Ayrıcalık Yükseltme nedir?
Ayrıcalık yükseltme, bir saldırganın başlangıçta yetkilendirilenin üzerinde daha yüksek düzeyde izinler elde etmek için bir güvenlik açığını, yanlış yapılandırmayı veya çalınmış kimlik bilgisini istismar ettiği bir saldırı tekniğidir; tipik olarak sıradan kullanıcıdan yönetici veya kök hesabına geçiş.
Diğer adlarıyla: privilege escalation attack, vertical privilege escalation
Ayrıcalık yükseltme iki biçimde gerçekleşir. Dikey yükseltme, şu anda atanandan daha yüksek ayrıcalıklar kazanmayı ifade eder; örneğin standart bir kullanıcının yönetici erişimi elde etmesi. Yatay yükseltme ise aynı ayrıcalık düzeyindeki başka bir kullanıcının kaynaklarına erişmeyi ifade eder; örneğin bir müşterinin başka bir müşterinin verilerini görmesi. Her ikisi de çoğu sofistike saldırı zincirinde kritik adımlardır.
Yaygın ayrıcalık yükseltme vektörleri şunlardır: yamayı bekleyen yazılım güvenlik açıklarını istismar etme, yanlış yapılandırılmış izinler, güvenli olmayan servis hesapları, kimlik bilgisi yeniden kullanımı ve aşırı müsamahakâr erişim denetimleri. Bulut ortamlarında, yanlış yapılandırılmış IAM rolleri ve çok geniş politikalar sık görülen nedenlerdir. Saldırganlar çoğunlukla birden fazla düşük önemdeki sorunu bir araya getirir: düşük ayrıcalıklı bir dayanak noktası artı yerel bir ayrıcalık yükseltme güvenlik açığı tam sistem ele geçirmeye dönüşebilir.
Savunma, en az ayrıcalık ilkesine odaklanır: her kullanıcı, süreç ve hizmet yalnızca çalışmak için gereken minimum izinlere sahip olmalıdır. Düzenli erişim incelemeleri, güçlü kimlik bilgisi yönetimi, hızlı yamalama ve anormal ayrıcalık kullanımının izlenmesi saldırı yüzeyini azaltır. Kritik olarak, yönetici kimlik bilgileri, API anahtarları ve SSH anahtarları gibi gizli dizilerin sıkı biçimde denetlenmesi gerekir; e-postalarda veya paylaşılan belgelerde bulunurlarsa ayrıcalık yükseltmenin en hızlı yolu haline gelirler.
Vaulted Ayrıcalık Yükseltme nasıl kullanır
Vaulted, paylaşılan kimlik bilgilerinin (çoğunlukla ayrıcalık yükseltmenin anahtarları) iletişim kanallarında kalmamasını sağlayarak en az ayrıcalık uygulamalarını destekler. Bir ekip yönetici parolası, veritabanı kimlik bilgisi veya AWS erişim anahtarı paylaşması gerektiğinde, Vaulted'ın kendiliğinden yok olan bağlantıları gizli dizinin kalıcı olarak silinmeden önce yalnızca sınırlı sayıda görüntüleme için erişilebilir kalmasını sağlar. Bu, bir posta kutusuna veya sohbet geçmişine erişim sağlayan saldırganların ayrıcalık yükseltmek için ihtiyaç duydukları kimlik bilgilerini bulmasını önler.