Technologie ist ein wesentlicher Faktor für das Wachstum eines Unternehmens, da sie eine Fülle von Vorteilen und Herausforderungen mit sich bringt, wie z. B. die Ausweitung von Berechtigungen. Doch während das richtige tech stack eine höhere Effizienz ermöglicht, kann sich eine schlecht konfigurierte Technologie oft als Katastrophe erweisen. Die Sicherheit ist eine der häufigsten Herausforderungen, mit denen sich Unternehmen auseinandersetzen müssen. Mit der zunehmenden Verbreitung von Technologien in älteren Geschäftsmodellen häufen sich ausgeklügelte Hackerangriffe, die auf verwundbare Stellen abzielen und die Systeme fast vollständig zum Erliegen bringen.

Was ist eine Privilege Escalation?

Ein Privilege Escalation Angriff ist eine Technik, bei dem sich ein threat actor über einen anfälligen Punkt unbefugten Zugang verschafft und dann die Zugriffsberechtigungen erhöht, um einen umfassenden Angriff durchzuführen. Bei solchen Bedrohungsakteuren kann es sich um externe Hacker oder Insider handeln, die Schwachstellen wie inadäquate oder broken access controls oder Systemfehler ausnutzen, um ein Benutzerkonto zu kompromittieren. Das Ziel von Angriffen mit erweiterten Zugriffsrechten ist in der Regel die Erlangung umfassender Berechtigungen und die Kontrolle über das gesamte System.

Doch zunächst…

Table of contents
  1. Was ist eine Privilege Escalation?
  2. Welche Arten der Privilege Escalation gibt es?
  3. Wie funktioniert die Privilege Escalation?
  4. Wie können Privilege Escalation Incidents erkannt werden?
  5. Wie können Anwendungen vor einer Privilege Escalation geschützt werden?
  6. Tools zur Prävention von Privilege Escalation Angriffen

Welche Arten der Privilege Escalation gibt es?

Die Arten der Privilege Escalation können grob in folgende Kategorien eingeteilt werden:

Horizontale Privilege Escalation

Es handelt sich dabei um Angriffe, bei denen der Bedrohungsakteur versucht, seinen Zugriffsbereich auf ein ganzes System zu erweitern, indem er die Zugriffsrechte anderer Benutzer mit ähnlichen Verwaltungsrechten übernimmt. Bei der horizontalen Privilege Escalation nutzt der Akteur die Vorteile von Benutzerkonten mit niedrigeren oder unprivilegierten Rechten und schwachen Sicherheitsrichtlinien.

Vertikale Privilege Escalation

Die vertikale Privilege Escalation ist auch als Privilege Elevation bekannt. Sie bezieht sich auf einen Angriff, bei dem der Angreifer die Zugriffsrechte über die festgelegten Kontoberechtigungen hinaus erweitert. Solche Angriffsvektoren beginnen in der Regel mit dem Ziel, Konten mit unbegrenzten Administratorrechten zu erlangen, z. B. Systemadministrator unter Windows oder root access auf Linux/Unix-Rechnern.

Dieser Artikel befasst sich mit häufigen Schwachstellen, die zu Privilege Escalation Angriffen führen, und zeigt, wie Systeme vor potenziellen Eskalationsangriffen geschützt werden können.

Privilege Escalation explained in a graphic
Die Stufen der Privilege Escalation

Wie funktioniert die Privilege Escalation?

Die Privilege Escalation stellt die Ebene der Cyberangriffskette dar, auf der der Angreifer ein kompromittiertes System ausnutzt, um auf Daten zuzugreifen, für die das Benutzerkonto nicht zugelassen ist. Es kann zwar zahlreiche anfällige Punkte innerhalb eines Systems geben, doch einige gängige Einstiegspunkte für Privilege Escalation sind Web Application Server und Application Programming Interfaces (APIs).

Um einen ersten Zugang zu erhalten, authentifizieren sich die Angreifer im System, indem sie die Steuerung der Benutzerkonten umgehen oder sich Anmeldedaten beschaffen. Darüber hinaus versuchen die Angreifer, verschiedene Schlupflöcher in der Kontoberechtigung zu finden, um einen gewissen Zugang zu sensibleren Daten zu erhalten.

Gängige Methoden der Privilege Escalation

Linux

Obwohl Linux unbestreitbar als sicherer als andere Betriebssysteme gilt, gibt es verschiedene Möglichkeiten für Angreifer, Schwachstellen auszunutzen, um erweiterten Zugriff auf Systemressourcen zu erlangen. Einige gängige Linux-Eskalationstechniken sind:

Enumeration

Diese Methode hilft Angreifern, Konfigurationsinformationen zu erhalten – ein entscheidender Schritt zur Identifizierung potenzieller Schwachstellen und Einstiegspunkte für die Ausweitung von Berechtigungen. Mit Enumeration können Hacker kritische Systeminformationen sammeln und ausnutzen. Dazu gehören:

  • IP- und Routing-Tabellen
  • Nicht eingerichtete Dateisysteme und zusätzliche Laufwerke
  • Benutzernamen und Kennwörter (Benutzeraufzählung)
  • Audit-Konfigurationen
  • Service-Einstellungen
  • DNS- und SNMP-Angaben
  • Host-Namen

Mit dem Zugriff auf diese Konfigurationsdaten können Angreifer automatisierte Tools und laterale Bewegungen nutzen, um eine weitere Ebene des Zugriffs auf das System zu erreichen. Die Entschärfung von Enumeration Angriffen umfasst präventive Gegenmaßnahmen durch penetration testing, die Identifizierung von Systemschwachstellen und deren Behebung, bevor sie ausgenutzt werden. 

Kernel Exploits

Der Linux Kernel ist zwar in der Entwicklergemeinde aufgrund seiner zahlreichen Funktionen und der Tatsache, dass er Open-Source ist, sehr beliebt, aber er ist auch anfällig für eine Reihe von Sicherheitslücken. Eine weithin bekannte Schwachstelle ist darauf zurückzuführen, dass ältere Kernel-Versionen von Sicherheits-Patches ausgeschlossen sind. Infolgedessen könnten einige Hacker einfach einen Exploit herunterladen, kompilieren und ausführen, um eine Methode zur Ausweitung der Rechte durchzuführen. Diese Exploits erfordern in den meisten Fällen nur geringfügige Änderungen an der Konfiguration oder sind sofort einsatzbereit.

Um Kernel Exploits zu entschärfen, ist es wichtig, die Linux Sicherheitsberichte zu verfolgen und immer die neuesten Sicherheits-Patches und -Updates zu installieren.

SUDO Right Exploitation

Das Substitute User Do Programm (SUDO) ermöglicht es einem Benutzer, Linux-Befehle mit den Berechtigungen und Privilegien eines anderen Benutzers auszuführen. Leider bedeutet dies, dass ein externer Akteur den SUDO-Zugang eines Benutzers ausnutzen kann, um Root-Rechte des Kontoverwalters zu erlangen.

Um die Ausnutzung von SUDO-Rechten einzudämmen, müssen die SUDO-Rechte auf Programme, die eine Shell ausführen, oder auf den Programm-Compiler, -Editor oder -Interpreter beschränkt werden.  Bei der Vergabe von SUDO-Rechten ist es wichtig, den Zugriff nach dem “principle of least privilege” zu beschränken.

Windows

Es ist eine weit verbreitete Meinung, dass Windows-Systeme vergleichsweise anfälliger sind als Linux-Systeme. Unternehmen können jedoch sicherstellen, dass ihre Systeme vor Privilege Escalation Angriffen geschützt sind, wenn sie die richtigen Maßnahmen ergreifen. Zu den allgemein bekannten Methoden der Privilege Escalation, die von Vektoren verwendet werden, um Windows-Systeme anzugreifen, gehören:

Access Token Manipulation

Windows-Systeme benötigen von den Besitzern von Prozessen, dass sie sich durch Access Tokens authentifizieren. Wenn eine Aufgabe besondere Berechtigungen erfordert, prüft das System die Token, um festzustellen, ob der Prozess über ausreichende Berechtigungen zur Ausführung der Aufgabe verfügt. Leider ermöglicht dies Angreifern die Manipulation von Access Tokens auf verschiedene übliche Arten, einschließlich deren Duplizierung, der Erstellung neuer Prozesse mit duplizierten Tokens und der Erstellung von Tokens mit Benutzernamen-Passwort-Kombinationen.

Token Manipulation Angriffe können durch strengere Sicherheitskontrollen für administrative Konten abgeschwächt werden. Dies geschieht in Verbindung mit dem Least-Privilege-Prinzip, das ein Mindestmaß an Zugriffsrechten gewährt, um Missbrauch zu vermeiden.

Bypass User Account Control

Die User Account Control (UAC) trennt Administratoren von normalen Benutzern. Indem die UAC alle Rechner auf Standardbenutzerrechte beschränkt, hilft sie zu verhindern, dass Malware das Betriebssystem kompromittiert. Mit einer kompromittierten UAC können Angreifer ihre Privilegien ausweiten, um administrative Funktionen für einen umfassenden Systemangriff auszuführen.

Die einzige Möglichkeit, einen Angriff durch Umgehung der Benutzerkontrolle abzuschwächen, besteht darin, geeignete Maßnahmen für den Sicherheitskontext zu ergreifen, um sicherzustellen, dass der UAC-Schutz maximal ist.

Microsoft Windows, GNU Linux und UNIX haben bekannte Schwachstellen, die es Angreifern ermöglichen, mit beliebigem Code die Privilegien der Administratoren zu erlangen.

Wie können Privilege Escalation Incidents erkannt werden?

Ein gemeinsames Merkmal erfolgreicher Angreifer ist es, ihre Aktivitäten unentdeckt zu lassen. Solche ausgeklügelten Stealth-Methoden der Privilege Escalation sind besonders schwer zu erkennen. Diese bösartigen Aktivitäten verwischen Spuren, indem sie Ereignisprotokolle löschen, IP-Adressen maskieren und sich als normale Benutzer ausgeben. Um dem entgegenzuwirken, ist es wichtig, alle für Angriffe anfälligen Dateneingangspunkte zu berücksichtigen. Bei der Verfolgung eines Privilege Escalation Incidents sind einige Faktoren zu berücksichtigen:

  • Der Ausgangspunkt der Kompromittierung
  • Der Vektor, der zur Implementierung der ursprünglichen Bedrohung verwendet wurde
  • Berechtigungen und erhöhte Privilegien, die sich der Angreifer verschaffen konnte
  • Konten, auf die der Angreifer zugreifen wollte, und der Zweck
  • Der durch die Kompromittierung und Eskalation verursachte Schaden

Erkennen eines Privilege Escalation Incidents in Windows

Windows-Systeme identifizieren die Eigentümer von Systemprozessen mithilfe von Access Tokens. Zur Erkennung einer Privilege Escalation können Audit-Ereignisse zur Erstellung und Manipulation von Token festgelegt werden. Für den Fall, dass ein Hacker Zugriff auf den Token-Mechanismus erhält und versucht, die Token-Rechte einer anderen Person zu erlangen, erzeugt das System eine Audit Token Right Adjusted Event Notification (4703)

Weitere Einzelheiten finden Sie in der offiziellen Dokumentation von Microsoft, in der gezeigt wird, wie 4703-Ereignisse zur Erkennung von Eskalationsangriffen verwendet werden können.

Erkennen eines Privilege Escalation Incidents in Linux

In der heutigen Technologielandschaft verwenden die meisten Webserver eine Linux-Distribution. In älteren Linux-Versionen nutzen Hacker jedoch insbesondere den Copy-on-Write (CoW)-Mechanismus aus, um schreibgeschützte Mappings in beschreibbare Formate zu verwandeln. Mithilfe des Dirty Copy-on-Write Privilege Escalation Exploits können Hacker Root-Zugriff auf das System erlangen. Solche Angriffe können erkannt und vermieden werden, indem ein aktualisierter Linux Kernel verwendet wird und bewährte Linux-Sicherheitspraktiken befolgt werden. Andererseits verwenden moderne Linux-Systeme einen aktualisierten Kernel mit aktualisierten Sicherheitsfunktionen und gelten als wesentlich weniger anfällig für Dirty CoW-Angriffe.

Wie können Anwendungen vor einer Privilege Escalation geschützt werden?

Threat actors nutzen eine Kombination aus verschiedenen Arten der Privilege Escalation, um einen umfassenden Angriff durchzuführen. Dies erfordert, dass Unternehmen mehrere Strategien und Tools für eine ganzheitliche Sicherheit gleichermaßen einsetzen. Da der Zugriff auf ein reguläres Benutzerkonto der erste Schritt zur Privilege Escalation ist, tragen die Kontrollen der Identitäts- und Kontenverwaltung wesentlich dazu bei, Angriffe abzuwehren.

Webanwendungen

Web Application Server sind bevorzugte Einstiegspunkte für Angriffe, da sie, einmal infiltriert, durch einen Angriff mit Privilegien aus der Ferne administrativen Zugriff auf sensible, zentral gespeicherte Informationen erhalten können. Diese Lücke in der Anwendungssicherheit macht es leicht, das System über Verbindungen zu kritischen Komponenten wie anderen verbundenen Webanwendungen, Benutzerverwaltungsschnittstellen und Datenbanken zu infiltrieren.

Application Programming Interfaces (APIs)

APIs bieten ideale Angriffspunkte für schwerwiegende Datenverletzungen, wenn sie offengelegt, gehackt oder geknackt werden. Das bedeutet, dass sich Unternehmen auf die Sicherung der API durch Audits, Schwachstellen-Scans und andere fortschrittliche Cybersicherheitstechniken konzentrieren sollten, um Systeme vor API-Angriffsvektoren zu schützen.

Im Folgenden finden Sie einige gängige Best Practices und Tools für den Umgang mit Angriffen durch Privilege Escalation.

Best Practices für den Schutz vor einer Privilege Escalation

Da Cyberthreats immer raffinierter werden, müssen Unternehmen sicherstellen, dass sie die richtigen Methoden anwenden, um den Angreifern einen Schritt voraus zu sein. Im Folgenden finden Sie die Best Practices zur Verhinderung von Angriffen durch Privilege Escalation.

Minimum Privileges

Entwickler und Sicherheitsteams müssen sicherstellen, dass Benutzer und Benutzerkontengruppen klar definierte Rollen haben. Für jede Rolle sollten die Teams nur die erforderlichen Mindestberechtigungen zulassen, und die Dateiübertragung und der Zugriff auf Ressourcen sollten für jede Rolle eingeschränkt werden. Dadurch wird die Möglichkeit einer unternehmensweiten Eskalation eingeschränkt, selbst wenn ein Konto kompromittiert wird. Außerdem sollte der Zugriff für jedes Konto nur auf die Ressourcen beschränkt werden, die es verwalten/auf die es zugreifen darf.

Diese Richtlinie sollte nicht nur für Benutzer, sondern auch für Administratoren und Root-Benutzer gelten, da kein Superuser die Erlaubnis haben sollte, auf ein ganzes System zuzugreifen und es zu verändern. Die Regel des least privilege principle gilt auch für die Löschung von Benutzerkonten und sollte durchgesetzt werden, wenn ein Benutzer nicht mehr auf das System zugreift. 

Regelmäßige Vulnerability Scans

Es ist wichtig, eine Anwendung zu sichern, indem Systemschwachstellen gefunden werden, bevor Angreifer sie ausnutzen. Vulnerability Scanning Tools, wie die Crashtest Security Suite, automatisieren die Identifizierung und Bestätigung von Systemschwachstellen. Effektive Vulnerability Scans können dazu beitragen, Fehlkonfigurationen, schwache Passwörter und ungepatchte Software zu identifizieren, die das System unsicher machen. Schwachstellen-Scans decken auch Vulnerabilities in der Webserver-Sicherheit auf, wie z. B. bekannte Exploits, injection attack entry points (möglicher bösartiger Code) und ungeschützte Administratorschnittstellen. Mit effektiven Schwachstellen-Scans können Unternehmen zusätzliche Sicherheitsebenen einsetzen, patchen oder aktualisieren, um Bedrohungsvektoren in Schach zu halten.

Ändern der Default Credentials

Für jedes Konto müssen sichere, eindeutige Passwörter verwendet werden. Die meisten Konten sind mit Standardkennwörtern ausgestattet, die verwendet werden, bevor ein benutzerdefiniertes Kennwort festgelegt wird. Angreifer nutzen diese Standardpasswörter aus, um sich Zugang zu Benutzerkonten zu verschaffen und ihre Angriffe zu verstärken. Solche Standardkonten sollten vollständig entfernt oder ihre Passwörter geändert werden, da sie eine der häufigsten Einstiegspunkte für Hacker sind, um administrativen Zugriff auf Webserver zu erhalten. Außerdem sollten die Standard-Anmeldedaten für jedes Hardwaresystem geändert werden, sobald der Benutzer darauf zugreift.

Kontinuierliche Überwachung des Benutzerverhaltens

Threat actors haben es in der Regel auf Benutzerkonten abgesehen, um sich Zugang zum System zu verschaffen. Sobald sie die Anmeldedaten eines Benutzers erhalten haben, können sie sich unbemerkt in das System einloggen. Um zu überprüfen, ob Identitäten kompromittiert wurden, muss das Verhalten der Benutzer des Systems ständig überwacht werden. Dabei helfen Lösungen zur Analyse des Benutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA), die die Benutzeraktivitäten automatisch über einen längeren Zeitraum überwachen. Diese Tools modellieren legitimes Benutzerverhalten, indem sie Benutzerprofile auf der Grundlage verschiedener Parameter erstellen, und helfen dabei, verdächtige Kontoaktivitäten effizient zu erkennen. Darüber hinaus können Sicherheitsteams mit UEBA-Tools einen Einblick in die Gesamtverkehrsraten gewinnen, was die Erkennung und Verhinderung von DDoS-Angriffen über die API ermöglicht.

Passwortrichtlinien

Es gilt als eine der wirksamsten Methoden zur Verhinderung von Angriffen durch Privilege Escalation, da es die erste Verteidigungsstufe gegen Hacker bildet, die versuchen, in das System einzudringen. Daher ist es wichtig, dass jeder Benutzer ein eindeutiges und schwer zu erratendes Passwort erstellt. Darüber hinaus können Unternehmen Single Sign On (SSO) und Multi-Faktor-Authentifizierungsmechanismen (MFA) implementieren, um die Effektivität einer starken Passwortrichtlinie zu erhöhen. In einer Produktionsumgebung können Tools wie Policy Enforcer und Password Auditors auch schwache Passwörter scannen und identifizieren. Bessere Passwörter sollten beantragt werden. Bestimmte Tools zur Verwaltung von Unternehmenspasswörtern helfen auch bei der Durchsetzung und Erstellung starker, sicherer Passwörter, die den Sicherheitsrichtlinien entsprechen.

Dateizugriffe einschränken und ungenutzte Ports sperren

Alle Netzwerkports sollten geschlossen bleiben und nur geöffnet werden, wenn sie für Anwendungen und Dienste benötigt werden. Bestimmte Dienste verfügen über Konfigurationen, bei denen einige Ports für die Kommunikation über die API geöffnet sein müssen. Es ist wichtig, sie nur dann offenzuhalten, wenn sie gebraucht werden und nur für Anwendungen mit den erforderlichen Berechtigungen zugänglich sind. Als beste Praxis sollten solche Dienste identifiziert und blockiert werden. Darüber hinaus sollten alle Dateien innerhalb eines gemeinsam genutzten Systems standardmäßig schreibgeschützt sein. Wenn jedoch ein Benutzer oder eine Gruppe eine Datei bearbeiten muss, kann der Schreibzugriff aktiviert werden.

Tools zur Prävention von Privilege Escalation Angriffen

Die Verhinderung von Privilege Escalation ist einfacher, wenn Sie Tools verwenden, die verschiedene Aspekte der Sicherheitsdurchsetzung als Reaktion auf verschiedene Bedrohungsvektoren abdecken. In einem typischen System umfasst die Verhinderung von Angriffen eine Kombination verschiedener Tools, die Aspekte wie folgende abdecken:

Vulnerability Scanners

Vulnerability Scanners sind Tools, die eine automatische Identifizierung und Erstellung eines IT-Assets ermöglichen, um zu prüfen, ob Netzwerke, Maschinen und Anwendungen anfällig für Angriffe sind. Das Scannen von Schwachstellen ist eine gängige Praxis bei verteilten Anwendungen und Webservern, die dabei hilft, Sicherheitsschwachstellen von Webservern zu identifizieren, wie z. B.:

Vulnerability Scanner liefern Informationen über Systemschwächen, die mit jeder Schwachstelle verbundenen Risiken und Empfehlungen zur Abhilfe. Ein externer Schwachstellen-Scan hilft beispielsweise bei der Ermittlung von Einstiegspunkten, über die ein Hacker auf das System zugreifen kann. Dazu gehören Schwachstellen in den peripheren Verteidigungssystemen des Systems, wie Firewalls, APIs und offene Ports. Interne Schwachstellen-Scans hingegen helfen bei der Identifizierung von Bedrohungen, die von innerhalb des Systems ausgehen, wie z. B. die Ausweitung von Berechtigungen durch einen Angreifer, der in das System eingedrungen ist.

Prüfen Sie, ob Ihre Web App oder API für einen Privilege Escalation Angriff anfällig ist

JETZT KOSTENLOS SCANNEN

Einige beliebte Vulnerability Scanner sind:

Privileged Access Management Solutions

Privileged Access Management (PAM) Tools tragen zur Verbesserung der Sicherheit bei, indem sie bestimmte Benutzer mit speziellen Berechtigungen und Zugriffsmöglichkeiten schützen. Inhaber von Sonderrechten stellen ein zusätzliches Risiko für das System dar, da sie Zugriff auf sensible Daten haben, die im Falle eines Missbrauchs von Berechtigungen die gesamte Anwendung gefährden können. Benutzer mit erhöhten Berechtigungen, wie Systemadministratoren und Root-Benutzer, interagieren in der Regel mit Teilen des Systems, die für normale Benutzer nicht zugänglich sind. Die Anmeldedaten dieser Benutzer werden von einer ausgeklügelten Lösung verwaltet, die die automatische Passwortgenerierung sowie –Rotation, einen Genehmigungs-Workflow und einen Datensafe umfasst. Diese Tools sind ein wesentlicher Bestandteil des Systems zur Verhinderung von Privilege Escalation Angriffen, da Hacker es häufig auf Kontoinhaber mit besonderen Rechten abgesehen haben, da diese leicht zu einem Single-Point-of-Failure werden können.

Einige beliebte Tools zur Verwaltung solcher Konten sind:

Password Security Tools

Password Security-Tools helfen Unternehmen, Software-Teams und Anwendungsbenutzern beim Erstellen, Speichern und Aktualisieren sicherer Passwörter. Darüber hinaus setzen diese Tools strenge Kennwortrichtlinien und bewährte Verfahren durch und ermöglichen es Unternehmen, die wichtigsten Bedrohungen für den Kennwortschutz zu bekämpfen. Diese Tools sind sozusagen die erste Verteidigungslinie gegen Privilege Escalation Angriffe, indem sie Konten sicher halten. Einige der Bedrohungen, die von Passwortsicherheits-Tools erkannt und identifiziert werden können, sind:

  • Versuche, Passwörter auszuspähen, z. B. durch Keylogging 
  • Automatisierter Passwortdiebstahl durch Brute-Force-Angriffe 
  • Zugangsdaten, die während eines API-Phishing- oder Man-in-the-Middle-Angriffs abgerufen wurden 
  • Login spoofing Versuche durch verdächtige Parteien
  • Shoulder surfing Angriffe

Tools für die Passwortsicherheit ermöglichen auch die Automatisierung von Aufgaben des Passwortmanagements, wie z. B.:

  • Regelmäßiges Zurücksetzen/Aktualisieren von Passwörtern
  • Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten
  • Sichere Speicherung von Anmeldeinformationen und Durchsetzung von Richtlinien für sichere Daten
  • Scannen und Erzwingen der Verwendung von starken und eindeutigen Passwörtern

Einige beliebte Passwortsicherheitstools sind 1Password, Bitwarden, Dashlane, NordPass, Password Auditor und Password Manager Pro.

User und Entity Behavior Analytics (UEBA) Solutions

UEBA-Tools verwenden Traffic-Analysen, um Modelle des Standardverhaltens von Benutzern und Entitäten im Zeitverlauf zu erstellen. Zu den Entitäten gehören Netzwerke, Host-Rechner, Datenspeicher und Netzwerkverkehr. UEBA-Tools sammeln Daten aus Systemprotokollen und verwenden komplexe Datenanalysetechniken, um ein grundlegendes Verhaltensmuster zu erstellen. Die Tools überwachen dann kontinuierlich Benutzer und Entitäten, vergleichen sie mit dem Basisverhalten und verstärken die API-Sicherheit.

Typische UEBA-Tools bestehen aus drei Hauptkomponenten:

  • Data Analytics – Sammelt Daten und analysiert sie im Laufe der Zeit, um das „übliche“ Verhalten von Nutzern und Einrichtungen zu modellieren.
  • Data Integration – Vergleich von Eingabedaten aus verschiedenen Quellen mit bestehenden Sicherheitssystemen.
  • Visualization/Presentation – Präsentation analytischer Erkenntnisse für Systemadministratoren/Analysten, in der Regel als Fehlerwarnung, um ungewöhnliches Verhalten zu untersuchen.

Zu den beliebtesten UEBA-Lösungen gehören IBM Security QRadar, Rapid7 InsightIDR, ActivTrak, CyberArk Idaptive, Teramind, Citrix Analytics, Exabeam und inDefend.

Obwohl es sich nicht um eine eigenständige Cyberangriffsstrategie handelt, kann ein Privilege Escalation Angriff die Sicherheit eines Unternehmens potenziell zerstören. Mit erhöhtem Zugriff auf das System nutzen Hacker zusätzliche ungeschützte Konten und Systeme und können so ein ganzes Unternehmen über Nacht zum Einsturz bringen.

Durch den pragmatischen Einsatz verschiedener Best Practices und Tools können sich Unternehmen vorbereiten und Privilege Escalation Angriffe verhindern. Crashtest Security Suite ist eine automatisierte Lösung zum Scannen von Schwachstellen, die auf anfällige Einstiegspunkte von Webanwendungen und Anwendungsprogrammierschnittstellen (APIs) testet. Die Plattform lässt sich nahtlos in Entwicklungstools integrieren, um Schwachstellen-Scans als Teil des Entwicklungsprozesses zu ermöglichen.

Crashtest Security hat einen Privilege Escalation Vulnerability Scanner in einer Beta-Version veröffentlicht. Jetzt haben wir ihn zu einem optionalen Scanner gemacht (während der Beta-Phase). Das bedeutet, dass Sie zu den Scan-Ziel-Einstellungen gehen müssen und diese dann auf der Scanner-Seite auswählen müssen. Genau wie in diesem Screenshot unten. 

How to turn on Privilege Escalation in Crashtest Security Suite.

Wenn Sie jedoch noch kein Konto und kein Scan-Ziel eingerichtet haben, können Sie eines kostenlos erstellen.

Identify Security Vulnerabilities in Your Web Apps and APIs

SCAN NOW FOR FREE