I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.
Tutte le reti e i sistemi operativi, non importa quanto avanzati o sicuri, presentano falle e vulnerabilità che possono essere sfruttate dagli attori delle minacce in un modo o nell'altro.
Queste falle di sicurezza consentono attacchi di escalation dei privilegi, che sono attacchi informatici progettati per ottenere un accesso non autorizzato e privilegiato all'interno di un sistema violato.
Orizzontale vs. Escalation dei privilegi verticali
Ogni sistema operativo ha meccanismi integrati che distinguono tra diversi livelli di privilegio; tra amministratori, utenti esperti, utenti normali, ospiti e così via. L'obiettivo di un attacco di escalation dei privilegi è raggiungere il massimo livello di privilegi, sebbene ciò non sia sempre possibile.
Con questo in mente, è importante capire che esistono due tipi principali di escalation dei privilegi: orizzontale e verticale. Entrambi sono pericolosi, ma le differenze tra loro sono significative.
In un attacco orizzontale di escalation dei privilegi, un attore della minaccia ottiene l'accesso a un account e quindi si sposta orizzontalmente attraverso una rete, nel tentativo di ottenere l'accesso ad altri account con lo stesso o simile privilegi. E in un attacco di escalation dei privilegi verticali, un criminale informatico tenta di spostarsi verticalmente all'interno di una rete: compromette un utente e quindi tenta di compromettere altri utenti con più privilegi.
Come avviene l'escalation dei privilegi
I criminali informatici utilizzano tutti i tipi di tecniche diverse, alcune più complesse di altre, per penetrare in un sistema. Questi possono essere suddivisi in tre categorie.
1. Ingegneria sociale
Nella sicurezza informatica, il termine ingegneria sociale si riferisce a qualsiasi tentativo da parte di un attore della minaccia manipolare un bersaglio ad agire. Ciò include in genere la rappresentazione di un'entità legittima.
Ad esempio, un utente malintenzionato potrebbe inviare un'e-mail di phishing a un dipendente di basso livello di un'azienda. Se il dipendente ci casca, l'attaccante riesce a varcare la porta di un sistema. Quindi cercano di aumentare i loro privilegi. Esistono anche attacchi di social engineering vishing (voice phishing): coinvolgono l'aggressore contattare il bersaglio e impersonare una figura di autorità, ad esempio le forze dell'ordine o un IT professionale.
Un criminale informatico potrebbe anche distribuire scareware, un programma dannoso che induce la vittima a crederci necessario scaricare software o agire per sbarazzarsi di un virus, ma in realtà li indirizza al download malware. Anche gli attacchi di spear phishing, caccia alle balene e pharming sono abbastanza comuni.
2. Malware
Il malware (ovvero il software dannoso) può essere utilizzato sia per penetrare in un sistema sia per eseguire l'escalation dei privilegi una volta al suo interno. Ad esempio, se un utente malintenzionato vede l'opportunità di eseguire un'escalation verticale dei privilegi, può distribuire rootkit e ottenere il controllo sostanzialmente completo di un sistema.
D'altra parte, il ransomware può essere particolarmente utile per l'escalation orizzontale dei privilegi perché tende a diffondersi rapidamente con l'obiettivo di bloccare tutti i dati a cui può accedere. I worm vengono utilizzati anche nell'escalation orizzontale dei privilegi, poiché si replicano per impostazione predefinita.
Gli attacchi spyware sono un altro ottimo modo per gli attori delle minacce di entrare in un sistema. Se un criminale informatico riesce a distribuire spyware in un sistema, ottiene la capacità di farlo monitorare l'attività degli utenti, che include i tratti della tastiera o le acquisizioni dello schermo. In questo modo, possono ottenere l'accesso alle credenziali degli utenti, compromettere gli account ed eseguire l'escalation dei privilegi.
3. Attacchi basati su credenziali
Per aggirare la sicurezza di un'organizzazione, i criminali informatici utilizzano anche attacchi basati su credenziali, il cui scopo è accedere alle password e ai nomi utente degli utenti. Le organizzazioni che non utilizzano l'autenticazione a due fattori sono particolarmente vulnerabili a questi attacchi, perché i dipendenti tendono a riutilizzare le password, a condividerle con i colleghi o a memorizzarle come testo normale sul proprio computer.
Esistono molti modi in cui i criminali informatici possono ottenere l'accesso alle credenziali, tra cui attacchi pass-the-hash e il credential stuffing, che prevede l'utilizzo di elenchi di nomi utente e password esposti in precedenti violazioni e trapelati nel dark web. La spruzzatura di password e gli attacchi di forza bruta sono meno comuni, ma continuano a verificarsi. Lo stesso si può dire della navigazione a spalla, che consiste nel tracciare le azioni degli utenti privilegiati tramite keylogger e software dannoso simile, tramite telecamere spia o anche di persona.
Gli attacchi basati sulle credenziali sono particolarmente pericolosi perché gli autori delle minacce possono utilizzare le credenziali rubate per spostarsi all'interno di un sistema senza essere rilevati, aumentando i privilegi nel processo.
Gli attori delle minacce possono utilizzare qualsiasi combinazione di quanto sopra quando prendono di mira un sistema. Questi metodi di attacco sono spesso intrecciati in più di un modo. Una singola crepa in qualsiasi sistema o rete, non importa quanto apparentemente minuscola o periferica, può fornire un'apertura a un criminale informatico per penetrare le difese di un'organizzazione. E una volta entrati in una rete, cercheranno qualsiasi modo per aumentare i privilegi e scioperare.
Come prevenire gli attacchi di escalation dei privilegi
Gli attacchi di escalation dei privilegi sono rivolti quasi esclusivamente alle organizzazioni, non agli individui, quindi la protezione contro di loro richiede un approccio onnicomprensivo e olistico alla sicurezza.
Ogni azienda seria deve stabilire severi controlli amministrativi, una serie di regolamenti che tutti i dipendenti devono comprendere e rispettare in ogni momento. Ciò ha principalmente a che fare con la definizione di regole rigorose in termini di concessione dell'accesso, o piuttosto garantire che i dipendenti abbiano accesso solo a ciò di cui hanno bisogno per svolgere correttamente i loro compiti. Nemmeno gli amministratori o gli utenti esperti dovrebbero disporre di autorizzazioni ampie.
Minacce interne, se dannoso o non dannoso, sono la prima causa di violazione dei dati. Per questo motivo, è imperativo disporre di una rigorosa politica per le password. Una buona politica delle password include l'uso di password complesse, modifiche periodiche delle password, autenticazione a due o più fattori e linee guida chiaramente definite relative alla gestione delle password.
Inoltre, i controlli tecnici in quanto tali sono alla base di ogni buon accordo di sicurezza. È fondamentale utilizzare protocolli di crittografia avanzati, installare software anti-malware potenti e affidabili, installare firewall e affrontare regolarmente eventuali vulnerabilità in un sistema, tramite patch e aggiornamenti o altro tutele.
Il modo migliore per difendersi dall'escalation dei privilegi
Tutto il software è vulnerabile agli attacchi informatici, che diventano ogni giorno più sofisticati. Aggiungi le minacce interne al mix ed è facile capire perché ogni organizzazione, indipendentemente dalle dimensioni, ha bisogno di una protezione adeguata per stare al sicuro dal furto di dati e da altre minacce.
Potrebbe non esserci una soluzione unica per la sicurezza informatica, ma esistono diversi modi per affrontare efficacemente la questione. E probabilmente il modo migliore per proteggere un sistema è costruire un'infrastruttura di sicurezza zero trust, perché comprende livelli di controllo dei privilegi e meccanismi di autenticazione.
