Advania logo
    Kontakta oss
    Gå tillbaka

    Behörighetseskalering

    Vad är behörighetseskalering?

    Behörighetseskalering (på engelska privilege escalation) är när en angripare – eller en illvillig användare – skaffar sig högre rättigheter i ett system än vad som var avsett. Ett intrång börjar ofta med ett vanligt användarkonto med begränsade rättigheter; genom eskalering tar sig angriparen vidare till administratörs- eller systemnivå, där i princip allt är möjligt.

    Betydelsen av behörighetseskalering

    Behörighetseskalering är ett standardmoment i nästan alla allvarliga intrång. Det första fotfästet ger sällan tillgång till det angriparen egentligen är ute efter – men med administratörsrättigheter kan angriparen stänga av säkerhetsskydd, radera loggar, skapa egna konton och röra sig fritt genom miljön via lateral movement. Att försvåra och upptäcka eskalering är därför avgörande för att begränsa skadan av ett intrång.

    Så fungerar behörighetseskalering

    Man skiljer på två huvudtyper. Vertikal eskalering innebär att angriparen höjer sina rättigheter, från användare till administratör. Horisontell eskalering innebär att angriparen tar över en annan användares konto med samma nivå, för att komma åt dennes data. Vanliga metoder är:

    • Sårbarheter: opatchade brister i operativsystem eller drivrutiner utnyttjas för att köra kod med systemrättigheter.
    • Felkonfigurationer: för generösa rättigheter på filer, tjänster eller schemalagda jobb låter angriparen ta genvägar uppåt.
    • Stulna inloggningsuppgifter: lösenord och åtkomstnycklar hittas i skript och konfigurationsfiler eller extraheras ur minnet med särskilda verktyg.
    • Missbruk av legitima funktioner: verktyg som redan finns i systemet används för att kringgå kontroller, vilket är svårt att upptäcka eftersom inget skadligt installeras.

    Så skyddar du dig mot behörighetseskalering

    Grundskyddet är minsta möjliga behörighet: användare och tjänstekonton ska bara ha de rättigheter de faktiskt behöver, och administratörsrättigheter ska vara få, personliga och tidsbegränsade. Privilegierade konton bör hanteras i en PAM-lösning med lösenordsvalv och godkännandeflöden. Snabb patchning och härdning stänger de tekniska vägarna uppåt, medan övervakning av privilegierade åtgärder gör att eskaleringsförsök upptäcks tidigt. Tankesättet är centralt i Zero Trust: ingen rättighet ska vara permanent eller tas för given.

    Att begränsa privilegier med stöd av Advania

    Behörigheter har en tendens att växa med tiden. Advania hjälper organisationer att inventera och minimera privilegier, införa PAM och bygga övervakning som upptäcker eskaleringsförsök innan de leder till verklig skada.

    Vanliga frågor och svar om behörighetseskalering

    Vad är skillnaden mellan vertikal och horisontell eskalering?

    Vertikal eskalering innebär att angriparen höjer sin behörighetsnivå, till exempel från vanlig användare till administratör. Horisontell innebär att angriparen tar över ett annat konto på samma nivå för att nå dess data och system. Båda förekommer ofta i samma angrepp.

    Hur hänger behörighetseskalering ihop med lateral movement?

    De samverkar växelvis: angriparen eskalerar rättigheter på ett system, använder dem för att förflytta sig till nästa, eskalerar igen och så vidare – tills målet nås. Att försvåra eskalering bromsar därför hela angreppskedjan.

    Hur upptäcker man behörighetseskalering?

    Genom att övervaka privilegierad aktivitet: nya konton i administratörsgrupper, ovanliga rättighetstilldelningar och processer som startar med systemrättigheter. EDR-verktyg och SIEM-regler är centrala hjälpmedel.

    Vad är viktigast för att förebygga eskalering?

    Minsta möjliga behörighet, snabb patchning av kända sårbarheter, härdade konfigurationer och kontrollerad hantering av privilegierade konton via PAM. Lägg därtill regelbunden städning av rättigheter – behörigheter som ingen längre behöver är en gåva till angriparen.

    Viktiga punkter att ta med sig om behörighetseskalering
    • Standardmoment i intrång: angripare börjar lågt och eskalerar till administratörsnivå.
    • Två riktningar: vertikal eskalering höjer nivån, horisontell tar över jämbördiga konton.
    • Vanliga vägar: sårbarheter, felkonfigurationer och stulna inloggningsuppgifter.
    • Minsta behörighet: få, personliga och tidsbegränsade administratörsrättigheter begränsar skadan.
    • PAM och övervakning: kontrollerade privilegierade konton och larm på avvikelser upptäcker försök tidigt.
    UPPTÄCK OCH FÖRHINDRA HOT

    Hur snabbt upptäcker ni ett pågående angrepp?

    Upptäck och förhindra hot

    Andra relevanta ord i samma kategori