目前，主流的操作系統(tǒng)和業(yè)務(wù)系統(tǒng)都依賴(lài)權(quán)限管理來(lái)限制不同用戶(hù)和設(shè)備對(duì)系統(tǒng)應(yīng)用功能、業(yè)務(wù)數(shù)據(jù)和配置服務(wù)的訪問(wèn)。因此，訪問(wèn)權(quán)限是一項(xiàng)至關(guān)重要的安全特性，可以控制用戶(hù)訪問(wèn)及使用系統(tǒng)或應(yīng)用程序及關(guān)聯(lián)資源的程度。通過(guò)觀察很多安全事件發(fā)現(xiàn)，較低的權(quán)限將使攻擊者訪問(wèn)活動(dòng)受到很多的限制，也無(wú)法進(jìn)行獲取Hash、安裝軟件、修改防火墻規(guī)則和修改注冊(cè)表等各種操作，所以攻擊者往往會(huì)先進(jìn)行權(quán)限提升攻擊，在獲取更高的訪問(wèn)權(quán)限后，在開(kāi)展更具破壞性的其他攻擊。

　　提權(quán)攻擊的類(lèi)型和原理

　　權(quán)限提升攻擊的目的是，獲得網(wǎng)絡(luò)或在線服務(wù)中諸多系統(tǒng)和應(yīng)用程序的額外權(quán)限，攻擊主要分為兩大類(lèi)：

　　1. 橫向權(quán)限提升。這種攻擊主要是用于獲取更多同級(jí)別賬號(hào)的權(quán)限，攻擊者在成功訪問(wèn)現(xiàn)有的用戶(hù)或設(shè)備賬戶(hù)之后，會(huì)利用各種渠道進(jìn)入并控制更多其他用戶(hù)賬戶(hù)。雖然這招不一定會(huì)讓黑客獲得更高等級(jí)權(quán)限，但如果黑客收集了大量攻擊目標(biāo)的用戶(hù)數(shù)據(jù)及其他資源，可能會(huì)對(duì)受害者造成進(jìn)一步危害。一些系統(tǒng)漏洞會(huì)導(dǎo)致跨站腳本、跨站偽造請(qǐng)求及其他類(lèi)型的攻擊，以獲得另一個(gè)用戶(hù)的登錄憑據(jù)或身份驗(yàn)證數(shù)據(jù)，并獲得訪問(wèn)賬戶(hù)的權(quán)限。

　　2.縱向權(quán)限提升。這是一種更加危險(xiǎn)的權(quán)限升級(jí)攻擊，因?yàn)楣粽咭苍S能夠控制整個(gè)網(wǎng)絡(luò)。通常是多階段網(wǎng)絡(luò)攻擊的第二個(gè)階段。攻擊者利用系統(tǒng)錯(cuò)誤配置、漏洞、弱密碼和薄弱的訪問(wèn)控制來(lái)獲得管理權(quán)限；通過(guò)這種權(quán)限，他們就可以進(jìn)而訪問(wèn)網(wǎng)絡(luò)上的其他資源。一旦擁有更強(qiáng)大的權(quán)限，攻擊者就可以安裝惡意軟件和勒索軟件，改變系統(tǒng)設(shè)置，并竊取數(shù)據(jù)。

　　以下是惡意攻擊者用來(lái)實(shí)施權(quán)限升級(jí)攻擊的常見(jiàn)方法，前兩種方法多用于橫向權(quán)限升級(jí)攻擊，但沖攻擊者的最終目的分析，很多受攻擊的賬戶(hù)最終還是被用于縱向權(quán)限提升。

　　社會(huì)工程攻擊

　　社會(huì)工程攻擊（包括網(wǎng)絡(luò)釣魚(yú)、水坑攻擊和域欺騙）通常被用來(lái)誘騙用戶(hù)泄露其賬戶(hù)憑據(jù)，就這種類(lèi)型的攻擊而言，攻擊者不需要發(fā)動(dòng)復(fù)雜的攻擊，即可繞過(guò)系統(tǒng)的安全防御。

　　弱密碼竊取

　　弱密碼、重用密碼或共享密碼是攻擊者未經(jīng)授權(quán)訪問(wèn)賬戶(hù)的一條捷徑。如果該賬戶(hù)擁有管理權(quán)限，整個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)會(huì)立即面臨被嚴(yán)重破壞的危險(xiǎn)。

　　系統(tǒng)配置錯(cuò)誤

　　如果安全設(shè)置未嚴(yán)加保護(hù)或發(fā)生漂移，也讓攻擊者有機(jī)會(huì)獲得過(guò)大的權(quán)限，擁有公共訪問(wèn)權(quán)的云存儲(chǔ)桶就是例子。配置不當(dāng)?shù)木W(wǎng)絡(luò)防御（比如防火墻和敞開(kāi)且不受保護(hù)的端口），以及重要賬戶(hù)的默認(rèn)密碼和新安裝應(yīng)用程序的不安全默認(rèn)設(shè)置（這兩種情況在物聯(lián)網(wǎng)設(shè)備上特別常見(jiàn)），都為攻擊者獲取額外權(quán)限提供了可趁之機(jī)。

　　惡意軟件攻擊

　　有多種惡意軟件（比如鍵盤(pán)記錄器、內(nèi)存抓取器和網(wǎng)絡(luò)嗅探器）可以竊取用戶(hù)密碼。惡意軟件一旦進(jìn)入網(wǎng)絡(luò)，獲得被攻擊賬戶(hù)的權(quán)限，就可以觸發(fā)更危險(xiǎn)的攻擊。

　　系統(tǒng)漏洞

　　在系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)或配置中任何暴露的漏洞都可能使攻擊者能夠通過(guò)執(zhí)行惡意代碼來(lái)獲得shell訪問(wèn)權(quán)，從而獲得賬戶(hù)權(quán)限。

　　防范權(quán)限升級(jí)攻擊的六種手段

　　與任何網(wǎng)絡(luò)攻擊一樣，權(quán)限升級(jí)攻擊會(huì)綜合利用網(wǎng)絡(luò)上運(yùn)行的諸多服務(wù)和應(yīng)用程序的漏洞，尤其是訪問(wèn)控制薄弱的服務(wù)和應(yīng)用程序。權(quán)限升級(jí)往往是全面網(wǎng)絡(luò)攻擊的一個(gè)關(guān)鍵性階段，企業(yè)組織需要采取有效的安全控制措施來(lái)防止這類(lèi)攻擊，并定期維護(hù)。以下6種方法有助于企業(yè)IT系統(tǒng)更好應(yīng)對(duì)權(quán)限提升攻擊的威脅和挑戰(zhàn)。

　　1.實(shí)施最小權(quán)限原則

　　實(shí)施最小權(quán)限原則，將用戶(hù)和服務(wù)的訪問(wèn)權(quán)限限制到最低限度，這可以減小攻擊者獲得管理級(jí)權(quán)限的機(jī)會(huì)。安全團(tuán)隊(duì)和人力資源部門(mén)應(yīng)該密切合作，實(shí)現(xiàn)統(tǒng)一權(quán)限管理，防止不必要的權(quán)限蔓延，盡量縮減權(quán)限賬戶(hù)的數(shù)量和范圍，同時(shí)監(jiān)控和記錄賬戶(hù)的活動(dòng)，這也有助于標(biāo)記任何潛在的濫用活動(dòng)，提前發(fā)現(xiàn)攻擊風(fēng)險(xiǎn)。

　　2. 及時(shí)補(bǔ)丁修復(fù)

　　及時(shí)進(jìn)行補(bǔ)丁修復(fù)，減小攻擊者發(fā)現(xiàn)可利用漏洞的機(jī)會(huì)，是阻止任何一種網(wǎng)絡(luò)攻擊的最佳方法。全面的補(bǔ)丁管理策略可以使攻擊者更難利用系統(tǒng)和應(yīng)用程序的漏洞。尤其是，企業(yè)應(yīng)定期更新瀏覽器和殺毒軟件。

　　3. 執(zhí)行漏洞掃描

　　定期掃描IT基礎(chǔ)架構(gòu)中所有部件/組件的漏洞，將使那些已經(jīng)入網(wǎng)絡(luò)的潛在攻擊者更難在網(wǎng)絡(luò)中站穩(wěn)腳跟。漏洞掃描可以搶在潛在攻擊者真正發(fā)起攻擊前，更早發(fā)現(xiàn)錯(cuò)誤配置、未記入文檔的系統(tǒng)更改、未打補(bǔ)丁或不安全的操作系統(tǒng)和應(yīng)用程序以及其他缺陷，從而避免被攻擊者實(shí)際利用。

　　4. 監(jiān)控網(wǎng)絡(luò)流量和行為

　　如果攻擊者成功獲得了網(wǎng)絡(luò)用戶(hù)的憑據(jù)，其行蹤往往很難被發(fā)現(xiàn)，除非持續(xù)監(jiān)控網(wǎng)絡(luò)，留意各種不尋常的流量或異常性用戶(hù)行為。用戶(hù)和實(shí)體行為分析（UEBA）軟件可以為合法行為設(shè)立基準(zhǔn)，標(biāo)記異常用戶(hù)活動(dòng)，發(fā)現(xiàn)一些被攻陷賬戶(hù)的潛在威脅。

　　5. 制定強(qiáng)大的密碼策略

　　密碼策略是防止橫向權(quán)限升級(jí)攻擊的有效方法，與多因素身份驗(yàn)證（MFA）結(jié)合使用尤其有效。第三方密碼管理工具可以幫助用戶(hù)生成并安全存儲(chǔ)滿(mǎn)足安全策略規(guī)則的獨(dú)特且復(fù)雜的密碼。所有擁有管理權(quán)限的賬戶(hù)都應(yīng)該要求采用MFA，而用于機(jī)器身份驗(yàn)證的數(shù)字憑據(jù)則應(yīng)該定期輪換。

　　6. 開(kāi)展安全意識(shí)培訓(xùn)

　　人通常是任何組織的安全中最薄弱的一環(huán)。他們可能使用弱密碼、點(diǎn)擊惡意鏈接或附件，忽略有關(guān)危險(xiǎn)網(wǎng)站的警告，從而不知不覺(jué)中幫助權(quán)限升級(jí)攻擊。定期開(kāi)展安全意識(shí)培訓(xùn)，可確保新的威脅得到清楚的解釋?zhuān)⑹箚T工對(duì)安全策略記憶猶新。應(yīng)強(qiáng)調(diào)共享賬戶(hù)和憑據(jù)帶來(lái)的危險(xiǎn)和風(fēng)險(xiǎn)。

　　權(quán)限升級(jí)攻擊是最嚴(yán)重的攻擊之一。一項(xiàng)經(jīng)過(guò)充分演練的應(yīng)急方案至關(guān)重要。如果發(fā)現(xiàn)權(quán)限升級(jí)事件，必須迅速隔離被攻擊的賬戶(hù)，修改密碼，然后禁用該賬戶(hù)。隨后，安全團(tuán)隊(duì)必須進(jìn)行深入調(diào)查，以發(fā)現(xiàn)攻擊的程度，并確定被攻擊的資源。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<