北京
如今,黑客們發(fā)起網(wǎng)絡(luò)攻擊不是橫沖直撞的直接闖入,而是采用更隱秘的登錄方式。網(wǎng)絡(luò)犯罪分子會(huì)使用有效的憑證,繞過安全系統(tǒng),同時(shí)在監(jiān)控工具面前顯得合法。
這個(gè)問題很普遍;谷歌Cloud報(bào)告稱,47%的云數(shù)據(jù)泄露是由于憑證保護(hù)薄弱或不存在造成的,而IBM X-Force將全球近三分之一的網(wǎng)絡(luò)攻擊歸咎于賬戶泄露。
那這對(duì)企業(yè)防御意味著什么呢?用戶需要了解有關(guān)如何保護(hù)系統(tǒng)免受基于憑證的攻擊、當(dāng)防御失敗時(shí)應(yīng)該做什么。
為什么基于憑證的攻擊是黑客的首選方法
網(wǎng)絡(luò)罪犯喜歡基于憑證的攻擊有以下幾個(gè)原因:
·易于執(zhí)行:與更復(fù)雜的零日攻擊相比,基于憑證的攻擊相對(duì)容易部署。
·成功率高:用戶在多個(gè)賬戶上重復(fù)使用相同的密碼,攻擊者更容易獲得廣泛的訪問權(quán)限;一把鑰匙可以打開許多扇門。
·檢測(cè)風(fēng)險(xiǎn)低:因?yàn)樗鼈兪褂糜行У膽{據(jù)進(jìn)行攻擊,黑客可以混入正常的流量中,從而避開安全警報(bào)。
·價(jià)格便宜:基于憑證的攻擊需要最少的資源,但可以產(chǎn)生大量的獎(jiǎng)勵(lì)。黑客可以很容易地(而且花費(fèi)不高)在暗網(wǎng)上買到一套被盜的憑證,然后使用免費(fèi)的自動(dòng)化工具跨多個(gè)系統(tǒng)測(cè)試憑證。
·系統(tǒng)通用:基于憑證的攻擊可以在任何需要憑證的地方使用,這意味著黑客有多個(gè)潛在的入口點(diǎn)——從web應(yīng)用程序到云服務(wù)。
為什么企業(yè)會(huì)成為攻擊首選目標(biāo)
企業(yè)會(huì)成為基于憑證的黑客的一個(gè)有吸引力的目標(biāo)嗎?如果存在一些安全漏洞,那么企業(yè)的系統(tǒng)可能比人們想象的更容易受到攻擊。以下是企業(yè)成為首要目標(biāo)的原因:
·弱密碼策略為攻擊者創(chuàng)建了一個(gè)公開的邀請(qǐng),使其可以通過自動(dòng)化工具和通用密碼列表輕松猜測(cè)或破解憑證
·如果不能實(shí)現(xiàn)多因素身份驗(yàn)證,即使是最強(qiáng)大的密碼也容易被竊取
·不充分的安全培訓(xùn)使員工更容易受到網(wǎng)絡(luò)釣魚電子郵件、社會(huì)工程策略和其他攻擊的攻擊
·糟糕的網(wǎng)絡(luò)分割讓黑客一旦攻破了一個(gè)端點(diǎn)就可以開放訪問
·監(jiān)視不足會(huì)使攻擊者在關(guān)鍵系統(tǒng)內(nèi)操作數(shù)天、數(shù)周甚至數(shù)月而不被發(fā)現(xiàn)
·員工密碼重復(fù)使用會(huì)放大任何違規(guī)行為的影響,因?yàn)橐粋€(gè)被盜的憑證可以解鎖個(gè)人和公司環(huán)境中的多個(gè)系統(tǒng)。
當(dāng)憑證被泄露時(shí)應(yīng)如何應(yīng)對(duì)
如果企業(yè)成為基于憑證的攻擊的目標(biāo),應(yīng)意識(shí)到后果會(huì)有多么嚴(yán)重。
以下是企業(yè)在應(yīng)對(duì)攻擊時(shí)遵循的典型防范步驟:
1.初始檢測(cè)和警報(bào)。一旦監(jiān)控工具檢測(cè)到異常并提醒安全團(tuán)隊(duì)時(shí),企業(yè)必須迅速采取行動(dòng)以限制損害。
2.評(píng)估和分類。驗(yàn)證警報(bào)是否合法。然后,確定哪些系統(tǒng)和帳戶受到影響,評(píng)估對(duì)企業(yè)的潛在影響。
3.隔離和遏制。切斷受感染設(shè)備與網(wǎng)絡(luò)的連接,切斷黑客的接入點(diǎn)。撤銷對(duì)受感染帳戶的訪問權(quán)限,并分割網(wǎng)絡(luò)以遏制威脅。
4.詳細(xì)的調(diào)查。通過分析日志和取證數(shù)據(jù)跟蹤攻擊者的活動(dòng)。確定黑客是如何破壞憑證的,并評(píng)估黑客在訪問時(shí)所做的事情。
5.溝通和通知。透明滋生信任,而保密滋生猜疑。考慮到這一點(diǎn),向所有相關(guān)的利益相關(guān)者提供清晰、真實(shí)的更新,包括高級(jí)管理層、法律團(tuán)隊(duì)和受影響的用戶。
6.根除和恢復(fù)。開始重建自己的安全系統(tǒng),讓它們更強(qiáng)大。重置所有受損帳戶的密碼,修補(bǔ)被利用的漏洞,從干凈的備份中恢復(fù)系統(tǒng),并實(shí)現(xiàn)多因素身份驗(yàn)證。
7.事后審查。防范未來攻擊的最佳方法是從當(dāng)前的漏洞中吸取教訓(xùn)。在泄露事件發(fā)生后,分析事件響應(yīng)流程,更新響應(yīng)計(jì)劃,并根據(jù)經(jīng)驗(yàn)教訓(xùn)實(shí)施額外的安全措施。
參考及來源:https://www.bleepingcomputer.com/news/security/7-steps-to-take-after-a-credential-based-cyberattack/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
