Adından da anlaşılacağı gibi, ayrıcalık yükseltme saldırıları çok hızlı bir şekilde çok zarar verici hale gelebilir. Peki onlar ne? Ve nasıl yapılır?
Tüm ağlar ve işletim sistemleri, ne kadar gelişmiş veya güvenli olursa olsun, tehdit aktörleri tarafından şu veya bu şekilde istismar edilebilecek kusurlara ve güvenlik açıklarına sahiptir.
Bu güvenlik açıkları, ihlal edilmiş bir sistemde yetkisiz ve ayrıcalıklı erişim elde etmek için tasarlanmış siber saldırılar olan ayrıcalık yükseltme saldırılarına olanak tanır.
Yatay ve Dikey Ayrıcalık Yükseltmesi
Her işletim sisteminde, farklı ayrıcalık düzeyleri arasında ayrım yapan yerleşik mekanizmalar bulunur; yöneticiler, uzman kullanıcılar, normal kullanıcılar, konuklar vb. arasında. Bir ayrıcalık yükseltme saldırısının amacı, her zaman mümkün olmasa da, en yüksek ayrıcalık düzeyine ulaşmaktır.
Bunu akılda tutarak, iki ana ayrıcalık yükseltme türü olduğunu anlamak önemlidir: yatay ve dikey. Her ikisi de tehlikelidir, ancak aralarındaki farklar önemlidir.
Yatay bir ayrıcalık yükseltme saldırısında, bir tehdit aktörü bir hesaba erişim kazanır ve ardından aynı veya benzer ayrıcalıklara sahip diğer hesaplara erişim elde etmek amacıyla bir ağda yatay olarak hareket eder. Ve dikey bir ayrıcalık yükseltme saldırısında, bir siber suçlu bir ağ içinde dikey olarak hareket etmeye çalışır: Bir kullanıcıyı tehlikeye atar ve ardından daha fazla ayrıcalığa sahip diğer kullanıcıları tehlikeye atmaya çalışır.
Ayrıcalık Yükseltmesi Nasıl Gerçekleşir?
Siber suçlular, bir sisteme girmek için bazıları diğerlerinden daha karmaşık olan her türlü farklı tekniği kullanır. Bunlar üç kategoriye ayrılabilir.
1. Sosyal Mühendislik
Siber güvenlikte, sosyal mühendislik terimi, bir tehdit aktörünün bir hedefi harekete geçmesi için manipüle etme girişimi anlamına gelir. Bu genellikle meşru bir varlığın kimliğine bürünmeyi içerir.
Örneğin, bir saldırgan bir şirketin alt düzey çalışanına kimlik avı e-postası gönderebilir. Çalışan buna kanarsa, saldırgan ayağını bir sistemin kapısından içeri sokar. Sonra ayrıcalıklarını artırmaya çalışırlar. Ayrıca, vishing (sesli kimlik avı) sosyal mühendislik saldırıları da vardır; bunlar, saldırganın hedefle iletişim kurmasını ve bir otorite figürünün, örneğin kolluk kuvvetlerinin veya bir BT uzmanının kimliğine bürünmesini içerir.
Bir siber suçlu ayrıca, kurbanı yazılım indirmesi veya bir virüsten kurtulmak için harekete geçmesi gerektiğine inandıran, ancak aslında onları kötü amaçlı yazılım indirmeye yönlendiren kötü amaçlı bir program olan korku yazılımını da dağıtabilir. Spear kimlik avı, balina avcılığı ve pharming saldırıları da oldukça yaygındır.
2. Kötü amaçlı yazılım
Kötü amaçlı yazılım (yani kötü amaçlı yazılım), hem bir sisteme girmek hem de sisteme girdikten sonra ayrıcalık yükseltmesi yapmak için kullanılabilir. Örneğin, bir saldırgan dikey ayrıcalık yükseltme gerçekleştirme fırsatı görürse, rootkit'ler dağıtabilir ve bir sistemin tam kontrolünü ele geçirebilir.
Öte yandan, fidye yazılımı, erişebildiği tüm verileri kilitlemek amacıyla hızla yayılma eğiliminde olduğundan, yatay ayrıcalık artışı için özellikle yararlı olabilir. Solucanlar, varsayılan olarak kendilerini çoğalttıkları için yatay ayrıcalık yükseltmede de kullanılır.
Casus yazılım saldırıları, tehdit aktörlerinin bir sisteme girmesi için başka bir harika yoldur. Bir siber suçlu bir sisteme casus yazılım dağıtmayı başarırsa, klavye vuruşları veya ekran görüntüleri de dahil olmak üzere kullanıcı etkinliğini izleme yeteneği kazanır. Bu şekilde, kullanıcı kimlik bilgilerine erişebilir, hesapları tehlikeye atabilir ve ayrıcalık yükseltme gerçekleştirebilirler.
3. Kimlik Bilgilerine Dayalı Saldırılar
Siber suçlular, bir kuruluşun güvenliğini aşmak için, amacı kullanıcıların parolalarına ve kullanıcı adlarına erişmek olan kimlik bilgilerine dayalı saldırılar da kullanır. İki faktörlü kimlik doğrulama kullanmayan kuruluşlar, bu tür saldırılara karşı özellikle savunmasızdır çünkü çalışanlar parolaları yeniden kullanma, iş arkadaşlarıyla paylaşma veya bilgisayarlarında düz metin olarak depolama eğilimindedir.
Siber suçluların kimlik bilgilerine erişmesinin birçok yolu vardır; bunlara , önceki ihlallerde ortaya çıkan ve karanlık ağda sızdırılan kullanıcı adları ve parola listelerini kullanmayı içeren karma geçiş saldırıları ve kimlik bilgisi doldurma dahildir. Parola püskürtme ve kaba kuvvet saldırıları daha az yaygındır, ancak yine de olur. Aynı şey, ayrıcalıklı kullanıcıların eylemlerini keylogger'lar ve benzeri kötü amaçlı yazılımlar aracılığıyla, casus kameralar aracılığıyla ve hatta şahsen izlemekle ilgili olan omuz sörfü için de söylenebilir.
Kimlik bilgilerine dayalı saldırılar özellikle tehlikelidir çünkü tehdit aktörleri çalınan kimlik bilgilerini sistemde fark edilmeden dolaşmak için kullanabilir ve bu süreçte ayrıcalıkları artırabilir.
Tehdit aktörleri, bir sistemi hedeflerken yukarıdakilerin tüm kombinasyonlarını kullanabilir. Bu saldırı yöntemleri genellikle birden fazla şekilde iç içedir. Ne kadar küçük veya çevresel olursa olsun, herhangi bir sistem veya ağdaki tek bir çatlak, bir siber suçlunun bir kuruluşun savunmasını delmesi için bir açıklık sağlayabilir. Ve bir ağa girdiklerinde, ayrıcalıkları yükseltmenin ve grev yapmanın her yolunu arayacaklar.
Ayrıcalık Yükseltme Saldırıları Nasıl Önlenir?
Ayrıcalık yükseltme saldırıları, bireylerin aksine neredeyse tamamen kuruluşları hedef alır, bu nedenle bunlara karşı korunmak, güvenliğe her şeyi kapsayan ve bütüncül bir yaklaşım gerektirir.
Her ciddi işletmenin katı idari kontroller - tüm çalışanların anlaması ve her zaman saygı duyması gereken bir dizi düzenleme - belirlemesi gerekir. Bu, öncelikle erişim izni verme açısından katı kurallar koymakla veya daha doğrusu çalışanların görevlerini düzgün bir şekilde yerine getirmek için yalnızca ihtiyaç duydukları şeylere erişebilmelerini sağlamakla ilgilidir. Yöneticiler veya uzman kullanıcılar bile geniş izinlere sahip olmamalıdır.
Kötü niyetli veya kötü amaçlı olmayan içeriden gelen tehditler, veri ihlallerinin bir numaralı nedenidir. Bu nedenle, katı bir parola politikasına sahip olmak zorunludur. İyi bir şifre politikası, karmaşık şifrelerin kullanımını, periyodik şifre değişikliklerini, iki faktörlü veya çok faktörlü kimlik doğrulamayı ve şifre yönetimiyle ilgili açıkça tanımlanmış yönergeleri içerir.
Ek olarak, teknik kontroller, her iyi güvenlik düzenlemesinin temelidir. Güçlü şifreleme protokolleri kullanmak, güçlü ve güvenilir kötü amaçlı yazılımdan koruma yazılımı yüklemek, güvenlik duvarları kurmak ve bir sistemdeki tüm güvenlik açıklarını yamalar ve güncellemeler veya diğer güvenlik önlemleri aracılığıyla düzenli olarak ele almak çok önemlidir.
Ayrıcalık Yükseltmesine Karşı Savunmanın En İyi Yolu
Tüm yazılımlar, gün geçtikçe daha karmaşık hale gelen siber saldırılara karşı savunmasızdır. İçeriden gelen tehditleri de eklediğinizde, boyutu ne olursa olsun her kuruluşun veri hırsızlığı ve diğer tehditlerden korunmak için neden uygun korumaya ihtiyaç duyduğunu anlamak kolaydır.
Siber güvenlik için tek boyutlu bir çözüm olmayabilir, ancak konuya etkili bir şekilde yaklaşmanın birkaç farklı yolu vardır. Ve muhtemelen bir sistemi güvence altına almanın en iyi yolu, sıfır güven güvenlik altyapısı oluşturmaktır çünkü bu, ayrıcalık denetimi ve kimlik doğrulama mekanizmaları katmanlarını kapsar.
