特权滥用攻击

安全分析
收藏
0 465
Sunny912
ct 未认证 2020-10-09 14:40:49
付费话题:0 积分

特权滥用既难于检测,又比较容易实施,是最常见,最危险的威胁之一。这种威胁可能来自于对公司不满的员工,也可能是仅仅为了获取经济利益。

特权滥用的后果除了数据丢失,系统被破坏外,还可能导致名誉损失,监管处罚,甚至承担法律后果。

以下是四种常见的特权滥用场景:

  1. 1. 权限滥用

    最简单最常见的一种方法,就是利用合法权限,来做一些非法的事情,比如 HR 部门的员工,把公司所有员工的个人资料,通过邮件发送到私人邮箱。

    解决方法:必须了解、跟踪你的员工和外包人员的行为,特别是特权用户,对这些用户的行为进行分析,捕获异常行为。

  2. 2. 权限提升

    恶意人员有意提升自己的权限,以获得更多的资源访问权限。权限提升比权限滥用的实施难度稍大,因为攻击者必须想方设法来提升自己的权限。比如斯诺登,他本身可能对 NSA 的数据访问权限非常小,但他通过各种方法,提升了自己的访问权。

    解决方法:加强访问权限控制机制与安全意识教育,同时通过用户行为分析来监测用户行为异常。

  3. 3. 未授权访问

    这种攻击方法常规的方式很难被检测,攻击人员通常有目的的窃取他人账户,或者是在偶然的机会获取到他人的账户,然后冒用他人身份来访问或窃取数据。

    解决方法:虽然通过常规的方式检测用户账户被盗用的行为比较困难,但是攻击者和正常用户的行为通常是有显著差别的,通过对用户的行为进行跟踪、分析,常常会有一些意想不到的收获。

  4. 4. 操作失误

    这是很常见的一种权限滥用,用户可能只是偶然的利用了自己本来拥有的权限,访问了跟本职工作无关数据,也可能是管理员分配了没必要的权限给了本来不需要这些权限的用户。

    解决方法:坚持权限最小化原则,只分配必须的权限给用户。分析用户行为,并检测行为异常。

以下是几种常见的缓解措施:

  1. 1. 加强权限分配与控制,坚持权限最小化原则,只分配必须的权限给用户。

  2. 2. 持续跟踪权限分配情况,权限跟角色应该匹配,权限应该随着角色的变化而变化。

  3. 3. 布署 UEBA 系统

        采集尽可能多的用户行为数据,利用机器学习工具,深入挖掘数据,从大量正常行为中,找出少量的异常行为。


回帖
  • 消灭零回复