Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision.
Alla nätverk och operativsystem, oavsett hur avancerade eller säkra de är, har brister och sårbarheter som kan utnyttjas av hotaktörer på ett eller annat sätt.
Dessa säkerhetshål möjliggör privilegieeskaleringsattacker, som är cyberattacker utformade för att få obehörig och privilegierad åtkomst inom ett system som har brutits.
Horisontell vs. Vertikal privilegieupptrappning
Varje operativsystem har inbyggda mekanismer som skiljer mellan olika nivåer av privilegier; mellan administratörer, avancerade användare, vanliga användare, gäster och så vidare. Målet med en privilegieupptrappningsattack är att nå den högsta privilegienivån, även om det inte alltid är möjligt.
Med detta i åtanke är det viktigt att förstå att det finns två huvudtyper av privilegieskalering: horisontell och vertikal. Båda är farliga, men skillnaderna mellan dem är betydande.
I en horisontell privilegieupptrappningsattack får en hotaktör tillgång till ett konto och flyttar sedan horisontellt över ett nätverk, i ett försök att få tillgång till andra konton med samma eller liknande privilegier. Och i en vertikal privilegieeskaleringsattack försöker en cyberbrottsling röra sig vertikalt inom ett nätverk: de kompromissar med en användare och försöker sedan äventyra andra användare med fler privilegier.
Hur privilegieupptrappning sker
Cyberkriminella använder alla möjliga olika tekniker, vissa mer komplexa än andra, för att penetrera ett system. Dessa kan delas in i tre kategorier.
1. Social ingenjörskonst
Inom cybersäkerhet syftar termen social ingenjörskonst på varje försök från en hotaktör att manipulera ett mål att vidta åtgärder. Detta inkluderar vanligtvis att vara en legitim enhet.
Till exempel kan en angripare skicka ett nätfiske-e-postmeddelande till en lågnivåanställd på ett företag. Om medarbetaren faller för det får angriparen sin fot genom dörren till ett system. Sedan försöker de eskalera sina privilegier. Det finns också vishing (röstnätfiske) sociala ingenjörsattacker – de involverar angriparen kontakta målet och utge sig för en auktoritet, till exempel brottsbekämpning eller IT professionell.
En cyberkriminell kan också distribuera scareware, ett skadligt program som lurar offret att tro att de behöver ladda ner programvara eller vidta åtgärder för att bli av med ett virus, men hänvisar dem faktiskt att ladda ner skadlig programvara. Spjutfiske, valfångst och pharming-attacker är också ganska vanliga.
2. Skadlig programvara
Skadlig programvara (dvs. skadlig programvara) kan användas för att både penetrera ett system och utföra behörighetsupptrappning när du väl är inne i det. Till exempel, om en angripare ser en möjlighet att utföra vertikal privilegieskalering, kan de distribuera rootkits och få i princip full kontroll över ett system.
Å andra sidan kan ransomware vara särskilt användbar för horisontell privilegieskalering eftersom den tenderar att spridas snabbt med målet att låsa all data den kan komma åt. Maskar används också i horisontell privilegieskalering, eftersom de replikerar sig själva som standard.
Spionprogramattacker är ett annat bra sätt för hotaktörer att bryta sig in i ett system. Om en cyberbrottsling lyckas distribuera spionprogram till ett system får de möjligheten att övervaka användaraktivitet, som inkluderar tangentbordstryck eller skärmdumpar. På så sätt kan de få åtkomst till användaruppgifter, kompromissa med konton och utföra behörighetsupptrappning.
3. Credential-baserade attacker
För att kringgå en organisations säkerhet använder cyberbrottslingar också legitimationsbaserade attacker, vars syfte är att komma åt användarnas lösenord och användarnamn. Organisationer som inte använder tvåfaktorsautentisering är särskilt sårbara för dessa attacker, eftersom anställda tenderar att återanvända lösenord, dela dem med kollegor eller lagra dem i vanlig text på sina datorer.
Det finns många sätt för cyberbrottslingar att få tillgång till referenser, inklusive passera-hash-attacker och meritförteckning, vilket innebär att man använder listor med användarnamn och lösenord som avslöjats vid tidigare intrång och läckt ut på den mörka webben. Lösenordssprayning och brute-force-attacker är mindre vanliga, men händer fortfarande. Detsamma kan sägas om axelsurfning, som handlar om att spåra privilegierade användares handlingar genom keyloggers och liknande skadlig programvara, via spionkameror eller till och med personligen.
Behörighetsbaserade attacker är särskilt farliga eftersom hotaktörer kan använda stulna autentiseringsuppgifter för att flytta runt ett system oupptäckt, vilket eskalerar privilegier i processen.
Hotaktörer kan använda alla kombinationer av ovanstående när de riktar sig mot ett system. Dessa attackmetoder är ofta sammanflätade på mer än ett sätt. En enda spricka i vilket system eller nätverk som helst, oavsett hur liten eller perifer den än är, kan ge en öppning för en cyberbrottsling att tränga igenom en organisations försvar. Och när de väl går in i ett nätverk kommer de att leta efter något sätt att eskalera privilegier och slå till.
Hur man förhindrar attacker med eskalering av privilegier
Privilegiumeskaleringsattacker är nästan uteslutande riktade mot organisationer, i motsats till individer, så skydd mot dem kräver en allomfattande och holistisk inställning till säkerhet.
Varje seriöst företag måste sätta strikta administrativa kontroller – en uppsättning regler som alla anställda måste förstå och respektera hela tiden. Det handlar i första hand om att sätta strikta regler när det gäller att bevilja tillträde, eller snarare att se till att anställda bara har tillgång till det de behöver för att utföra sina uppgifter på rätt sätt. Inte ens administratörer eller avancerade användare bör ha breda behörigheter.
Insiderhot, om skadlig eller icke-illvillig, är den främsta orsaken till dataintrång. Av denna anledning är det absolut nödvändigt att ha en strikt lösenordspolicy på plats. En bra lösenordspolicy inkluderar användning av komplexa lösenord, periodiska lösenordsändringar, två- eller multifaktorautentisering och tydligt definierade riktlinjer för lösenordshantering.
Dessutom är tekniska kontroller som sådana grunden för varje bra säkerhetsarrangemang. Det är avgörande att använda starka krypteringsprotokoll, installera stark och pålitlig anti-malware-programvara, sätta upp brandväggar och regelbundet åtgärda eventuella sårbarheter i ett system, antingen genom patchar och uppdateringar eller annat skyddsåtgärder.
Det bästa sättet att försvara sig mot privilegieupptrappning
All programvara är sårbar för cyberattacker, som blir mer sofistikerade för varje dag. Lägg till insiderhot i mixen och det är lätt att se varför varje organisation, oavsett storlek, behöver rätt skydd för att skydda sig mot datastöld och andra hot.
Det kanske inte finns en helhetslösning för cybersäkerhet, men det finns ett antal olika sätt att effektivt närma sig frågan. Och utan tvekan är det bästa sättet att säkra ett system att bygga en säkerhetsinfrastruktur utan förtroende, eftersom den omfattar lager av behörighetskontroll och autentiseringsmekanismer.