Ameaças internas estão usando cada vez mais explorações de escalonamento de privilégios

A relatório publicado no final de 2023 descreveu como os internos estavam usando cada vez mais explorações de escalonamento de privilégios para realizar ações não autorizadas nas redes de suas organizações.

De acordo com o relatório da Crowdstrike, 55% das ameaças internas identificadas usaram ou tentaram usar explorações de escalonamento de privilégios. Nos casos em que o insider era malicioso, eles foram observados usando seus privilégios elevados para usar kits adicionais como Metasploit, Cobalt Strike e outras ferramentas destinadas à exploração de sistemas.

Vale a pena notar que a pesquisa se concentrou em sistemas locais e provavelmente não incluiu dados coletados a partir do abuso de aplicações em nuvem.

Examinando seu relatório, a grande maioria dos acessos ocorre em sistemas Windows e Linux. Dito isso, dentro dos parâmetros fornecidos, essas ainda são algumas descobertas bastante significativas às quais vale a pena prestar atenção para as equipes de segurança enquanto navegamos em 2024. Isso pode indicar que ameaças internas estão encontrando novas maneiras inovadoras de atacar sistemas centrais, ao mesmo tempo que contornam controles importantes.

Por que o escalonamento de privilégios é importante?

Se fizermos o nosso trabalho correctamente, então implementaremos controlos que definirão o que o nosso pessoal é capaz de fazer em termos de quais os sistemas ou activos aos quais podem aceder. Indo um passo mais fundo, podemos controlar não apenas o que pode ser acessado, mas o que alguém pode fazer com esse ativo.

Eles podem ler, escrever, editar ou excluir um ativo? Eles podem alterar privilégios para si ou para outros? A toca do coelho dos privilégios pode crescer bastante, mas pode ser muito importante para a segurança dos seus dados.

No mundo ideal, cada usuário tem exatamente o nível mínimo de acesso e privilégio necessário para realizar seu trabalho. Isso é conhecido como Princípio do Menor Privilégio. É quase impossível ser perfeito em fazer isso exatamente da maneira certa, mas esse é o objetivo a ser almejado.

O que fica complicado é quando um usuário encontra maneiras de aumentar seus privilégios a partir do que foi provisionado.

Se forem bem sucedidos, então romperam as fronteiras definidas daquilo que deveriam ser capazes de fazer com os nossos sistemas. Perdemos um nível de controlo e, no caso do agente da ameaça interna, enfrentamos um adversário difícil que tem um conhecimento profundo dos nossos activos e de como encontrá-los.

Desafios apresentados por ameaças internas

Os incidentes internos têm aumentado constantemente ao longo dos últimos anos e não se espera que esta tendência mude em 2024. Isto é extremamente preocupante porque as ameaças internas, em muitos aspectos, representam muito mais dificuldades do que um atacante externo.

Além dos seus impactos negativos numa organização, que minam a confiança dos clientes, parceiros e partes interessadas internas, podem ser francamente difíceis de detetar.

Um dos desafios de uma ameaça interna é que esse usuário inicia o jogo com um conjunto de privilégios que lhe permite uma posição segura dentro da organização. À primeira vista, isso faz sentido. Se a pessoa for um funcionário, você precisará dar-lhe a capacidade de realizar seu trabalho. Isso significa acessar os sistemas e dados apropriados para ser um funcionário eficaz.

O segundo desafio é que o movimento do funcionário dentro dos sistemas da organização será visto como normal e é pouco provável que accione qualquer sinal de alerta, a menos que se afaste demasiado da reserva. Em termos práticos, as chances são muito baixas de que o insider toque em um de seus honeypots porque já sabe exatamente o que deseja acessar e onde está localizado.

Tendo em conta alguns destes desafios, temos aqui abaixo algumas dicas para combater a ameaça de escalada de privilégios por parte dos seus internos.

3 estratégias para reduzir o risco de ameaças internas que aumentam os privilégios

1. Patch, patch e certifique-se de fazer patch antecipadamente e com frequência

Um dos conselhos mais antigos quando se trata de segurança cibernética, mesmo antes da implementação da autenticação multifator (MFA), é a importância de corrigir seus sistemas de software.

Embora vulnerabilidades de dia zero, como aquelas usadas para danificar instalações nucleares iranianas ou hackear iPhones, possam receber toda a imprensa, a maioria dos hackers usa vulnerabilidades conhecidas que são divulgadas ao público para realizar seus ataques com sucesso.

Os hackers encontram essas vulnerabilidades geralmente de duas maneiras. A primeira é que eles são capazes de analisar as vulnerabilidades disponíveis publicamente (CVEs) publicadas pela MITRE Corporation para o benefício do público. Em segundo lugar, e o que é mais irritante, eles podem olhar as atualizações de software e tentar descobrir o que foi corrigido e, então, ver como explorá-lo. Por esses e outros motivos, certifique-se de corrigir logo após as novas versões serem disponibilizadas.

Como parte do processo de relatório e publicação de vulnerabilidades, as empresas proprietárias do software ou, no caso de software de código aberto, os gerentes de projeto, geralmente recebem um período de 90 dias para corrigir os problemas em seus produtos antes que as informações se tornem públicas. Isso equilibra a necessidade de levar esses proprietários de software a agir e o espaço de que precisam para desenvolver uma correção para o bug.

No entanto, todo o seu trabalho árduo será em vão se não usarmos os patches que eles emitem. Isso significa implementar os patches para CVEs, atender às necessidades do Patch Tuesday e, de modo geral, garantir que nossos sistemas estejam atualizados com as versões mais recentes.

Patching pode ser uma grande dor, e nenhuma organização está realmente onde deveria estar. Sempre alguns passos atrás, esperando que tenham corrigido seus sistemas mais críticos.

A esperança é que a mudança para a nuvem elimine a responsabilidade de patches dos usuários finais e transfira mais para os fornecedores que fornecem as soluções SaaS. Observe, no entanto, que este não é o caso quando se trata de infraestrutura em nuvem (IaaS), como AWS, Azure e GCP, portanto, suas equipes de TI e segurança ainda precisarão estar instaladas e funcionando para se manterem atualizadas sobre esses sistemas por algum tempo. .

2. Monitorar comportamento anômalo

Se um insider, ou alguém que finge ser, conseguir aumentar seus privilégios para acessar sistemas diferentes dos que normalmente fariam, isso deverá desencadear grandes alertas. Se você tiver o monitoramento instalado para detectá-lo, é claro.

Capturar uma linha de base da atividade normal com ferramentas de análise de comportamento do usuário é essencial para descobrir quando um comportamento suspeito está acontecendo.

A vantagem aqui é que o monitoramento do comportamento é executado em segundo plano e não será afetado por alterações ilícitas em seus privilégios. Os sistemas em que eles tocam ou outras ações que eles realizam serão detectados, registrados e alertados caso se desviem dos limites do que você definiu como normal para eles.

Além do recurso de alerta, o outro benefício de monitorar seus ambientes é o uso em investigações após um incidente. Um dos maiores desafios na resposta a incidentes é compreender quais sistemas foram afetados e podem precisar de correção. Ter sessões de gravação de atividades em sistemas confidenciais vinculados a um usuário específico pode reduzir significativamente o tempo gasto em investigações.

3. Eduque sua força de trabalho sobre como seguir as regras

Mark Zuckerberg, do Facebook, popularizou a ideia de “Mova-se rápido e quebre as coisas” como parte do espírito de startup que levou as empresas ao sucesso. Embora romper com uma mentalidade corporativa enfadonha possa fazer muito bem quando se trata de inovação, há alguns benefícios em permanecer dentro de pelo menos algumas das diretrizes.

As políticas da empresa sobre quais tipos de software podem ser baixados nas máquinas da empresa e os processos de aprovação existem por um motivo. Mesmo uma determinada política parece mais um obstáculo do que algo que faz muito sentido.

A melhor maneira de fazer com que seu pessoal siga suas regras é menos sobre punições e mais sobre como fazê-los aderir, explicando-lhes a que pode levar o impacto potencial da violação das regras.

O ideal é evitar a morte por Powerpoint e tornar as sessões um pouco mais interativas. Um método que provou ser mais eficaz é atribuir diferentes casos de violação de políticas e apresentar ao seu grupo como isso aconteceu.

Essa também é a mesma metodologia usada nas forças armadas para ensinar material sobre segurança de vida e morte e realmente fica gravada na sua memória.

Involuntariamente imprudente, mas não malicioso

Lendo o relatório, as notícias aqui são e não são tão ruins quanto podem parecer.

Os autores observam que 45% dos incidentes não parecem ser causados por pessoas mal-intencionadas que pretendem ser ameaças. Alguns dos incidentes envolvem pessoas internas quebrando as regras para que possam baixar software nas máquinas da organização que não deveriam, mas por outras razões que não prejudicar seu empregador.

Pense nos funcionários contornando os controles para que possam baixar torrents ou outros softwares ilícitos em suas máquinas de trabalho.

Talvez uma das maiores histórias como esta seja a antiga e sempre boa sobre os trabalhadores de uma Usina nuclear ucraniana que conectaram seus sistemas intencionalmente off-line à Internet com o propósito de minerar criptomoedas. Isto foi antes do início da guerra, mas já no início da campanha de hackers russos que visavam a infraestrutura crítica ucraniana, por isso ainda era uma ideia excepcionalmente má.

Por outro lado, só porque alguém não pretende causar dano não significa que não haja falta. De acordo com Relatório de investigações de violação de dados da Verizon para 2023 , Erros diversos continuam a representar uma parte significativa das estatísticas anuais de violação de dados. E quando se trata de reguladores que investigam empresas por exporem dados controlados, como PII de clientes, eles não se importam muito se a ação foi maliciosa ou não. Só que aconteceu.

Esperamos que, seguindo as melhores práticas e educando sua equipe, você possa evitar ter que explicar um incidente grave como um momento de mau julgamento em vez de um ato de má fé.