Attacco di escalation dei privilegi

10 febbraio 2022 | Cybrary

Proteggi il tuo business con CyberHoot oggi stesso!!!

Attacchi di escalation dei privilegi Si verificano quando gli aggressori acquisiscono l'accesso a diritti (amministrativi) elevati, o privilegi, superiori a quelli di un semplice utente senza privilegi. L'escalation dei privilegi aumenta progressivamente l'accesso di un hacker a un sistema informatico sfruttando le vulnerabilità di sicurezza intrinseche. Gli attacchi di escalation dei privilegi sono classificati in attacchi orizzontali e verticali in base alla strategia e all'obiettivo dell'attacco. Gli attacchi di escalation dei privilegi possono anche avere obiettivi generali, come un intero sistema o una rete, ma l'attacco può anche essere più mirato, come un particolare utente o una specifica applicazione.

Attacco di escalation dei privilegi orizzontali

L'escalation orizzontale dei privilegi prevede che l'aggressore ottenga l'accesso a un account utente e ne aumenti i permessi. Questo tipo di escalation dei privilegi è in genere più impegnativo, poiché richiede una maggiore comprensione delle vulnerabilità del sistema e un maggiore utilizzo di strumenti di hacking. Gli aggressori spesso utilizzano campagne di phishing per eseguire il primo passo per ottenere l'accesso a un account.

Sono disponibili diverse opzioni per elevare i permessi nell'escalation orizzontale dei privilegi. Sfruttare le vulnerabilità del sistema operativo (SO) è uno dei metodi più comuni per ottenere l'accesso di livello root utilizzando un semplice account utente senza privilegi per accedere o invocare un exploit per questo tipo di attacco di escalation orizzontale dei privilegi.

Attacco di escalation dei privilegi verticali

L'escalation verticale dei privilegi si verifica quando gli aggressori ottengono l'accesso diretto a un account che dispone già dei privilegi necessari per raggiungere il loro obiettivo. Questo tipo di escalation dei privilegi è più facile da eseguire poiché non richiede ulteriori passaggi. In questo caso, l'attacco si concentra sull'identificazione di un account con i privilegi necessari e sull'ottenimento dell'accesso a tale account. Autenticazione a più fattori può rappresentare una difesa fondamentale contro gli attacchi di escalation verticale dei privilegi basati sul furto e l'abuso di account o credenziali.

Cosa significa questo per una PMI?

Le PMI devono adottare misure proattive per proteggersi dagli hacker e accidentale or minacce interne dannose presso la tua azienda.

Segui il privilegio minimo (rinuncia ai diritti di amministratore dell'utente)

L'implementazione di principio del privilegio minimo rimuovendo Diritti di amministratore da ogni dipendente è un passo fondamentale. Può fare la differenza tra un importante ransomware incidente di compromesso e nessun incidente.

Quando un dipendente viene indotto da un hacker a scaricare ed eseguire malware sul proprio computer, la mancanza di diritti amministrativi dovrebbe impedire l'installazione del malware. Questa mancanza di diritti di accesso al sistema informatico locale potrebbe impedire al malware di crittografare i file dell'utente e i file a cui può accedere sui file server di rete.

Stabilire solidi processi di gestione delle patch e delle vulnerabilità

Un'altra importante misura di protezione è l'implementazione di solidi processi di gestione delle patch e delle vulnerabilità. Aggiornare automaticamente e regolarmente (almeno una volta al mese) i sistemi e le applicazioni non aggiornati. È possibile implementare una soluzione di gestione delle patch basata su cloud per aggiornare automaticamente il software quando e dove necessario. La maggior parte dei Managed Service Provider sfrutta uno dei tre principali provider. Monitoraggio e gestione remoti (RMM) soluzioni (ConnectWise, Dattoe Cassiere) per l'applicazione delle patch ai sistemi gestiti. Queste soluzioni RMM forniscono anche monitoraggio e accesso remoto, oltre a servizi di patching testati e convalidati ai propri clienti.

Le soluzioni di gestione delle patch autonome per le aziende che non utilizzano le soluzioni RMM sopra menzionate includono ManageEngine, Automoxe Mosile.

Ulteriori raccomandazioni sulla sicurezza informatica

Inoltre, i consigli riportati di seguito aiuteranno te e la tua azienda a rimanere al sicuro dalle varie minacce a cui potresti andare incontro quotidianamente. Tutti i suggerimenti elencati di seguito possono essere ottenuti assumendo i servizi vCISO di CyberHoot.

Gestisci i dipendenti con policy e procedure. Sono necessari almeno una policy sulle password, una policy di utilizzo accettabile, una policy sulla gestione delle informazioni e un programma di sicurezza delle informazioni (WISP) scritto.
Formare i dipendenti su come individuare ed evitare attacchi di phishingAdotta un sistema di gestione dell'apprendimento come CyberHoot per insegnare ai dipendenti le competenze di cui hanno bisogno per essere più sicuri, produttivi e protetti.
Testare i dipendenti con attacchi di phishing per fare pratica. I test di phishing di CyberHoot consentono alle aziende di testare i dipendenti con attacchi di phishing credibili e di sottoporre coloro che non superano il test a un corso di formazione sul phishing correttivo.
Distribuire tecnologie di sicurezza informatica critiche, tra cui autenticazione a due fattori su tutti gli account critici. Abilita il filtro antispam, convalida i backup, implementa la protezione DNS, antiviruse anti-malware su tutti i tuoi endpoint.
Nell'era moderna del lavoro da casa, assicurati di gestire i dispositivi personali che si connettono alla tua rete convalidandone la sicurezza (applicazione di patch, antivirus, protezioni DNS, ecc.) o vietandone completamente l'uso.
Se non avete effettuato una valutazione del rischio da una terza parte negli ultimi due anni, dovreste farlo ora. Definire un framework di gestione del rischio nella vostra organizzazione è fondamentale per affrontare i rischi più gravi con il tempo e il denaro limitati a disposizione.
Acquista un'assicurazione informatica per proteggerti in caso di guasto catastrofico. L'assicurazione informatica non è diversa dalle assicurazioni auto, incendio, alluvione o vita. È al tuo fianco quando ne hai più bisogno.

Tutte queste raccomandazioni sono integrate nel prodotto CyberHoot o nei servizi vCISO di CyberHoot. Con CyberHoot puoi gestire, formare, valutare e testare i tuoi dipendenti. Visita CyberHoot.com e iscriviti oggi stesso ai nostri servizi. Come minimo, continua a imparare iscrivendoti al nostro abbonamento mensile. Newsletter sulla sicurezza informatica per rimanere aggiornati sugli ultimi aggiornamenti in materia di sicurezza informatica.

Per saperne di più sugli attacchi di escalation dei privilegi, guarda questo breve video di 3 minuti:

Fonti:

Sicurezza del Team Rosso

Oltre la fiducia

Termini correlati:

Privilegio minimo

Diritti di amministratore

CyberHoot offre anche altre risorse a tua disposizione. Di seguito trovi i link a tutte le nostre risorse, sentiti libero di consultarle quando vuoi:

Blog
Cybrary (Biblioteca informatica)
Infografica
Newsletter
Comunicati stampa
Video didattici (HowTo) – molto utile per i nostri SuperUser!

Nota: se desideri iscriverti alla nostra newsletter, visita uno dei link qui sopra (oltre all'infografica) e inserisci il tuo indirizzo email sul lato destro della pagina, quindi clicca su ''Inviami le newsletter'.

Gli ultimi blog

Rimani aggiornato con le ultime novità informazioni sulla sicurezza

Scopri e condividi le ultime tendenze, i suggerimenti e le best practice in materia di sicurezza informatica, oltre alle nuove minacce a cui prestare attenzione.