การเลื่อนระดับสิทธิ์

สารบัญ

แบ่งปันคำศัพท์นี้:

การเพิ่มสิทธิพิเศษเป็นคำที่ใช้ในการรักษาความปลอดภัยทางไซเบอร์ที่อธิบายการกระทำของผู้โจมตีเพื่อเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาตหรือดำเนินการที่ไม่ได้รับอนุญาตภายในระบบคอมพิวเตอร์หรือเครือข่าย

การโจมตีประเภทนี้สามารถเกิดขึ้นได้ในสภาพแวดล้อมขององค์กรใดๆ ตั้งแต่เครื่องแต่ละเครื่องไปจนถึงโครงสร้างพื้นฐานเครือข่ายขนาดใหญ่ การยกระดับสิทธิ์มีสองประเภทหลัก:

  1. การยกระดับสิทธิพิเศษในแนวตั้ง: หรือที่เรียกว่า “การยกระดับสิทธิ์” สิ่งนี้เกิดขึ้นเมื่อผู้โจมตีได้รับสิทธิ์ที่สูงกว่าเมื่อกำหนดเป้าหมายการเข้าถึงระดับผู้ดูแลระบบหรือระดับรูท ซึ่งช่วยให้ผู้โจมตีสามารถดำเนินการใดๆ บนระบบได้แทบทุกอย่าง เช่น การเข้าถึงข้อมูลที่เป็นความลับ การแก้ไขการกำหนดค่าระบบ หรือการปรับใช้ซอฟต์แวร์ที่เป็นอันตราย
  2. การยกระดับสิทธิพิเศษในแนวนอน: ในสถานการณ์สมมตินี้ ผู้โจมตีขยายการเข้าถึงผ่านเครือข่ายโดยสมมติตัวตนของผู้ใช้รายอื่นที่มีระดับสิทธิ์ที่คล้ายคลึงกัน แม้ว่าจะไม่ยกระดับสิทธิ์ในแนวตั้ง แต่ผู้โจมตีก็สามารถเข้าถึงทรัพยากรเพิ่มเติมโดยไม่ได้รับอนุญาต ซึ่งสามารถนำไปใช้ประโยชน์จากการโจรกรรมข้อมูลหรือการโจมตีเพิ่มเติมภายในเครือข่าย

สถานการณ์ทั่วไปของการเพิ่มสิทธิพิเศษ

การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์: ผู้โจมตีมักจะใช้ประโยชน์จากข้อบกพร่องในซอฟต์แวร์หรือระบบปฏิบัติการที่ช่วยให้พวกเขาสามารถยกระดับสิทธิ์ของตนได้ ช่องโหว่เหล่านี้อาจเกิดจากการทดสอบที่ไม่เพียงพอ รหัสเดิม หรือระบบที่ไม่ได้รับแพตช์

ข้อผิดพลาดในการกำหนดค่า: ระบบและบริการที่กำหนดค่าไม่ถูกต้องซึ่งมีสิทธิ์อนุญาตมากเกินไปอาจทำให้ผู้ใช้ที่มีสิทธิพิเศษต่ำสามารถเข้าถึงฟังก์ชันหรือข้อมูลที่ละเอียดอ่อนได้โดยไม่ได้ตั้งใจ

ผู้ดูแลระบบเงา: ผู้ดูแลระบบเงาคือ บัญชีผู้ใช้ ที่ได้รับการมอบหมายสิทธิ์ผู้ดูแลระบบทั้งหมดหรือบางส่วนโดยไม่ได้ตั้งใจ หรือการกำหนดค่า/รีเซ็ตสิทธิ์เหนือบัญชีผู้ดูแลระบบ การประนีประนอม ผู้ดูแลระบบเงา ช่วยให้ผู้โจมตีสามารถควบคุมบัญชีที่มีสิทธิ์การเข้าถึงและการกำหนดค่าในระดับสูง ปูทางไปสู่การเข้าถึงและประนีประนอมทรัพยากรเพิ่มเติมเพิ่มเติม

การมอบหมายที่ไม่มีข้อจำกัด: มันเป็นการมอบหมายเวอร์ชันเดิมที่ไม่ปลอดภัย จะช่วยให้ก บัญชีที่ถูกบุกรุก เพื่อเข้าถึงทรัพยากรเดียวกันกับบัญชีการมอบหมาย ความสามารถนี้ส่วนใหญ่จำเป็นสำหรับบัญชีเครื่องที่เข้าถึงเครื่องอื่นในนามของผู้ใช้ ตัวอย่างเช่น เมื่อเซิร์ฟเวอร์แอปเข้าถึงฐานข้อมูลเพื่อดึงข้อมูลสำหรับผู้ใช้แอป เมื่อบัญชีผู้ดูแลระบบเข้าสู่ระบบเครื่องที่มีการมอบหมายที่ไม่จำกัด TGT จะยังคงจัดเก็บไว้ในหน่วยความจำของเครื่อง ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเซสชันใหม่ด้วยสิทธิ์ของ TGT ของบัญชีผู้ใช้

วิศวกรรมสังคมและการโจมตีแบบฟิชชิ่ง: ด้วยการหลอกลวงผู้ใช้หรือผู้ดูแลระบบที่ถูกกฎหมายให้ดำเนินการที่เป็นอันตราย ผู้โจมตีสามารถรับสิทธิ์ระดับสูงได้

การใช้ข้อมูลรับรองที่ถูกขโมย: ผู้โจมตีอาจใช้วิธีการต่างๆ เพื่อขโมยข้อมูลประจำตัว เช่น การล็อกคีย์หรือใช้ประโยชน์จากการละเมิดข้อมูล ข้อมูลประจำตัวเหล่านี้จะใช้เพื่อเข้าถึงระบบในฐานะผู้ใช้ที่ถูกต้องตามกฎหมาย โดยข้ามมาตรการรักษาความปลอดภัย

การเคลื่อนไหวด้านข้าง: การเพิ่มสิทธิพิเศษมักเกิดขึ้นก่อนการเคลื่อนไหวด้านข้างในห่วงโซ่การโจมตี ในขั้นต้น ผู้โจมตีอาจเข้าถึงเครือข่ายที่มีสิทธิจำกัด ด้วยการเพิ่มระดับสิทธิ์ พวกเขาจะได้รับสิทธิ์ระดับที่สูงขึ้นซึ่งจำเป็นในการเข้าถึงพื้นที่ที่ปลอดภัยยิ่งขึ้นของเครือข่ายหรือดำเนินการงานเฉพาะ เช่น การติดตั้งมัลแวร์หรือการแยกข้อมูลที่ละเอียดอ่อน

การตรวจจับความพยายามในการยกระดับสิทธิ์

การตรวจจับการยกระดับสิทธิ์เป็นองค์ประกอบสำคัญของกลยุทธ์การป้องกันความปลอดภัยทางไซเบอร์ที่ครอบคลุม การระบุความพยายามเหล่านี้ตั้งแต่เนิ่นๆ ผู้เชี่ยวชาญด้านไอทีและความปลอดภัยสามารถบรรเทาความเสียหายที่อาจเกิดขึ้นและป้องกันความพยายามของผู้โจมตีในการเข้าถึงโดยไม่ได้รับอนุญาต ส่วนนี้จะสรุปตัวบ่งชี้ที่สำคัญของการประนีประนอม (IoC) ตลอดจนเครื่องมือและเทคนิคที่ใช้ในการตรวจจับอย่างมีประสิทธิภาพ

ตัวชี้วัดการประนีประนอม (IoCs)

กิจกรรมบัญชีที่ผิดปกติ: ซึ่งรวมถึงความล้มเหลวในการเข้าสู่ระบบซ้ำๆ การใช้คำสั่งพิเศษโดยผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ หรือการเปลี่ยนแปลงสิทธิ์ผู้ใช้กะทันหัน กิจกรรมดังกล่าวอาจบ่งบอกถึงความพยายามของผู้โจมตีในการได้รับหรือใช้ประโยชน์จากสิทธิพิเศษระดับสูง

การเปลี่ยนแปลงระบบที่ไม่คาดคิด: การแก้ไขไฟล์ระบบ การติดตั้งซอฟต์แวร์ใหม่ หรือการเปลี่ยนแปลงการตั้งค่าคอนฟิกูเรชันระบบโดยไม่ได้รับการอนุมัติหรือการแจ้งเตือนล่วงหน้าสามารถส่งสัญญาณถึงการโจมตีที่เพิ่มระดับสิทธิ์อย่างต่อเนื่อง

ความผิดปกติในการรับส่งข้อมูลเครือข่าย: รูปแบบการรับส่งข้อมูลขาออกที่ผิดปกติ โดยเฉพาะอย่างยิ่งไปยังที่อยู่ IP หรือโดเมนที่เป็นอันตรายที่ทราบ อาจแนะนำว่าผู้โจมตีกำลังขโมยข้อมูลหลังจากที่ได้รับการเข้าถึงระดับสูง

การปลอมแปลงบันทึกการรักษาความปลอดภัย: ผู้โจมตีมักจะพยายามปกปิดเส้นทางของตนด้วยการลบหรือแก้ไขบันทึกความปลอดภัย ช่องว่างที่ไม่สามารถอธิบายได้ในไฟล์บันทึกหรือความไม่สอดคล้องกันในรายการบันทึกอาจเป็นสัญญาณบ่งบอกถึงการจัดการเพื่อซ่อนการกระทำที่ไม่ได้รับอนุญาต

กลยุทธ์การบรรเทาผลกระทบและแนวทางปฏิบัติที่ดีที่สุด

การผสมผสานระหว่างมาตรการป้องกัน นโยบายความปลอดภัยที่แข็งแกร่ง และวัฒนธรรมการรับรู้ด้านความปลอดภัยทางไซเบอร์ภายในองค์กร เป็นสิ่งจำเป็นเพื่อลดความเสี่ยงของการเพิ่มระดับสิทธิพิเศษอย่างมีประสิทธิภาพ ด้านล่างนี้คือกลยุทธ์หลักและแนวทางปฏิบัติที่ดีที่สุดที่ออกแบบมาเพื่อลดโอกาสที่จะโดนโจมตีเพื่อเพิ่มระดับสิทธิ์และสนับสนุนมาตรการรักษาความปลอดภัย

มาตรการป้องกัน

  • การอัปเดตซอฟต์แวร์และการจัดการแพทช์เป็นประจำ: หนึ่งในการป้องกันที่ง่ายที่สุดแต่มีประสิทธิภาพมากที่สุดต่อการเพิ่มระดับสิทธิ์เกี่ยวข้องกับการทำให้ระบบและซอฟต์แวร์ทั้งหมดทันสมัยอยู่เสมอ การใช้แพตช์เป็นประจำจะปิดช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์เพื่อรับสิทธิพิเศษระดับสูง
  • หลักการของ สิทธิพิเศษน้อยที่สุด (โปแอลพี): บังคับใช้หลักการของสิทธิ์ขั้นต่ำโดยทำให้แน่ใจว่าผู้ใช้มีสิทธิ์การเข้าถึงที่จำเป็นสำหรับบทบาทของตนเท่านั้น การตรวจสอบและการตรวจสอบสิทธิ์ของผู้ใช้เป็นประจำจะช่วยป้องกันการสะสมสิทธิ์การเข้าถึงที่ไม่จำเป็นซึ่งอาจถูกนำไปใช้ประโยชน์ได้
  • มาตรการพิสูจน์ตัวตนและการควบคุมการเข้าถึงที่แข็งแกร่ง: ใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA ได้ทุกที่) และนโยบายการเข้าถึงที่เข้มงวดเพื่อรักษาความปลอดภัยบัญชีผู้ใช้จากการพยายามเข้าถึงโดยไม่ได้รับอนุญาต สำหรับระบบที่มีความละเอียดอ่อนและบัญชีที่มีสิทธิ์สูง ให้พิจารณาใช้ขั้นสูง การรับรอง วิธีการต่างๆ เช่น ไบโอเมตริกซ์หรือโทเค็นฮาร์ดแวร์
  • การแบ่งแยกหน้าที่ (SoD): แบ่งงานที่สำคัญและการอนุญาตให้กับผู้ใช้หรือแผนกต่างๆ เพื่อลดความเสี่ยงของการประนีประนอมที่จุดเดียว วิธีการนี้จะจำกัดความเสียหายที่อาจเกิดขึ้นที่ผู้โจมตีสามารถสร้างได้ หากพวกเขาจัดการเพื่อเพิ่มสิทธิพิเศษภายในส่วนใดส่วนหนึ่งขององค์กร

กลยุทธ์การตอบสนอง

  • การตรวจจับและตอบสนองภัยคุกคามข้อมูลส่วนบุคคล (ไอทีดีอาร์): เพื่อตรวจจับภัยคุกคามที่เกี่ยวข้องกับการละเมิดข้อมูลประจำตัวและการละเมิดแบบเรียลไทม์ ด้วยการวิเคราะห์รูปแบบการเข้าถึงและพฤติกรรม โซลูชัน ITDR สามารถระบุกิจกรรมที่น่าสงสัยซึ่งอาจบ่งบอกถึงความพยายามในการยกระดับสิทธิ์และตอบสนองตามนั้น
  • การวางแผนเผชิญเหตุ: พัฒนาและปรับปรุงแผนการตอบสนองเหตุการณ์ที่ครอบคลุมอย่างสม่ำเสมอ ซึ่งรวมถึงขั้นตอนเฉพาะสำหรับการจัดการเหตุการณ์การเพิ่มระดับสิทธิ์ แผนนี้ควรสรุปบทบาท ความรับผิดชอบ วิธีปฏิบัติในการสื่อสาร และขั้นตอนในการกักกัน การกำจัด และการกู้คืน
  • การติดตามและแจ้งเตือนเชิงรุก: ใช้ SIEM, EDR, ความปลอดภัยของข้อมูลประจำตัว และโซลูชัน UEBA เพื่อติดตามสัญญาณการเพิ่มขึ้นของสิทธิ์อย่างต่อเนื่อง กำหนดค่าการแจ้งเตือนสำหรับกิจกรรมที่ผิดปกติซึ่งบ่งบอกถึงความพยายามในการยกระดับ เปิดใช้งานการตอบสนองอย่างรวดเร็วก่อนที่ผู้โจมตีจะสร้างความเสียหายอย่างมีนัยสำคัญ
  • การวิเคราะห์ทางนิติเวชและการแก้ไข: หลังจากเหตุการณ์การยกระดับสิทธิ์ ให้ดำเนินการวิเคราะห์ทางนิติเวชอย่างละเอียดเพื่อทำความเข้าใจเวกเตอร์การโจมตี ช่องโหว่ที่ถูกหาประโยชน์ และขอบเขตของการละเมิด ใช้ข้อมูลนี้เพื่อเสริมสร้างมาตรการรักษาความปลอดภัยและป้องกันเหตุการณ์ในอนาคต

แนวทางปฏิบัติที่ดีที่สุดสำหรับสภาพแวดล้อมที่ปลอดภัย

  • การฝึกอบรมการให้ความรู้ด้านความปลอดภัย: ฝึกอบรมพนักงานทุกคนอย่างสม่ำเสมอเกี่ยวกับแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ อันตรายของวิศวกรรมสังคม และความสำคัญของการรักษาความปลอดภัยในการปฏิบัติงาน ผู้ใช้ที่ได้รับการศึกษามีโอกาสน้อยที่จะตกเป็นเหยื่อของการโจมตีที่อาจนำไปสู่การยกระดับสิทธิ์
  • การกำหนดค่าและการชุบแข็งที่ปลอดภัย: ใช้แนวทางการกำหนดค่าที่ปลอดภัยและมาตรฐานการเสริมความแข็งแกร่งกับระบบและแอปพลิเคชันทั้งหมด ลบบริการที่ไม่จำเป็น ปิดพอร์ตที่ไม่ได้ใช้ และบังคับใช้การตั้งค่าความปลอดภัยเพื่อลด พื้นผิวการโจมตี.
  • การสแกนช่องโหว่และการทดสอบการเจาะระบบ: ทำการประเมินช่องโหว่และการทดสอบการเจาะระบบเป็นระยะๆ เพื่อระบุและแก้ไขจุดอ่อนด้านความปลอดภัย แบบฝึกหัดเหล่านี้สามารถเปิดเผยเส้นทางการยกระดับสิทธิพิเศษที่อาจเกิดขึ้นได้ก่อนที่ผู้โจมตีจะถูกโจมตี

ผลจากการใช้กลยุทธ์การบรรเทาผลกระทบเหล่านี้และการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ องค์กรต่างๆ จึงสามารถลดความเสี่ยงจากการโจมตีที่ยกระดับสิทธิพิเศษได้อย่างมาก การป้องกันภัยคุกคามดังกล่าวต้องใช้ทั้งโซลูชันด้านเทคนิคและวัฒนธรรมการรักษาความปลอดภัยเชิงรุกที่ให้ความสำคัญกับการเฝ้าระวัง การศึกษา และการปรับปรุงอย่างต่อเนื่องในระดับแนวหน้า

การเพิ่มสิทธิพิเศษในสภาพแวดล้อมคลาวด์

เนื่องจากการเปลี่ยนแปลงไปสู่การประมวลผลแบบคลาวด์ การป้องกันการเพิ่มระดับสิทธิ์จึงมีความซับซ้อนและท้าทายมากขึ้น ผลจากความสามารถในการปรับขนาด ความยืดหยุ่น และโมเดลความรับผิดชอบร่วมกันของสภาพแวดล้อมคลาวด์ ทำให้การรักษาความปลอดภัยต้องมีแนวทางแตกต่างออกไป ส่วนนี้เน้นถึงความท้าทายที่โดดเด่นของโครงสร้างพื้นฐานบนคลาวด์ และเสนอแนวทางปฏิบัติที่ดีที่สุดในการรักษาสภาพแวดล้อมคลาวด์ให้ปลอดภัยจากภัยคุกคามที่ยกระดับสิทธิ์

ความท้าทายที่ไม่เหมือนใครในสภาพแวดล้อมคลาวด์

  1. การจัดการข้อมูลประจำตัวและการเข้าถึงที่ซับซ้อน (AMI) การกำหนดค่า: แพลตฟอร์มคลาวด์นำเสนอความสามารถ IAM แบบละเอียด ซึ่งหากกำหนดค่าไม่ถูกต้อง ก็สามารถให้สิทธิ์ที่มากเกินไปโดยไม่ตั้งใจ ซึ่งนำไปสู่โอกาสในการยกระดับสิทธิ์
  2. แบบจำลองความรับผิดชอบร่วมกัน: การแบ่งความรับผิดชอบด้านความปลอดภัยระหว่างผู้ให้บริการระบบคลาวด์ (CSP) และลูกค้าอาจทำให้เกิดช่องว่างในการครอบคลุม โดยเฉพาะอย่างยิ่งหากมีความคลุมเครือว่าใครเป็นผู้รับผิดชอบในการรักษาความปลอดภัยการกำหนดค่า IAM
  3. ความปลอดภัยของ API: บริการคลาวด์มักจะเข้าถึงและจัดการผ่าน API ซึ่งหากไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม ก็อาจกลายเป็นพาหะสำหรับการโจมตีแบบยกระดับสิทธิ์ได้
  4. ทรัพยากรชั่วคราวและการเข้าถึงแบบไดนามิก: ลักษณะแบบไดนามิกของสภาพแวดล้อมคลาวด์ที่มีทรัพยากรหมุนเวียนขึ้นและลง จำเป็นต้องมีการควบคุมการเข้าถึงที่ปรับเปลี่ยนและอัปเดตอย่างต่อเนื่องเพื่อป้องกันการอนุญาตที่มากเกินไป

แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยสภาพแวดล้อมคลาวด์

  • Implement สิทธิพิเศษน้อยที่สุด การเข้าถึงทรัพยากรระบบคลาวด์: เช่นเดียวกับแนวทางปฏิบัติในองค์กร ตรวจสอบให้แน่ใจว่านโยบาย Cloud IAM ปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุดอย่างเคร่งครัด ตรวจสอบนโยบายและบทบาทของ IAM เป็นประจำเพื่อกำจัดสิทธิ์ที่ไม่จำเป็นที่อาจนำไปใช้ประโยชน์ได้
  • ใช้เครื่องมือ IAM บนคลาวด์: ใช้ประโยชน์จากเครื่องมือที่ CSP มอบให้ เช่น AWS IAM Access Analyzer หรือ Azure AD Privileged การจัดการอัตลักษณ์เพื่อวิเคราะห์สิทธิ์และตรวจหาเส้นทางการยกระดับสิทธิ์ที่อาจเกิดขึ้น
  • อินเทอร์เฟซการจัดการที่ปลอดภัยและ API: บังคับใช้ MFA ได้ทุกที่ และวิธีการตรวจสอบสิทธิ์ที่เข้มแข็งสำหรับการเข้าถึงอินเทอร์เฟซการจัดการระบบคลาวด์และ API ใช้ข้อจำกัดเครือข่าย เช่น การสร้างรายชื่อ IP ที่อนุญาต เพื่อจำกัดการเข้าถึงจุดสิ้นสุดที่สำคัญเหล่านี้
  • ตรวจจับและแก้ไขอัตโนมัติ: ใช้เครื่องมือการจัดการท่าทางความปลอดภัยบนคลาวด์ (CSPM) เพื่อตรวจจับการกำหนดค่าที่ไม่ถูกต้องและความผิดปกติของ IAM โดยอัตโนมัติ ใช้ขั้นตอนการแก้ไขอัตโนมัติเพื่อแก้ไขปัญหาที่ระบุได้อย่างรวดเร็ว
  • ให้ความรู้และฝึกอบรมทีมคลาวด์: ตรวจสอบให้แน่ใจว่าทีมที่ทำงานกับสภาพแวดล้อมคลาวด์มีความรู้เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยบนคลาวด์และคุณสมบัติความปลอดภัยเฉพาะของ CSP ของคุณ การฝึกอบรมเป็นประจำสามารถช่วยป้องกันการกำหนดค่าผิดพลาดโดยไม่ตั้งใจซึ่งนำไปสู่การยกระดับสิทธิ์
  • การตรวจสอบและการบันทึกอย่างต่อเนื่อง: เปิดใช้งานและตรวจสอบบันทึกบริการคลาวด์เพื่อตรวจจับรูปแบบการเข้าถึงที่ผิดปกติหรือการเปลี่ยนแปลงการกำหนดค่า IAM ใช้โซลูชัน SIEM บนคลาวด์เนทีฟหรือของบริษัทอื่นเพื่อรวบรวมและวิเคราะห์ข้อมูลบันทึกเพื่อหาสัญญาณของการเพิ่มระดับสิทธิ์ที่อาจเกิดขึ้น
  • นำแนวทาง DevSecOps มาใช้: รวมการรักษาความปลอดภัยเข้ากับไปป์ไลน์ CI/CD เพื่อให้แน่ใจว่านโยบาย IAM และการกำหนดค่าระบบคลาวด์ได้รับการประเมินเป็นส่วนหนึ่งของกระบวนการพัฒนาและปรับใช้ แนวทางเชิงรุกนี้จะช่วยตรวจจับและแก้ไขปัญหาด้านความปลอดภัยก่อนที่จะถึงการใช้งานจริง

การรักษาความปลอดภัยสภาพแวดล้อมคลาวด์จากการเพิ่มระดับสิทธิ์ต้องใช้แนวทางเชิงรุกแบบหลายชั้นที่ผสมผสานการควบคุมทางเทคนิค การตรวจสอบอย่างต่อเนื่อง และวัฒนธรรมการรักษาความปลอดภัยที่แข็งแกร่ง ด้วยการจัดการกับความท้าทายเฉพาะตัวของ Cloud IAM และการใช้ประโยชน์จากเครื่องมือรักษาความปลอดภัยบนคลาวด์ องค์กรต่างๆ จึงสามารถปรับปรุงการป้องกันจากการโจมตีที่ยกระดับสิทธิ์ในระบบคลาวด์ได้

กลับไปยังคำศัพท์