对于各类数字化应用系统而言,都需要依靠访问权限来限制用户和设备对系统进行设置和应用。因此,访问权限是一个非常重要的安全特性,它们决定了用户可以与应用系统及其相关资源进行交互的程度。而那些具有广泛系统控制能力的管理员账号或根权限账号,则被称为特权访问账号。随着网络威胁态势的不断发展,企业的特权账号正在成为攻击者的重点攻击目标。
为了远离恶意特权攻击,企业首先有必要了解攻击者会使用什么策略来实现特权攻击。实际上这很困难,因为攻击者常常结合不同的技术来逃避安全检测,并在受害企业的网络中横向移动。以下收集整理了8种较常见却又很危险的特权攻击路径,并给出了相应的防护建议可供参考。
1.恶意软件
恶意软件是一个统称,指攻击者可能试图安装到系统上的众多感染和病毒,包括间谍软件、广告软件、病毒和勒索软件等。在大多数的情况下,安装恶意软件需要更高的权限,这就是特权账户存在如此大风险的关键原因。
当前,恶意软件攻击最典型的例子是勒索软件。获取赎金通常是勒索软件攻击的最终目标。但是攻击者首先需要使用本文介绍的其他策略和方法来获得成功安装勒索软件所需的特权。恶意软件的其他事例还包括监视或侦察软件,这帮助黑客识别安全弱点,比如未修补的漏洞或活动内存中的密码。
防护建议
- 定期安装防病毒软件和软件更新。
- 实施最小特权原则,缩小可能的攻击面。
- 使用持续监控工具检测可疑的特权账号活动。
2.系统漏洞
漏洞是攻击者最广泛使用的策略之一。他们可以利用这些代码错误来获得访问权限、提升特权或执行攻击。这也是攻击闯入组织系统的初始立足点。漏洞有多种形式,包括错误配置、不安全代码、糟糕的API或其他各种安全性问题。为了利用漏洞,黑客必须使用漏洞利用代码或工具。一旦得逞,就可以实施SQL注入、特权提升、远程代码执行、拒绝服务和信息泄露等攻击。
防护建议
- 使用漏洞扫描器识别未修补的漏洞。
- 使用CVSS分数和组织的内部定性数据,按严重程度对漏洞分类。
- 尽快修补最严重的漏洞。组织通常不会有足够的资源来修补所有漏洞,所以合理利用资源很重要。
3.网络钓鱼和社会工程
网络钓鱼指诱骗最终用户泄露敏感信息(通常是登录凭据)的一系列策略。攻击者通常已经获得了电子邮件地址或电话号码,然后他们向目标发送看似正规的信息,诱使他们点击链接或填写资料。
网络钓鱼常用作闯入IT环境的渠道。成功的网络钓鱼攻击通常不会被最终用户及其组织发现,这为黑客分析系统和横向移动创造了条件。在某些情况下,攻击的目的也可能是为了布置更复杂的网络钓鱼骗局,尤其是当黑客企图窃取敏感信息、个人资料或知识产权时。
防护建议
- 加强用户培训,以便员工发现警告信号。
- 使用最新的网络安全工具(比如SIEM平台)来检测异常行为,如可疑的电子邮件和链接。
- 打上最新的安全补丁,因为黑客可能利用过时的安全补丁执行成功的网络钓鱼攻击。
- 安装多因素身份验证机制,以加强防御。
4.供应链攻击
供应链攻击正成为一种越来越普遍的手法。攻击者通过利用第三方供应商、合作伙伴或供应商来攻击组织,这其中也需要借助某种形式的特权访问来实现。现代企业对自身的安全性建设已经高度重视,但对第三方的安全性常常缺乏了解和控制,因此这成为备受黑客关注的一个安全防护薄弱环节。黑客们可以通过各种商业软件产品获得被泄露的特权访问权限,随后进而伺机闯入受害者客户的IT环境。
防护建议
- 对第三方账户和服务账户以及内部员工运用最小权限。
- 签署协议为所有第三方供应商、合作伙伴和供货商明确具体的安全要求。
5.错误配置
错误配置往往很难定义,因为它们涉及一系列不同的问题和挑战。从本质上讲,使黑客更容易攻击和访问组织IT环境的现有IT策略和配置实践都可以被认为是错误配置。下面是几种典型的错误配置及相应的解决办法:
(1)出现在软件、服务器、物联网设备等系统的代码中的硬编码凭据。
防护建议
使用现代PAM软件来识别硬编码凭据,然后将它们换成可以加密、保存、转换的密码。
(2)使用空白或默认密码,因而更容易被蛮力破解方法猜中。
防护建议
实施严格的策略,要求密码具有独特性、复杂性、定期轮换。
(3)特权过高的用户和服务账户为黑客创建了广泛的攻击面,便于攻击和横向移动。
防护建议
实施最小权限原则,并定期检查用户账户和服务账户中是否存在不必要的权限。
(4)缺乏密码轮换或即时访问使密码更容易被猜中,一旦黑客成功登录,毫无屏障可言。
防护建议
实施密码轮换和及时访问机制,这样被盗的密码变得无用,仍可以锁定泄密的账户。
(5)账户共享使黑客更容易获得访问权限,因为密码常存储在消息、邮件或其他不安全的介质中
防护建议
- 严格限制账户共享使用;
- 如果使用共享账户,应通过安全的数字令牌或密码库授予访问权限;
- 共享账户密码对最终用户应该是不可见的。
(6)对特权账户缺乏多因素身份验证也会使黑客更方便,因为他们在获得访问权限之前要克服的障碍更少。
防护建议
对所有特权账户统一实施MFA,最好对所有其他账户也实施MFA。这确保了组织在密码泄露后拥有多一层防御。
(7)针对文件、文件夹和本地设备的松散或薄弱的访问控制也会加大攻击面。这是由于糟糕的访问策略实际上创建了更多的账户,攻击者可以通过这些账户访问敏感信息。
防护建议
实施可靠的身份和访问管理(IAM)策略,以便只能由尽可能少的人查看敏感信息。
(8)不安全的协议(比如HTTP或SSL)也会使组织易受攻击。黑客可以利用这些协议的详细信息来捕获、分析、修改或窃取数据,常常是在数据从客户端传输到服务器时。这有时可能包括未加密的登录信息。
防护建议
始终使用最新的协议,避免与未做到这点的第三方软件供应商合作。
(9)缺乏实时监控也会使渗入到环境中的黑客更容易逃避检测。实时监控技术可以帮助组织通过异常分析来发现可疑活动,因为黑客的活动往往非常特殊。
防护建议
实施实时监控机制,以便在造成危害之前发现并阻止可疑行为。
(10)服务账户缺少PAM控制会给黑客提供进一步的访问渠道。机器身份(比如RPA工作流、物联网设备和应用程序)常常需要访问权限,才能执行自动化功能。黑客可以利用这些账户获得访问权限。
防护建议
部署合适的特权账号管理解决方案,并实施最小特权原则。
6.凭据利用
凭据利用是指黑客用来获取登录凭据的一系列手法和策略。登录凭据可能包括明文密码、密码散列、数字令牌、API密钥、SSH密钥或更多信息。
暴力猜测:黑客不断猜测,直到猜中为止。在这种情况下,密码通常容易猜到,比如“Password1”、“1234”或用户的出生日期。糟糕的密码轮换和密码强度策略让黑客更容易猜中密码。
密码喷洒:类似暴力猜测,但攻击面更广。攻击者可能企图通过在多个账户中尝试几个常用密码来获得访问权限。许多攻击者使用机器人程序快速自动地完成这项工作。
传递哈希:哈希是一串加密的字符,可以代替实际的密码对用户进行身份验证。黑客常可以从活动内存中提取这些哈希,无需知道它替代的明文密码即可获得访问权限。
密码抓取:与传递哈希相似,攻击者扫描IT环境以获取明文密码。这些密码可能存储在活动内存中,也可能存在于应用程序的源代码中。
击键记录:攻击者还可能使用击键记录软件来记录用户键入的内容,包括密码。攻击者可以安装这种恶意软件,为横向移动提供便利。
数据泄露:有时可以在暗网上买到明文密码,让黑客直接访问账户。
中间人攻击:当数据在服务器和客户端设备之间移动时,黑客通常利用不安全的连接来访问数据。不安全协议就是一个常见的例子。
在几乎所有上述情况下,黑客通常先试图访问网络环境,或者在获得访问权限后横向移动。这些技术可以用来渗入并获取特权账户。
防护建议
- 创建可靠的策略,以确保密码是独特的、强大的,并定期更换。
- 实施多因素认证技术,那样黑客需要克服另一道屏障才能获得访问权限。
- 尽可能使用无密码技术,包括单点登录、密码保管和加密。这可以确保最终用户不需要看到明文密码,而是可以通过MFA、单点登录、数字令牌或密码库进行身份验证。
7.SQL注入
当黑客将恶意SQL代码注入数据库或服务器时,就会发生SQL攻击,黑客因此能够查看、修改或删除数据库中的信息,或者在某些情况下在服务器上执行命令。SQL注入既可能是攻击的最终目的,也可能是用于帮助更广泛的攻击策略的一种方法。黑客常通过网页或应用程序中的漏洞实现SQL注入。
防护建议
- 运用最小权限以缩小攻击面。
- 使用能够实时阻止SQL注入的防火墙。
- 使用数据库加密,这样信息不容易被访问和窃取。
- 用参数化查询和预定义语句替换SQL查询。
8.拒绝服务攻击
拒绝服务攻击(DoS)旨在通过向攻击目标发送大量互联网流量来关闭正常运营的系统、服务或网络。攻击目标常常可能是某个网站、服务器、客户应用程序或其他关键任务系统。分布式拒绝服务(DDoS)攻击的目的一样,但黑客会从不同的系统或地方发动统一协调的攻击,以掩盖攻击,尽量造成最大的潜在损害。
防护建议
- 可以通过限制来自任何端点、设备或IP地址的流量来避免DoS攻击。
- 实施速率限制措施拒绝无法处理的流量。
- 实施网络分段,并安装防火墙,阻止攻击范围扩大。
- 结合使用现代技术和实时异常检测,以识别和动态阻止可疑活动。
参考链接:
https://heimdalsecurity.com/blog/privileged-attack-vectors/。