Các mối đe dọa nội bộ đang ngày càng sử dụng các hoạt động khai thác leo thang đặc quyền

MỘT báo cáo được xuất bản vào cuối năm 2023 đã mô tả cách những người trong cuộc ngày càng sử dụng nhiều cách khai thác leo thang đặc quyền để thực hiện các hành động trái phép trên mạng của tổ chức họ.

Theo báo cáo từ Crowdstrike, 55% các mối đe dọa nội bộ được xác định đã sử dụng hoặc cố gắng sử dụng các hoạt động khai thác leo thang đặc quyền. Trong trường hợp nội bộ có ác ý, người ta quan sát thấy họ sử dụng các đặc quyền nâng cao của mình để sử dụng các bộ công cụ bổ sung như Metasploit, Cobalt Strike và các công cụ khác nhằm khai thác hệ thống.

Điều đáng chú ý là nghiên cứu tập trung vào các hệ thống tại chỗ và có thể không bao gồm dữ liệu được thu thập từ việc lạm dụng các ứng dụng đám mây.

Xem qua báo cáo của họ, phần lớn các lượt truy cập là trên hệ thống Windows và Linux. Điều đó cho thấy, trong các thông số nhất định, đây vẫn là một số phát hiện khá quan trọng đáng được các nhóm bảo mật chú ý khi chúng tôi hướng tới năm 2024. Nó có thể chỉ ra rằng các mối đe dọa nội bộ đang tìm ra những cách cải tiến mới để tấn công các hệ thống cốt lõi đồng thời vượt qua các biện pháp kiểm soát quan trọng.

Tại sao việc nâng cao đặc quyền lại quan trọng?

Nếu chúng tôi thực hiện đúng công việc của mình thì chúng tôi sẽ áp dụng các biện pháp kiểm soát nhằm xác định những gì nhân viên của chúng tôi có thể làm liên quan đến những hệ thống hoặc tài sản nào họ có thể truy cập. Đi sâu hơn một bước, chúng tôi không chỉ có thể kiểm soát những gì có thể được truy cập mà còn cả những gì ai đó có thể làm với nội dung đó.

Họ có thể đọc, viết, chỉnh sửa hoặc xóa nội dung không? Họ có thể thay đổi đặc quyền cho bản thân hoặc người khác không? Lỗ thỏ của các đặc quyền có thể xoắn ốc khá xa, nhưng nó có thể thực sự quan trọng đối với việc bảo mật dữ liệu của bạn.

Trong thế giới lý tưởng, mọi người dùng đều có chính xác mức độ truy cập và đặc quyền tối thiểu mà họ cần để thực hiện công việc của mình. Điều này được gọi là Nguyên tắc đặc quyền tối thiểu. Hầu như không thể hoàn hảo trong việc thực hiện đúng điều này, nhưng đó là mục tiêu cần hướng tới.

Vấn đề trở nên phức tạp là khi người dùng tìm cách nâng cao đặc quyền của họ từ những gì họ đã được cấp.

Nếu họ thành công, nghĩa là họ đã vượt ra khỏi ranh giới xác định về những gì họ được cho là có thể làm với hệ thống của chúng tôi. Chúng ta mất đi mức độ kiểm soát và trong trường hợp có kẻ đe dọa nội bộ, chúng ta phải đối mặt với một đối thủ khó nhằn có kiến thức sâu rộng về tài sản của chúng ta và cách tìm ra chúng.

Những thách thức đặt ra bởi các mối đe dọa nội bộ

Các sự cố nội bộ đã gia tăng đều đặn trong nhiều năm qua và xu hướng này dự kiến sẽ không thay đổi vào năm 2024. Điều này cực kỳ đáng lo ngại vì các mối đe dọa từ nội bộ theo nhiều cách gây ra nhiều khó khăn hơn so với kẻ tấn công bên ngoài.

Ngoài những tác động tiêu cực của chúng đối với tổ chức, làm suy yếu niềm tin từ khách hàng, đối tác và các bên liên quan nội bộ, chúng có thể rất khó phát hiện.

Một trong những thách thức đối với mối đe dọa nội bộ là người dùng này bắt đầu trò chơi với một loạt đặc quyền cho phép họ có chỗ đứng trong tổ chức. Về mặt nó, điều này có ý nghĩa. Nếu người đó là nhân viên thì bạn cần trao cho họ khả năng thực hiện công việc của mình. Điều này có nghĩa là truy cập vào các hệ thống và dữ liệu thích hợp để trở thành một nhân viên hiệu quả.

Thách thức thứ hai là việc di chuyển của nhân viên trong hệ thống của tổ chức sẽ được coi là bình thường và khó có thể gây ra bất kỳ hồi chuông cảnh báo nào trừ khi họ đi quá xa so với quy định. Về mặt thực tế, khả năng người trong cuộc chạm vào một trong các honeypot của bạn là khá thấp vì họ đã biết chính xác những gì họ muốn truy cập và vị trí của nó.

Vì vậy, trước một số thách thức này, dưới đây chúng tôi có một số mẹo để chống lại mối đe dọa leo thang đặc quyền từ người trong cuộc của bạn.

3 chiến lược để giảm thiểu rủi ro từ các mối đe dọa nội bộ

1. Vá, vá và chắc chắn vá sớm và thường xuyên

Một trong những lời khuyên lâu đời nhất khi nói đến an ninh mạng, thậm chí trước cả việc triển khai xác thực đa yếu tố (MFA), là tầm quan trọng của việc vá hệ thống phần mềm của bạn.

Trong khi các lỗ hổng zero day như lỗ hổng được sử dụng để phá hủy các cơ sở hạt nhân của Iran hoặc hack iPhone có thể được báo chí nhắc đến nhiều, thì hầu hết các tin tặc đều sử dụng các lỗ hổng đã biết được công bố rộng rãi để thực hiện thành công các cuộc tấn công của chúng.

Tin tặc gặp phải những lỗ hổng này thường theo một trong hai cách. Đầu tiên là họ có thể xem xét các lỗ hổng có sẵn công khai (CVE) do MITER Corporation công bố vì lợi ích của công chúng. Thứ hai, và khó chịu hơn, họ có thể xem các bản cập nhật phần mềm và cố gắng tìm ra những gì đã được sửa, sau đó xem cách khai thác nó. Vì những lý do này và hơn thế nữa, hãy nhớ vá lỗi sớm sau khi có phiên bản mới.

Là một phần của quy trình xuất bản và báo cáo lỗ hổng, các công ty sở hữu phần mềm hoặc trong trường hợp phần mềm nguồn mở là người quản lý dự án, thường có thời hạn 90 ngày để khắc phục sự cố trong sản phẩm của họ trước khi thông tin được công khai. Điều này cân bằng giữa nhu cầu thúc đẩy các chủ sở hữu phần mềm này hành động với không gian họ cần để phát triển bản sửa lỗi.

Tuy nhiên, mọi công sức của họ sẽ trở nên vô ích nếu chúng ta không sử dụng các bản vá mà họ phát hành. Điều này có nghĩa là triển khai các bản vá cho CVE, xem xét các yêu cầu cần thiết của Bản vá thứ ba và nói chung là đảm bảo rằng hệ thống của chúng tôi được cập nhật với các phiên bản mới nhất.

Việc vá lỗi có thể là một công việc khó khăn và không có tổ chức nào thực sự phù hợp với việc này. Luôn đi sau một vài chân, hy vọng rằng họ đã vá được những hệ thống quan trọng nhất của mình.

Hy vọng rằng việc chuyển sang đám mây sẽ loại bỏ trách nhiệm vá lỗi của người dùng cuối và chuyển nhiều trách nhiệm hơn cho các nhà cung cấp giải pháp SaaS. Tuy nhiên, xin lưu ý rằng điều này không xảy ra khi nói đến cơ sở hạ tầng đám mây (IaaS) như AWS, Azure và GCP, vì vậy các nhóm CNTT và Bảo mật của bạn sẽ vẫn cần thiết lập và hoạt động để luôn cập nhật trên các hệ thống này trong một thời gian tới .

2. Giám sát hành vi bất thường

Nếu một người trong cuộc hoặc ai đó giả vờ cố gắng nâng cao đặc quyền của họ để truy cập vào các hệ thống khác với mức bình thường, thì điều này sẽ gây ra những cảnh báo lớn. Tất nhiên là nếu bạn có sự giám sát tại chỗ để nắm bắt được nó.

Việc nắm bắt thông tin cơ bản về hoạt động bình thường bằng các công cụ Phân tích hành vi người dùng là điều bắt buộc để tìm ra khi nào hành vi đáng ngờ đang diễn ra.

Ưu điểm ở đây là tính năng giám sát hành vi của bạn chạy ở chế độ nền và sẽ không bị ảnh hưởng bởi những thay đổi bất hợp pháp đối với đặc quyền của họ. Các hệ thống mà họ chạm vào hoặc các hành động khác mà họ thực hiện sẽ được chọn, ghi lại và cảnh báo nếu chúng đi chệch khỏi giới hạn mà bạn đã xác định là bình thường đối với chúng.

Ngoài tính năng cảnh báo, lợi ích khác của việc giám sát môi trường của bạn là sử dụng trong các cuộc điều tra sau khi xảy ra sự cố. Một trong những thách thức lớn nhất trong ứng phó sự cố là hiểu được hệ thống nào bị ảnh hưởng và có thể cần khắc phục. Việc ghi lại phiên hoạt động trong các hệ thống nhạy cảm gắn liền với một người dùng cụ thể có thể cắt giảm đáng kể thời gian dành cho việc điều tra.

3. Giáo dục lực lượng lao động của bạn về việc tuân thủ các quy tắc

Mark Zuckerberg của Facebook đã phổ biến ý tưởng “Di chuyển nhanh chóng và phá vỡ mọi thứ” như một phần đặc tính khởi nghiệp đã đưa các công ty đến thành công. Mặc dù việc thoát ra khỏi tư duy công ty cứng nhắc có thể mang lại nhiều lợi ích khi nói đến đổi mới, nhưng việc tuân thủ ít nhất một số nguyên tắc cũng có một số lợi ích.

Chính sách của công ty về loại phần mềm nào có thể được tải xuống máy của doanh nghiệp và quy trình phê duyệt là có lý do. Ngay cả một chính sách nhất định cũng có vẻ giống như một trở ngại hơn là một điều gì đó thực sự có ý nghĩa.

Cách tốt nhất để khiến mọi người tuân theo các quy tắc của bạn là ít sử dụng gậy mà tập trung hơn vào việc thuyết phục họ tham gia bằng cách giải thích cho họ tác động tiềm ẩn của việc vi phạm quy tắc có thể dẫn đến.

Lý tưởng nhất là tránh cái chết của Powerpoint và làm cho các buổi học trở nên tương tác hơn một chút. Một phương pháp đã được chứng minh là hiệu quả hơn là chỉ định các trường hợp chính sách bị vi phạm khác nhau và trình bày cho nhóm của họ xem nó diễn ra như thế nào.

Đây cũng là phương pháp tương tự được sử dụng trong quân đội để giảng dạy tài liệu về an toàn sinh tử và nó thực sự in sâu vào trí nhớ của bạn.

Vô tình liều lĩnh nhưng không ác ý

Đọc qua bản báo cáo, tin tức ở đây thực sự không tệ như người ta tưởng.

Các tác giả lưu ý rằng 45% sự cố dường như không phải do những người trong cuộc có ý định đe dọa gây ra. Một số sự cố liên quan đến việc những người trong nội bộ vi phạm các quy tắc để họ có thể tải phần mềm xuống máy của tổ chức mà họ không được phép làm vậy, nhưng vì những lý do khác ngoài việc gây hại cho chủ nhân của họ.

Hãy nghĩ đến việc nhân viên lách các biện pháp kiểm soát để họ có thể tải torrent hoặc phần mềm bất hợp pháp khác xuống máy làm việc của họ.

Có lẽ một trong những câu chuyện hay nhất như thế này là câu chuyện cổ xưa và luôn tốt đẹp về những người công nhân tại một công ty. nhà máy điện hạt nhân Ukraine những người đã cố tình kết nối hệ thống ngoại tuyến của họ với internet nhằm mục đích khai thác tiền điện tử. Đây là trước khi chiến tranh bùng nổ, nhưng nằm trong chiến dịch của tin tặc Nga nhắm vào cơ sở hạ tầng quan trọng của Ukraine, vì vậy đây vẫn là một ý tưởng cực kỳ tồi tệ.

Mặt khác, chỉ vì ai đó không có ý định gây hại không có nghĩa là không có lỗi. Theo Báo cáo điều tra vi phạm dữ liệu của Verizon năm 2023 , Các lỗi khác tiếp tục chiếm một phần đáng kể trong số liệu thống kê vi phạm dữ liệu hàng năm. Và khi các cơ quan quản lý điều tra các công ty tiết lộ dữ liệu được kiểm soát như PII của khách hàng, họ không quan tâm lắm liệu hành động đó có độc hại hay không. Chỉ là nó đã xảy ra thôi.

Hy vọng rằng bằng cách làm theo các phương pháp hay nhất và giáo dục nhóm của mình, bạn có thể tránh phải giải thích một sự cố tồi tệ là một khoảnh khắc phán xét sai trái chứ không phải là một hành động thiếu thiện ý hoàn toàn.