Les attaquants s'appuient sur les informations d'identification privilégiées pour se déplacer dans les réseaux et les nuages, en exploitant les contrôles de sécurité faibles et les vulnérabilités des applications. Les défenseurs peuvent surveiller de manière proactive les activités malveillantes, traquer les attaquants et mettre en œuvre des mesures préventives pour sécuriser les comptes et les configurations à privilèges.
Lorsque des attaquants mettent la main sur des informations d'identification privilégiées, ils peuvent accéder à un large éventail de ressources réseau et cloud sans utiliser de malware ni déclencher d'alarmes. Bien que l'application de niveaux de privilèges stricts puisse aider, les attaques récentes ont montré qu'il s'agit toujours d'un défi majeur.
Pour résoudre le problème de l'utilisation abusive d'informations d'identification volées, il est important de détecter les cas d'utilisation abusive. Toutefois, cela n'est pas facile car les attaquants peuvent se fondre dans la masse en utilisant des autorisations et des actions légitimes qui ne sont pas nécessairement nouvelles ou suspectes. Dans ces environnements dynamiques, il ne suffit pas de se fier aux alertes d'activités nouvelles ou inhabituelles.
Pour identifier et combattre efficacement l'utilisation abusive des informations d'identification, il est nécessaire d'adopter une approche axée sur la sécurité. Cette approche prend en compte les actions spécifiques qu'un attaquant cherche à accomplir avec des informations d'identification volées. En comprenant leurs objectifs, nous pouvons mieux détecter et prévenir l'utilisation abusive des informations d'identification privilégiées.
Vectra peut identifier l'utilisation abusive d'identifiants de privilèges volés dans les environnements réseau et cloud . Cette approche de détection axée sur la sécurité repose sur la compréhension de ce que font les attaquants avec les informations d'identification volées. La valeur des identifiants privilégiés pour un attaquant est la capacité d'accéder à des services et fonctionnalités considérés comme de grande valeur et privilégiés dans l'environnement.
Les chercheurs en sécurité de Vectra ont constaté que si l'on connaissait les privilèges réels de chaque compte, machine hôte, service et opération cloud , on disposerait d'une carte de toutes les ressources de grande valeur existantes. Bien que les concepts de privilèges accordés soient bien établis, cette représentation fournit une limite supérieure au privilège réel d'une chose par rapport au privilège minimum nécessaire. L'équipe de recherche en sécurité et l'équipe de science des données de Vectra ont identifié une nouvelle façon de représenter la valeur des systèmes dans un environnement sur la base de ce qui a été observé au fil du temps. Cette vision dynamique de la valeur est appelée privilège observé. Cette vision du privilège basée sur les données fournit une approche efficace de la confiance zéro pour l'utilisation des informations d'identification sans configuration manuelle.
L'IA de Vectra calcule le privilège observé en prenant en compte les interactions historiques entre les entités suivies, et non le privilège défini par un administrateur informatique. L'étendue et la spécificité de l'accès et de l'utilisation contribuent fortement aux scores. Un système qui accède à plusieurs systèmes auxquels d'autres systèmes accèdent normalement aura un privilège faible, tandis qu'un système qui accède à un grand nombre de systèmes auxquels d'autres n'accèdent pas aura un score de privilège élevé. Cette approche permet à Vectra de faire la distinction entre les comptes d'administrateurs de domaine et les comptes d'utilisateurs normaux.
Une fois que les scores de privilèges observés ont été calculés, toutes les interactions entre les comptes, les services, les hôtes et les opérations cloud sont cartographiées afin de comprendre les interactions historiques normales entre les systèmes. Ensuite, une suite d'algorithmes d'apprentissage non supervisés prenant en compte les scores de privilèges identifie les cas anormaux d'abus de privilèges, en utilisant des algorithmes de détection d'anomalies personnalisés et des implémentations de la méthode HDBSCAN (Hierarchical Density-Based Spatial Clustering of Applications with Noise).
Les résultats de cette approche sophistiquée axée sur la sécurité sont la capacité d'identifier les informations d'identification volées qui sont utilisées de manière abusive à la fois dans le cloud et dans les réseaux internes. La métrique des privilèges observés concentre la détection sur les actions anormales qui comptent et permet une plus grande précision et un meilleur rappel qu'une approche qui ignorerait cette perspective critique.
La prévention de l'escalade des privilèges est un élément essentiel du maintien d'une posture de cybersécurité sûre et résiliente. Vectra AI propose des solutions avancées qui peuvent aider à détecter, prévenir et répondre aux tentatives d'escalade des privilèges, garantissant ainsi la protection des actifs numériques de votre organisation. Contactez-nous pour savoir comment nous pouvons vous aider à renforcer vos défenses contre les cybermenaces sophistiquées.
L'escalade des privilèges se produit lorsqu'un attaquant obtient un accès élevé non autorisé à des ressources qui sont normalement protégées contre une application ou un utilisateur. Cela peut se produire par le biais de deux vecteurs principaux : l'escalade verticale, lorsqu'un utilisateur obtient des privilèges de niveau supérieur, et l'escalade horizontale, lorsqu'un utilisateur étend son accès au même niveau de privilèges.
Les attaquants procèdent à une escalade des privilèges en exploitant les vulnérabilités des logiciels, les mauvaises configurations ou les défauts de conception des systèmes. Les méthodes les plus courantes sont l'exploitation de mauvaises configurations de services, l'utilisation d'informations d'identification volées, l'exploitation de vulnérabilités non corrigées ou l'utilisation d'autorisations de fichiers non sécurisées.
Les signes peuvent être les suivants Comportement inhabituel du système ou problèmes de performance. Modifications non autorisées des paramètres ou des fichiers du système. Détection de processus inconnus s'exécutant avec des privilèges élevés. Journaux d'audit montrant des tentatives d'accès inattendues ou des changements de privilèges.
Les organisations peuvent se protéger contre l'escalade des privilèges par les moyens suivants En corrigeant et en mettant à jour régulièrement les systèmes afin de corriger les vulnérabilités connues. Appliquer le principe du moindre privilège pour les comptes d'utilisateurs et les applications. Contrôler et auditer les activités des utilisateurs et les changements apportés au système afin de déceler des schémas inhabituels. Mettre en œuvre des contrôles d'accès stricts et une authentification multifactorielle. Procéder à des évaluations régulières de la sécurité afin d'identifier et d'atténuer les faiblesses potentielles.
Si les logiciels antivirus peuvent détecter certains types de malware susceptibles d'être utilisés dans des attaques par élévation de privilèges, ils peuvent ne pas identifier l'élévation réelle des privilèges. L'utilisation de mesures de sécurité supplémentaires, telles que des systèmes de détection d'intrusion (IDS) et des plateformes de gestion des informations et des événements de sécurité (SIEM), est cruciale pour une surveillance complète.
L'éducation des utilisateurs joue un rôle essentiel en les sensibilisant aux risques des attaques par phishing , de l'ingénierie sociale et des pratiques informatiques dangereuses qui pourraient conduire au vol d'informations d'identification ou à l'escalade involontaire des privilèges. Les utilisateurs sensibilisés sont plus enclins à suivre les meilleures pratiques en matière de sécurité et à reconnaître les menaces potentielles.
Les organisations doivent réagir à un incident d'escalade des privilèges en prenant les mesures suivantes Contenir immédiatement les systèmes affectés afin d'empêcher tout accès non autorisé ou tout dommage supplémentaire. Enquêter sur l'incident afin de déterminer la cause et l'étendue de la violation. Révoquer les privilèges élevés obtenus par l'attaquant et réinitialiser les informations d'identification concernées. Remédier aux vulnérabilités ou aux mauvaises configurations qui ont permis l'escalade. revoir et améliorer les politiques et les contrôles de sécurité afin d'éviter de nouveaux incidents.
Les outils qui peuvent aider à détecter les tentatives d'escalade des privilèges comprennent les solutions de surveillance de la sécurité telles que SIEM, IDS, les systèmes de détection et de réponse des endpoint (EDR) et les solutions de gestion des accès privilégiés (PAM) qui surveillent les changements non autorisés de privilèges.
Le concept dezero trust" vise à empêcher l'escalade des privilèges en partant du principe qu'aucun utilisateur ou système ne doit être fiable par défaut, indépendamment de sa localisation ou de sa présence dans le périmètre du réseau. La mise en œuvre de la zero trust implique une vérification stricte et des contrôles d'accès avec le moins de privilèges possible, ce qui réduit considérablement la surface d'attaque pour l'escalade des privilèges.
Les environnements Cloud sont sensibles aux attaques par escalade des privilèges, souvent dues à des configurations erronées, à des contrôles d'accès inadéquats ou à des informations d'identification compromises. Il est vital pour les applications et les services cloud garantir des pratiques de sécurité robustes, y compris des politiques de gestion des identités et des accès (IAM), et une surveillance continue.