Инсайдерские угрозы все чаще используют эксплойты для повышения привилегий

А отчет опубликованная в конце 2023 года, описывала, как инсайдеры все чаще используют эксплойты повышения привилегий для выполнения несанкционированных действий в сетях своих организаций.

Согласно отчету Crowdstrike, 55% выявленных инсайдерских угроз использовали или пытались использовать эксплойты повышения привилегий. В тех случаях, когда инсайдер действовал злонамеренно, было замечено, что он использовал свои повышенные привилегии для использования дополнительных наборов, таких как Metasploit, Cobalt Strike и других инструментов, предназначенных для взлома систем.

Стоит отметить, что исследование было сосредоточено на локальных системах и, вероятно, не включало данные, собранные в результате злоупотреблений облачными приложениями.

Судя по их отчету, подавляющее большинство обращений приходится на системы Windows и Linux. Тем не менее, в рамках заданных параметров это все еще довольно важные выводы, на которые стоит обратить внимание командам безопасности в преддверии 2024 года. Это может указывать на то, что внутренние угрозы находят новые инновационные способы атаковать основные системы, обходя при этом важные меры контроля.

Почему повышение привилегий имеет значение?

Если мы делаем свою работу правильно, мы вводим средства контроля, определяющие, что наши люди могут делать с точки зрения того, к каким системам или активам они могут получить доступ. Погружаясь еще глубже, мы можем контролировать не только то, к чему можно получить доступ, но и то, что кто-то может делать с этим активом.

Могут ли они читать, писать, редактировать или удалять актив? Могут ли они изменить привилегии для себя или других? Кроличья нора привилегий может развиваться довольно далеко, но это может быть очень важно для безопасности ваших данных.

В идеальном мире каждый пользователь имеет ровно тот минимальный уровень доступа и привилегий, который ему необходим для выполнения своей работы. Это известно как принцип наименьших привилегий. Почти невозможно добиться совершенства в том, чтобы сделать это правильно, но это цель, к которой нужно стремиться.

Сложнее всего становится, когда пользователь находит способы повысить свои привилегии по сравнению с тем, что ему было предоставлено.

Если они добьются успеха, то они вырвутся за установленные границы того, что они должны иметь возможность делать с нашими системами. Мы теряем определенный уровень контроля, а в случае с инсайдерской угрозой мы сталкиваемся с трудным противником, который глубоко знает наши активы и способы их обнаружения.

Проблемы, создаваемые внутренними угрозами

Число инсайдерских инцидентов неуклонно растет в течение последних нескольких лет, и ожидается, что эта тенденция не изменится в 2024 году. Это вызывает чрезвычайную обеспокоенность, поскольку инсайдерские угрозы во многих отношениях создают гораздо больше трудностей, чем внешние злоумышленники.

Помимо негативного воздействия на организацию, подрывающего доверие со стороны клиентов, партнеров и внутренних заинтересованных сторон, их может быть совершенно трудно обнаружить.

Одна из проблем, связанных с инсайдерской угрозой, заключается в том, что этот пользователь начинает игру с набором привилегий, которые позволяют ему закрепиться внутри организации. На первый взгляд, это имеет смысл. Если человек является наемным работником, то вам нужно дать ему возможность выполнять свою работу. Это означает доступ к соответствующим системам и данным, чтобы быть эффективным сотрудником.

Вторая проблема заключается в том, что перемещение сотрудников внутри систем организации будет считаться нормальным и вряд ли станет сигналом тревоги, если только они не отойдут слишком далеко от резервации. С практической точки зрения вероятность того, что инсайдер коснется одной из ваших приманок, довольно мала, поскольку они уже точно знают, к чему хотят получить доступ и где это находится.

Учитывая некоторые из этих проблем, ниже мы приводим несколько советов по противодействию угрозе повышения привилегий со стороны ваших инсайдеров.

3 стратегии снижения риска от инсайдерских угроз, повышающих привилегии

1. Исправляйте, исправляйте и обязательно обновляйте заранее и часто

Один из самых давних советов, касающихся кибербезопасности, даже до внедрения многофакторной аутентификации (MFA), — это важность внесения исправлений в ваши программные системы.

В то время как уязвимости нулевого дня, подобные тем, которые использовались для нанесения ущерба иранским ядерным объектам или взлома iPhone, могут привлечь всю прессу, большинство хакеров используют известные уязвимости, которые публикуются для успешного проведения своих атак.

Хакеры обычно сталкиваются с этими уязвимостями одним из двух способов. Во-первых, они могут просматривать общедоступные уязвимости (CVE), которые публикуются корпорацией MITRE в интересах общественности. Во-вторых, что еще более неприятно, они могут просмотреть обновления программного обеспечения и попытаться выяснить, что было исправлено, а затем посмотреть, как это использовать. По этим и другим причинам обязательно установите исправление сразу после выхода новых версий.

В рамках процесса отчетности и публикации об уязвимостях компаниям, владеющим программным обеспечением, или, в случае программного обеспечения с открытым исходным кодом, руководителям проектов, обычно предоставляется 90-дневный период для устранения проблем в их продуктах, прежде чем информация станет общедоступной. Это балансирует между необходимостью подтолкнуть владельцев программного обеспечения к действию и пространством, необходимым для разработки исправления ошибки.

Однако вся их тяжелая работа сойдет на нет, если мы не будем использовать патчи, которые они выпускают. Это означает установку исправлений для CVE, выполнение требований «Вторника исправлений» и, как правило, обеспечение актуальности наших систем до последних версий.

Установка исправлений может быть огромной проблемой, и ни одна организация на самом деле не находится там, где она должна быть. Всегда на несколько шагов позади, надеясь, что они исправили самые важные системы.

Есть надежда, что переход в облако снимет ответственность за установку исправлений с конечных пользователей и переложит большую часть этой ответственности на поставщиков SaaS-решений. Однако обратите внимание, что это не тот случай, когда речь идет об облачной инфраструктуре (IaaS), такой как AWS, Azure и GCP, поэтому вашим командам ИТ и безопасности все равно придется быть в рабочем состоянии, чтобы оставаться в курсе этих систем в течение некоторого времени. .

2. Мониторинг аномального поведения

Если инсайдеру или кому-то, выдающему себя за него, удастся повысить свои привилегии для доступа к другим системам, чем обычно, это должно вызвать появление основных флагов. Если у вас есть мониторинг, чтобы это поймать, конечно.

Регистрация базового уровня нормальной активности с помощью инструментов анализа поведения пользователей является обязательным условием для выяснения случаев подозрительного поведения.

Преимущество здесь в том, что ваш мониторинг поведения выполняется в фоновом режиме и на него не влияют незаконные изменения их привилегий. Системы, к которым они прикасаются, или другие действия, которые они предпринимают, будут обнаружены, зарегистрированы и предупреждены, если они выходят за рамки того, что вы определили для них как нормальное.

Помимо функции оповещения, еще одним преимуществом мониторинга вашей среды является возможность использования при расследовании инцидентов. Одной из самых больших проблем при реагировании на инциденты является понимание того, какие системы пострадали и могут нуждаться в исправлении. Запись сеансов активности в чувствительных системах, привязанная к конкретному пользователю, может значительно сократить время, затрачиваемое на расследования.

3. Обучите своих сотрудников следовать правилам

Марк Цукерберг из Facebook популяризировал идею «Двигайся быстро и ломай вещи» как часть идеала стартапа, который привел компании к успеху. Хотя отказ от утомительного корпоративного мышления может принести много пользы, когда дело доходит до инноваций, есть некоторые преимущества, если придерживаться хотя бы некоторых рекомендаций.

Политика компании относительно того, какие виды программного обеспечения можно загружать на корпоративные машины и процессы утверждения, существует не просто так. Даже данная политика кажется скорее помехой, чем чем-то, что имеет большой смысл.

Лучший способ заставить людей следовать вашим правилам — это не столько кнуты, сколько привлечение их к участию, объясняя им, к каким потенциальным последствиям может привести нарушение правил.

В идеале избегайте смерти от Powerpoint и сделайте сеансы более интерактивными. Один из методов, который оказался более эффективным, состоит в том, чтобы распределить различные случаи нарушения политики и представить группе, как это происходило.

Это та же самая методология, которая используется в армии для преподавания материалов по безопасности жизни и смерти, и она действительно запоминается.

Непреднамеренно безрассудно, но не злонамеренно

Читая отчет, можно увидеть, что новости здесь не такие плохие, как может показаться.

Авторы отмечают, что 45% инцидентов, по-видимому, не вызваны злонамеренными инсайдерами, которые намереваются представлять угрозу. В некоторых инцидентах инсайдеры нарушают правила, чтобы иметь возможность загружать на машины организации программное обеспечение, которое им не положено, но по причинам, не наносящим вреда их работодателю.

Подумайте о том, как сотрудники обходят элементы управления, чтобы загрузить торренты или другое незаконное программное обеспечение на свои рабочие машины.

Возможно, одна из величайших историй, подобных этой, — это старая и всегда добрая история о рабочих Украинская атомная электростанция которые намеренно подключили свои автономные системы к Интернету с целью добычи криптовалюты. Это было еще до начала войны, но уже во время кампании российских хакеров, нацеленной на критически важную инфраструктуру Украины, так что это все еще была исключительно плохая идея.

С другой стороны, тот факт, что кто-то не намеревается причинить вред, не означает отсутствия нарушения. Согласно Отчет Verizon о расследовании утечек данных за 2023 год Различные ошибки по-прежнему составляют значительную часть ежегодной статистики утечек данных. А когда дело доходит до регуляторов, расследующих компании на предмет раскрытия контролируемых данных, таких как личные данные клиентов, их не особо волнует, было ли это действие злонамеренным или нет. Просто это произошло.

Надеемся, что, следуя лучшим практикам и обучая свою команду, вы сможете избежать необходимости объяснять неприятный инцидент моментом неверного суждения, а не актом недобросовестности.