Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Sujet

Élévation de privilèges

L'escalade des privilèges, une technique utilisée par les attaquants pour obtenir un accès non autorisé aux systèmes et aux données en exploitant des failles ou des faiblesses de conception pour élever leur niveau d'accès, constitue une menace importante pour la sécurité. Elle sert souvent de tremplin à des attaques plus vastes, permettant à des adversaires d'obtenir des informations sensibles, de déployer malware ou d'obtenir un accès permanent au réseau d'une organisation. Il est essentiel de comprendre les mécanismes de l'escalade des privilèges et de mettre en œuvre des contre-mesures solides pour renforcer les défenses de cybersécurité.
  • Selon un rapport, plus de 80 % des failles de sécurité impliquent l'utilisation abusive d'informations d'identification privilégiées, ce qui souligne l'importance de se prémunir contre l'escalade des privilèges. (Source : Forrester)
  • Selon une enquête, 70 % des entreprises estiment que la protection contre l'escalade des privilèges est un élément essentiel de leur stratégie de cybersécurité. (Source : CyberArk)

Comprendre comment les attaquants utilisent les identifiants de privilèges

Détecter les abus de privilèges

Les attaquants s'appuient sur les informations d'identification privilégiées pour se déplacer dans les réseaux et les nuages, en exploitant les contrôles de sécurité faibles et les vulnérabilités des applications. Les défenseurs peuvent surveiller de manière proactive les activités malveillantes, traquer les attaquants et mettre en œuvre des mesures préventives pour sécuriser les comptes et les configurations à privilèges.

Lorsque des attaquants mettent la main sur des informations d'identification privilégiées, ils peuvent accéder à un large éventail de ressources réseau et cloud sans utiliser malware ou déclencher d'alarmes. Bien que l'application de niveaux de privilèges stricts puisse aider, les attaques récentes ont montré qu'il s'agit toujours d'un défi majeur.

Pour résoudre le problème de l'utilisation abusive d'informations d'identification volées, il est important de détecter les cas d'utilisation abusive. Toutefois, cela n'est pas facile car les attaquants peuvent se fondre dans la masse en utilisant des autorisations et des actions légitimes qui ne sont pas nécessairement nouvelles ou suspectes. Dans ces environnements dynamiques, il ne suffit pas de se fier aux alertes d'activités nouvelles ou inhabituelles.

Pour identifier et combattre efficacement l'utilisation abusive des informations d'identification, il est nécessaire d'adopter une approche axée sur la sécurité. Cette approche prend en compte les actions spécifiques qu'un attaquant cherche à accomplir avec des informations d'identification volées. En comprenant leurs objectifs, nous pouvons mieux détecter et prévenir l'utilisation abusive des informations d'identification privilégiées.

Détection des abus de privilèges

Vectra peut identifier l'utilisation abusive d'informations d'identification volées dans les environnements réseau et cloud . Cette approche de détection axée sur la sécurité repose sur la compréhension de ce que font les attaquants avec les informations d'identification volées. La valeur des identifiants privilégiés pour un attaquant est la capacité d'accéder à des services et fonctionnalités considérés comme de grande valeur et privilégiés dans l'environnement.

Les chercheurs en sécurité de Vectra ont constaté que si l'on connaissait les privilèges réels de chaque compte, machine hôte, service et opération cloud , on disposerait d'une carte de toutes les ressources de grande valeur existantes. Bien que les concepts de privilèges accordés soient bien établis, cette représentation fournit une limite supérieure au privilège réel d'une chose par rapport au privilège minimum nécessaire. Au lieu de cela, l'équipe de recherche en sécurité et l'équipe de science des données de Vectra ont identifié une nouvelle façon de représenter la valeur des systèmes dans un environnement sur la base de ce qui a été observé au fil du temps. Cette vision dynamique de la valeur est appelée privilège observé. Cette vision du privilège basée sur les données fournit une approche efficace de la confiance zéro pour l'utilisation des informations d'identification sans configuration manuelle.

Le privilège observé est une vision de confiance zéro du privilège normal dont un utilisateur a besoin pour faire son travail. L'utilisation de privilèges au-delà de ce qui est normalement nécessaire justifie un examen plus approfondi.

Redéfinir l'évaluation des privilèges grâce à l'analyse des schémas d'accès

L'IA de Vectra calcule le privilège observé en prenant en compte les interactions historiques entre les entités suivies, et non le privilège défini par un administrateur informatique. L'étendue et la spécificité de l'accès et de l'utilisation contribuent fortement aux scores. Un système qui accède à plusieurs systèmes auxquels d'autres systèmes accèdent normalement aura un privilège faible, tandis qu'un système qui accède à un grand nombre de systèmes auxquels d'autres n'accèdent pas aura un score de privilège élevé. Cette approche permet à Vectra de faire la distinction entre les comptes d'administrateurs de domaine et les comptes d'utilisateurs normaux.

Vectra apprend les niveaux de privilèges observés en fonction du comportement de l'utilisateur. Un compte qui accède à de nombreux services communs a des privilèges moins élevés qu'un compte qui accède à des services auxquels peu d'autres personnes ont accès.

Une fois que les scores de privilèges observés ont été calculés, toutes les interactions entre les comptes, les services, les hôtes et les opérations cloud sont cartographiées afin de comprendre les interactions historiques normales entre les systèmes. Ensuite, une série d'algorithmes d'apprentissage non supervisés prenant en compte les scores de privilèges identifie les cas anormaux d'abus de privilèges, en utilisant des algorithmes de détection d'anomalies personnalisés et des implémentations de la méthode HDBSCAN (Hierarchical Density-Based Spatial Clustering of Applications with Noise).

Vectra applique un apprentissage non supervisé qui prend en compte les privilèges observés et les interactions entre les comptes, les hôtes, les services et les opérations cloud afin de détecter les abus de compétences.

Les résultats de cette approche sophistiquée axée sur la sécurité sont la capacité d'identifier les informations d'identification volées qui sont utilisées de manière abusive à la fois sur le site cloud et dans les réseaux internes. La mesure des privilèges observés concentre la détection sur les actions anormales qui comptent et permet à la fois une plus grande précision et un meilleur rappel qu'une approche qui ignorerait cette perspective critique.

La prévention de l'escalade des privilèges est un élément essentiel du maintien d'une posture de cybersécurité sûre et résiliente. Vectra AI fournit des solutions avancées qui peuvent aider à détecter, prévenir et répondre aux tentatives d'escalade des privilèges, en veillant à ce que les actifs numériques de votre organisation restent protégés. Contactez-nous pour savoir comment nous pouvons vous aider à renforcer vos défenses contre les cybermenaces sophistiquées.

Ressources supplémentaires sur l'escalade des privilèges

Best Practices Guide
Arrêtez les attaques basées sur l'identité grâce à l'analyse des comptes de privilèges (PAA) dans votre arsenal SOC

La plateforme Vectra AI étend la couverture des menaces qui contournent la prévention grâce à une visibilité sur les comportements d'identité à privilèges, afin de soulager votre équipe SOC des douleurs liées à la prolifération des comptes à privilèges.

Télécharger
En savoir plus
Technology Overview
Atténuer le risque d'attaques par l'identité des privilèges grâce à la plateforme Vectra AI

Vectra AI Le système de gestion de l'information de la Commission européenne (CEI) permet d'éviter les abus de privilèges grâce à une clarté de signal inégalée pour votre XDR.

Télécharger
En savoir plus
Rapport de recherche
Rapport 2020 sur les accès privilégiés

L'accès privilégié est-il synonyme d'accès de confiance ?

Télécharger
En savoir plus

Foire aux questions

Qu'est-ce que l'escalade des privilèges ?

Quels sont les signes d'une attaque par escalade des privilèges ?

L'escalade des privilèges peut-elle être détectée par un logiciel antivirus ?

Comment les entreprises doivent-elles réagir à un incident d'escalade des privilèges ?

Quel est le lien entre le concept de "confiance zéro" et la prévention de l'escalade des privilèges ?

Comment les attaquants procèdent-ils à l'escalade des privilèges ?

Comment les entreprises peuvent-elles se protéger contre l'escalade des privilèges ?

Quel rôle la formation des utilisateurs joue-t-elle dans la prévention de l'escalade des privilèges ?

Quels outils peuvent aider à détecter les tentatives d'escalade des privilèges ?

Les environnements cloud sont-ils susceptibles de faire l'objet d'attaques par escalade des privilèges ?