披着狼皮的羊:我们的基于IP身份验证规则需要如何改变
这是一篇关于对此问题的一些思考以及我们可能需要如何改变的一些想法的快速文章。它有点偏向Azure,但我认为挑战和解决方案是通用的。
一如既往,很想听听您对此的想法!
基于IP的检测规则与商业VPN提供商
基于IP的规则目前如何工作及问题
网络钓鱼仍然是对组织的一大威胁,而多因素认证等传统缓解措施现在正被相对轻松地击败。
- AITM — 中间人攻击:威胁行为者使用诸如EvilProxy之类的工具来窃取Azure MFA令牌。这些站点通常非常逼真,会拉取品牌图像。
- Quishing:输入详细信息的用户可能经常使用诸如他们的移动设备(可能没有相同级别的监控,如Web代理)。
因此,如果没有对电子邮件和随后点击的URL有很好的可见性,我们将不得不依赖于查看我们观察到的身份验证的详细信息。
目前,我们判断对我们网络的外部身份验证是合法的还是账户泄露迹象的一个主要方法是查看IP地址的详细信息。
我们可能会查找或阻止以下项目:
- 不可能旅行:某人从地理上分开的地点登录,这对某人来说是不可能的。
- 威胁情报:我们是否知道连接IP地址已知是“坏的”。
- 基于国家:IP地址所在的国家是否与我们的业务所在地或该用户所在地一致?
这些曾经都是缓解这些可疑登录的相当可靠的方法。在微软关于AiTM的这篇文章中提到了许多其他检测点。
然而,形势已经转变了一段时间,意味着我们不能依赖这些,一个主要原因是诸如NordVPN之类的VPN服务的普遍使用增加。
VPN服务
根据这个NordVPN统计数据,我们可以看到在过去3年中,使用量增长到大约33.0%的美国人经常使用VPN。
这并不奇怪,向公众营销VPN服务的规模巨大。不是故意挑剔NordVPN — 但我们可以看到它已经达到了他们成为足球队的主要赞助商以及赞助影响者等等的程度。
住宅代理
人们使用VPN的原因通常是尝试访问他们当前不居住国家的媒体。例如,某人可能想观看BBC节目而不在英国,但他们不想付费,因为如果BBC观察到他们来自比如法国的IP,他们可能需要付费。
这导致了媒体公司与VPN提供商之间的猫鼠游戏。用户想要使用VPN,而媒体公司将尝试阻止这些。传统上,阻止可能相对容易 — 查找IP时,它们通常属于数据中心,而不是人们期望的正常访问者的ISP。
然而,住宅代理已经介入,这些通常会付费给用户,让他们与“网络”共享他们的家庭IP,允许另一个国家的人通过他们路由流量,从而看起来只是一个正常用户。
快速谷歌搜索显示它们有多广泛:
为什么所有这些对安全团队都是问题
由于传统VPN服务和住宅代理提供的匿名性,它们受到威胁行为者(包括犯罪者和国家行为者)的青睐。用户和威胁现在仅从IP地址上实际上无法区分。
这意味着,如果我们回到一些传统的检测方法:
- 不可能旅行:现在用户可以轻松地在相对较短的时间内从几个地理上分开的位置出现。
- 威胁情报:威胁行为者可能使用过一个IP并被标记为“恶意”进入威胁情报源。然后同一个IP可能被合法用户使用。
- 基于国家:用户可能并不总是选择他们居住的国家作为他们的出口点(诚然,他们可能会)。
可能的解决方案和潜在缺点
那么组织该做什么?在我看来有几种选择,包括列出的一些选项。
- 设备注册:通过将设备注册到组织,或使用其他方法如客户端证书,我们可以对谁在连接有更强的信心。这可能工作量很大,并且对BYOD可能是一个挑战。我个人建议这是最稳健的方法。
- 组织级阻断VPN:如果我们抛开仅仅阻断VPN或住宅代理的技术挑战(两者都有可用的情报源),随着普通用户使用量的增加,制定如此可能引起挫败感的强硬政策可能不合适。我不认为这个挑战会消失,所以我觉得我们需要比这更聪明的解决方案。
- 验证:我们可能希望在怀疑时与用户或其经理核实他们是否在使用VPN。然而,我在这里看到两个潜在问题:首先,这对安全团队来说可能成为定期的大量苦工。其次,确保您是在与用户核实,而不仅仅是威胁行为者。
- 关联:如果我们开始描绘对手在获得初始访问后可能采取的行动,我们可以开始将其与他们在使用VPN的上下文叠加,例如新的转发规则或用于身份验证的意外应用程序)。在我看来,这是我们检测这些的最佳方式,但关键在于我们拥有基于威胁一旦获得访问可能表现出的行为的其他检测。我们还需要某种方式来突出显示一组可疑规则 — 像基于风险的警报这样的东西适合于此,但并非所有SIEM都提供它。
总结
普通用户使用VPN的增加意味着仅凭IP在我们的检测和预防方法中是不够的。如果我们要成功,我们必须以不同的方式应对这一挑战。
我真的很感激任何其他见解,特别是您在此处发现有效的任何方法。我真的很想了解一些关于威胁一旦获得对Azure账户的访问权限后所执行活动类型的第一手知识。