企业内部的身份安全


=Start=

缘由:

个人从事安全行业也已经有些年了,且绝大部分时间都是在甲方做的企业安全,这期间除了蓝军和安全合规方向没有做过,其它的方向或多或少都做过一些;各种安全书籍/文章也都有翻阅,也听过一些大佬的分享,最近事情不多的时候想就自己的理解写一下企业安全相关的内容,方便后面有机会回顾和参考。

数据是新中心;身份是新边界行为是新控制;情报是新服务。

身份安全是网络安全的一个重要领域,它旨在确保用户的身份得到保护,防止未经授权的访问和数据泄漏等问题。

每个组织都容易受到未经管理、配置不当和暴露的身份风险的影响。随着组织依赖于越来越多的系统和应用程序,组织必须管理的身份数量急剧增加。为了支持业务,身份和认证在不断变化,这就导致了身份管理和安全方面的巨大复杂性。在一个攻击者利用身份作为重要攻击向量的时代,即使是短时间暴露特权身份也会带来重大风险。

就个人直接看到和侧面了解到的情况来看,当前国内大多数互联网企业安全团队的核心指标就2个——合规和数据安全,如果只能写1个的话就是合规,因为你只有满足合规的最低要求了,公司业务才能正常开展,否则公司没法赚钱了也不用养团队了。

但有追求的企业安全团队,肯定不会只满足于最低限度的合规要求(不是说满足合规很容易,而是想表达即便满足了各种合规要求,拿到了各种证书,也不能说你的安全做的很好了,如果只按照合规标准去做安全,就现在这样的安全环境和趋势,还是很容易出安全事故的),而是会在满足合规的基础之上,在各个方向去追求甚至是创造业界最佳实践。没那么有追求,或者换个高情商的说法是务实的企业安全团队,为了满足最低限度的合规要求,也会尽力去按照标准去做迎检,如果出现了大规模的数据泄露事件,不只是数据安全做的不好的问题,而是基本的合规也会受到影响。

虽然APT攻击中各种0day漏洞的使用很炫酷,但绝大多数企业安全出问题其实都涉及不到那些0day漏洞,事后回顾发现都是一些没那么高深的点,比如使用了存在漏洞的老版本组件/软件、错误的配置、上传到GitHub仓库中的明文密码、员工安全意识不到位导致的被钓鱼成功……。但不论攻击者前期是通过何种方式进入的内部网络/系统,现在的趋势是,攻击者为了降低被发现的风险,正越来越多的利用收集到的各种已有的身份来进行操作,所以在复杂的攻击链路当中,身份将是一个核心的链路点,更是关键的检测点与阻断点。

前面写了一堆,但基本都是废话,想写这个内容只是因为我觉得在基本的安全防护做到了一定水平之后,身份安全会越来越重要,不仅仅是在传统的网络安全方向,身份安全是后面数据安全的基础和前提。

Identities are growing in numbers and types, with the continuation of remote work, the increase in contractors and third-party relationships and the explosion of machine identities. This has led to an increase in identity-related breaches, creating business impacts to today’s enterprises. 随着远程工作的继续,承包商和第三方关系的增加以及机器身份的爆炸,身份的数量和类型都在不断增加。这导致了与身份有关的违规事件的增加,给今天的企业带来了商业影响。
Julie Smith, Executive Advisory Board Member of the IDSA

正文:

参考解答:

最直接触发我想写这个内容的点,其实是在某一天看到了 身份威胁态势分析 的文章,后来也专门去搜索和查阅了文章中提到的那些参考文章,然后自己也有一些想法,所以就花时间整理了一下(好久没写文章了之后发现,写缘由这个是最耗时最烦人的部分,很多时候真实的想法不适合或者说不能写出来,但是又要给编一个“合理的”说法,也是醉了)。

一、身份成为新战场

1、全球网络安全事件频发,威胁日益增多

2、教育行业成2022年网络攻击重灾区

3、身份持续增长,身份风险带来无限挑战

4、84%的公司遭受身份攻击
身份定义安全联盟的报告《2022-Trends-in-Securing-Digital-Identities》中,与身份相关的攻击仍处在不断增加的趋势之中,且影响很大。84%的人表示他们的组织在过去一年中经历>> 了与身份相关的攻击。其中最多的种类为网络钓鱼攻击(59%)、特权管理不当(36%)、凭证盗取(33%)

5、凭据类攻击成为身份攻击的主要方式
79%的公司在2020年和2021年遭受过与身份相关的攻击活动,这一数字在2022年上升到84%,基于身份相关的攻击仍在增加。攻击者可能会利用网络钓鱼和使用泄露的证书。因为有了这些凭证,就可以利用已有的访问权限绕过限制,窃取数据,部署勒索软件或采取其他恶意行动

《IBM Security X-Force Threat Intelligence Index 2023》报告显示,2022年影响最大的几类威胁行为,勒索行为以21%的占比暂居第一,数据窃取以19%的占比紧随其后,凭据收集和数据泄漏各占11%。

《2022-data-breach-investigations-report-dbir》报告也显示,有4类攻击方式通常被用来入侵目标组织的资产:凭据,网络钓鱼,漏洞利用和僵尸网络。值得注意的是,基于凭据的攻击大约占50%,可见攻击者已经开始大量利用身份类攻击进行入侵。

6、身份验证威胁处于LMS平台的安全威胁四大类之首

Authentication threats(身份认证威胁)
Availability threats(可用性威胁)
Confidentiality threats(保密性威胁)
Integrity threats(完整性威胁)

根据国际科学与技术研究杂志的《Cyber Security Threat Analysis in Higher Education lnstitutions As A Result 0f Distance Learning》报告显示,身份认证威胁处于LMS平台的安全威胁四大类之首,其中明确表示身份验证威胁包括:使用不安全应用层协议(如HTTP)进行不安全通信,允许传输未加密的流量,活动会话管理不当、未经授权的身份验证,凭据窃取、身份认证绕过等。

7、CC服务的安全威胁五类中,身份认证威胁占据两大类

Shared Technologies Vulnerabilities(共享技术漏洞)
Data Breach(敏感数据泄露)
Account or Service Traffic Hijacking(账户或服务流量劫持)
Denial of service(拒绝服务攻击)
Malicious Insiders(恶意内部人员威胁)

同时在《Cyber Security Threat Analysis in Hiher Education lnstitutions As A Result 0f Distance Learning》报告中的CC服务的安全威胁五大类别中,身份认证威胁占据两大类别,包括:

  • 账户或服务流量劫持:基于认证方式的攻击,例如通过劫持对密码的认证,攻击者可能会获得对用户账户的控制。
  • 恶意内部人员威胁:例如提供云服务的公司员工。他们可以获取传统上无法访问的敏感信息。

从众多报告中的数据可见,基于身份的攻击逐渐被攻击者所重视。随着组织身份的增多,基于身份的攻击将会被应用得越来越多。

二、身份认证攻击在真实环境中具有致命的威胁

基于身份的攻击(Identity-based attacks)指的是攻击者利用受害者身份凭据(如用户名、密码、证书等)进行攻击的方式。攻击者通过获取受害者的身份凭据,可以冒充受害者的身份,从而访问受害者的敏感信息、系统、网络等资源。

微软BING源代码泄漏

2022年3月下旬,据称微软泄露了 Bing、Cortana 和其他项目的源代码,大约 37GB 。微软证实受到 Lapsus$ 黑客组织的敲诈,该组织入侵了微软的某个员工的账户,“有限访问”了项目源代码存储库。

Okta入侵事件

攻击者在2022 年 1 月入侵了 Okta 第三方支持工程师的终端,并获得了 Okta 客户数据的访问权限。虽然潜在动机和整体损失情况尚不明确,但有两件事是可以确定的:身份入侵在这些事件中占据主导作用,而受害的主流科技公司并不是此类攻击唯一的预期目标。在 Okta 事件中,Lapsus$ 明确表示,其实际目标是 Okta 的客户。

Uber攻击事件

在2022年9月,一名黑客获得了Uber一位员工的Slack(企业聊天平台)账号,并获取了该公司在亚马逊和谷歌云计算平台的访问权限。位于旧金山的Uber公司目前已经证实了这次黑客攻击。

英伟达源代码泄漏

2022年2月底,LAPSU$ 通过入侵英伟达内部服务器,导致超过 1TB 的数据泄露,并公开叫卖 RTX 30 系列显卡的挖矿限制破解算法,还要求NVIDIA 全面解除限制。Nvidia 于 2022年3月1日证实 其网络在上个月遭到破坏,攻击者获得了对员工登录数据和专有信息的访问权限。

==

从众多报告中的数据可见,基于身份的攻击逐渐被攻击者所重视。随着组织身份的增多,基于身份的攻击将会被应用得越来越多。

身份风险无处不在。根据 2021 年 Verizon 数据泄露事件报告,凭据是数据泄露事件中最受欢迎的数据类型。The Identity Defined Security Alliance报告称,79% 的组织经历过与身份相关的安全威胁。The Identity Theft Resource Center报告称,勒索软件攻击在 2021 年翻了一番,并有望在 2022年超越网络钓鱼成为数据泄露的主要原因。

特权身份在企业组织中具有不同寻常的力量。它们可以重置密码、更改策略、安装软件以及提取或加密数据。当一个攻击者使用这些特权身份之一入侵了一个终端,它就像用作弊代码玩游戏一样——他们几乎可以做任何他们想做的事情。 可利用的身份风险使攻击者能够获得初始访问权限,在网络上让他们的权限得以维持,提升他们的权限,逃避防御,并加速他们的横向移动,直到他们完全控制目标。

即使是最优秀的安全团队也无法减轻身份风险,除非他们意识到这些风险。 虽然有些组织试图通过红队演习、年度审计、脚本和电子表格来评估风险,但这些都是非常不完整的,因此是无效的。 与安全团队通过使用常规漏洞扫描器来管理漏洞类似,这些团队需要能够自动并连续扫描其业务中的身份风险。

  • 未经管理的身份风险——可能表现的形式为过时的本地管理员密码,使用临时或测试管理员账户,或没有应用账户管理解决方案的本地管理员,等等。
  • 配置不当的身份风险——错误配置的身份风险广泛体现了我们所说的”影子管理员”。正如“影子IT“是指在IT管理员未知的情况下部署IT系统。影子管理员是由具有权限的用户定义的,超出 IT 管理员的权限——这些权力可能会被用来提升权限。
  • 对外暴露的身份风险——暴露的风险包括缓存的凭据、应用内密码存储、操作系统密码存储和断开连接的或挂起的远程桌面协议(RDP) 会话。这些数据是相当于把你的用户名和密码记录在纸上,攻击者还可以使用各种工具来转储这些特权凭据,以便可以利用它们。

==

2023年身份管理日益复杂的因素(Factors contributing to the growing complexity of identity management in 2023):

  • 更多云应用的采用 Adoption of more cloud applications (52%)
  • 远程工作 Remote work (50%)
  • 额外的移动设备 Additional mobile devices (44%)

2023年最主要的基于身份的攻击是(The top identity-based attacks of 2023 were):

  • 网络钓鱼 Phishing (62%)
  • 权限/特权身份管理不足 Inadequate Management of Privileges / Privileged Identities (37%)
  • 第三方或供应链攻击 Third-Party or Supply Chain Attack (37%)
  • 内部攻击 Insider Attacks (22%)
  • 中间人攻击 Man in the Middle Attack (18%)

2023年企业如何防止基于身份的攻击(How organizations could have prevented identity-based attacks in 2023):

  • 多因素验证 Multifactor authentication (MFA) (42%)
  • 更及时地审查敏感数据的访问权限 More timely reviews of access to sensitive data (40%)
  • 更及时地审查特权访问 More timely reviews of privileged access (34%)

Looking toward the future, in order to address the rapidly growing number of identity-related threats, organizations should prioritize prevention through strong security measures, least privilege access, regular employee training, and monitoring privileged sessions. 展望未来,为了应对快速增长的身份相关威胁,企业应通过强有力的安全措施、最小权限访问、定期员工培训和监控特权会话来优先预防。

参考链接:

身份威胁态势分析
https://www.anquanke.com/post/id/287521

Analyzing Identity Risks (AIR) 2022 Illuminating identity risks that leave every organization vulnerable to attack
https://cvisionintl.com/library/white-papers/illusive-identity-risk-report-air-2022/

The Needle in the Needlestack: Discovering Identity Risks
https://www.theiia.org/globalassets/site/chapters/united-states/illinois/chicago/day-1—jonathan-molina—illusive-networks—identity-is-the-new-vulnerability-1.pdf

2022 TRENDS IN SECURING DIGITAL IDENTITIES
https://www.idsalliance.org/white-paper/2022-trends-in-securing-digital-identities/
https://assets.beyondtrust.com/assets/documents/2022-Trends-in-Securing-Digital-Identities.pdf

IBM Security X-Force Threat Intelligence Index 2023
https://www.ibm.com/reports/threat-intelligence
https://www.ibm.com/downloads/cas/DB4GL8YM

2022 Data Breach Investigations Report – Verizon
https://www.verizon.com/business/resources/reports/dbir/
https://www.verizon.com/business/en-gb/resources/2022-data-breach-investigations-report-dbir.pdf

网络安全的三大支柱和攻击向量
https://www.anquanke.com/post/id/280003

随着威胁的发展,身份安全成为重中之重
https://mp.weixin.qq.com/s/QDngUzuCTVJzqq40L3Iq_A

2022年的身份安全状况:基于身份的威胁、违规行为和安全最佳实践
https://www.beyondtrust.com/blog/entry/the-state-of-identity-security-identity-based-threats-breaches-security-best-practices

SSO中的身份账户不一致漏洞
https://www.anquanke.com/post/id/243938

=END=


《 “企业内部的身份安全” 》 有 10 条评论

  1. 了解有关实现身份定义安全结果和最佳实践的更多信息
    https://www.idsalliance.org/identity-defined-security-101/
    `
    # 身份定义安全框架(Identity Defined Security Framework)
    身份定义安全框架为企业实施以身份为中心的安全方法提供了实用指导。该框架由最佳实践、安全成果和方法组成,可同时使用,也可单独使用,为人员和流程策略提供建议,并整合身份和安全技术以降低漏洞风险。一些组织可能会将重点放在逐步实施特定的安全成果上,但也制定了额外的指南,用于将成果应用到更广泛的业务计划中,如零信任或确保远程员工的安全。
    `

    Best Practices 最佳实践
    https://idsalliance.wpengine.com/ids-101-best-practices/

    Security Outcomes and Approaches 安全成果和方法
    https://idsalliance.wpengine.com/outcomes-approaches/

    身份定义安全框架提供了可应用于更大业务计划的构建模块,例如以身份为中心的零信任方法。
    https://idsalliance.wpengine.com/zero-trust/

    身份定义安全框架提供的构件可应用于更大的业务计划,如确保远程员工的安全。
    https://idsalliance.wpengine.com/remote-workforce

  2. 身份定义安全的 Best Practices 最佳实践
    https://idsalliance.wpengine.com/ids-101-best-practices/
    `
    拥有成熟的身份和访问管理(IAM)计划并不是实施以身份为中心的安全方法的绝对要求,但它肯定会提高效率。以下最佳实践侧重于IAM的基本要素,是推荐的卫生提示,重点关注IAM计划的人员和流程以及技术方面。

    # IDENTITY AND DIRECTORY 身份和目录

    Ensure uniqueness of every human and non-human identity in your directory.
    确保目录中每个人类和非人类身份的唯一性。

    Proactively maintain current and accurate authoritative data for identities in accessible source repositories.
    在可访问的源存储库中主动维护最新、准确的权威身份数据。

    Implement a directory group structure that fits the scope of your IAM program.
    实施符合IAM计划范围的目录组结构。

    Minimize Active Directory’s attack surface.
    最小化Active Directory的攻击面。

    Monitor Active Directory for signs of compromise and roll back unauthorized changes.
    监控Active Directory是否有被入侵的迹象,并回滚未经授权的更改。

    Implement a scorched-earth recovery strategy in the event of a large-scale compromise.
    在发生大规模入侵时,实施焦土恢复策略。

    # IDENTITY LIFECYCLE 身份生命周期

    Implement automated feeds of all users (employee and non-employee) into your identity store at a desired frequency (daily, hourly, etc).
    按照所需的频率(每天、每小时等)将所有用户(员工和非员工)的信息自动传送到您的身份库。

    Provisioning and de-provisioning should be evaluated at the same time.
    供应和取消供应应同时进行评估。

    Automated provisioning and de-provisioning should be implemented with the help of adjacent and applicable business processes.
    应在邻近和适用业务流程的帮助下实现自动配置和取消配置。

    # IDENTITY GOVERNANCE 身份管理

    Create an Access Governance Committee that fosters collaboration between managers of system and/or data access across the organization
    建立访问管理委员会,促进整个组织的系统和/或数据访问管理人员之间的合作。

    Establish governance and policy controls related to the scope and implementation of the IAM Program.
    建立与 IAM 计划的范围和实施相关的治理和政策控制。

    For provisioning of access, start with building workflows based on your most critical applications, such as SOX, PCI, HIPAA, money moving, etc.
    在提供访问权限时,首先根据您最关键的应用程序(如SOX、PCI、HIPAA、资金流动等)构建工作流。

    Access reviews should be practiced for any basic transfer where access change occurs. Implement a transitional rights model into the role framework.
    在发生访问权限变更的任何基本转让中,都应进行访问权限审查。在角色框架中实施过渡权利模式。

    # PRIVILEGED ACCESS MANAGEMENT 特权访问管理

    Once user roles and entitlements are defined, high profile users and secure resources should require MFA. The level of assurance of authentication should match the value of the asset being protected.
    一旦定义了用户角色和权限,高端用户和安全资源就需要MFA。身份验证的保证级别应与受保护资产的价值相匹配。

    Start with a discovery process for both critical and non-critical assets. This can then prepare you for a PAM implementation and privilege account on-boarding.
    从关键和非关键资产的发现流程开始。这样就可以为PAM实施和特权账户上线做好准备。

    # GENERAL 通用

    Establish an IAM Governance Committee – confirming that IAM policies are followed.
    成立 IAM 治理委员会 – 确认 IAM 政策得到遵守。

    Maintain current application information related to version, priority, business impact, user community, and supported integration methods.
    维护与版本、优先级、业务影响、用户群和支持的集成方法相关的当前应用信息。

    Business process review should be performed at the beginning of each phase for any in-scope applications.
    业务流程审查应在每个阶段开始时对任何范围内的应用进行。

    Make your IAM program an integral part of all application on-boarding/major change discussions, with the goal of embedding IAM practices in the software development lifecycle.
    使您的IAM计划成为所有应用程序入职/重大变更讨论的组成部分,目标是将IAM实践嵌入软件开发生命周期。

    Highly sensitive assets and keys should be stored in a hardware security module (HSM).
    高度敏感的资产和密钥应存储在硬件安全模块(HSM)中。

    Implement SSO authentication regardless of deployment model.
    无论部署模式如何,均可实施SSO身份验证。

    All IAM/Security components should be integrated to feed event and transaction data into a SIEM for analysis and action.
    所有IAM/安全组件都应集成,以便将事件和事务数据输入SIEM,供分析和采取行动。

    For certifications, when using entitlements only, consider direct manager capability, such that a manager reviews all of his/her subordinates at once, for the period of the cert. Highly restricted apps, privileged access, etc may require 90 day reviews, whereas all other access could be yearly.
    对于认证,当仅使用权限时,考虑直接管理者的能力,如管理者在认证期间一次性审查其所有下属。高度受限的应用程序、特权访问等可能需要90天审查一次,而所有其他访问则可以每年审查一次。

    Where additional identities are required, for certain privileged roles, like DBA’s or test accounts, a PAM solution should be implemented to ensure the integrity and security of this access.
    当某些特权角色(如DBA或测试账户)需要额外身份时,应实施PAM解决方案,以确保访问的完整性和安全性。

    Entitlement assigned to roles (role based access control) should be used for both provisioning and certification.
    分配给角色的权限(基于角色的访问控制)应同时用于供应和认证。

    # CLOUD INFRASTRUCTURE ENTITLEMENT MANAGEMENT 云基础设施权益管理

    List and track all identity relationships in your cloud infrastructure.
    列出并跟踪云基础设施中的所有身份关系。

    Track activities to monitor access events and perform analysis of those events to determine the validity of permissions granted to identities.
    跟踪活动以监控访问事件,并对这些事件进行分析,以确定授予身份的权限的有效性。

    Process logs to profile the activity of identities and detect anomalous behavior patterns.
    处理日志以分析身份活动并检测异常行为模式。

    Generate least-privilege permission configurations to replace over-permissive ones.
    生成最小权限配置,以取代过度权限配置。

    Integrate the remediation of excessive permissions to existing workflows.
    在现有工作流程中整合权限过大的补救措施。

    Generate least-privilege policies on-demand as part of the CI/CD pipeline.
    按需生成最小权限策略,作为CI/CD管道的一部分。

    Manage Just-in-Time access to reduce standing privileges.
    对即时访问进行管理,以减少常设权限。

    Secure the posture of identities to reduce their chance of being breached.
    确保身份态势安全,以降低其被攻破的几率。

    Manage permissions versioning.
    管理权限版本。
    `

  3. Security Outcomes and Approaches 安全成果和方法
    https://idsalliance.wpengine.com/outcomes-approaches/
    `
    Making sense of complex identity and security technologies can be a challenging task. To help organizations cut through the complexity, we have developed a library of Identity Defined Security Outcomes, which can improve your security posture through identity-centric security and reduces the risk of a breach or failed audit. Identity Defined Security Approaches are well-defined patterns that combine identity and security capabilities, providing flexibility in how outcomes can be achieved.
    理解复杂的身份和安全技术是一项具有挑战性的任务。为了帮助企业化繁为简,我们开发了一个身份定义安全成果库,它可以通过以身份为中心的安全来改善您的安全态势,并降低漏洞或审计失败的风险。身份定义安全方法是将身份和安全功能相结合的定义明确的模式,为实现结果提供了灵活性。

    These security outcomes are intended to be a set of options from which you can, and should, select based on your organization’s security challenges and current situation. When defining an implementation roadmap, preference should be given to the security outcomes that are relevant to your organizational business needs and priorities.
    这些安全成果旨在提供一组选项,您可以而且应该根据贵组织的安全挑战和现状从中进行选择。在确定实施路线图时,应优先考虑与贵组织业务需求和优先级相关的安全成果。

    Applying Outcomes to NIST Frameworks and Publications
    将成果应用于NIST框架和出版物

    IDSO-001: User accounts and entitlements are granted through governance-driven provisioning
    IDSO-001:通过治理驱动的配置授予用户帐户和权利

    IDSO-002: Privileged user accounts and entitlements are granted through governance-driven provisioning
    IDSO-002:通过治理驱动的配置授予特权用户帐户和权利

    IDSO-003: User accounts and entitlements are removed through governance-driven provisioning
    IDSO-003:通过治理驱动的配置删除用户帐户和权利

    IDSO-004: Privileged user accounts and entitlements are removed through governance-driven provisioning
    IDSO-004:通过治理驱动的配置删除特权用户帐户和权利

    IDSO-006: Device characteristics are used for authentication
    IDSO-006:使用设备特性进行认证

    IDSO-007: Expected user behavior is used for authentication
    IDSO-007:使用预期用户行为进行认证

    IDSO-008: All privileged access requires multi-factor authentication
    IDSO-008:所有特权访问都需要多因素身份验证

    IDSO-009: Access is revoked upon detection of high-risk events associated with an identity
    IDSO-009:当检测到与身份相关的高风险事件时,撤销访问

    IDSO-010: Re-attestation is triggered based on a high risk event
    IDSO-010:基于高风险事件触发重认证

    IDSO-011: All privileged access is periodically attested
    IDSO-011:所有特权访问都是定期验证的

    IDSO-012: Access to sensitive data is periodically attested
    IDSO-012:对敏感数据的访问进行定期验证

    IDSO-013: All privileged access rights are continuously discovered
    IDSO-013:持续发现所有特权访问权限

    IDSO-014: All user access rights are continuously discovered
    IDSO-014:持续发现所有用户访问权限

    IDSO-015: User access rights are granted according to the principle of least privilege
    IDSO-015:根据最小权限原则授予用户访问权限
    `

  4. 7 TYPES OF IDENTITY-BASED ATTACKS
    https://www.crowdstrike.com/cybersecurity-101/identity-security/identity-based-attacks/
    `
    Did you know that 80% of all breaches use compromised identities and can take up to 250 days to identify?
    您是否知道,**80%的外泄事件都使用了被泄露的身份信息**,并可能**需要长达250天的时间才能确认**?

    Unfortunately, **identity-driven attacks are extremely hard to detect**. When a valid user’s credentials have been compromised and an adversary is masquerading as that user, it is often very difficult to differentiate between the user’s typical behavior and that of the hacker using traditional security measures and tools.
    不幸的是,**身份驱动型攻击极难被发现**。当一个有效用户的凭据被泄露,而对手伪装成该用户时,使用传统的安全措施和工具通常很难区分用户的典型行为和黑客的行为。

    To better understand the identity threat landscape, let’s explore seven common identity-based attacks and how they work.
    为了更好地了解身份威胁状况,让我们来探讨七种常见的基于身份的攻击及其工作原理。

    基于身份的攻击类型(Types of Identity-Based Attacks)

    1. 凭据填充(Credential Stuffing)
    Credential stuffing is a cyberattack where cybercriminals use stolen login credentials from one system to attempt to access an unrelated system.
    凭据填充是一种网络攻击,网络犯罪分子利用从一个系统中窃取的登录凭据试图访问一个不相关的系统。

    2. 黄金票据攻击(Golden Ticket Attack)
    A golden ticket attack is an attempt to gain almost unlimited access to an organization’s domain by accessing user data stored in Microsoft Active Directory (AD). This attack exploits weaknesses in the Kerberos identity authentication protocol, which is used to access the AD, allowing an attacker to bypass normal authentication.
    黄金票据攻击是一种试图通过访问存储在Microsoft Active Directory(AD)中的用户数据来获得几乎无限的组织域访问权限的攻击。这种攻击利用Kerberos身份验证协议的弱点,允许攻击者绕过正常的身份验证。

    3. Kerberoasting
    Kerberoasting is a post-exploitation attack technique that attempts to crack the password of a service account within the AD.
    Kerberoasting是一种试图破解AD中服务账户密码的后渗透攻击技术。

    4. 中间人攻击(Man-in-the-Middle (MITM) Attack)

    5. 哈希传递攻击(Pass-the-Hash Attack)

    6. 密码喷射攻击(Password Spraying)
    A password spraying attack is a brute force technique that involves a hacker using a single common password against multiple accounts.
    密码喷射攻击是一种暴力攻击技术,黑客使用一个通用密码攻击多个账户。

    First, the attacker acquires a list of usernames, then attempts logins across all usernames using the same password. The attacker repeats the process with new passwords until the attack breaches the target authentication system to gain account and systems access.
    首先,攻击者获取用户名列表,然后尝试使用相同的密码登录所有用户名。攻击者使用新密码重复这一过程,直到攻击攻破目标身份验证系统,获得账户和系统访问权限。

    7. 银票攻击(Silver Ticket Attack)
    A silver ticket is a forged authentication ticket often created when an attacker steals an account password. Silver ticket attacks use this authentication to forge ticket granting service tickets. A forged service ticket is encrypted and enables access to resources for the specific service targeted by the silver ticket attack.
    银票是一种伪造的认证票,通常在攻击者窃取账户密码时创建。银票攻击利用这种认证来伪造授权服务票据。伪造的服务票据经过加密,能够访问银票攻击所针对的特定服务的资源。

    Once the attacker obtains the forged silver ticket, they can run code as the targeted local system. They can then elevate their privileges on the local host and start moving laterally within the compromised environment or even create a golden ticket. This gives them access to more than the originally targeted service and is a tactic for avoiding cybersecurity prevention measures.
    一旦攻击者获得伪造的银票,他们就可以以目标本地系统的身份运行代码。然后,他们可以提升其在本地主机上的权限,并开始在被入侵环境中横向移动,甚至创建金票。这样,他们就可以访问比最初目标服务更多的服务,这也是一种规避网络安全防范措施的策略。
    `

  5. 5 Identity Attacks that Exploit Your Broken Authentication
    https://www.okta.com/resources/whitepaper/5-identity-attacks-that-exploit-your-broken-authentication/
    `
    攻击1:广泛的网络钓鱼活动(Attack #1: Broad-based phishing campaigns)
    攻击2:鱼叉式网络钓鱼活动(Attack #2: Spear phishing campaigns)
    攻击3:凭证填充(Attack #3: Credential stuffing)
    攻击4:密码喷射(Attack #4: Password spraying)
    攻击5:中间人(MitM)攻击(Attack #5: Man-in-the-Middle (MitM) attacks)

    How Multi-Factor Authentication (MFA) can prevent these identity attacks
    多因素身份验证(MFA)如何防止这些身份攻击

    随着身份成为新的安全边界,采取身份驱动安全方法的企业发现,这些攻击能够在不影响用户体验的情况下得到预防。

    教育员工了解这些身份攻击并实施数据加密和证书销号等最佳安全实践固然重要,但**在应用程序中实施MFA将大大降低攻击成功的风险**。MFA通过要求第二个因素来访问敏感的企业数据,如轻量级推送到用户的移动设备进行身份验证,从而防止网络钓鱼攻击。这意味着,即使攻击者拥有您的凭据,他们仍然无法通过验证进入应用程序。

    因此,MFA还可以防止凭证填充和密码喷涂,因为被盗或薄弱的凭证不足以获得访问权。如果将MFA与现代身份解决方案搭配使用,企业还可以制定政策,防止使用受损或常见的密码,使员工容易受到这些攻击。

    **尽量减少MFA提示也应是一个关键考虑因素**,通过实施现代自适应MFA,第二因素的挑战只会在更危险的情况下出现,例如在企业网络外登录时。

    此外,企业还可对关键业务应用程序或特权用户采用特别严格的MFA策略,从而为防范鱼叉式网络钓鱼攻击提供一层有效的防御。

    最后,MFA可以防止中间人攻击,确保在凭证在传输过程中被盗时,仍然需要第二个因素才能访问账户。通过利用更安全的验证器(如U2F安全密钥),甚至可以防止试图窃取一次性密码作为攻击一部分的更复杂攻击。

    鉴于这些身份风险,NIST建议企业实施MFA,作为其数字身份指南的一部分。
    `

  6. 基于身份的攻击的兴起 #nice
    The Rise of Identity-Based Attacks
    https://www.mimecast.com/blog/the-rise-of-identity-based-attacks/
    `
    Identity-based threats make up the bulk of cyber risk today. Learn about the different attack types, how they are evolving, and how to manage the risk.
    基于身份的威胁占当今网络风险的大部分。了解不同的攻击类型,它们是如何演变的,以及如何管理风险。

    # Key Points 要点
    Increased digitization and mushrooming volumes of online identities are fueling identity-based attacks.
    数字化程度的提高和在线身份数量的激增助长了基于身份的攻击。

    Improved password hygiene and identity governance can help short-circuit many varieties of identity-based attacks.
    改善密码卫生和身份管理有助于避开多种基于身份的攻击。

    An identity and access management system that integrates with email security can automate defenses, improve governance, and coordinate incident response.
    与电子邮件安全集成的身份和访问管理系统可实现自动化防御、改善治理并协调事件响应。

    ==
    “Who am I?” is more than an existential question to security professionals. As more of us live and work online, the number of digital identities each person can claim has proliferated, along with the logins and passwords attached to them. The cybercriminal cottage industry of credential theft has expanded into a whole new front for bad guys looking to breach systems — especially since many users reuse their passwords across a number of services.
    对于安全专业人士来说,”我是谁?”不仅仅是一个存在的问题。随着我们越来越多的人在网上生活和工作,每个人可以声称的数字身份数量激增,与之相连的登录名和密码也随之增加。网络犯罪的山寨产业–凭证盗窃已经扩展成为坏人入侵系统的一个全新领域–尤其是因为许多用户在许多服务中重复使用他们的密码。

    More than eight out of 10 cybersecurity attacks are now enabled by stolen or compromised credentials, according to a recent report by Mimecast partner Crowdstrike.[1] More alarming yet: the bad guys are doubling down on identity, as companies expand their use of cloud resources and support remote work.
    根据Mimecast合作伙伴Crowdstrike最近的一份报告,目前每10次网络安全攻击中就有8次以上是通过被盗或被泄露的凭证实施的。[1] 更令人担忧的是:随着企业扩大使用云资源和支持远程工作,坏人正在加倍利用身份。

    Bad actors may engage in credential harvesting by stealing usernames and passwords via phishing, social engineering, or infecting networks with malware. They can also easily buy stolen credentials; ads on the dark web selling access to networks more than doubled in the last year.[2] Armed with these identities, hackers can break in and reset an individual’s user profile to add more access privileges so they can move around the network undetected and perform all sorts of malicious activity.
    不良行为者可能会通过网络钓鱼、社交工程或用恶意软件感染网络来窃取用户名和密码,从而从事凭证收集活动。他们还可以轻松购买被盗的凭证;去年,暗网上出售网络访问权限的广告增加了一倍多。[2]有了这些身份,黑客就可以侵入并重置个人用户配置文件,增加更多访问权限,这样他们就可以在不被发现的情况下在网络中移动,并执行各种恶意活动。

    Some proven best practices like good password hygiene, multi-factor authentication, solid permission governance, and effective cyber awareness training can help reduce the risk of identity-based attacks. An identity access management (IAM) system can also help build a stronger defense, particularly when working in conjunction with a secure email gateway to block the phishing and social engineering attacks hackers can exploit to steal credentials.
    一些行之有效的最佳实践,如良好的密码卫生、多因素身份验证、可靠的权限管理和有效的网络意识培训,有助于降低基于身份的攻击风险。身份访问管理(IAM)系统也有助于建立更强大的防御,特别是与安全电子邮件网关配合使用时,可阻止黑客利用网络钓鱼和社交工程攻击窃取凭证。
    ==

    # 身份攻击的类型

    * 网络钓鱼-Phishing: 这仍然是基于身份的攻击的最大攻击媒介。由于社会工程学的发展,网络钓鱼已经演变成更复杂的商业电子邮件攻击,使用的策略包括捕鲸、鱼叉式网络钓鱼和钓鱼者网络钓鱼。在Mimecast发布的《2023年电子邮件安全状况》(SOES 2023)报告中,几乎所有公司都表示自己成为了攻击目标。一些黑客还利用人工智能(AI)和机器学习来制作更有说服力的网络钓鱼信息,并部署机器人来抵御能够发现可疑行为的自动防御系统。

    * 凭证窃取-Credential Theft: 就像小偷复制前门钥匙一样,许多基于身份的漏洞都是通过窃取有效用户身份的访问权限来实现的。这一点尤其具有破坏性,因为这使得黑客在网络中移动时几乎无法被发现,从而实施更多恶意攻击。去年,因凭证被盗而导致的数据泄露平均给公司造成450万美元的损失。[4]

    * 密码喷射-Password Spraying: 如果说黑客就像闯入住宅的窃贼,那么密码喷涂攻击就像有人按响大楼前门的所有蜂鸣器,直到有人不小心让他们进来。黑客利用不注意密码卫生的用户,使用机器人在许多用户账户中尝试 “password123 “或 “11111 “等常见组合,直到找到一个有效的密码。

    * 凭证填充-Credential Stuffing: 企业最近发现这种类型的攻击有所增加。在这种变种的密码喷射中,恶意行为者使用从暗网购买或在以前的攻击中获取的被破解的密码列表,强行进入一些网站。这种攻击利用了许多用户循环使用密码的弱点。

    * 中间人攻击-Man-in-the-Middle Attacks: 这些策略涉及拦截双方之间的通信,使坏人能够收集各种潜在的有用信息,包括密码。他们可能会给用户感染间谍软件,这种软件基本上可以记录他们的在线行为。或者,他们可以安装rootkit恶意软件,接管受害者的工作站,然后冒充该用户在网络上活动。这些攻击的一个变种被称为 “浏览器中的人 “攻击,它以金融通信为目标,用假冒的扩展程序破坏用户的浏览器,该扩展程序隐藏着恶意软件,旨在拦截交易并将资金转移到网络盗贼控制的账户中。

    * 被破坏的特权访问-Compromised Privileged Access: 系统管理员账户和其他特权用户是网络骗子的主要目标,因为他们的凭据使他们能够广泛访问组织的系统。一旦骗子获得了特权身份的控制权,就可以提取数据、破坏系统并获取大量额外的凭据以进一步利用。最近的一个例子是,一名青少年获得了一家大型社交媒体公司的管理员凭据,并篡夺了名人和政客的账户,发布请求加密货币捐款的消息。这名高中生在一个多小时内就获得了超过10万美元的比特币,并被判处三年监禁。[6]

    # 如何降低身份风险-How to Mitigate Identity-Based Risk

    密码卫生:要求定期更改高强度密码的政策可以加强企业的安全态势,避免密码泄露和凭证填充。一些工具可以自动执行。

    多因素身份验证:是的,这可能会造成一些初始使用摩擦,而且 “MFA疲劳 “也是一个问题,但要求使用一次性代码或(最好)生物识别标记(如指纹或面部识别)来验证用户身份,有助于防止许多基于身份的攻击。

    安全意识:这仍然是网络安全的第一道防线。防止用户点击恶意链接和下载,并提醒他们保持良好的密码卫生,是防止凭证泄露和由此引发的基于身份的攻击的最有效方法之一。

    适当大小的权限:许多基于身份的攻击涉及黑客提升权限以访问更敏感的数据。确保用户只能访问其工作所需的资源,并且只能在需要的时间内访问这些资源,可以有效阻止坏人。

    身份生命周期管理:已离职员工的休眠身份或不再使用的服务是恶意行为者的金矿,因工作职能变化而拥有过多权限的用户也是如此。就像合理调整权限一样,随着员工职责的转变,安全人员也需要时刻关注其权限,并删除任何不使用的身份。

    行为分析:使用有效凭证的黑客可以隐藏在网络中,逃避检测并造成破坏。据Crowdstrike公司称,要找出使用被泄露身份的恶意行为者可能需要长达250天的时间。[但是,如果该用户被发现行为异常,要求用户验证身份可能会成为一个障碍。利用机器学习和行为分析的自动化工具可以在不增加安全人员工作量的情况下实现这一点。
    `

  7. 总结一下就是:
    没有银弹,躬身入局,(遇到问题解决问题)逐步提高才是唯一方法(本来想的是前期精心设计,后期坚决执行就好,但是这只是一个美好的愿望,实际中并不存在,学习能力才是最重要的能力)。

    当下,单一的多因素身份认证(MFA)可能存在一些问题,但它仍然是一个可以显著提高账号安全水位的方法,不过为了实现更安全的系统,我们可以通过在不同的设备和系统上实施多层身份验证。如果攻击者劫持了某个设备,他们还需要控制其他设备才能绕过完整的MFA身份验证。
    另外,即便MFA有很多好处,但它也没有完全覆盖全部的身份安全计划,为了填补空白的部分,我们可以通过:身份攻击面映射、身份安全态势管理和身份威胁检测与响应,来共同提高身份安全的能力。

    攻击者绕过多因素身份认证(MFA)的8种方法及解决方法
    https://www.4hou.com/posts/EQNk
    `
    积极主动的身份安全计划来填补MFA空白

    一旦了解了网络攻击者用来绕过MFA的技术,接下来的问题自然是:“我的组织如何填补这些空白?”这就是积极主动的身份安全至关重要的地方。一个全面的主动身份安全计划将包括三个功能:

    1. 身份攻击面映射–汇总来自组织整个数字架构的数据,以发现和分析企业内部的大量身份信息。

    2. 身份安全态势管理–旨在检查该身份攻击面以定位弱点——特别是容易遭到账户接管攻击的账户。

    3. 身份威胁检测与响应–不管组织的身份和访问管理(IAM)架构有多强大,也不管采取了多少预防措施,在当今这个动荡的网络环境中,总有一些东西会被攻破。IDTR是最后一道防线,昼夜不停地检测和响应可能表明帐户接管正在进行或已经发生的可疑活动。
    `
    What Are Identity-Based Attacks and How Can You Prevent Them?
    https://www.makeuseof.com/what-are-identity-based-attacks/
    `
    1. SIM Swap Attacks
    2. Channel Hijacking
    3. OTP-Based Attacks
    4. Real-Time Phishing Attacks
    5. Recovery Attacks

    多因素身份验证多样化以提高安全性(Diversify Multi-Factor Authentication for Increased Security)
    多因素身份验证可能会出现漏洞,但它仍然可以加强账户的访问点。如果启用了多因素身份验证,入侵者就无法绕过应用程序上的基本单一用户名和密码身份验证进入系统。为了实现更安全的系统,请在不同的设备和系统上实施多层身份验证。如果攻击者劫持了某个设备,他们还需要控制其他设备才能绕过完整的MFA身份验证。
    `

  8. Okta被黑溯源:系统设计曝重大漏洞,机器账号未做安全防护
    https://mp.weixin.qq.com/s/dZh0vfa8bWrYYTY0HIgkvQ
    `
    Okta业务系统被黑导致客户遭入侵,溯源发现该事件源于一名员工用个人Chrome账号同步了工作电脑上的业务系统服务账号密码,而该服务账号未做任何访问限制、二次验证等安全手段;

    Okta披露文章将入侵责任主要归咎于不守规矩的员工,这掩盖了系统设计漏洞的真正责任所在,**如果某个员工有过失就导致网络被入侵,只能说明公司做得不够好。**

    安全内参11月6日消息,国际身份软件巨头Okta日前发布了一份安全溯源公告,对9月28日到10月17日的一起入侵事件进行回顾性梳理,期间实施入侵的黑客获取了134个客户的敏感文件,并进一步劫持了5个客户的Okta账户管理员访问权限。

    溯源报告强调,有员工出现操作失误,在工作设备上登录了个人谷歌账户。但是,**入侵事件最大的诱因其实是一个配置不当的服务账户**,Okta对这一点选择低调处理。

    Okta首席安全官David Bradbury发帖表示,威胁行为者发动攻击获取了公司部分客户支持系统的访问权限,这次攻击最可能的路径如下:
    威胁行为者先是入侵了一个员工的个人设备或个人谷歌账户,由此获取了一种名为“服务账户”的特殊账户的用户名和密码。服务账户负责连接到Okta网络的支持部分。一旦威胁行为者获取该账户的访问权限,他们就可以获得1Password、BeyondTrust、Cloudflare等Okta客户所持Okta账户的管理凭据。

    # 推卸责任

    David Bradbury写道,“我们对这个账户的可疑使用进行调查期间,Okta安全团队发现一个员工已经在他的公司笔记本电脑上的Chrome浏览器登录个人谷歌账户。这一个人账户保存了服务账户的用户名和密码。员工个人谷歌账户或个人设备遭到入侵,是这些凭据最可能的被泄露路径。”
    换而言之,如果员工在已经登录个人谷歌账户的Chrome浏览器上登录工作账户,Chrome内置的密码管理器就会将工作账户的凭据保存到个人谷歌帐户中。然后,威胁行为者通过入侵个人账户或设备,获取了访问Okta账户所需的凭据。
    一直以来,像Okta这样的公司坚决禁止登录个人账户。如果之前有人不太清楚对这个禁令,现在应该明白了。这位员工肯定违反了公司政策。如果他因为这个违规行为被解雇,也不足为奇。
    然而,如果诱发入侵事件的只是员工的不端行为,只能说明所有人都犯了错。其实,责任在于设计被入侵支持系统的安全人员,特别是被入侵服务账户的配置方式。
    服务账户存在于各种操作系统和框架。这种账户与人类访问的标准用户账户不同。服务账户主要用于自动化的机器对机器功能,比如每晚在特定时间执行数据备份或杀毒扫描。因此,它们不能像用户账户那样通过多因素身份验证进行锁定。这也解释了为什么Okta没有设置多因素身份验证。然而,入侵事件暴露了一些Okta首席安全官的帖子中没有得到应有关注的缺陷。

    # 根因分析

    David Bradbury说,Okta在2023年9月29日首次发现公司网络存在潜在可疑活动。当时,1Password主动向Okta报告,其内部Okta实例已经被入侵。起初,怀疑1Password员工设备感染了恶意软件,导致入侵。
    然而,10月2日,另一家客户BeyondTrust主动报告,告知Okta他们的账户也被入侵。Okta直到10月16日才确认了入侵来源。如此迟缓的行动让威胁行为者得以在两周多的时间里持续访问服务账户。
    David Bradbury写道:“当用户打开并查看与支持案例相关联的文件时,会生成与该文件相关的特定日志事件类型和ID。如果用户选择直接导航到客户支持系统中的“文件”选项卡(就像威胁行为者在这次攻击中所做的那样)。它们将生成一个完全不同的日志事件,具有不同的记录ID。”
    “Okta最初将调查重点放在对支持案例的访问上。随后,我们评估了与这些案例相关的日志。10月13日,BeyondTrust向Okta安全团队提供了一个怀疑是威胁行为者的可疑IP地址。基于这一信息,我们确定了与被入侵账户相关的更多文件的访问事件。”
    **Okta对其网络的可见性不足是另一个失败之处。虽然这并不是入侵的诱因,但它放大了入侵的后果。否则,Okta就能更早发现威胁行为者的访问行为。**

    # 写给Okta安全团队的备忘录

    首先,Okta应该在简单的密码之外制定访问控制措施,限制哪些对象可以登录到服务账户。其中一种方法对可以连接的IP地址设置限制或条件。另一种方法是定期更换用于对服务账户进行身份验证的访问令牌。当然,不得允许员工在工作机器上登录个人账户。Okta高级管理人员有责任落实所有相关预防措施。
    一些长期在敏感云环境中工作的安全专业人员也纷纷发帖给出建议。

    虽然零信任安全方法有时被过度使用,但它的大原则是正确的。假设你的网络已经被入侵,希望通过设计防止任何不安全事件。企业应该使用分层设计、纵深防御的方法来预防出现单一故障点,比如防止简单密码或身份验证令牌发生泄露。

    David Bradbury在帖子中列出了一些纠正步骤,承认存在一些失误。具体步骤包括:
    1. 禁用被入侵的服务账户(已完成)。Okta已经在客户支持系统中禁用了服务账户。
    2. 禁止使用个人谷歌账户与谷歌Chrome浏览器(已完成)。**Okta已经在Chrome企业版中选用特定配置选项,防止员工在公司笔记本电脑上使用个人谷歌账户登录Chrome浏览器。**
    3. 加强对客户支持系统的监控(已完成)。Okta已经为客户支持系统部署了额外的检测和监控规则。
    4. 根据网络位置绑定Okta管理员会话令牌(已完成)Okta已经基于网络位置绑定会话令牌,作为一种产品增强措施,防止对Okta管理员会话令牌遭窃取。**只要检测到网络变化,Okta管理员将被强制重新进行身份验证。**客户可以在Okta管理员门户的早期访问部分启用这个功能。

    Okta能够做出上述改变并提供事件时间表,这些行为值得赞扬。但是,将入侵的责任归咎于某个员工失误,是拿员工当替罪羊,掩盖了真正的责任所在。最严重的失误是高管犯下的。希望他们能收到这个备忘录。
    `

  9. 凭据为王,如何看待凭据泄露?
    https://www.freebuf.com/news/390099.html
    `
    一级泄露凭证–通常是指因第三方应用或服务遭到安全侵犯,导致该服务所有用户的密码被泄漏
    二级泄露凭证–这些凭证是通过信息窃取型恶意软件直接从用户那里收集的,该恶意软件会窃取浏览器中保存的所有密码。
    三级泄露凭证–这一级别的泄露来源于日志,会对企业带来极高的安全风险。最新的应用程序日志通常包含尚未失效的会话cookie,威胁行为者可以轻易利用这些cookie冒充受害者,实施会话劫持攻击,有可能绕过双因素认证(2FA)和多因素认证(MFA)的控制。

    ==
    **信息窃取型恶意软件是企业信息安全团队面临的最重大且常被低估的风险因素之一。**这类软件侵入计算机后,会盗取浏览器中储存的所有登录凭证、活跃会话的cookies及其他数据,接着将窃取到的信息发送到远程指挥控制(C2)服务器,并且在某些情况下,恶意软件还会为了消除痕迹而自动销毁。

    那么,恶意行为者如何运用凭证进行网络入侵,突破IT基础架构的安全防线,引发数据泄露事件以及传播勒索软件呢?这就是本文主要探讨的问题。

    需要注意的是,信息窃取软件并非产生凭证威胁的唯一形式,通过传统途径泄露的凭证同样会给企业带来持续而严重的安全风险。

    在大多数情况下,许多用户十多个应用使用的密码都是同一个,这就为威胁者提供了一个绝佳机会,他们可以通过暴力破解这些账户,侵入SaaS服务和本地部署的应用程序。

    # 泄露凭证的分类

    为了深入理解凭证泄露的问题,将这些凭证按照泄露的途径和它们对企业可能造成的风险进行分类是非常有帮助的。

    杰森·哈迪克斯(Jason Haddix)首创了这种分类方法,旨在帮助安全专家以通俗易懂的方式向管理人员和企业高层阐释凭证泄露带来的风险。

    # 一级泄露凭证

    通常是指因第三方应用或服务遭到安全侵犯,导致该服务所有用户的密码被泄漏,并在暗网上以数据包的形式被公开传播,这是大多数人在谈论“泄露凭证”时想到的情况。

    举个例子,假设Scatterholt公司管理着数十万消费者的登录凭证,攻击者成功侵入Scatterholt后,获取了其身份和访问管理系统的信息,并将窃取的凭证泄露到暗网上。

    对Scatterholt公司来说,它可以强制要求所有用户重置密码,但问题在于这些用户很可能在多个服务平台使用的是同样的密码。

    通过这次泄露,威胁行为者可以尝试使用暴力破解或渗透测试工具,对成千上万在其他应用上使用相同密码的用户的凭证进行破解。

    # 防御一级泄露凭证

    为了降低潜在风险,企业可以采用多种经过验证的防御措施保驾护航。首先,也是最重要的一点是:监控泄露凭证数据库,追踪是否有公司员工的电子邮件账户。这一措施极为关键,因为威胁行为者往往会有意寻找和公司电子邮件地址相关的密码,方便他们进行数据泄露行动。

    其次,要求员工定期按照时间表更改密码,这样即使特定密码被破解,其他与公司相关的凭证也已经更换,从而降低安全风险。

    最后,建议使用密码管理器并制定相应规则,要求员工为不同应用程序生成随机密码并使用管理器存储,这样可以降低员工在更新密码时仅做轻微调整的风险。

    # 组合列表的特殊情况

    组合列表通常由成对的凭证组成,这些凭证对要么按服务分类,要么按地理位置分类,威胁行为者尝试使用暴力破解工具获取各种服务的访问权限。

    这些凭证往往来源于之前已知的安全漏洞、窃取记录,也有可能是完全捏造的,它们的原始出处并不明确。但通过组合列表能够获得大量凭证,再加上部分用户频繁重用密码的行为,给威胁行为者带来了一个不容忽视的的攻击途径。

    # 二级泄露凭证

    二级泄露凭证会对公司构成特殊的风险。这些凭证是通过信息窃取型恶意软件直接从用户那里收集的,该恶意软件会窃取浏览器中保存的所有密码。

    二级泄露凭证显著增加了公司和用户的风险,原因如下:

    一个信息窃取器日志会包含用户浏览器中保存的所有凭证信息,这为威胁行为者利用受害者的信息来对受害者、IT支持部门乃至整个公司实施攻击提供了机会。
    这些日志记录了用户名、密码和对应的主机信息,通常涉及数百个不同的登录账户。当威胁行为者能够查看用户所使用的多种密码变种时,他们就占了巨大的优势。
    这些日志通常还包含表单填写数据,比如密保问题的答案,这些答案在用来绕过那些设有密保问题的网站安全措施十分有效。

    # 三级泄露凭证

    这一级别的泄露来源于信息窃取器日志,会对企业带来极高的安全风险。最新的窃取器日志通常包含尚未失效的会话cookie,威胁行为者可以轻易利用这些cookie冒充受害者,实施会话劫持攻击,有可能绕过双因素认证(2FA)和多因素认证(MFA)的控制。

    如果发现含有公司凭证的新的窃取器日志正在传播时,应立即启动事件调查,因为很有可能这些密码处于正常工作状态,威胁行为者可以直接访问公司资源。

    # 防御三级泄露凭证

    尽可能为企业应用程序限制TTL(生存时间),以降低信息窃取器感染导致的会话cookie有效被分发的风险。

    # 并非万能的多因素认证

    如果不监控泄露的凭证,许多员工很可能仍然只使用单因素认证,并且大多数人的密码可能已经遭到泄露。

    很多人认为,开启双因素认证就能防止凭证被盗,但事实是,威胁行为者非常清楚双因素认证带来的障碍,并且他们已经掌握了各种绕过阻碍的技巧和策略。

    比如,通过社交工程手段对员工进行操作,或是利用双因素认证机器人来截获受害者的一次性密码或验证码,又或是进行SIM卡置换,都可以绕过多因素认证控制。

    对抗这类攻击最有效的防御措施是使用验证器应用程序,这些应用程序生成的是临时的动态验证码,而不是通过电子邮件或短信接收的一次性密码,相对来说更安全,在一定程度上确保了相关用户拥有并控制着第二台设备。
    `
    Credentials are Still King: Leaked Credentials, Data Breaches and Dark Web Markets
    https://www.bleepingcomputer.com/news/security/credentials-are-still-king-leaked-credentials-data-breaches-and-dark-web-markets/

  10. 如何保护企业员工免受基于身份的攻击
    https://www.4hou.com/posts/z4Ry
    https://www.bleepingcomputer.com/news/security/how-to-protect-your-employees-from-identity-based-attacks/
    `
    基于身份的攻击已成为当今企业面临的最重大威胁之一。IBM 的 X-Force 威胁情报团队表示,网络犯罪分子越来越依赖被盗身份(而不是技术黑客)来帮助他们破坏企业系统。

    但是企业需要警惕哪些类型的攻击?如何才能最好地保护员工免受伤害?本文将探讨攻击者在基于身份的攻击中采用的策略,以及企业如何采用多种方法来降低风险。

    ## 基于身份的攻击的兴起

    近年来,基于身份的攻击数量持续增长。据报道,80% 的攻击涉及身份和泄露的凭证。IBM 的一份报告发现,与身份相关的攻击现在是影响全球网络犯罪的首要因素,每年增长 71%。通过这些统计数据,可以看出基于身份的攻击给企业带来的问题日益严重。

    ## 基于身份攻击的类型

    网络犯罪分子不仅仅依赖于一种类型的攻击,他们会尝试多种策略,直到找到一种有效的方式。基于身份的攻击的常见类型包括:

    * 广泛的网络钓鱼活动

    广泛的网络钓鱼攻击是最常见的基于身份的密码攻击类型之一,网络犯罪分子获取大量电子邮件地址时就会出现这种攻击。他们制作并发送带有特定号召性用语的通用网络钓鱼消息,例如将用户发送到虚假登录页面。至少有一些收件人会落入骗局,并前往虚假网站输入其凭据,从而使攻击者能够访问合法的用户名和密码,从而可以用来访问敏感数据。

    * 鱼叉式网络钓鱼活动

    鱼叉式网络钓鱼活动与广泛的网络钓鱼不同,它针对的是特定个人而不是大型群体。攻击者仔细选择目标,并利用社交媒体和网络资源进行研究,以收集有关受害者的个人信息。

    然后,他们会制作一条高度个性化的消息,引用特定的细节(例如提及收件人最近参加的会议),以增加收件人陷入网络钓鱼尝试的可能性。攻击者的目的是诱骗受害者采取特定操作(例如访问虚假登录页面或单击恶意软件链接)以窃取其凭据或安装恶意软件以进行进一步攻击。

    * 撞库

    许多用户都在多个帐户中重复使用相同的密码。一项由 Microsoft 资助的研究发现,73% 的人在个人和专业帐户中设置有重复密码。撞库攻击就利用了这种情况,从以前的网站泄露或密码转储站点获取凭据,并使用自动化工具在各个网站上测试这些凭据。

    * 密码喷洒

    人们通常希望密码易于记忆,而不是字母、数字和符号的随机组合。攻击者使用与目标域的复杂性策略相匹配的一小部分常用密码部署,密码喷射攻击来利用这一点。攻击者不会为一个用户尝试多个密码,而是在许多不同的帐户中使用相同的通用密码来避免检测。

    * 传递哈希技术

    哈希传递攻击在企业中变得越来越常见,相关报告称,一项调查中 95% 的受访者因哈希传递攻击而遭受了直接的业务影响。在传递哈希攻击中,攻击者从受感染的系统获取用户密码的哈希版本。然后,攻击者使用此哈希向其他系统进行身份验证,而无需破解实际密码。这种技术允许攻击者在网络内横向移动,访问敏感数据。

    * 中间人 (MitM) 攻击

    在 MitM 攻击中,攻击者通常通过模仿合法的 Wi-Fi 接入点来拦截网络连接。然后,当最终用户连接到恶意接入点时,攻击者可以监视所有用户的输入,包括登录凭据。如果攻击成功,攻击者可以窃取凭证或会话令牌来验证受害者的帐户,从而访问敏感数据或执行进一步的攻击。

    ## 多层安全方法

    随着身份成为新的安全边界,企业需优先考虑帐户和密码安全至关重要。

    薄弱、重复使用和泄露的凭据通常是攻击者的主要入口点。事实上,Verizon 2023 数据泄露调查报告发现,50% 的泄露都是由被盗或薄弱的凭证开始的。为了降低基于身份的攻击的风险,企业必须采用多层安全方法。

    * 实施强密码策略

    强密码策略对于确保最终用户不使用弱且容易猜到的密码至关重要。考虑实施密码策略软件(例如 Specops 密码策略),它可以帮助人们强制实施强密码要求并防止使用弱密码。

    此外,Specops 密码策略将根据包含超过 40 亿个唯一已知泄露密码的数据库持续扫描 Active Directory。任何被发现使用密码被泄露的用户都会收到通知,并要求立即更改密码。

    * 定期审核 Active Directory

    为了保护帐户,人们应该定期审核自己的 Active Directory 是否存在弱密码或泄露密码。此外,应该主动识别并删除黑客可以利用的陈旧或不活动帐户。利用免费的只读工具Specops Password Auditor扫描 Active Directory 中是否存在与密码相关的漏洞。

    * 实施多重身份验证

    确保最终用户已在应用程序中设置多重身份验证。除了用户名和密码之外,MFA 要求用户提供第二种形式的身份验证,例如发送到其注册手机的一次性密码或生物识别数据,从而增加了一层额外的安全性。

    * 防范社会工程

    服务台对黑客来说是一个极具吸引力的目标。在服务台接听电话和回复电子邮件的 IT 团队成员是密码重置的看门人。如果攻击者可以有效地对服务台使用社交工程攻击,他们可以轻易获得未经授权的访问并造成严重破坏。

    如米高梅度假村事件,在黑客欺骗该公司的服务台提供访问权限后,该公司便经历了大范围的停电、数天的停机以及数百万美元的损失。

    自动化解决方案可以帮助提供另一层保护,帮助服务台工作人员验证用户身份,从而减少社会工程漏洞,防止组织服务台受到攻击。

    * 对不断变化的威胁保持警惕

    企业必须时刻保持警惕,防止基于身份的攻击。采取多方面的方法来保持企业的低风险水平。**通过实施强密码策略、定期审核帐户、利用 MFA **以及如 Specops Software 提供的工具,降低成为威胁受害者的风险。
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注