對于各類數字化應用系統而言，都需要依靠訪問權限來限制用戶和設備對系統進行設置和應用。因此，訪問權限是一個非常重要的安全特性，它們決定了用戶可以與應用系統及其相關資源進行交互的程度。而那些具有廣泛系統控制能力的管理員賬號或根權限賬號，則被稱為特權訪問賬號。隨著網絡威脅態(tài)勢的不斷發(fā)展，企業(yè)的特權賬號正在成為攻擊者的重點攻擊目標。

為了遠離惡意特權攻擊，企業(yè)首先有必要了解攻擊者會使用什么策略來實現特權攻擊。實際上這很困難，因為攻擊者常常結合不同的技術來逃避安全檢測，并在受害企業(yè)的網絡中橫向移動。以下收集整理了8種較常見卻又很危險的特權攻擊路徑，并給出了相應的防護建議可供參考。

1.惡意軟件

惡意軟件是一個統稱，指攻擊者可能試圖安裝到系統上的眾多感染和病毒，包括間諜軟件、廣告軟件、病毒和勒索軟件等。在大多數的情況下，安裝惡意軟件需要更高的權限，這就是特權賬戶存在如此大風險的關鍵原因。

當前，惡意軟件攻擊最典型的例子是勒索軟件。獲取贖金通常是勒索軟件攻擊的最終目標。但是攻擊者首先需要使用本文介紹的其他策略和方法來獲得成功安裝勒索軟件所需的特權。惡意軟件的其他事例還包括監(jiān)視或偵察軟件，這幫助黑客識別安全弱點，比如未修補的漏洞或活動內存中的密碼。

防護建議

• 定期安裝防病毒軟件和軟件更新。
• 實施最小特權原則，縮小可能的攻擊面。
• 使用持續(xù)監(jiān)控工具檢測可疑的特權賬號活動。

2.系統漏洞

漏洞是攻擊者最廣泛使用的策略之一。他們可以利用這些代碼錯誤來獲得訪問權限、提升特權或執(zhí)行攻擊。這也是攻擊闖入組織系統的初始立足點。漏洞有多種形式，包括錯誤配置、不安全代碼、糟糕的API或其他各種安全性問題。為了利用漏洞，黑客必須使用漏洞利用代碼或工具。一旦得逞，就可以實施SQL注入、特權提升、遠程代碼執(zhí)行、拒絕服務和信息泄露等攻擊。

防護建議

• 使用漏洞掃描器識別未修補的漏洞。
• 使用CVSS分數和組織的內部定性數據，按嚴重程度對漏洞分類。
• 盡快修補最嚴重的漏洞。組織通常不會有足夠的資源來修補所有漏洞，所以合理利用資源很重要。

3.網絡釣魚和社會工程

網絡釣魚指誘騙最終用戶泄露敏感信息(通常是登錄憑據)的一系列策略。攻擊者通常已經獲得了電子郵件地址或電話號碼，然后他們向目標發(fā)送看似正規(guī)的信息，誘使他們點擊鏈接或填寫資料。

網絡釣魚常用作闖入IT環(huán)境的渠道。成功的網絡釣魚攻擊通常不會被最終用戶及其組織發(fā)現，這為黑客分析系統和橫向移動創(chuàng)造了條件。在某些情況下，攻擊的目的也可能是為了布置更復雜的網絡釣魚騙局，尤其是當黑客企圖竊取敏感信息、個人資料或知識產權時。

防護建議

• 加強用戶培訓，以便員工發(fā)現警告信號。
• 使用最新的網絡安全工具(比如SIEM平臺)來檢測異常行為，如可疑的電子郵件和鏈接。
• 打上最新的安全補丁，因為黑客可能利用過時的安全補丁執(zhí)行成功的網絡釣魚攻擊。
• 安裝多因素身份驗證機制，以加強防御。

4.供應鏈攻擊

供應鏈攻擊正成為一種越來越普遍的手法。攻擊者通過利用第三方供應商、合作伙伴或供應商來攻擊組織，這其中也需要借助某種形式的特權訪問來實現。現代企業(yè)對自身的安全性建設已經高度重視，但對第三方的安全性常常缺乏了解和控制，因此這成為備受黑客關注的一個安全防護薄弱環(huán)節(jié)。黑客們可以通過各種商業(yè)軟件產品獲得被泄露的特權訪問權限，隨后進而伺機闖入受害者客戶的IT環(huán)境。

防護建議

• 對第三方賬戶和服務賬戶以及內部員工運用最小權限。
• 簽署協議為所有第三方供應商、合作伙伴和供貨商明確具體的安全要求。

5.錯誤配置

錯誤配置往往很難定義，因為它們涉及一系列不同的問題和挑戰(zhàn)。從本質上講，使黑客更容易攻擊和訪問組織IT環(huán)境的現有IT策略和配置實踐都可以被認為是錯誤配置。下面是幾種典型的錯誤配置及相應的解決辦法：

（1）出現在軟件、服務器、物聯網設備等系統的代碼中的硬編碼憑據。

防護建議

使用現代PAM軟件來識別硬編碼憑據，然后將它們換成可以加密、保存、轉換的密碼。

（2）使用空白或默認密碼，因而更容易被蠻力破解方法猜中。

防護建議

實施嚴格的策略，要求密碼具有獨特性、復雜性、定期輪換。

（3）特權過高的用戶和服務賬戶為黑客創(chuàng)建了廣泛的攻擊面，便于攻擊和橫向移動。

防護建議

實施最小權限原則，并定期檢查用戶賬戶和服務賬戶中是否存在不必要的權限。

（4）缺乏密碼輪換或即時訪問使密碼更容易被猜中，一旦黑客成功登錄，毫無屏障可言。

防護建議

實施密碼輪換和及時訪問機制，這樣被盜的密碼變得無用，仍可以鎖定泄密的賬戶。

（5）賬戶共享使黑客更容易獲得訪問權限，因為密碼常存儲在消息、郵件或其他不安全的介質中

防護建議

• 嚴格限制賬戶共享使用;
• 如果使用共享賬戶，應通過安全的數字令牌或密碼庫授予訪問權限;
• 共享賬戶密碼對最終用戶應該是不可見的。

（6）對特權賬戶缺乏多因素身份驗證也會使黑客更方便，因為他們在獲得訪問權限之前要克服的障礙更少。

防護建議

對所有特權賬戶統一實施MFA，最好對所有其他賬戶也實施MFA。這確保了組織在密碼泄露后擁有多一層防御。

（7）針對文件、文件夾和本地設備的松散或薄弱的訪問控制也會加大攻擊面。這是由于糟糕的訪問策略實際上創(chuàng)建了更多的賬戶，攻擊者可以通過這些賬戶訪問敏感信息。

防護建議

實施可靠的身份和訪問管理(IAM)策略，以便只能由盡可能少的人查看敏感信息。

（8）不安全的協議(比如HTTP或SSL)也會使組織易受攻擊。黑客可以利用這些協議的詳細信息來捕獲、分析、修改或竊取數據，常常是在數據從客戶端傳輸到服務器時。這有時可能包括未加密的登錄信息。

防護建議

始終使用最新的協議，避免與未做到這點的第三方軟件供應商合作。

（9）缺乏實時監(jiān)控也會使?jié)B入到環(huán)境中的黑客更容易逃避檢測。實時監(jiān)控技術可以幫助組織通過異常分析來發(fā)現可疑活動，因為黑客的活動往往非常特殊。

防護建議

實施實時監(jiān)控機制，以便在造成危害之前發(fā)現并阻止可疑行為。

（10）服務賬戶缺少PAM控制會給黑客提供進一步的訪問渠道。機器身份(比如RPA工作流、物聯網設備和應用程序)常常需要訪問權限，才能執(zhí)行自動化功能。黑客可以利用這些賬戶獲得訪問權限。

防護建議

部署合適的特權賬號管理解決方案，并實施最小特權原則。

6.憑據利用

憑據利用是指黑客用來獲取登錄憑據的一系列手法和策略。登錄憑據可能包括明文密碼、密碼散列、數字令牌、API密鑰、SSH密鑰或更多信息。

暴力猜測：黑客不斷猜測，直到猜中為止。在這種情況下，密碼通常容易猜到，比如“Password1”、“1234”或用戶的出生日期。糟糕的密碼輪換和密碼強度策略讓黑客更容易猜中密碼。

密碼噴灑：類似暴力猜測，但攻擊面更廣。攻擊者可能企圖通過在多個賬戶中嘗試幾個常用密碼來獲得訪問權限。許多攻擊者使用機器人程序快速自動地完成這項工作。

傳遞哈希：哈希是一串加密的字符，可以代替實際的密碼對用戶進行身份驗證。黑客常可以從活動內存中提取這些哈希，無需知道它替代的明文密碼即可獲得訪問權限。

密碼抓取：與傳遞哈希相似，攻擊者掃描IT環(huán)境以獲取明文密碼。這些密碼可能存儲在活動內存中，也可能存在于應用程序的源代碼中。

擊鍵記錄：攻擊者還可能使用擊鍵記錄軟件來記錄用戶鍵入的內容，包括密碼。攻擊者可以安裝這種惡意軟件，為橫向移動提供便利。

數據泄露：有時可以在暗網上買到明文密碼，讓黑客直接訪問賬戶。

中間人攻擊：當數據在服務器和客戶端設備之間移動時，黑客通常利用不安全的連接來訪問數據。不安全協議就是一個常見的例子。

在幾乎所有上述情況下，黑客通常先試圖訪問網絡環(huán)境，或者在獲得訪問權限后橫向移動。這些技術可以用來滲入并獲取特權賬戶。

防護建議

• 創(chuàng)建可靠的策略，以確保密碼是獨特的、強大的，并定期更換。
• 實施多因素認證技術，那樣黑客需要克服另一道屏障才能獲得訪問權限。
• 盡可能使用無密碼技術，包括單點登錄、密碼保管和加密。這可以確保最終用戶不需要看到明文密碼，而是可以通過MFA、單點登錄、數字令牌或密碼庫進行身份驗證。

7.SQL注入

當黑客將惡意SQL代碼注入數據庫或服務器時，就會發(fā)生SQL攻擊，黑客因此能夠查看、修改或刪除數據庫中的信息，或者在某些情況下在服務器上執(zhí)行命令。SQL注入既可能是攻擊的最終目的，也可能是用于幫助更廣泛的攻擊策略的一種方法。黑客常通過網頁或應用程序中的漏洞實現SQL注入。

防護建議

• 運用最小權限以縮小攻擊面。
• 使用能夠實時阻止SQL注入的防火墻。
• 使用數據庫加密，這樣信息不容易被訪問和竊取。
• 用參數化查詢和預定義語句替換SQL查詢。

8.拒絕服務攻擊

拒絕服務攻擊(DoS)旨在通過向攻擊目標發(fā)送大量互聯網流量來關閉正常運營的系統、服務或網絡。攻擊目標常常可能是某個網站、服務器、客戶應用程序或其他關鍵任務系統。分布式拒絕服務(DDoS)攻擊的目的一樣，但黑客會從不同的系統或地方發(fā)動統一協調的攻擊，以掩蓋攻擊，盡量造成最大的潛在損害。

防護建議

• 可以通過限制來自任何端點、設備或IP地址的流量來避免DoS攻擊。
• 實施速率限制措施拒絕無法處理的流量。
• 實施網絡分段，并安裝防火墻，阻止攻擊范圍擴大。
• 結合使用現代技術和實時異常檢測，以識別和動態(tài)阻止可疑活動。

參考鏈接：

https://heimdalsecurity.com/blog/privileged-attack-vectors/。