最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 五招监控云账号劫持活动

    正文概述 webmaster   2020-01-21   379

    【51CTO.com快译】众所周知,发生在系统内部的账号劫持(Account takeovers,https://managedmethods.com/blog/category/account-takeover/)一直以来,都备受安全管理员与系统管理员的关注。如今,随着云服务的广泛使用,发生在云端应用程序中的云账号劫持现象,也同样引起了各种类型与规模组织(如:Google G Suite和Microsoft Office 365)的重视和警惕。

    五招监控云账号劫持活动

    由于云服务脱离了人们传统意义上的本地管理边界,因此信息安全团队很难对其进行实时检测与防御,这也是黑客屡屡容易得手云账号劫持的原因之一。他们可以轻松地通过账号劫持,快速地访问到更多的账号和业务数据。可见,账号劫持对于企业信息系统的危害性是不言而喻的。

    不过,对于许多快速采用了云端业务的组织来说,他们不但在碰到安全事件时反应速度不够敏捷,而且对于云计算安全性的相关概念存在着一定程度的误解。首先,网络管理员会习惯性地误以为他们现有的、基于网络安全基础架构足以保护新增的云端应用。其次,他们也会倾向性地认为,云服务提供商理应该负责保护云端应用、及其客户数据。

    什么是云账号劫持?

    云账号劫持的基本原理,与前文提的发生在系统内部的账号劫持相同。黑客通过获得对于某个账号的访问权,进而根据自己的目的,利用该账号去访问其他更多的账号、以及业务信息。

    显然,监控并了解云端应用的各种异常行为,是防止与发现账号劫持的首要步骤。为此,我们将详细讨论如下五项监控要点,以检测出对于云端账号的劫持(哪怕只是些尝试),并及时采取适当的补救措施。

    1. 登录位置

    通过登录位置(https://dzone.com/articles/sso-login-key-benefits-and-implementation)来检测可能存在的云账号劫持,是一种非常简单易行,且效果明显的方法。借助针对登录位置的分析​​,您可以查看到是否存在着一些已被列入已知黑名单的危险IP源的登录尝试。据此,您可以通过调整云端安全策略的设置,来禁止此类地址所发起的登录、以及其他尝试性的活动。

    例如:学生与员工们对于某国内大学官网的访问与登录,都应当源自在境内。如果您监控到突然有源于美国的IP地址,使用某个账号进行大量的登录尝试,那么很可能该账号已经遭到了劫持,并正在发起攻击。

    当然,有时候也会存在着一个学生团体正好在国外游学,他们需要远程登录进来的情况。因此,我们需要制定好细粒度的策略,只允许特定的用户群体从境外访问到学校的云服务环境中,并能够在登录时及时通知安全与运维人员相关的信息。在此,我推荐的实践方式是:本着谨慎的态度,默认阻止此类位置的登录,直至合法用户提出合理的请求,方可逐个“解锁”开启。

    2. 屡次尝试登录失败

    根据Signal Sciences的一项研究表明(译者注:一家网络安全初创公司,https://info.signalsciences.com/detecting-account-takeovers-defending-your-users),任何外部应用程序在上线之后,都可能会出现大约30%的登录失败率,其中不乏有用户忘记了自己的密码,或是键盘输入错误,以及应用服务器本身的出错可能。但是,如果在较短的时间内,大量出现失败的登录尝试,则表明云账号正在受到异常攻击。黑客很可能正在使用爆破或撞库的方式,来尝试所有最常见的密码、以及已知的密码变体,以获得针对目标应用的授权访问。

    同样,我们可以通过设置相应的策略,来限制某个账号在被锁定之前,所允许的尝试登录失败次数。通常,管理员会设置该限制为三到五次。当触及该阀值之后,用户需要主动联系负责该应用的管理员,以解锁自己的账号,或重置登录密码。与此同时,我们可以通过设置警报的方式,以便在出现多次尝试登录失败时,应用程序能够及时地发送通知给相应的安全与运维管理员。据此,管理员则能够通过采取主动的措施,来验证此类尝试的合法性。

    3. 横向网络钓鱼(Lateral Phishing)邮件

    前面介绍的两种方法主要检测是否有人正在尝试劫持账号。下面我们讨论的方法则是关注如何发现已经得手的云账号劫持攻击。

    通常,那些横向网络钓鱼邮件都源自某个已被劫持的账号。由于此类电子邮件是从内部合法账号所发出,因此我们使用传统的网络钓鱼过滤程序,很难检测到横向网络钓鱼的行为。而且由于具有合法性与隐蔽性,因此它在绕过大多数安全防护机制的同事,还会蔓延到应用内部的其他账号上。

    最近有研究(https://www.csoonline.com/article/3433736/threat-spotlight-lateral-phishing.html)发现:在过去的七个月时间里,有七分之一的受访组织至少遭受过一次横向网络钓鱼攻击。其中有154个被劫持的账号,曾经向100,000多名指定接收者发送过横向网络钓鱼邮件。该报告还指出:在这些接收者中,大约40%是同组织的同事,而其余的是各种私人、客户、合作伙伴、以及供应商类型的账号。

    通常,我们会采用传统的邮件传输代理(MTA,mail transfer agents)和网络钓鱼过滤程序,防范来自组织外部的钓鱼攻击。但是,由于被劫持的账号发生在内网,因此这些安全工具缺乏从内部检测到钓鱼攻击的能力。而新兴的云安全解决方案,则能够实现扫描入向与出向的邮件、邮件中包含的附件、以及共享盘上的钓鱼链接和恶意软件等。

    4. 恶意的OAuth连接

    如今,通过OAuth将SaaS应用程序连接到云端环境之中,已经变得稀松平常。但是,您可能无法简单地分辨出那些恶意的OAuth连接,它们会直接导致云端应用的账号被劫持。

    那么此类连接是如何产生的呢?黑客通常会创建一个需要对用户的Gmail或Outlook 365账号具有读取、写入和获取权限的应用程序。该应用通过合法的OAuth连接,被授予了相应的权限。黑客们据此可以直接通过用户的账号,发送带有网络钓鱼链接的电子邮件,而无需真正登录到他们所劫持账号上。而且更狡猾的是,此类电子邮件完全不会被企业内既有的传统网络钓鱼过滤程序和MTA所检测到。

    因此,如果您在云端环境中检测到了某个危险或恶意的OAuth连接,那么第一步就是要直接阻断该连接。接着,您应该联系该连接账号的持有人,询问其是否允许了不明的应用程序。在建议用户立即重置其账号登录密码的同时,您还应该协助审查是否有文件或其他关联账号遭到了破坏。

    5. 异常的文件共享和下载

    众所周知,账号劫持只是途径,并非目的。攻击者真正想要的是诸如:用户社会安全号码、姓名、地址、电话号码、健康信息、财务信息、以及知识产权内容等敏感且专有的数据。因此,如果您的云安全平台检测到某个账号正在(或尝试着)向本组织以外的某个目标共享敏感信息、或者提供下载的话,那么该账号显然已被劫持了。您需要立即关停该账号,强制重设密码,审查现有应用环境中的其余部分,并确认其他账号是否也受到了此类攻击。

    综上所述,如果您的组织正在通过云端应用来提供或使用电子邮件、文件共享、以及存储等服务的话,请通过针对云服务设计的安全平台,来监控、检测和自动化与账号劫持相关的攻击行为,以提高现有云端数据和业务的安全态势。

    原文标题:5 Ways To Monitor for an Account Takeover,作者:Katie Fritchen

    【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 五招监控云账号劫持活动

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 594会员总数(位)
    • 4902资源总数(个)
    • 172本周发布(个)
    • 0 今日发布(个)
    • 183稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情