2022-10-22 00:43 Doba čtení: 19 min
Aplikace a software

Útoky na eskalaci privilegií, techniky a nástroje prevence

Útoky eskalace privilegii a jak se jim bránit

Eskalace privilegii je typ útoku, kdy škodliví aktéři zneužívají slabiny v konfiguraci, softwaru, zabezpečení hesel a další zranitelnosti. Tímto způsobem se neoprávněně dostávají k citlivým datům a systémům.

Útočník obvykle začíná tím, že získá přístup k účtu s minimálními právy. Po úspěšném přihlášení se snaží prozkoumat systém a najít další slabá místa, která by mohl zneužít. Následně využije získané vyšší oprávnění k vydávání se za legitimního uživatele, získává přístup k důležitým zdrojům a vykonává akce, které by jinak nebyly možné.

Rozlišujeme dva základní typy eskalace privilegii – vertikální a horizontální.

Při vertikální eskalaci útočník získá přístup k účtu a pod tímto účtem provádí další škodlivé aktivity. U horizontální eskalace se útočník nejprve dostane k jednomu nebo více účtům s omezenými právy a následně napadne systém, aby získal administrátorská práva.

Získání administrátorských práv útočníkům umožňuje vykonávat neautorizované akce, jako je instalace malwaru, změny v nastavení zabezpečení, krádeže dat nebo vytvoření zadních vrátek pro budoucí zneužití systému.

Stejně jako u jiných kybernetických útoků, i eskalace privilegii využívá zranitelnosti v systémech, sítích, službách a aplikacích. Prevence je možná pomocí kombinace kvalitních bezpečnostních postupů a vhodných nástrojů. Organizace by měly implementovat řešení, která jsou schopna skenovat, odhalovat a předcházet potenciálním hrozbám a zranitelnostem.

Osvědčené postupy pro prevenci útoků eskalace privilegii

Je klíčové chránit veškeré kritické systémy a data, včetně těch, které se útočníkům mohou zdát neatraktivní. Útočník potřebuje jen jediný vstupní bod do systému. Jakmile se dostane dovnitř, může hledat další zranitelnosti, které by mu umožnily získat vyšší oprávnění. Stejně důležité jako obrana proti vnějším hrozbám je i prevence interních útoků.

Přestože konkrétní bezpečnostní opatření se mohou lišit v závislosti na systémech, sítích a dalších faktorech, uvádíme několik technik, které organizace mohou použít k zabezpečení své infrastruktury.

Ochrana a skenování sítí, systémů a aplikací

Kromě bezpečnostního řešení v reálném čase je důležité pravidelně prověřovat všechny komponenty IT infrastruktury, zda neobsahují zranitelnosti, které by mohly umožnit proniknutí nových hrozeb. K tomu lze využít skenery zranitelnosti, které pomáhají odhalit neopravené operační systémy a aplikace, chybné konfigurace, slabá hesla a další slabá místa, která útočníci mohou zneužít.

I když je možné použít různé skenery ke zjištění slabin v zastaralém softwaru, aktualizace všech systémů nemusí být vždy proveditelná. Zvláště problematické je to u starších systémů nebo rozsáhlých výrobních linek.

V takových případech je vhodné nasadit další vrstvy zabezpečení, jako jsou například firewally webových aplikací (WAF), které detekují a blokují škodlivý provoz na úrovni sítě. WAF může chránit i zastaralé a neopravené systémy.

Správná správa účtů s privilegii

Klíčová je správa privilegovaných účtů, zajištění jejich zabezpečení a dodržování osvědčených postupů. Bezpečnostní týmy by měly mít přehled o všech účtech, kde se nacházejí a k čemu slouží.

Další důležitá opatření:

  • Minimalizujte počet privilegovaných účtů a rozsah jejich oprávnění. Důležité je i monitorování a protokolování jejich aktivit.
  • Analyzujte každého privilegovaného uživatele a účet, abyste odhalili potenciální rizika, hrozby a motivaci útočníka.
  • Zaměřte se na hlavní způsoby útoku a preventivní opatření.
  • Dodržujte princip nejmenšího privilegia.
  • Zabraňte správcům sdílet účty a přihlašovací údaje.

Monitorování chování uživatelů

Analýza chování uživatelů může odhalit kompromitované identity. Útočníci se často zaměřují na uživatelské identity, které jim umožňují přístup do systémů organizace. Pokud se jim podaří získat přihlašovací údaje, mohou se do sítě přihlásit a po nějakou dobu zůstat neodhaleni.

Vzhledem k tomu, že ruční monitorování chování každého uživatele je obtížné, doporučuje se nasadit nástroje pro analýzu chování uživatelů a entit (UEBA). Tyto nástroje nepřetržitě sledují aktivitu uživatelů. Vytvoří profil legitimního chování a na jeho základě odhalují neobvyklé aktivity, které mohou značit kompromitaci.

Profil chování zahrnuje informace, jako je umístění, zdroje, datové soubory, služby, ke kterým uživatel přistupuje, frekvence, konkrétní interní i externí sítě a také procesy, které uživatel spouští. Na základě těchto informací dokáže nástroj identifikovat podezřelé akce, které se odchylují od normy.

Silná hesla a vynucování zásad

Je důležité vytvořit a vynucovat silné zásady pro hesla, která zajistí, že uživatelé budou mít unikátní a těžko uhodnutelná hesla. Zavedení vícefaktorového ověřování navíc poskytuje další vrstvu zabezpečení a zároveň eliminuje zranitelnosti, které mohou vzniknout při manuálním vynucování zásad silných hesel.

Bezpečnostní týmy by měly nasadit potřebné nástroje, jako jsou auditoři hesel, které dokáží skenovat systémy, identifikovat a označovat slabá hesla. Důležité jsou i nástroje pro vynucování zásad, které zajišťují, že uživatelé budou používat silná hesla splňující kritéria délky, složitosti a firemní politiky.

Organizace mohou také využít nástroje pro správu podnikových hesel, které pomáhají uživatelům generovat a používat složitá a bezpečná hesla, která splňují požadavky na ověření.

Další opatření, jako je vícefaktorové ověřování pro odemknutí správce hesel, dále zvyšují zabezpečení a téměř znemožňují útočníkům přístup k uloženým přihlašovacím údajům. Mezi typické podnikové správce hesel patří Keeper, Dashlane, 1Password.

Ošetření uživatelských vstupů a zabezpečení databází

Útočníci mohou zneužít zranitelná vstupní pole a databáze k vložení škodlivého kódu, získání přístupu a kompromitaci systémů. Bezpečnostní týmy by proto měly používat osvědčené postupy, jako je silné ověřování a efektivní nástroje pro ochranu databází a vstupních polí.

Kromě pravidelných aktualizací databází a ošetření všech uživatelských vstupů je důležité šifrovat veškerá data během přenosu i v klidu. Další opatření zahrnují nastavení souborů pouze pro čtení a poskytnutí přístupu pro zápis pouze uživatelům a skupinám, kteří ho potřebují.

Školení uživatelů

Uživatelé jsou nejslabším článkem v bezpečnostním řetězci organizace. Je proto důležité je proškolit, jak bezpečně plnit své úkoly. Jediné kliknutí na škodlivý odkaz může vést ke kompromitaci celé sítě. Mezi rizika patří otevírání škodlivých odkazů nebo příloh, návštěvy napadených webových stránek, používání slabých hesel a další.

Organizace by měla mít pravidelné programy zvyšování povědomí o bezpečnosti a metodiku pro ověření efektivity školení.

Nástroje pro prevenci útoků eskalace privilegii

Prevence útoků eskalace privilegii vyžaduje kombinaci různých nástrojů. Mezi ně patří níže uvedená řešení.

Řešení pro analýzu chování uživatelů a entit (UEBA)

Exabeam

Platforma pro správu zabezpečení Exabeam je řešení pro behaviorální analýzu založené na umělé inteligenci. Umožňuje snadno sledovat aktivity uživatelů a účtů v různých službách. Exabeam lze také použít ke zpracování protokolů z jiných IT systémů a bezpečnostních nástrojů, k jejich analýze a identifikaci rizikových aktivit.

Mezi funkce patří:

  • Protokolování a poskytování užitečných informací pro vyšetřování incidentů. To zahrnuje informace o prvním přístupu uživatele ke službě, serveru nebo aplikaci, přihlášení z nového připojení VPN, z neobvyklé země atd.
  • Škálovatelné řešení pro různá prostředí, včetně cloudu a on-premise.
  • Vytváření komplexní časové osy, která zobrazuje celou cestu útočníka na základě normálního a abnormálního chování účtu.

Cynet 360

Platforma Cynet 360 je komplexní řešení, které poskytuje analýzu chování, zabezpečení sítě a koncových bodů. Umožňuje vytvářet profily uživatelů, včetně jejich geolokace, rolí, pracovní doby, vzorců přístupu k místním a cloudovým zdrojům atd.

Platforma pomáhá identifikovat neobvyklé aktivity, jako například:

  • První přihlášení do systému nebo k prostředkům.
  • Neobvyklé přihlašovací místo nebo použití nového připojení VPN.
  • Vícenásobná souběžná připojení k několika zdrojům během krátké doby.
  • Účty, které mají přístup ke zdrojům mimo pracovní dobu.

Nástroje pro zabezpečení hesel

Auditor hesel

Auditor hesel automaticky skenuje názvy hostitelů a IP adresy a identifikuje slabé přihlašovací údaje pro síťové služby a webové aplikace, jako jsou HTTP formuláře, MYSQL, FTP, SSH, RDP, síťové směrovače a další. Pokusí se přihlásit pomocí slabých nebo běžných kombinací uživatelského jména a hesla, aby identifikoval účty se slabými přihlašovacími údaji.

Password Manager Pro

ManageEngine Password Manager Pro poskytuje komplexní řešení pro správu, kontrolu, monitorování a audit privilegovaných účtů během celého jejich životního cyklu. Umožňuje spravovat privilegované účty, certifikáty SSL, vzdálený přístup a privilegované relace.

Mezi funkce patří:

  • Automatizace a vynucení častých resetů hesel pro kritické systémy, jako jsou servery, síťové komponenty, databáze a další zdroje.
  • Ukládání a organizování všech privilegovaných a citlivých identit a hesel v centralizovaném zabezpečeném trezoru.
  • Umožnění organizacím splnit požadavky bezpečnostních auditů a dodržování regulačních standardů, jako jsou HIPAA, PCI, SOX a další.
  • Umožnění členům týmu bezpečně sdílet hesla správce.

Skenery zranitelnosti

Invicti

Invicti je škálovatelný automatizovaný skener zranitelnosti a řešení pro správu. Nástroj je schopen skenovat složité sítě a prostředí a bezproblémově se integrovat s jinými systémy, včetně CI/CD a SDLC. Je optimalizován pro skenování a identifikaci zranitelností ve složitých prostředích a aplikacích.

Invicti můžete také použít k testování webových serverů na nesprávnou konfiguraci zabezpečení, kterou by útočníci mohli zneužít. Nástroj dokáže identifikovat SQL Injection, vzdálené začlenění souborů, Cross-site Scripting (XSS) a další zranitelnosti OWASP ve webových aplikacích, službách, webových stránkách, API a dalších.

Acunetix

Acunetix je komplexní řešení s vestavěným skenováním zranitelností, správou a snadnou integrací s dalšími bezpečnostními nástroji. Pomáhá automatizovat úlohy správy zranitelností, jako je skenování a náprava, a šetřit tak zdroje.

Mezi vlastnosti patří:

  • Integrace s dalšími nástroji, jako je Jenkins, sledovače problémů třetích stran jako GitHub, Jira, Mantis a další.
  • Možnosti on-premise a cloudového nasazení.
  • Přizpůsobení prostředí a požadavkům zákazníka, podpora různých platforem.
  • Rychlá identifikace a reakce na širokou škálu bezpečnostních problémů, včetně běžných webových útoků, Cross-site Scripting (XSS), injekcí SQL, malwaru, nesprávných konfigurací, odhalených aktiv atd.

Softwarová řešení správy privilegovaného přístupu (PAM)

JumpCloud

JumpCloud je řešení Directory as a Service (DaaS), které bezpečně ověřuje a připojuje uživatele k sítím, systémům, službám, aplikacím a souborům. Škálovatelný cloudový adresář je služba, která spravuje, ověřuje a autorizuje uživatele, aplikace a zařízení.

Mezi vlastnosti patří:

  • Vytvoření bezpečného a centralizovaného adresáře.
  • Podpora správy přístupu uživatelů napříč platformami.
  • Funkce jednotného přihlášení, které podporuje řízení přístupu uživatelů k aplikacím prostřednictvím LDAP, SCIM a SAML 2.0.
  • Zajištění bezpečného přístupu k místním a cloudovým serverům.
  • Podpora vícefaktorového ověřování.
  • Automatizovaná správa zabezpečení a souvisejících funkcí, jako je protokolování událostí, skriptování, správa API, PowerShell a další.

Ping Identita

Ping Identita je inteligentní platforma, která poskytuje vícefaktorové ověřování, jednotné přihlášení, adresářové služby a další. Umožňuje organizacím vylepšit zabezpečení identit a uživatelskou zkušenost.

Funkce:

  • Jednotné přihlášení, které zajišťuje bezpečné a spolehlivé ověřování a přístup ke službám.
  • Vícefaktorové ověřování, které přidává další vrstvy zabezpečení.
  • Vylepšená správa dat a schopnost dodržovat předpisy o ochraně osobních údajů.
  • Adresářové služby, které poskytují bezpečnou správu uživatelských identit a dat ve velkém měřítku.
  • Flexibilní možnosti cloudového nasazení, jako je Identity-as-a-Service (IDaaS), kontejnerový software atd.

Foxpass

Foxpass je škálovatelné řešení pro správu identit a přístupu na podnikové úrovni pro on-premise i cloudová nasazení. Poskytuje funkce pro správu klíčů RADIUS, LDAP a SSH, které zajišťují, že každý uživatel má přístup pouze ke konkrétním sítím, serverům, VPN a dalším službám v povoleném čase.

Nástroj lze bez problémů integrovat s dalšími službami, jako jsou Office 365, Google Apps a další.

AWS Secrets Manager

AWS Secrets Manager poskytuje spolehlivé a efektivní prostředky pro zabezpečení tajných informací potřebných pro přístup ke službám, aplikacím a dalším zdrojům. Umožňuje snadno spravovat, rotovat a získávat API klíče, přihlašovací údaje k databázím a další tajné informace.

Existuje celá řada řešení pro správu tajných informací, které můžete prozkoumat.

Závěr

Stejně jako u jiných kybernetických útoků, i eskalace privilegii využívá zranitelnosti v systémech a procesech v sítích, službách a aplikacích. Prevence je možná pomocí nasazení správných bezpečnostních nástrojů a postupů.

Efektivní opatření zahrnují vynucování nejmenšího potřebného rozsahu oprávnění, používání silných hesel a zásad ověřování, ochranu citlivých dat, omezení plochy pro útok, zabezpečení přihlašovacích údajů k účtům a další. Mezi další opatření patří pravidelná aktualizace systémů, softwaru a firmwaru, monitorování chování uživatelů a školení uživatelů o bezpečném používání počítačů.

Jan Novák
Autor
Jan Novák
Czechia

Redaktor zaměřený na Windows, produktivitu a cloudové nástroje.

Související články
2026-01-19
Odpovědný zástupce v České republice: zákonný požadavek pro provozování licencovaného podnikání
Česká republika již dlouhodobě přitahuje podnikatele z celého světa díky stabilní ekonomice a transparentním pravidlům podnikání. Při...
2025-10-22
Nexium Markets recenze
Ve světě, kde rychlost a přesnost hrají klíčovou roli, se obchodní platforma Nexium Markets stává vaším spolehlivým spojencem na cestě k...
2025-10-19
Saúdská Arábie investuje miliardy do VR/AR, M. Leap posílí
Saúdský státní investiční fond (PIF) se zavázal investovat více než 1 miliardu dolarů do společnosti Magic Leap, která se zabývá virtuální...
2025-10-19
Japonec z ISS sdílí úchvatné pohledy na Zemi a Mléčnou dráhu
Mezinárodní vesmírná stanice (ISS) pokračuje ve své misi vědeckého výzkumu a provozní údržby, ačkoli veřejné aktualizace jsou výrazně...
Předchozí článek
5 nejlepších cloudových VAPT pro weby malých a středních firem
Další článek
15 Průvodce doporučenými postupy zabezpečení DevOps