当羊披上狼皮:为什么我们必须改变基于IP的身份验证规则

文章探讨了基于IP地址进行身份验证和威胁检测的传统方法在现代网络环境中面临的挑战。由于商用VPN和住宅代理的普及,攻击者与合法用户的网络流量在IP层面已难以区分,这迫使安全团队必须采用设备注册、行为关联分析等更智能的解决方案。

当羊披上狼皮:为什么我们必须改变基于IP的身份验证规则

这是一篇关于此问题的一些思考以及我们可能需要如何改变的想法。文章会稍微偏向Azure环境,但我认为其中的挑战和解决方案具有普适性。

一如既往,我很想听听您对此的想法!

基于IP的检测规则 vs 商用VPN提供商(火车迷因图)

基于IP的规则目前如何工作以及面临的问题

网络钓鱼仍然是组织面临的一大威胁,而像多因素认证(MFA)这样的传统缓解措施现在正被相对轻松地攻破。

  • AITM — 中间人攻击: 观察到威胁行为者使用像EvilProxy这样的工具来窃取Azure MFA令牌。这些钓鱼网站通常非常逼真,会盗用品牌图像。(可参阅相关博客文章)
  • 二维码钓鱼: 用户输入凭据时可能经常使用手机等设备(这些设备可能没有相同级别的监控,例如网络代理)。

因此,如果无法很好地监控被点击的电子邮件和后续URL,我们将不得不依赖于观察到的身份验证详细信息。

目前,我们判断外部对我们网络的身份验证是合法的还是账户被盗用的迹象,一个主要方法是查看IP地址的详细信息。

我们可能会关注或阻止以下项目:

  • 不可能的旅行: 用户从地理上相隔遥远、不可能在短时间内到达的地方登录。
  • 威胁情报:连接IP地址是否已知为“恶意”?
  • 基于国家/地区:IP地址所在的国家/地区是否符合我们的业务范围或用户的所在地?

这些过去都是缓解可疑登录的相当可靠的方法。在微软这篇关于AiTM的文章中,还提出了许多其他的检测点。

然而,形势已经变化了一段时间,这意味着我们不能再依赖这些方法,一个主要原因是NordVPN等VPN服务的普遍使用。

VPN服务

根据NordVPN的统计数据,我们可以看到在过去3年中,美国经常使用VPN的用户比例增长到了约33.0%。 (此处应为按回车或点击查看全尺寸图片的提示:逐年VPN使用情况图表)

这并不奇怪,面向公众的VPN服务营销规模巨大。并非故意针对NordVPN,但我们可以看到,它甚至已成为足球俱乐部的主要赞助商,并赞助了众多网红等。 (此处应为按回车或点击查看全尺寸图片的提示:利物浦足球俱乐部NordVPN赞助图片)

住宅代理

人们使用VPN的原因通常是为了尝试访问他们当前居住国以外的媒体内容。例如,某人可能想观看BBC节目但不在英国,又不想付费(如果BBC观察到他们来自法国等地的IP,则可能需要付费)。

这导致了媒体公司与VPN提供商之间的猫鼠游戏。用户想使用VPN,而媒体公司会试图阻止他们。传统上,屏蔽可能相对容易——查询IP地址时,它们通常属于数据中心,而不是正常访问者所预期的互联网服务提供商(ISP)。

然而,住宅代理应运而生。这些服务通常会付费让用户分享他们的家庭IP给“网络”,允许另一个国家的人通过他们的IP路由流量,从而看起来就像一个普通用户。 快速谷歌搜索显示了它们的普及程度: (此处应为按回车或点击查看全尺寸图片的提示:住宅代理 - 谷歌搜索结果)

为什么这对安全团队来说是个问题

由于传统VPN服务和住宅代理提供的匿名性,它们受到威胁行为者(包括犯罪组织和国家行为体)的青睐。现在,仅凭IP地址,用户和威胁行为者实际上已无法区分。

这意味着,如果我们回头采用一些传统的检测方法:

  • 不可能的旅行: 现在用户可以轻松地在相对较短的时间内从几个地理上相隔遥远的地方出现。
  • 威胁情报:威胁行为者可能曾使用某个IP并被威胁情报源标记为“恶意”。然后,同一个IP可能被合法用户使用。
  • 基于国家/地区:用户可能不总是选择他们居住的国家作为VPN出口点(诚然,他们很可能会选择)。

可能的解决方案和潜在缺点

那么,组织该怎么办?在我看来,有几种选择,包括列出的一些选项。

  1. 设备注册: 通过将设备注册到组织中,或使用客户端证书等其他方法,我们可以对连接者的身份有更强的信心。这可能工作量很大,并且在自带设备(BYOD)环境下可能是个挑战。我个人认为这是最稳健的方法。
  2. 组织层面阻止VPN: 如果我们暂且不考虑技术上阻止VPN或住宅代理的挑战(两者都有可用的情报源),随着普通用户使用量的增加,制定如此严格的、可能会引起用户不满的策略可能并不合适。我认为这个挑战不会消失,因此我们需要比这更智能的解决方案。
  3. 验证: 当我们怀疑时,我们可能希望与用户或其经理核实他们是否正在使用VPN。然而,我在这里看到两个潜在问题:首先,这可能成为安全团队定期执行的大量繁琐工作。其次,需要确保您是在与真正的用户核实,而不是威胁行为者。
  4. 关联分析: 如果我们开始描绘出攻击者在获得初始访问权限后可能采取的行动,我们可以开始将其与他们使用VPN的上下文叠加分析(例如,创建了新的转发规则或使用了意外的应用程序进行身份验证)。在我看来,这是我们检测此类威胁的最佳方式,但关键在于,我们必须基于威胁行为者在获得访问权限后可能表现出的其他行为来建立检测机制。我们还需要某种方法来突显一组可疑的规则——像基于风险的警报(Risk-Based-Alerting)这样的东西很适合这一点,但并非所有SIEM都提供此功能。

总结

普通用户使用VPN的兴起意味着,仅凭IP地址在我们的检测和预防方法中已经不够。如果我们想要成功,就必须以不同的方式应对这一挑战。

我非常感谢任何其他的见解,特别是您发现的任何在此处有效的方法。我真的很想了解一些关于威胁行为者获得Azure账户访问权限后所进行的活动类型的第一手知识。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次