内部威胁越来越多地利用权限升级漏洞

A 报告2023 年末发布的文章描述了内部人员如何越来越多地使用权限升级漏洞，以便在其组织的网络上执行未经授权的操作。

根据 Crowdstrike 的报告，55% 的已识别内部威胁使用或试图使用权限升级漏洞。在内部人员恶意的情况下，我们会观察到他们使用提升的权限来使用额外的工具包，例如 Metasploit、Cobalt Strike 和其他用于利用系统的工具。

值得注意的是，该研究主要针对本地系统，可能不包括从滥用云应用程序中收集的数据。

仔细阅读他们的报告，绝大多数点击都发生在 Windows 和 Linux 系统上。也就是说，在给定的参数范围内，这些仍然是一些相当重要的发现，值得安全团队在 2024 年前进时予以关注。这可能表明内部威胁正在寻找新的创新方法来攻击核心系统，同时规避重要的控制。

为什么权限升级很重要？

如果我们的工作做得好，那么我们就会实施控制措施，定义我们的员工能够做什么，以及他们可以访问哪些系统或资产。更深入地说，我们不仅可以控制可以访问的内容，还可以控制某人可以使用该资产做什么。

他们可以读取、写入、编辑或删除资产吗？他们可以改变自己或他人的特权吗？特权的兔子洞可能会螺旋式上升很远，但它对于您的数据安全来说非常重要。

在理想的世界中，每个用户都拥有完成工作所需的最低级别的访问权限和特权。这被称为最小特权原则。要完美地做到这一点几乎是不可能的，但这是我们的目标。

棘手的是，当用户找到方法从他们所配置的权限中升级他们的权限时。

如果他们成功了，那么他们就突破了他们应该能够用我们的系统做的事情的界限。我们失去了一定程度的控制权，就内部威胁行为者而言，我们面临着一个棘手的对手，他对我们的资产以及如何找到它们有深入的了解。

内部威胁带来的挑战

过去几年，内部事件一直在稳步增加，预计这一趋势在 2024 年不会改变。这一点非常令人担忧，因为内部威胁在很多方面比外部攻击者带来更多困难。

除了对组织产生负面影响、破坏客户、合作伙伴和内部利益相关者的信任之外，它们还很难被发现。

内部威胁面临的挑战之一是，该用户以一组允许他们在组织内立足的权限开始游戏。从表面上看，这是有道理的。如果此人是雇员，那么您需要赋予他们完成工作的能力。这意味着访问适当的系统和数据才能成为一名高效的员工。

第二个挑战是，员工在组织系统内的移动将被视为正常，并且不太可能引起任何警钟，除非他们偏离预定太远。实际上，内部人员接触您的蜜罐之一的可能性非常低，因为他们已经确切地知道他们想要访问的内容及其位置。

因此，鉴于其中一些挑战，我们在下面提供了一些应对来自内部人员的特权升级威胁的提示。

降低内部威胁风险的 3 种策略

1. 打补丁，打补丁，一定要尽早且经常打补丁

在网络安全方面，最古老的建议之一（甚至早于实施多重身份验证 (MFA)）就是修补软件系统的重要性。

虽然用于破坏伊朗核设施或破解 iPhone 等零日漏洞可能会引起所有媒体的关注，但大多数黑客利用向公众发布的已知漏洞来成功实施攻击。

黑客通常通过以下两种方式之一发现这些漏洞。首先，他们能够查看 MITRE Corporation 为公众利益而发布的公开漏洞 (CVE)。其次，更令人烦恼的是，他们可以查看软件更新并尝试找出已修复的内容，然后了解如何利用它。出于这些原因以及其他原因，请务必在新版本可用后立即修补。

作为漏洞报告和发布流程的一部分，拥有该软件的公司，或者在开源软件的情况下，项目经理，通常会在信息公开之前有 90 天的时间来修复其产品中的问题。这在推动这些软件所有者采取行动的需要与开发错误修复程序所需的空间之间取得了平衡。

然而，如果我们不使用他们发布的补丁，他们所有的辛勤工作都会化为泡影。这意味着实施 CVE 补丁，完成周二补丁日的必要性，并通常确保我们的系统是最新版本。

修补可能会带来巨大的痛苦，而且没有任何组织真正应该参与其中。总是落后几条腿，希望他们已经修补了最关键的系统。

希望迁移到云能够消除最终用户的修补责任，并将更多责任推给提供 SaaS 解决方案的供应商。但请注意，对于 AWS、Azure 和 GCP 等云基础设施 (IaaS) 而言，情况并非如此，因此您的 IT 和安全团队仍需要启动并运行，以便在未来一段时间内保持这些系统的最新状态。

2. 监控异常行为

如果内部人员或冒充内部人员的人设法提升权限以访问与平常不同的系统，这应该会引起重大关注。当然，如果您有适当的监控来捕获它。

为了找出可疑行为何时发生，必须使用用户行为分析工具捕获正常活动的基线。

这样做的优点是您对行为的监控在后台运行，并且不会受到权限非法更改的影响。如果他们接触的系统或他们采取的其他操作偏离了您定义的正常范围，我们将对其进行记录、记录和警报。

除了警报功能之外，监控环境的另一个好处是可用于事件发生后的调查。事件响应的最大挑战之一是了解哪些系统受到影响并且可能需要修复。对与特定用户相关的敏感系统中的活动进行会话记录可以显着减少调查时间。

3. 教育您的员工遵守规则

Facebook 的马克·扎克伯格推广了“快速行动，打破常规”的理念，作为推动公司取得成功的创业精神的一部分。虽然在创新方面打破僵化的企业思维方式可以带来很多好处，但至少遵守某些指导方针也有一些好处。

关于哪些类型的软件可以下载到企业计算机以及审批流程的公司政策是有原因的。即使是一项特定的政策，看起来也更像是一种障碍，而不是有意义的事情。

让员工遵守规则的最佳方法不是大棒，而是通过向他们解释违反规则可能导致的潜在影响来让他们参与进来。

理想情况下，可以避免因 Powerpoint 导致死亡，并使会议更具互动性。一种已被证明更有效的方法是分配不同的政策被破坏的案例，并向他们的小组展示其结果如何。

这也与军队中用于教授生死安全材料的方法相同，并且它确实会留在您的记忆中。

无意鲁莽但并非恶意

通读这份报告，这里的消息并不像看起来那么糟糕。

作者指出，45% 的事件似乎并不是由意图构成威胁的恶意内部人员造成的。其中一些事件涉及内部人员违反规则，以便他们可以将不应该下载的软件下载到组织的计算机上，但出于除伤害雇主之外的其他原因。

想象一下员工绕过控制，以便将种子或其他非法软件下载到他们的工作机器上。

也许像这样最伟大的故事之一就是关于工人的古老而总是美好的故事。 乌克兰核电站他们将故意离线的系统连接到互联网，以挖掘加密货币。这是在战争爆发之前，但俄罗斯黑客针对乌克兰关键基础设施发起的攻击已经很晚了，所以这仍然是一个非常糟糕的主意。

另一方面，仅仅因为某人无意造成伤害并不意味着没有犯规。根据2023 年 Verizon 数据泄露调查报告、杂项错误仍然占年度数据泄露统计数据的很大一部分。当监管机构调查公司泄露客户 PII 等受控数据时，他们不太关心该行为是否是恶意的。只是它发生了。

希望通过遵循最佳实践并教育您的团队，您可以避免将不良事件解释为错误判断与恶意行为的时刻。