Ações de escalonamento de privilégios ocorrem quando indivíduos mal-intencionados se aproveitam de configurações inadequadas, falhas de software, senhas fracas e outras fragilidades que lhes concedem acesso a recursos protegidos.
Uma invasão comum pode começar com o invasor obtendo acesso inicial a uma conta com privilégios limitados. Uma vez dentro do sistema, os invasores investigarão a infraestrutura para descobrir outras vulnerabilidades que possam ser exploradas. Eles então usam esses privilégios para se passar por usuários legítimos, acessar os recursos desejados e executar diversas ações sem serem notados.
Os ataques de escalonamento de privilégios podem ser categorizados como verticais ou horizontais.
No método vertical, o invasor ganha acesso a uma conta e executa ações como se fosse esse usuário. No caso do método horizontal, o invasor começa obtendo acesso a uma ou mais contas com privilégios restritos e, em seguida, compromete o sistema para obter permissões adicionais para desempenhar funções administrativas.
Essas permissões permitem que os invasores realizem tarefas administrativas, instalem software malicioso ou executem outras atividades indesejadas. Por exemplo, eles podem interromper operações, alterar configurações de segurança, roubar informações ou comprometer sistemas de modo a deixar brechas abertas para exploração futura.
De maneira geral, como outras ameaças cibernéticas, o escalonamento de privilégios explora vulnerabilidades existentes em sistemas e processos de redes, serviços e aplicativos. Por isso, é possível preveni-los através da implementação de uma combinação de práticas recomendadas e ferramentas de segurança. Idealmente, uma organização deve adotar soluções que possam verificar, detectar e evitar uma ampla gama de vulnerabilidades e ameaças de segurança potenciais e atuais.
Melhores Práticas para Impedir Ataques de Escalonamento de Privilégios
As organizações devem proteger todos os seus sistemas e dados essenciais, bem como outras áreas que possam parecer pouco atrativas para os invasores. Tudo o que um invasor precisa é se infiltrar em um sistema. Uma vez dentro, eles podem procurar vulnerabilidades que possam ser exploradas para obter permissões adicionais. Além de proteger ativos contra ameaças externas, é igualmente importante implementar medidas adequadas para evitar ataques internos.
Embora as medidas específicas possam variar dependendo dos sistemas, redes, ambiente e outros fatores, a seguir estão algumas abordagens que as organizações podem utilizar para proteger sua infraestrutura.
Proteja e Analise Sua Rede, Sistemas e Aplicativos
Além de usar uma solução de segurança em tempo real, é fundamental verificar regularmente todos os componentes da infraestrutura de TI em busca de vulnerabilidades que possam permitir a entrada de novas ameaças. Para isso, você pode usar um verificador de vulnerabilidades eficaz para identificar sistemas operacionais e aplicativos não corrigidos e inseguros, configurações incorretas, senhas fracas e outras falhas que os invasores podem explorar.
Embora seja possível usar vários verificadores de vulnerabilidades para identificar pontos fracos em softwares desatualizados, muitas vezes é difícil ou impraticável atualizar ou corrigir todos os sistemas. Isso é particularmente desafiador ao lidar com componentes legados ou sistemas de produção em grande escala.
Nesses casos, você pode implementar camadas adicionais de segurança, como firewalls de aplicativos da Web (WAFs), que detectam e interrompem o tráfego malicioso no nível da rede. Normalmente, um WAF protegerá o sistema subjacente mesmo que não esteja corrigido ou atualizado.
Gerenciamento Adequado de Contas de Privilégio
É crucial gerenciar as contas privilegiadas e assegurar que todas sejam seguras, usadas de acordo com as melhores práticas e não estejam expostas. As equipes de segurança precisam ter um inventário completo de todas as contas, onde elas se encontram e para que são utilizadas.
Outras medidas incluem:
- Minimizar o número e o escopo de contas privilegiadas, monitorando e registrando suas atividades.
- Analisar cada usuário ou conta privilegiada para identificar e tratar quaisquer riscos, ameaças em potencial, fontes e objetivos de invasores.
- Principais métodos de ataque e medidas preventivas.
- Seguir o princípio do menor privilégio.
- Evitar que administradores compartilhem contas e credenciais.
Monitore o Comportamento do Usuário
A análise do comportamento do usuário pode revelar se há identidades comprometidas. Geralmente, os invasores visam as identidades de usuários que dão acesso aos sistemas da organização. Se eles conseguirem as credenciais, farão login na rede e poderão passar despercebidos por algum tempo.
Como é difícil monitorar manualmente o comportamento de cada usuário, a melhor abordagem é implementar uma solução de Análise de Comportamento do Usuário e Entidade (UEBA). Essa ferramenta monitora continuamente a atividade do usuário ao longo do tempo. Em seguida, ela cria uma linha de base do comportamento legítimo que usa para detectar atividades incomuns que indicam um comprometimento.
O perfil resultante contém informações como localização, recursos, arquivos de dados e serviços acessados pelo usuário, com que frequência e nas redes internas e externas específicas, número de hosts e processos executados. Com essas informações, a ferramenta pode identificar ações ou parâmetros suspeitos que se desviam da linha de base.
Políticas e Aplicação de Senhas Fortes
Defina e aplique políticas fortes para garantir que os usuários tenham senhas únicas e difíceis de adivinhar. Além disso, o uso de autenticação multifator adiciona uma camada extra de segurança, superando as vulnerabilidades que podem surgir quando é difícil aplicar manualmente políticas de senhas fortes.
As equipes de segurança também devem usar ferramentas como auditores de senhas, aplicadores de políticas e outros que possam verificar sistemas, identificar e sinalizar senhas fracas ou solicitar ação. As ferramentas de aplicação garantem que os usuários tenham senhas fortes em termos de comprimento, complexidade e políticas da empresa.
As organizações também podem usar ferramentas de gerenciamento de senhas corporativas para ajudar os usuários a gerar e usar senhas complexas e seguras que estejam em conformidade com as políticas dos serviços que exigem autenticação.
Medidas adicionais, como autenticação multifator para desbloquear o gerenciador de senhas, aumentam ainda mais sua segurança, tornando quase impossível para invasores acessar as credenciais armazenadas. Alguns gerenciadores de senhas corporativos comuns incluem Keeper, Dashlane e 1Password.
Limpe as Entradas do Usuário e Proteja os Bancos de Dados
Os invasores podem usar campos de entrada de usuários vulneráveis, bem como bancos de dados, para injetar código malicioso, obter acesso e comprometer os sistemas. Por esse motivo, as equipes de segurança devem usar as melhores práticas, como autenticação forte e ferramentas eficazes para proteger bancos de dados e todos os tipos de campos de entrada de dados.
Uma boa prática é criptografar todos os dados em trânsito e em repouso, além de corrigir os bancos de dados e limpar todas as entradas do usuário. Medidas adicionais incluem definir arquivos como somente leitura e conceder acesso de escrita apenas aos grupos e usuários que realmente precisarem.
Treine os Usuários
Os usuários são o elo mais fraco na cadeia de segurança de uma organização. Portanto, é importante capacitá-los e treiná-los sobre como realizar suas tarefas de forma segura. Caso contrário, um único clique de um usuário pode levar ao comprometimento de toda uma rede ou sistema. Alguns dos riscos incluem abrir links ou anexos maliciosos, visitar sites comprometidos, usar senhas fracas e muito mais.
Idealmente, a organização deve ter programas regulares de conscientização de segurança. Além disso, devem ter uma forma de verificar se o treinamento é eficaz.
Ferramentas de Prevenção de Ataques de Escalonamento de Privilégios
Impedir os ataques de escalonamento de privilégios requer uma combinação de ferramentas. Estas incluem, mas não se limitam às soluções abaixo.
Solução de Análise de Comportamento do Usuário e Entidade (UEBA)
Exabeam
A Plataforma de Gerenciamento de Segurança Exabeam é uma solução de análise comportamental baseada em IA, rápida e fácil de implementar, que ajuda a rastrear atividades de usuários e contas em diferentes serviços. Você também pode usar o Exabeam para receber logs de outros sistemas de TI e ferramentas de segurança, analisá-los e identificar e sinalizar atividades de risco, ameaças e outros problemas.
Características incluem:
- Registro e fornecimento de informações úteis para investigações de incidentes. Isso inclui todas as sessões em que uma conta ou usuário específico acessou um serviço, servidor, aplicativo ou recurso pela primeira vez, a conta faz login a partir de uma nova conexão VPN, de um país incomum, etc.
- A solução escalável é aplicável para uma única instância, nuvem e implementações no local.
- Cria um cronograma abrangente que mostra claramente o caminho completo de um invasor com base na conta normal ou anormal ou no comportamento do usuário.
Cynet 360
A Plataforma Cynet 360 é uma solução abrangente que oferece análise comportamental, rede e segurança de endpoint. Ela permite que você crie perfis de usuário, incluindo suas geolocalizações, funções, horas de trabalho, padrões de acesso a recursos locais e baseados em nuvem, etc.
A plataforma ajuda a identificar atividades incomuns, como:
- Primeiros logins no sistema ou recursos.
- Local de login incomum ou uso de uma nova conexão VPN.
- Várias conexões simultâneas para diversos recursos em um curto período de tempo.
- Contas que acessam recursos fora do horário comercial.
Ferramentas de Segurança de Senha
Auditor de Senha
As ferramentas de auditor de senha verificam nomes de host e endereços IP para identificar automaticamente credenciais fracas para serviços de rede e aplicativos da Web, como formulários da Web HTTP, MySQL, FTP, SSH, RDP, roteadores de rede e outros que requerem autenticação. Em seguida, tenta fazer login usando combinações fracas e comuns de nome de usuário e senha para identificar e alertar sobre contas com credenciais frágeis.
Gerenciador de Senhas Profissional
O ManageEngine Password Manager Pro oferece uma solução abrangente de gerenciamento, controle, monitoramento e auditoria de contas privilegiadas ao longo de todo o seu ciclo de vida. Ele pode gerenciar contas privilegiadas, certificados SSL, acesso remoto, bem como a sessão privilegiada.
Características incluem:
- Automatiza e impõe redefinições de senha frequentes para sistemas críticos, como servidores, componentes de rede, bancos de dados e outros recursos.
- Armazena e organiza todas as identidades e senhas de contas privilegiadas e confidenciais em um cofre centralizado e seguro.
- Permite que as organizações atendam a auditorias de segurança essenciais e também a padrões regulatórios, como HIPAA, PCI, SOX e muito mais.
- Permite que membros da equipe compartilhem senhas administrativas com segurança.
Verificadores de Vulnerabilidade
Invicti
Invicti é um verificador de vulnerabilidades automatizado e escalável e uma solução de gerenciamento que pode ser ampliada para atender às necessidades de qualquer organização. A ferramenta pode verificar redes e ambientes complexos, enquanto se integra perfeitamente a outros sistemas, incluindo soluções CI/CD, SDLC e outros. Possui recursos avançados e é otimizado para verificar e identificar vulnerabilidades em ambientes e aplicações complexas.
Além disso, você pode usar o Invicti para testar servidores da web quanto a configurações de segurança incorretas que os invasores podem explorar. Geralmente, a ferramenta identifica Injeções SQL, inclusão de arquivos remotos, Cross-site Scripting (XSS) e outras vulnerabilidades OWASP Top-10 em aplicativos da web, serviços da web, páginas da web, APIs e muito mais.
Acunetix
Acunetix é uma solução abrangente com verificação de vulnerabilidades integrada, gerenciamento e fácil integração com outras ferramentas de segurança. Ela auxilia na automação de tarefas de gerenciamento de vulnerabilidades, como verificação e correção, economizando recursos.
Características incluem:
- Integra-se com outras ferramentas, como Jenkins, rastreadores de problemas de terceiros, como GitHub, Jira, Mantis e muito mais.
- Opções de implementação no local e na nuvem.
- Personalizável para se adequar ao ambiente e às necessidades do cliente, além de suporte multiplataforma.
- Identifica e responde rapidamente a uma variedade de problemas de segurança, incluindo ataques comuns na web, Cross-site Scripting (XSS), injeções SQL, malware, configurações incorretas, ativos expostos, etc.
Soluções de Software de Gerenciamento de Acesso Privilegiado (PAM)
JumpCloud
JumpCloud é uma solução de Diretório como Serviço (DaaS) que autentica e conecta usuários de forma segura a redes, sistemas, serviços, aplicativos e arquivos. Geralmente, o diretório escalável baseado na nuvem é um serviço que gerencia, autentica e autoriza usuários, aplicativos e dispositivos.
Características incluem:
- Cria um diretório autoritário seguro e centralizado.
- Suporta gerenciamento de acesso de usuário multiplataforma.
- Fornece funções de logon único que oferecem controle de acesso do usuário a aplicativos através de LDAP, SCIM e SAML 2.0.
- Fornece acesso seguro a servidores locais e na nuvem.
- Suporta autenticação multifator.
- Possui administração automatizada de segurança e funções relacionadas, como log de eventos, scripts, gerenciamento de API, PowerShell e muito mais.
Ping Identity
Ping Identity é uma plataforma inteligente que oferece autenticação multifator, logon único, serviços de diretório e muito mais. Ela permite que as organizações aprimorem a segurança e a experiência da identidade do usuário.
Características:
- Logon único que oferece autenticação e acesso a serviços seguros e confiáveis.
- Autenticação multifator que adiciona camadas extras de segurança.
- Governança de dados aprimorada e capacidade de cumprir regulamentos de privacidade.
- Um serviço de diretório que fornece gerenciamento seguro de identidades e dados de usuários em escala.
- Opções de implementação flexíveis na nuvem, como Identity-as-a-Service (IDaaS), software em contêiner, etc.
Foxpass
Foxpass é uma solução de controle de acesso e identidade de nível empresarial escalável para implementações no local e na nuvem. Ela oferece recursos de gerenciamento de chaves RADIUS, LDAP e SSH que garantem que cada usuário acesse apenas redes, servidores, VPNs e outros serviços específicos no momento permitido.
A ferramenta pode se integrar perfeitamente a outros serviços, como Office 365, Google Apps e muito mais.
Gerenciador de Segredos da AWS
Gerenciador de Segredos da AWS oferece um meio confiável e eficaz para proteger os segredos necessários para acessar serviços, aplicativos e outros recursos. Ele permite que você gerencie, altere e recupere facilmente as chaves de API, credenciais de banco de dados e outros segredos.
Existem mais soluções de gerenciamento de segredos que você pode explorar.
Conclusão
Assim como os ataques cibernéticos, o escalonamento de privilégios explora as vulnerabilidades de sistema e processo em redes, serviços e aplicativos. Sendo assim, é possível evitá-los implementando as ferramentas e práticas de segurança adequadas.
Medidas eficazes incluem a aplicação de privilégios mínimos, senhas fortes e políticas de autenticação, proteção de dados confidenciais, redução da superfície de ataque, proteção das credenciais de contas e muito mais. Outras medidas incluem manter todos os sistemas, softwares e firmwares atualizados e corrigidos, monitorar o comportamento do usuário e treinar os usuários em práticas seguras de computação.