Privilegieneskalation

Wichtige Erkenntnisse

Einem Bericht zufolge sind über 80 % der Sicherheitsverletzungen auf den Missbrauch privilegierter Anmeldeinformationen zurückzuführen, was die Bedeutung des Schutzes vor einer Ausweitung der Rechte unterstreicht. (Quelle: Forrester)
Eine Umfrage ergab, dass 70 % der Unternehmen den Schutz vor Privilegieneskalation für eine wichtige Komponente ihrer Cybersicherheitsstrategie halten. (Quelle: CyberArk)

Verstehen, wie Angreifer Berechtigungsnachweise verwenden

Missbrauch von Berechtigungsnachweisen erkennen

Angreifer nutzen privilegierte Anmeldedaten, um sich innerhalb von Netzwerken und Clouds zu bewegen, und machen sich dabei schwache Sicherheitskontrollen und Anwendungsschwachstellen zunutze. Verteidiger können proaktiv nach böswilligen Aktivitäten Ausschau halten, Angreifer verfolgen und vorbeugende Maßnahmen ergreifen, um privilegierte Konten und Konfigurationen zu schützen.

Wenn Angreifer privilegierte Anmeldedaten in die Hände bekommen, können sie auf eine Vielzahl von Netzwerk- und cloud zugreifen, ohne malware zu verwenden oder Alarme auszulösen. Die Durchsetzung strenger Berechtigungsstufen kann zwar helfen, aber die jüngsten Angriffe haben gezeigt, dass dies immer noch eine große Herausforderung darstellt.

Um das Problem des Missbrauchs gestohlener Anmeldedaten anzugehen, ist es wichtig, zu erkennen, wann ein Missbrauch stattfindet. Dies ist jedoch nicht einfach, da sich Angreifer durch die Verwendung legitimer Berechtigungen und Aktionen, die nicht unbedingt neu oder verdächtig sind, unauffällig verhalten können. Sich einfach auf Warnmeldungen zu neuen oder ungewöhnlichen Aktivitäten zu verlassen, ist in diesen dynamischen Umgebungen nicht effektiv.

Um den Missbrauch von Zugangsdaten wirksam zu erkennen und zu bekämpfen, ist ein sicherheitsorientierter Ansatz erforderlich. Dieser Ansatz berücksichtigt die spezifischen Aktionen, die ein Angreifer mit gestohlenen Zugangsdaten durchführen will. Wenn wir die Ziele des Angreifers verstehen, können wir den Missbrauch privilegierter Zugangsdaten besser erkennen und verhindern.

Erkennung des Missbrauchs von Berechtigungsnachweisen

Vectra kann den Missbrauch gestohlener privilegierter Anmeldedaten sowohl in Netzwerk- als auch in cloud identifizieren. Im Mittelpunkt dieses sicherheitsorientierten Erkennungsansatzes steht das Verständnis dafür, was Angreifer mit gestohlenen Anmeldedaten tun. Der Wert privilegierter Anmeldedaten für einen Angreifer liegt in der Möglichkeit, auf Dienste und Funktionen zuzugreifen, die in der Umgebung als hochwertig und privilegiert gelten.

Die Sicherheitsforscher von Vectra haben festgestellt, dass man, wenn man die tatsächlichen Berechtigungen jedes Kontos, jedes Host-Rechners, jedes Dienstes und cloud kennen würde, eine Übersicht über alle vorhandenen hochwertigen Ressourcen hätte. Während die Konzepte der gewährten Berechtigungen gut etabliert sind, bietet diese Darstellung eine Obergrenze für die tatsächlichen Berechtigungen im Vergleich zu den minimal erforderlichen Berechtigungen. Stattdessen haben das Sicherheitsforschungsteam und das Data-Science-Team von Vectra eine neue Methode gefunden, um den Wert von Systemen in einer Umgebung auf der Grundlage von Langzeitbeobachtungen darzustellen. Diese dynamische und grundlegende Sichtweise auf den Wert wird als „beobachtete Berechtigung“ bezeichnet. Diese datenbasierte Sichtweise auf Berechtigungen bietet einen effektiven Zero-Trust-Ansatz für die Verwendung von Anmeldedaten ohne manuelle Konfigurationen.

Beobachtete Berechtigung ist eine Null-Vertrauensansicht der normalen Berechtigung, die ein Benutzer benötigt, um seine Arbeit zu erledigen. Die Nutzung von Privilegien über das normale Maß hinaus rechtfertigt eine zusätzliche Prüfung.

Neudefinition der Bewertung von Berechtigungen durch die Analyse von Zugriffsmustern

Die KI von Vectra berechnet die beobachtete Berechtigung anhand der historischen Interaktionen zwischen den erfassten Entitäten und nicht anhand der von einem IT-Administrator festgelegten Berechtigung. Der Umfang und die Spezifität des Zugriffs und der Nutzung tragen in hohem Maße zur Bewertung bei. Ein System, das auf mehrere Systeme zugreift, auf die andere Systeme normalerweise zugreifen, hat eine niedrige Privilegierung, während ein System, das auf eine große Anzahl von Systemen zugreift, auf die andere Systeme nicht zugreifen, eine hohe Privilegierungsbewertung hat. Dieser Ansatz ermöglicht es Vectra, zwischen Domänenadministrator-Konten und normalen Benutzerkonten zu unterscheiden.

Vectra lernt die beobachteten Berechtigungsstufen anhand des Benutzerverhaltens. Ein Konto, das auf viele gängige Dienste zugreift, hat geringere Berechtigungen als eines, das auf Dienste zugreift, auf die nur wenige andere zugreifen.

Nach der Berechnung der beobachteten Privilegienwerte werden alle Interaktionen zwischen Konten, Diensten, Hosts und cloud abgebildet, um die normalen historischen Interaktionen zwischen den Systemen zu verstehen. Anschließend werden mit einer Reihe von Algorithmen für unüberwachtes Lernen, die die Privilegienwerte berücksichtigen, anomale Fälle von Privilegienmissbrauch identifiziert, wobei benutzerdefinierte Algorithmen zur Erkennung von Anomalien und Implementierungen von Hierarchical Density-Based Spatial Clustering of Applications with Noise (HDBSCAN) verwendet werden.

*Vectra wendet unüberwachtes Lernen an, das beobachtete Privilegien und die Interaktionen zwischen Konten, Hosts, Services und cloud berücksichtigt, um den Missbrauch von Zugangsdaten zu erkennen.*

Das Ergebnis dieses ausgeklügelten, sicherheitsorientierten Ansatzes ist die Möglichkeit, gestohlene Anmeldedaten zu identifizieren, die sowohl in der cloud in lokalen Netzwerken missbraucht werden. Die beobachtete Privilegienmetrik konzentriert die Erkennung auf die relevanten anomalen Aktionen und ermöglicht sowohl eine höhere Präzision als auch einen höheren Rückruf als ein Ansatz, der diese wichtige Perspektive außer Acht lässt.

‍

Die Verhinderung von Privilegieneskalation ist eine wichtige Komponente für die Aufrechterhaltung einer sicheren und widerstandsfähigen Cybersicherheitsstruktur. Vectra AI bietet fortschrittliche Lösungen, die helfen können, Versuche der Privilegieneskalation zu erkennen, zu verhindern und darauf zu reagieren, um sicherzustellen, dass die digitalen Ressourcen Ihres Unternehmens geschützt bleiben. Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie wir Sie bei der Stärkung Ihres Schutzes vor hochentwickelten Cyber-Bedrohungen unterstützen können.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was ist Privilegieneskalation?

Eine Privilegienerweiterung liegt vor, wenn ein Angreifer unbefugten erweiterten Zugriff auf Ressourcen erhält, die normalerweise vor einer Anwendung oder einem Benutzer geschützt sind. Dies kann über zwei Hauptvektoren geschehen: vertikale Eskalation, bei der ein Benutzer höhere Privilegien erlangt, und horizontale Eskalation, bei der ein Benutzer seinen Zugriff auf dieselbe Privilegsebene ausdehnt.

Wie führen Angreifer die Privilegienerweiterung durch?

Angreifer nutzen Schwachstellen in der Software, Fehlkonfigurationen oder Designfehler in Systemen aus, um ihre Rechte zu erweitern. Zu den gängigen Methoden gehören die Ausnutzung von Fehlkonfigurationen bei Diensten, die Verwendung gestohlener Anmeldeinformationen, die Ausnutzung ungepatchter Schwachstellen oder die Ausnutzung unsicherer Dateiberechtigungen.

Was sind die Anzeichen für einen Angriff zur Ausweitung der Rechte?

Anzeichen können sein: Ungewöhnliches Systemverhalten oder Leistungsprobleme. Nicht autorisierte Änderungen an Systemeinstellungen oder Dateien. Erkennung von unbekannten Prozessen, die mit hohen Berechtigungen laufen. Audit-Protokolle, die unerwartete Zugriffsversuche oder Änderungen der Berechtigungen zeigen.

Wie können sich Unternehmen vor einer Eskalation der Berechtigungen schützen?

Unternehmen können sich gegen die Ausweitung von Rechten schützen, indem sie: Regelmäßiges Patchen und Aktualisieren der Systeme, um bekannte Schwachstellen zu beheben. Anwendung des Prinzips der geringsten Privilegien für Benutzerkonten und Anwendungen. Überwachung und Prüfung von Benutzeraktivitäten und Systemänderungen auf ungewöhnliche Muster. Einführung von strengen Zugangskontrollen und einer mehrstufigen Authentifizierung. Durchführung regelmäßiger Sicherheitsüberprüfungen, um potenzielle Schwachstellen zu ermitteln und zu beseitigen.

Kann eine Privilegienerweiterung von Antivirensoftware erkannt werden?

Antivirensoftware kann zwar bestimmte Arten von malware erkennen, die für Angriffe zur Ausweitung von Privilegien verwendet werden könnten, aber sie kann die tatsächliche Ausweitung von Privilegien nicht erkennen. Der Einsatz zusätzlicher Sicherheitsmaßnahmen wie Intrusion Detection Systems (IDS) und Security Information and Event Management (SIEM)-Plattformen ist entscheidend für eine umfassende Überwachung.

Welche Rolle spielt die Benutzerschulung bei der Verhinderung von Privilegieneskalation?

Die Aufklärung der Benutzer spielt eine entscheidende Rolle, indem sie das Bewusstsein für die Risiken von phishing , Social Engineering und unsicheren Computerpraktiken schärft, die zum Diebstahl von Zugangsdaten oder zur unbeabsichtigten Ausweitung von Berechtigungen führen können. Gebildete Benutzer sind eher bereit, bewährte Sicherheitsverfahren zu befolgen und potenzielle Bedrohungen zu erkennen.

Wie sollten Unternehmen auf einen Vorfall der Privilegieneskalation reagieren?

Unternehmen sollten auf einen Vorfall der Privilegieneskalation wie folgt reagieren: Sofortige Eindämmung der betroffenen Systeme, um weiteren unbefugten Zugriff oder Schaden zu verhindern. Untersuchung des Vorfalls, um die Ursache und den Umfang des Verstoßes zu ermitteln. Entzug der vom Angreifer erlangten erweiterten Berechtigungen und Zurücksetzen der betroffenen Anmeldedaten. Behebung von Schwachstellen oder Fehlkonfigurationen, die die Eskalation ermöglicht haben. Überprüfen und Verbessern der Sicherheitsrichtlinien und -kontrollen, um zukünftige Vorfälle zu verhindern.

Welche Tools können bei der Erkennung von Privilegieneskalationsversuchen helfen?

Zu den Tools, die bei der Erkennung von Versuchen der Privilegienerweiterung helfen können, gehören Sicherheitsüberwachungslösungen wie SIEM, IDS, EDR-Systeme ( endpoint Detection and Response) und PAM-Lösungen (Privileged Access Management), die auf unbefugte Änderungen der Berechtigungen achten.

Wie verhält sich das Konzept deszero trust" zur Verhinderung einer Privilegieneskalation?

Das Konzept deszero trust" bezieht sich auf die Verhinderung von Privilegieneskalation, indem es auf dem Prinzip beruht, dass keinem Benutzer oder System standardmäßig vertraut werden sollte, unabhängig von seinem Standort oder davon, ob es sich innerhalb der Netzwerkgrenzen befindet. Die Umsetzung von zero trust beinhaltet eine strenge Überprüfung und Zugangskontrollen mit den geringsten Privilegien, wodurch die Angriffsfläche für die Ausweitung von Privilegien erheblich reduziert wird.

Sind cloud anfällig für Angriffe zur Ausweitung von Berechtigungen?

Cloud sind anfällig für Angriffe zur Ausweitung von Privilegien, häufig aufgrund von Fehlkonfigurationen, unzureichenden Zugangskontrollen oder kompromittierten Anmeldedaten. Die Gewährleistung robuster cloud , einschließlich Identitäts- und Zugriffsmanagement (IAM)-Richtlinien und kontinuierlicher Überwachung, ist für cloud Anwendungen und Dienste unerlässlich.