目前,主流的操作系統(tǒng)和業(yè)務(wù)系統(tǒng)都依賴權(quán)限管理來限制不同用戶和設(shè)備對系統(tǒng)應(yīng)用功能、業(yè)務(wù)數(shù)據(jù)和配置服務(wù)的訪問。因此,訪問權(quán)限是一項至關(guān)重要的安全特性,可以控制用戶訪問及使用系統(tǒng)或應(yīng)用程序及關(guān)聯(lián)資源的程度。通過觀察很多安全事件發(fā)現(xiàn),較低的權(quán)限將使攻擊者訪問活動受到很多的限制,也無法進(jìn)行獲取Hash、安裝軟件、修改防火墻規(guī)則和修改注冊表等各種操作,所以攻擊者往往會先進(jìn)行權(quán)限提升攻擊,在獲取更高的訪問權(quán)限后,在開展更具破壞性的其他攻擊。
提權(quán)攻擊的類型和原理
權(quán)限提升攻擊的目的是,獲得網(wǎng)絡(luò)或在線服務(wù)中諸多系統(tǒng)和應(yīng)用程序的額外權(quán)限,攻擊主要分為兩大類:
1. 橫向權(quán)限提升。這種攻擊主要是用于獲取更多同級別賬號的權(quán)限,攻擊者在成功訪問現(xiàn)有的用戶或設(shè)備賬戶之后,會利用各種渠道進(jìn)入并控制更多其他用戶賬戶。雖然這招不一定會讓黑客獲得更高等級權(quán)限,但如果黑客收集了大量攻擊目標(biāo)的用戶數(shù)據(jù)及其他資源,可能會對受害者造成進(jìn)一步危害。一些系統(tǒng)漏洞會導(dǎo)致跨站腳本、跨站偽造請求及其他類型的攻擊,以獲得另一個用戶的登錄憑據(jù)或身份驗證數(shù)據(jù),并獲得訪問賬戶的權(quán)限。
2.縱向權(quán)限提升。這是一種更加危險的權(quán)限升級攻擊,因為攻擊者也許能夠控制整個網(wǎng)絡(luò)。通常是多階段網(wǎng)絡(luò)攻擊的第二個階段。攻擊者利用系統(tǒng)錯誤配置、漏洞、弱密碼和薄弱的訪問控制來獲得管理權(quán)限;通過這種權(quán)限,他們就可以進(jìn)而訪問網(wǎng)絡(luò)上的其他資源。一旦擁有更強大的權(quán)限,攻擊者就可以安裝惡意軟件和勒索軟件,改變系統(tǒng)設(shè)置,并竊取數(shù)據(jù)。
以下是惡意攻擊者用來實施權(quán)限升級攻擊的常見方法,前兩種方法多用于橫向權(quán)限升級攻擊,但沖攻擊者的最終目的分析,很多受攻擊的賬戶最終還是被用于縱向權(quán)限提升。
社會工程攻擊
社會工程攻擊(包括網(wǎng)絡(luò)釣魚、水坑攻擊和域欺騙)通常被用來誘騙用戶泄露其賬戶憑據(jù),就這種類型的攻擊而言,攻擊者不需要發(fā)動復(fù)雜的攻擊,即可繞過系統(tǒng)的安全防御。
弱密碼竊取
弱密碼、重用密碼或共享密碼是攻擊者未經(jīng)授權(quán)訪問賬戶的一條捷徑。如果該賬戶擁有管理權(quán)限,整個網(wǎng)絡(luò)應(yīng)用系統(tǒng)會立即面臨被嚴(yán)重破壞的危險。
系統(tǒng)配置錯誤
如果安全設(shè)置未嚴(yán)加保護(hù)或發(fā)生漂移,也讓攻擊者有機會獲得過大的權(quán)限,擁有公共訪問權(quán)的云存儲桶就是例子。配置不當(dāng)?shù)木W(wǎng)絡(luò)防御(比如防火墻和敞開且不受保護(hù)的端口),以及重要賬戶的默認(rèn)密碼和新安裝應(yīng)用程序的不安全默認(rèn)設(shè)置(這兩種情況在物聯(lián)網(wǎng)設(shè)備上特別常見),都為攻擊者獲取額外權(quán)限提供了可趁之機。
惡意軟件攻擊
有多種惡意軟件(比如鍵盤記錄器、內(nèi)存抓取器和網(wǎng)絡(luò)嗅探器)可以竊取用戶密碼。惡意軟件一旦進(jìn)入網(wǎng)絡(luò),獲得被攻擊賬戶的權(quán)限,就可以觸發(fā)更危險的攻擊。
系統(tǒng)漏洞
在系統(tǒng)的設(shè)計、實現(xiàn)或配置中任何暴露的漏洞都可能使攻擊者能夠通過執(zhí)行惡意代碼來獲得shell訪問權(quán),從而獲得賬戶權(quán)限。
防范權(quán)限升級攻擊的六種手段
與任何網(wǎng)絡(luò)攻擊一樣,權(quán)限升級攻擊會綜合利用網(wǎng)絡(luò)上運行的諸多服務(wù)和應(yīng)用程序的漏洞,尤其是訪問控制薄弱的服務(wù)和應(yīng)用程序。權(quán)限升級往往是全面網(wǎng)絡(luò)攻擊的一個關(guān)鍵性階段,企業(yè)組織需要采取有效的安全控制措施來防止這類攻擊,并定期維護(hù)。以下6種方法有助于企業(yè)IT系統(tǒng)更好應(yīng)對權(quán)限提升攻擊的威脅和挑戰(zhàn)。
1.實施最小權(quán)限原則
實施最小權(quán)限原則,將用戶和服務(wù)的訪問權(quán)限限制到最低限度,這可以減小攻擊者獲得管理級權(quán)限的機會。安全團隊和人力資源部門應(yīng)該密切合作,實現(xiàn)統(tǒng)一權(quán)限管理,防止不必要的權(quán)限蔓延,盡量縮減權(quán)限賬戶的數(shù)量和范圍,同時監(jiān)控和記錄賬戶的活動,這也有助于標(biāo)記任何潛在的濫用活動,提前發(fā)現(xiàn)攻擊風(fēng)險。
2. 及時補丁修復(fù)
及時進(jìn)行補丁修復(fù),減小攻擊者發(fā)現(xiàn)可利用漏洞的機會,是阻止任何一種網(wǎng)絡(luò)攻擊的最佳方法。全面的補丁管理策略可以使攻擊者更難利用系統(tǒng)和應(yīng)用程序的漏洞。尤其是,企業(yè)應(yīng)定期更新瀏覽器和殺毒軟件。
3. 執(zhí)行漏洞掃描
定期掃描IT基礎(chǔ)架構(gòu)中所有部件/組件的漏洞,將使那些已經(jīng)入網(wǎng)絡(luò)的潛在攻擊者更難在網(wǎng)絡(luò)中站穩(wěn)腳跟。漏洞掃描可以搶在潛在攻擊者真正發(fā)起攻擊前,更早發(fā)現(xiàn)錯誤配置、未記入文檔的系統(tǒng)更改、未打補丁或不安全的操作系統(tǒng)和應(yīng)用程序以及其他缺陷,從而避免被攻擊者實際利用。
4. 監(jiān)控網(wǎng)絡(luò)流量和行為
如果攻擊者成功獲得了網(wǎng)絡(luò)用戶的憑據(jù),其行蹤往往很難被發(fā)現(xiàn),除非持續(xù)監(jiān)控網(wǎng)絡(luò),留意各種不尋常的流量或異常性用戶行為。用戶和實體行為分析(UEBA)軟件可以為合法行為設(shè)立基準(zhǔn),標(biāo)記異常用戶活動,發(fā)現(xiàn)一些被攻陷賬戶的潛在威脅。
5. 制定強大的密碼策略
密碼策略是防止橫向權(quán)限升級攻擊的有效方法,與多因素身份驗證(MFA)結(jié)合使用尤其有效。第三方密碼管理工具可以幫助用戶生成并安全存儲滿足安全策略規(guī)則的獨特且復(fù)雜的密碼。所有擁有管理權(quán)限的賬戶都應(yīng)該要求采用MFA,而用于機器身份驗證的數(shù)字憑據(jù)則應(yīng)該定期輪換。
6. 開展安全意識培訓(xùn)
人通常是任何組織的安全中最薄弱的一環(huán)。他們可能使用弱密碼、點擊惡意鏈接或附件,忽略有關(guān)危險網(wǎng)站的警告,從而不知不覺中幫助權(quán)限升級攻擊。定期開展安全意識培訓(xùn),可確保新的威脅得到清楚的解釋,并使員工對安全策略記憶猶新。應(yīng)強調(diào)共享賬戶和憑據(jù)帶來的危險和風(fēng)險。
權(quán)限升級攻擊是最嚴(yán)重的攻擊之一。一項經(jīng)過充分演練的應(yīng)急方案至關(guān)重要。如果發(fā)現(xiàn)權(quán)限升級事件,必須迅速隔離被攻擊的賬戶,修改密碼,然后禁用該賬戶。隨后,安全團隊必須進(jìn)行深入調(diào)查,以發(fā)現(xiàn)攻擊的程度,并確定被攻擊的資源。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<