目前，主流的(de)(de)操(cao)作系(xi)(xi)統(tong)和(he)(he)業務系(xi)(xi)統(tong)都依賴權(quan)限(xian)管理來限(xian)制不(bu)同用戶和(he)(he)設備對系(xi)(xi)統(tong)應(ying)用功(gong)能(neng)、業務數(shu)據和(he)(he)配置(zhi)服(fu)務的(de)(de)訪問(wen)(wen)。因此，訪問(wen)(wen)權(quan)限(xian)是一(yi)項(xiang)至關重要的(de)(de)安(an)全特(te)性，可以控制用戶訪問(wen)(wen)及使用系(xi)(xi)統(tong)或應(ying)用程序(xu)及關聯資源的(de)(de)程度。通過觀察很(hen)(hen)多(duo)安(an)全事件(jian)發現，較(jiao)低(di)的(de)(de)權(quan)限(xian)將使攻擊者訪問(wen)(wen)活動受(shou)到很(hen)(hen)多(duo)的(de)(de)限(xian)制，也無法(fa)進行(xing)獲取Hash、安(an)裝軟件(jian)、修(xiu)改(gai)防火墻規則(ze)和(he)(he)修(xiu)改(gai)注(zhu)冊表(biao)等各(ge)種(zhong)操(cao)作，所以攻擊者往(wang)往(wang)會先進行(xing)權(quan)限(xian)提升攻擊，在(zai)獲取更(geng)高的(de)(de)訪問(wen)(wen)權(quan)限(xian)后，在(zai)開展更(geng)具破(po)壞(huai)性的(de)(de)其他攻擊。

　　一、提權攻擊的類型和原理

　　權限(xian)提升(sheng)攻擊(ji)的(de)目的(de)是，獲得(de)網絡或在線服務中諸多系統和應用程序的(de)額外權限(xian)，攻擊(ji)主要(yao)分(fen)為兩大(da)類：

　　1.橫向權(quan)限(xian)提(ti)升。這種攻擊(ji)主要是用(yong)(yong)(yong)(yong)于獲取(qu)更(geng)(geng)多同級別賬(zhang)號的(de)(de)權(quan)限(xian)，攻擊(ji)者在成功訪(fang)問現有(you)的(de)(de)用(yong)(yong)(yong)(yong)戶(hu)或設(she)備賬(zhang)戶(hu)之(zhi)后，會利(li)用(yong)(yong)(yong)(yong)各種渠道進入并控(kong)制更(geng)(geng)多其他用(yong)(yong)(yong)(yong)戶(hu)賬(zhang)戶(hu)。雖然這招不一(yi)(yi)定(ding)會讓黑客獲得更(geng)(geng)高等級權(quan)限(xian)，但如果(guo)黑客收集(ji)了(le)大量攻擊(ji)目(mu)標的(de)(de)用(yong)(yong)(yong)(yong)戶(hu)數據(ju)及其他資源，可(ke)能會對受害(hai)者造(zao)成進一(yi)(yi)步危害(hai)。一(yi)(yi)些系統(tong)漏洞(dong)會導致(zhi)跨站(zhan)腳本、跨站(zhan)偽造(zao)請求(qiu)及其他類型的(de)(de)攻擊(ji)，以獲得另一(yi)(yi)個用(yong)(yong)(yong)(yong)戶(hu)的(de)(de)登錄憑據(ju)或身(shen)份驗證數據(ju)，并獲得訪(fang)問賬(zhang)戶(hu)的(de)(de)權(quan)限(xian)。

　　2.縱向權(quan)限(xian)提升。這是一(yi)種更(geng)加危險的(de)權(quan)限(xian)升級(ji)攻(gong)(gong)擊(ji)，因為攻(gong)(gong)擊(ji)者也許能夠控制整(zheng)個網(wang)(wang)絡。通常是多階(jie)段網(wang)(wang)絡攻(gong)(gong)擊(ji)的(de)第二個階(jie)段。攻(gong)(gong)擊(ji)者利用系統錯(cuo)誤配置(zhi)、漏洞、弱密(mi)碼和(he)薄弱的(de)訪(fang)問(wen)控制來獲得管(guan)理權(quan)限(xian);通過這種權(quan)限(xian)，他們就可以進而訪(fang)問(wen)網(wang)(wang)絡上的(de)其他資(zi)源。一(yi)旦擁(yong)有更(geng)強(qiang)大(da)的(de)權(quan)限(xian)，攻(gong)(gong)擊(ji)者就可以安裝(zhuang)惡意(yi)軟(ruan)件(jian)和(he)勒(le)索軟(ruan)件(jian)，改變系統設置(zhi)，并竊取數(shu)據。

　　以下是(shi)惡(e)意(yi)攻(gong)擊者用(yong)來(lai)實(shi)施權限(xian)升級(ji)攻(gong)擊的常見方(fang)法，前兩種(zhong)方(fang)法多(duo)用(yong)于(yu)(yu)橫向(xiang)權限(xian)升級(ji)攻(gong)擊，但沖攻(gong)擊者的最終目的分(fen)析，很多(duo)受攻(gong)擊的賬戶(hu)最終還是(shi)被用(yong)于(yu)(yu)縱(zong)向(xiang)權限(xian)提升。

　　社會工程攻擊

　　社會工(gong)程攻(gong)擊(ji)(包括網絡釣魚、水坑攻(gong)擊(ji)和域欺騙)通常被(bei)用來誘(you)騙用戶(hu)泄露(lu)其賬(zhang)戶(hu)憑據(ju)，就這(zhe)種類型(xing)的(de)攻(gong)擊(ji)而(er)言，攻(gong)擊(ji)者不(bu)需(xu)要發(fa)動復雜的(de)攻(gong)擊(ji)，即可繞過系(xi)統的(de)安全(quan)防御。

　　弱密碼竊取

　　弱密(mi)(mi)碼(ma)、重用(yong)密(mi)(mi)碼(ma)或共享(xiang)密(mi)(mi)碼(ma)是攻擊者(zhe)未經授權訪問賬戶(hu)的一條捷徑。如果該賬戶(hu)擁有管(guan)理權限，整個網(wang)絡應用(yong)系統會(hui)立即面臨(lin)被嚴重破壞(huai)的危(wei)險。

　　系統配置錯誤

　　如果安全(quan)設(she)(she)(she)置未嚴加保(bao)護或發(fa)生漂移，也讓攻擊者有(you)機會獲得過大的(de)(de)權(quan)(quan)限，擁有(you)公(gong)共(gong)訪(fang)問(wen)權(quan)(quan)的(de)(de)云存儲桶就是例子(zi)。配置不(bu)當的(de)(de)網絡防御(yu)(比如防火墻(qiang)和敞開且不(bu)受(shou)保(bao)護的(de)(de)端口)，以及重要(yao)賬戶的(de)(de)默認密(mi)碼和新安裝應用程序的(de)(de)不(bu)安全(quan)默認設(she)(she)(she)置(這兩(liang)種情(qing)況在物聯網設(she)(she)(she)備(bei)上特別常見)，都(dou)為(wei)攻擊者獲取額(e)外權(quan)(quan)限提(ti)供了可(ke)趁(chen)之機。

　　惡意軟件攻擊

　　有多種惡意軟件(比如(ru)鍵(jian)盤記錄器、內存抓取(qu)器和網(wang)(wang)絡嗅探器)可(ke)以竊取(qu)用戶密碼。惡意軟件一旦進(jin)入網(wang)(wang)絡，獲得被攻擊(ji)賬戶的權限，就可(ke)以觸(chu)發更(geng)危險的攻擊(ji)。

　　系統漏洞

　　在系統的(de)設(she)計、實現(xian)或(huo)配置(zhi)中任何暴露的(de)漏洞都可能使攻擊者能夠通(tong)過執行惡意代(dai)碼來獲(huo)得shell訪問(wen)權，從(cong)而獲(huo)得賬(zhang)戶權限(xian)。

　　二、防范權限升級攻擊的六種手段

　　與(yu)任何網絡(luo)攻(gong)(gong)(gong)擊一樣，權(quan)限升(sheng)級攻(gong)(gong)(gong)擊會綜合利用網絡(luo)上運(yun)行的諸多(duo)服(fu)務(wu)和應(ying)用程序的漏洞，尤其是訪問控(kong)(kong)制薄弱的服(fu)務(wu)和應(ying)用程序。權(quan)限升(sheng)級往往是全面網絡(luo)攻(gong)(gong)(gong)擊的一個(ge)關鍵性階段，企(qi)業(ye)組織(zhi)需要采取有(you)效的安全控(kong)(kong)制措施來防止(zhi)這類攻(gong)(gong)(gong)擊，并定(ding)期維護。以下6種方法(fa)有(you)助于(yu)企(qi)業(ye)IT系統更好應(ying)對權(quan)限提升(sheng)攻(gong)(gong)(gong)擊的威脅和挑戰。

　　實施最小權限原則

　　實施最小權(quan)(quan)限(xian)(xian)原則，將用戶和(he)服務的訪(fang)問權(quan)(quan)限(xian)(xian)限(xian)(xian)制到最低限(xian)(xian)度，這可以減小攻(gong)擊者獲得管理(li)級(ji)權(quan)(quan)限(xian)(xian)的機會。安全團隊和(he)人(ren)力(li)資源(yuan)部(bu)門應該密切合(he)作，實現統一(yi)權(quan)(quan)限(xian)(xian)管理(li)，防止不必要的權(quan)(quan)限(xian)(xian)蔓(man)延(yan)，盡量縮減權(quan)(quan)限(xian)(xian)賬(zhang)戶的數量和(he)范圍，同時監控(kong)和(he)記錄賬(zhang)戶的活(huo)動，這也有助于標記任(ren)何潛在的濫(lan)用活(huo)動，提(ti)前(qian)發(fa)現攻(gong)擊風險。

　　及時補丁修復

　　及時進行補丁(ding)修復，減小攻擊者發現可利用(yong)漏洞的(de)(de)機會，是(shi)阻止任(ren)何一(yi)種網絡攻擊的(de)(de)最佳方法。全(quan)面(mian)的(de)(de)補丁(ding)管理策略(lve)可以使攻擊者更(geng)難利用(yong)系統和應(ying)用(yong)程序的(de)(de)漏洞。尤其是(shi)，企(qi)業應(ying)定期更(geng)新瀏覽(lan)器(qi)和殺(sha)毒軟件。

　　執行漏洞掃描

　　定(ding)期掃(sao)(sao)描IT基礎架構中(zhong)所(suo)有部(bu)件/組件的漏洞，將使那(nei)些(xie)已經入網(wang)(wang)絡的潛(qian)在攻(gong)擊(ji)者(zhe)更(geng)難在網(wang)(wang)絡中(zhong)站穩腳跟。漏洞掃(sao)(sao)描可以搶(qiang)在潛(qian)在攻(gong)擊(ji)者(zhe)真(zhen)正發(fa)起攻(gong)擊(ji)前，更(geng)早發(fa)現錯誤(wu)配置、未(wei)記(ji)入文(wen)檔的系(xi)統(tong)更(geng)改、未(wei)打補(bu)丁或不(bu)安全的操作系(xi)統(tong)和應用程序以及其(qi)他缺(que)陷，從而避免被攻(gong)擊(ji)者(zhe)實際(ji)利用。

　　監控網絡流量和行為

　　如果攻擊者成功獲得了網絡(luo)用(yong)戶(hu)的(de)憑據，其行(xing)蹤往(wang)往(wang)很難被發現，除非持續監控網絡(luo)，留(liu)意各種不尋(xun)常(chang)(chang)的(de)流量或(huo)異(yi)(yi)常(chang)(chang)性用(yong)戶(hu)行(xing)為。用(yong)戶(hu)和實(shi)體行(xing)為分析(UEBA)軟件可以為合法行(xing)為設(she)立基準(zhun)，標記異(yi)(yi)常(chang)(chang)用(yong)戶(hu)活動(dong)，發現一(yi)些被攻陷賬戶(hu)的(de)潛在威脅。

　　制定強大的密碼策略

　　密(mi)(mi)碼策略是防止橫向權限升(sheng)級攻擊的(de)有(you)效方法，與多因素身份(fen)驗(yan)證(MFA)結合(he)使用(yong)尤其有(you)效。第三方密(mi)(mi)碼管理工具可以幫(bang)助用(yong)戶生(sheng)成(cheng)并安全(quan)存(cun)儲滿足安全(quan)策略規則的(de)獨(du)特且復雜(za)的(de)密(mi)(mi)碼。所有(you)擁有(you)管理權限的(de)賬戶都應該要求采用(yong)MFA，而用(yong)于(yu)機器身份(fen)驗(yan)證的(de)數字憑據則應該定期(qi)輪換。

　　開展安全意識培訓

　　人(ren)通(tong)常是任何(he)組織(zhi)的(de)(de)安(an)(an)全(quan)中最(zui)薄(bo)弱(ruo)的(de)(de)一環。他們(men)可能使用弱(ruo)密碼(ma)、點擊惡意鏈接或附(fu)件(jian)，忽略有關危險(xian)網站(zhan)的(de)(de)警告，從而不知(zhi)不覺(jue)中幫助權限升級攻擊。定期開展安(an)(an)全(quan)意識培訓，可確保新的(de)(de)威脅得(de)到清楚的(de)(de)解(jie)釋，并使員工對安(an)(an)全(quan)策略記憶猶新。應強調(diao)共享賬戶和憑(ping)據帶(dai)來(lai)的(de)(de)危險(xian)和風(feng)險(xian)。

　　權(quan)(quan)限升(sheng)級攻擊是最(zui)嚴重的攻擊之一(yi)。一(yi)項經過充分演練的應急方案至關重要。如果(guo)發(fa)現權(quan)(quan)限升(sheng)級事(shi)件，必(bi)須迅速隔離被(bei)攻擊的賬戶，修改密(mi)碼，然后禁用該賬戶。隨后，安全團隊必(bi)須進行深入調(diao)查，以發(fa)現攻擊的程(cheng)度，并確定被(bei)攻擊的資源。