Comprendere e Prevenire gli Attacchi di Escalation dei Privilegi
Gli attacchi di escalation dei privilegi si verificano quando soggetti malevoli sfruttano configurazioni inadeguate, difetti software, password facilmente intuibili e altre debolezze che consentono loro di accedere a risorse protette. Questi attacchi rappresentano una seria minaccia alla sicurezza informatica.
Un attacco tipico può iniziare con l’accesso di un aggressore a un account con autorizzazioni limitate. Una volta ottenuto l’accesso, gli hacker esaminano il sistema per individuare ulteriori vulnerabilità che possono essere sfruttate. Successivamente, utilizzano i privilegi ottenuti per impersonare utenti legittimi, acquisire l’accesso a risorse mirate e svolgere varie attività senza essere individuati.
Gli attacchi di escalation dei privilegi possono essere categorizzati come verticali o orizzontali.
Nel caso di escalation verticale, un aggressore accede a un account e poi esegue operazioni come se fosse tale utente. Nell’escalation orizzontale, l’attaccante ottiene inizialmente l’accesso a uno o più account con permessi limitati, e successivamente compromette il sistema per ottenere autorizzazioni più elevate, arrivando a ruoli amministrativi.
Queste autorizzazioni consentono agli aggressori di eseguire compiti amministrativi, diffondere malware o svolgere altre azioni dannose. Ad esempio, possono interrompere le operazioni, modificare le impostazioni di sicurezza, rubare dati sensibili o compromettere i sistemi in modo da creare porte di accesso utilizzabili in futuro.
Solitamente, come per gli altri attacchi informatici, l’escalation dei privilegi sfrutta i punti deboli presenti in reti, servizi e applicazioni. Di conseguenza, è possibile prevenirli adottando una serie di buone pratiche e utilizzando strumenti di sicurezza specifici. Un’organizzazione dovrebbe idealmente implementare soluzioni capaci di analizzare, rilevare e prevenire una vasta gamma di vulnerabilità e minacce alla sicurezza, sia potenziali che esistenti.
Strategie Ottimali per Evitare gli Attacchi di Escalation dei Privilegi
È fondamentale che le aziende tutelino tutti i loro sistemi e dati di rilievo, oltre a quelle aree che potrebbero non sembrare interessanti agli aggressori. È sufficiente che un hacker si introduca in un sistema. Una volta dentro, è in grado di individuare vulnerabilità per ottenere privilegi addizionali. Oltre alla protezione delle risorse da minacce esterne, è altrettanto cruciale adottare misure adeguate per prevenire attacchi provenienti dall’interno.
Nonostante le misure specifiche possano variare in base ai sistemi, alle reti, al contesto e ad altri fattori, di seguito sono elencate alcune tecniche che le organizzazioni possono impiegare per tutelare la propria infrastruttura.
Protezione e Scansione di Reti, Sistemi e Applicazioni
Oltre a implementare una soluzione di sicurezza in tempo reale, è fondamentale esaminare regolarmente tutti gli elementi dell’infrastruttura IT per identificare vulnerabilità che potrebbero favorire l’ingresso di nuove minacce. A tal fine, si può utilizzare uno scanner di vulnerabilità efficiente per scovare sistemi operativi e applicazioni non aggiornati, configurazioni errate, password deboli e altri difetti che potrebbero essere sfruttati dagli aggressori.
Sebbene siano disponibili svariati scanner di vulnerabilità per identificare i punti deboli in software obsoleti, è spesso difficile o impraticabile aggiornare o applicare patch a tutti i sistemi. Questo è particolarmente vero quando si tratta di componenti datati o sistemi di produzione su vasta scala.
In tali situazioni, è possibile implementare livelli di sicurezza supplementari come i firewall per applicazioni web (WAF), che individuano e bloccano il traffico dannoso a livello di rete. Generalmente, un WAF protegge il sistema sottostante anche in assenza di patch o aggiornamenti.
Gestione Adeguata degli Account con Privilegi
È fondamentale gestire gli account con privilegi e garantire che siano protetti, utilizzati secondo le migliori prassi e non esposti. I team di sicurezza devono mantenere un inventario aggiornato di tutti gli account, dove sono situati e per cosa vengono usati.
Altre misure da adottare includono:
- Ridurre al minimo il numero e l’ambito degli account privilegiati, monitorare e conservare un registro delle loro attività.
- Analizzare ogni utente o account privilegiato per identificare e affrontare eventuali rischi, potenziali minacce, fonti e intenzioni dell’attaccante.
- Studiare le principali modalità di attacco e implementare misure di prevenzione.
- Seguire il principio del privilegio minimo.
- Evitare che gli amministratori condividano account e credenziali.
Monitoraggio del Comportamento degli Utenti
L’analisi del comportamento degli utenti può svelare se sono state compromesse delle identità. Solitamente, gli aggressori prendono di mira le identità degli utenti che garantiscono l’accesso ai sistemi dell’organizzazione. Se riescono ad acquisire le credenziali, entrano nella rete e potrebbero non essere rilevati per qualche tempo.
Poiché è arduo monitorare manualmente il comportamento di ogni utente, la strategia migliore è implementare una soluzione UEBA (User and Entity Behavior Analytics). Questo strumento monitora costantemente l’attività degli utenti nel tempo. Successivamente, crea una base di riferimento del comportamento legittimo che utilizza per individuare attività anomale che possono indicare una compromissione.
Il profilo che ne risulta include informazioni come la posizione, le risorse, i file di dati e i servizi a cui l’utente accede e con quale frequenza, le reti interne ed esterne specifiche, il numero di host e i processi eseguiti. Con queste informazioni, lo strumento può riconoscere azioni o parametri sospetti che si discostano dalla base di riferimento.
Politiche di Password Forti e Applicazione
È necessario stabilire e applicare politiche solide per garantire che gli utenti utilizzino password uniche e difficili da indovinare. Inoltre, l’uso dell’autenticazione a più fattori aggiunge un ulteriore livello di sicurezza, superando le debolezze che possono insorgere quando è complicato applicare manualmente politiche per password complesse.
I team di sicurezza dovrebbero anche implementare strumenti come revisori di password, esecutori di politiche e altri in grado di scansionare i sistemi, identificare e segnalare password deboli o richiedere azioni. Gli strumenti di applicazione garantiscono che gli utenti utilizzino password complesse in termini di lunghezza, difficoltà e requisiti aziendali.
Le organizzazioni possono anche utilizzare strumenti di gestione delle password aziendali per assistere gli utenti nella creazione e nell’uso di password complesse e sicure, conformi alle politiche, per i servizi che richiedono l’autenticazione.
Ulteriori misure, come l’autenticazione a più fattori per sbloccare il gestore di password, ne migliorano ulteriormente la sicurezza, rendendo quasi impossibile per gli aggressori l’accesso alle credenziali salvate. Esempi di gestori di password aziendali includono Keeper, Dashlane, 1Password.
Sanificazione degli Input Utente e Protezione dei Database
Gli aggressori possono sfruttare campi di input utente vulnerabili e database per iniettare codice dannoso, ottenere l’accesso e compromettere i sistemi. Per questa ragione, i team di sicurezza dovrebbero adottare le migliori pratiche, come l’autenticazione forte, e utilizzare strumenti efficaci per proteggere i database e tutti i tipi di campi di input dati.
Una buona prassi è crittografare tutti i dati in transito e a riposo, oltre a correggere i database e sanificare ogni input utente. Ulteriori misure includono l’impostazione dei file in sola lettura e la concessione dell’accesso in scrittura ai gruppi e agli utenti che ne hanno necessità.
Formazione degli Utenti
Gli utenti sono l’elemento più debole nella catena di sicurezza di un’organizzazione. È quindi essenziale renderli consapevoli e formarli su come svolgere i propri compiti in modo sicuro. Altrimenti, un semplice clic da parte di un utente potrebbe portare alla compromissione di un’intera rete o sistema. Alcuni dei rischi includono l’apertura di link o allegati dannosi, la visita di siti web compromessi, l’uso di password deboli e altro ancora.
Idealmente, l’organizzazione dovrebbe organizzare programmi regolari di sensibilizzazione alla sicurezza. Inoltre, dovrebbero disporre di un metodo per verificare che la formazione sia effettivamente efficace.
Strumenti per la Prevenzione degli Attacchi di Escalation dei Privilegi
La prevenzione degli attacchi di escalation dei privilegi richiede l’utilizzo combinato di diversi strumenti. Alcune delle soluzioni da considerare sono quelle elencate di seguito.
Soluzione di Analisi del Comportamento degli Utenti e delle Entità (UEBA)
Exabeam
La piattaforma di gestione della sicurezza Exabeam è una soluzione di analisi comportamentale basata sull’intelligenza artificiale, rapida e facile da implementare, che aiuta a monitorare le attività di utenti e account su diversi servizi. È anche possibile usare Exabeam per acquisire log da altri sistemi IT e strumenti di sicurezza, analizzarli e identificare e segnalare attività a rischio, minacce e altri problemi.
Le caratteristiche includono:
- Registrazione e fornitura di informazioni utili per le indagini sugli incidenti. Queste includono tutte le sessioni in cui un particolare account o utente ha effettuato l’accesso a un servizio, server o applicazione o risorsa per la prima volta, l’account accede da una nuova connessione VPN, da un paese insolito, ecc.
- La soluzione scalabile è applicabile per una singola istanza, cloud e distribuzioni on-premise.
- Crea una sequenza temporale completa che mostra chiaramente il percorso completo di un utente malintenzionato in base all’account normale e anormale o al comportamento dell’utente.
Cynet 360
La piattaforma Cynet 360 è una soluzione completa che offre analisi comportamentali, sicurezza della rete e degli endpoint. Permette di creare profili utente che includono geolocalizzazione, ruoli, orari di lavoro, modelli di accesso alle risorse locali e basate su cloud, ecc.
La piattaforma aiuta a identificare attività anomale quali:
- Accesso per la prima volta al sistema o alle risorse.
- Posizione di accesso insolita o utilizzo di una nuova connessione VPN.
- Più connessioni simultanee a diverse risorse in un lasso di tempo molto breve.
- Account che accedono alle risorse fuori orario.
Strumenti per la Sicurezza delle Password
Password Auditor
Gli strumenti di controllo delle password analizzano nomi host e indirizzi IP per identificare automaticamente le credenziali deboli per servizi di rete e applicazioni web come moduli web HTTP, MYSQL, FTP, SSH, RDP, router di rete e altri che richiedono l’autenticazione. Quindi tentano di accedere utilizzando combinazioni di nome utente e password deboli e comuni per individuare e segnalare gli account con credenziali fragili.
Password Manager Pro
ManageEngine Password Manager Pro offre una soluzione completa per la gestione, il controllo, il monitoraggio e la verifica degli account privilegiati durante l’intero ciclo di vita. È in grado di gestire l’account privilegiato, il certificato SSL, l’accesso remoto e la sessione privilegiata.
Le caratteristiche includono:
- Automatizza e impone frequenti reimpostazioni delle password per sistemi critici come server, componenti di rete, database e altre risorse.
- Archivia e organizza tutte le identità e le password degli account privilegiati e sensibili in un archivio centralizzato e sicuro.
- Permette alle aziende di soddisfare gli audit di sicurezza critici e la conformità agli standard normativi come HIPAA, PCI, SOX e altri.
- Consente ai membri del team di condividere in modo sicuro le password amministrative.
Scanner di Vulnerabilità
Invicti
Invicti è uno scanner di vulnerabilità automatizzato e scalabile, nonché una soluzione di gestione in grado di adattarsi alle necessità di qualsiasi organizzazione. Lo strumento può effettuare la scansione di reti e ambienti complessi, integrandosi perfettamente con altri sistemi, comprese le soluzioni CI/CD, SDLC e altri. Dispone di funzionalità avanzate ed è ottimizzato per scansionare e identificare le vulnerabilità in contesti e applicazioni complesse.
Inoltre, è possibile usare Invicti per testare i server web in relazione a configurazioni errate di sicurezza che gli aggressori potrebbero sfruttare. Solitamente, questo strumento individua SQL injection, inclusione di file remoti, Cross-site Scripting (XSS) e altre vulnerabilità OWASP Top-10 in applicazioni web, servizi web, pagine web, API e altro ancora.
Acunetix
Acunetix è una soluzione completa con scansione delle vulnerabilità integrata, gestione e facile integrazione con altri strumenti di sicurezza. Aiuta ad automatizzare le attività di gestione delle vulnerabilità come la scansione e la correzione, consentendo così di risparmiare risorse.
Le caratteristiche includono:
- Integrazione con altri strumenti come Jenkins, tracker di problemi di terze parti come GitHub, Jira, Mantis e altri.
- Opzioni di distribuzione on-premise e cloud.
- Personalizzabile per adattarsi all’ambiente e alle esigenze del cliente, oltre al supporto multi-piattaforma.
- Identifica e risponde rapidamente a un’ampia gamma di problemi di sicurezza, inclusi attacchi web comuni, Cross-site Scripting (XSS), injection SQL, malware, configurazioni errate, risorse esposte, ecc.
Soluzioni Software per la Gestione degli Accessi Privilegiati (PAM)
JumpCloud
JumpCloud è una soluzione Directory as a Service (DaaS) che autentica e connette in modo sicuro gli utenti a reti, sistemi, servizi, app e file. In generale, la directory scalabile basata su cloud è un servizio che gestisce, autentica e autorizza utenti, applicazioni e dispositivi.
Le caratteristiche includono:
- Crea una directory autorevole sicura e centralizzata.
- Supporta la gestione degli accessi degli utenti multi-piattaforma.
- Fornisce funzioni di accesso singolo che supportano il controllo dell’accesso degli utenti alle applicazioni tramite LDAP, SCIM e SAML 2.0.
- Garantisce un accesso sicuro ai server on-premise e cloud.
- Supporta l’autenticazione a più fattori.
- Dispone di un’amministrazione automatizzata della sicurezza e delle relative funzioni come la registrazione degli eventi, lo scripting, la gestione delle API, PowerShell e altro ancora.
Ping Identity
Ping Identity è una piattaforma intelligente che offre autenticazione a più fattori, single sign-on, servizi di directory e altro ancora. Consente alle organizzazioni di migliorare la sicurezza e l’esperienza dell’identità degli utenti.
Caratteristiche:
- Single Sign-On che fornisce autenticazione e accesso ai servizi sicuri e affidabili.
- Autenticazione a più fattori che aggiunge ulteriori livelli di sicurezza.
- Migliore governance dei dati e capacità di rispettare le normative sulla privacy.
- Servizi di directory che garantiscono una gestione sicura delle identità degli utenti e dei dati su vasta scala.
- Opzioni flessibili di distribuzione cloud come Identity-as-a-Service (IDaaS), software containerizzato, ecc.
Foxpass
Foxpass è una soluzione scalabile per il controllo dell’identità e dell’accesso di livello aziendale, adatta sia a implementazioni on-premise che cloud. Fornisce funzioni di gestione delle chiavi RADIUS, LDAP e SSH che assicurano che ogni utente acceda solo a reti, server, VPN e altri servizi specifici all’ora consentita.
Lo strumento è in grado di integrarsi senza problemi con altri servizi come Office 365, Google Apps e altro ancora.
AWS Secrets Manager
AWS Secrets Manager fornisce un metodo affidabile ed efficace per proteggere i segreti necessari per l’accesso al servizio, alle applicazioni e ad altre risorse. Consente di gestire, ruotare e recuperare facilmente le chiavi API, le credenziali del database e altri segreti.
Esistono ulteriori soluzioni di gestione segreta che si possono valutare.
Conclusione
Come gli altri attacchi informatici, l’escalation dei privilegi sfrutta le vulnerabilità presenti in reti, servizi e applicazioni. Perciò, si può prevenirli utilizzando gli strumenti e le pratiche di sicurezza adeguati.
Misure efficaci includono l’applicazione del principio del privilegio minimo, l’utilizzo di password complesse e criteri di autenticazione robusti, la protezione dei dati sensibili, la riduzione della superficie di attacco, la protezione delle credenziali degli account e altro ancora. Ulteriori misure comprendono il mantenimento aggiornato e corretto di tutti i sistemi, software e firmware, il monitoraggio del comportamento degli utenti e la formazione degli utenti su pratiche informatiche sicure.