigungen führen können. Gebildete Benutzer sind eher bereit, bewährte Sicherheitsverfahren zu befolgen und potenzielle Bedrohungen zu erkennen.

Wie sollten Unternehmen auf einen Vorfall der Privilegieneskalation reagieren?

Unternehmen sollten auf einen Vorfall der Privilegieneskalation wie folgt reagieren: Sofortige Eindämmung der betroffenen Systeme, um weiteren unbefugten Zugriff oder Schaden zu verhindern. Untersuchung des Vorfalls, um die Ursache und den Umfang des Verstoßes zu ermitteln. Entzug der vom Angreifer erlangten erweiterten Berechtigungen und Zurücksetzen der betroffenen Anmeldedaten. Behebung von Schwachstellen oder Fehlkonfigurationen, die die Eskalation ermöglicht haben. Überprüfen und Verbessern der Sicherheitsrichtlinien und -kontrollen, um zukünftige Vorfälle zu verhindern.

Welche Tools können bei der Erkennung von Privilegieneskalationsversuchen helfen?

Zu den Tools, die bei der Erkennung von Versuchen der Privilegienerweiterung helfen können, gehören Sicherheitsüberwachungslösungen wie SIEM, IDS, EDR-Systeme ( endpoint Detection and Response) und PAM-Lösungen (Privileged Access Management), die auf unbefugte Änderungen der Berechtigungen achten.

Wie verhält sich das Konzept deszero trust" zur Verhinderung einer Privilegieneskalation?

Das Konzept deszero trust" bezieht sich auf die Verhinderung von Privilegieneskalation, indem es auf dem Prinzip beruht, dass keinem Benutzer oder System standardmäßig vertraut werden sollte, unabhängig von seinem Standort oder davon, ob es sich innerhalb der Netzwerkgrenzen befindet. Die Umsetzung von zero trust beinhaltet eine strenge Überprüfung und Zugangskontrollen mit den geringsten Privilegien, wodurch die Angriffsfläche für die Ausweitung von Privilegien erheblich reduziert wird.

Sind cloud anfällig für Angriffe zur Ausweitung von Berechtigungen?

Cloud sind anfällig für Angriffe zur Ausweitung von Privilegien, häufig aufgrund von Fehlkonfigurationen, unzureichenden Zugangskontrollen oder kompromittierten Anmeldedaten. Die Gewährleistung robuster cloud , einschließlich Identitäts- und Zugriffsmanagement (IAM)-Richtlinien und kontinuierlicher Überwachung, ist für cloud Anwendungen und Dienste unerlässlich.