如今，黑客們發起網絡攻擊不是橫沖直撞的直接闖入，而是采用更隱秘的登錄方式。網絡犯罪分子會使用有效的憑證，繞過安全系統，同時在監控工具面前顯得合法。

這個問題很普遍；谷歌Cloud報告稱，47%的云數據泄露是由于憑證保護薄弱或不存在造成的，而IBM X-Force將全球近三分之一的網絡攻擊歸咎于賬戶泄露。

那這對企業防御意味著什么呢？用戶需要了解有關如何保護系統免受基于憑證的攻擊、當防御失敗時應該做什么。

為什么基于憑證的攻擊是黑客的首選方法

網絡罪犯喜歡基于憑證的攻擊有以下幾個原因：

·易于執行：與更復雜的零日攻擊相比，基于憑證的攻擊相對容易部署。

·成功率高：用戶在多個賬戶上重復使用相同的密碼，攻擊者更容易獲得廣泛的訪問權限；一把鑰匙可以打開許多扇門。

·檢測風險低：因為它們使用有效的憑據進行攻擊，黑客可以混入正常的流量中，從而避開安全警報。

·價格便宜：基于憑證的攻擊需要最少的資源，但可以產生大量的獎勵。黑客可以很容易地（而且花費不高）在暗網上買到一套被盜的憑證，然后使用免費的自動化工具跨多個系統測試憑證。

·系統通用：基于憑證的攻擊可以在任何需要憑證的地方使用，這意味著黑客有多個潛在的入口點——從web應用程序到云服務。

為什么企業會成為攻擊首選目標

企業會成為基于憑證的黑客的一個有吸引力的目標嗎？如果存在一些安全漏洞，那么企業的系統可能比人們想象的更容易受到攻擊。以下是企業成為首要目標的原因：

·弱密碼策略為攻擊者創建了一個公開的邀請，使其可以通過自動化工具和通用密碼列表輕松猜測或破解憑證

·如果不能實現多因素身份驗證，即使是最強大的密碼也容易被竊取

·不充分的安全培訓使員工更容易受到網絡釣魚電子郵件、社會工程策略和其他攻擊的攻擊

·糟糕的網絡分割讓黑客一旦攻破了一個端點就可以開放訪問

·監視不足會使攻擊者在關鍵系統內操作數天、數周甚至數月而不被發現

·員工密碼重復使用會放大任何違規行為的影響，因為一個被盜的憑證可以解鎖個人和公司環境中的多個系統。

當憑證被泄露時應如何應對

如果企業成為基于憑證的攻擊的目標，應意識到后果會有多么嚴重。

以下是企業在應對攻擊時遵循的典型防范步驟：

1.初始檢測和警報。一旦監控工具檢測到異常并提醒安全團隊時，企業必須迅速采取行動以限制損害。

2.評估和分類。驗證警報是否合法。然后，確定哪些系統和帳戶受到影響，評估對企業的潛在影響。

3.隔離和遏制。切斷受感染設備與網絡的連接，切斷黑客的接入點。撤銷對受感染帳戶的訪問權限，并分割網絡以遏制威脅。

4.詳細的調查。通過分析日志和取證數據跟蹤攻擊者的活動。確定黑客是如何破壞憑證的，并評估黑客在訪問時所做的事情。

5.溝通和通知。透明滋生信任，而保密滋生猜疑。考慮到這一點，向所有相關的利益相關者提供清晰、真實的更新，包括高級管理層、法律團隊和受影響的用戶。

6.根除和恢復。開始重建自己的安全系統，讓它們更強大。重置所有受損帳戶的密碼，修補被利用的漏洞，從干凈的備份中恢復系統，并實現多因素身份驗證。

7.事后審查。防范未來攻擊的最佳方法是從當前的漏洞中吸取教訓。在泄露事件發生后，分析事件響應流程，更新響應計劃，并根據經驗教訓實施額外的安全措施。

參考及來源：https://www.bleepingcomputer.com/news/security/7-steps-to-take-after-a-credential-based-cyberattack/