披着狼皮的羊：基于IP的身份验证规则亟需变革

这是关于该问题的一些思考及可能需要如何改变的快速分享。内容偏向Azure环境，但我认为这些挑战和解决方案具有普适性。

一如既往，期待听到您的想法！

基于IP的检测规则 vs 商业VPN提供商

基于IP的规则当前工作原理及问题

网络钓鱼仍然是组织面临的主要威胁，而多因素认证(MFA)等传统缓解措施现在正被相对轻松地绕过。

AITM - 中间人攻击：威胁行为者使用EvilProxy等工具窃取Azure MFA令牌。这些网站通常非常逼真，会拉取品牌图像。

二维码钓鱼：用户输入详细信息时可能经常使用移动设备（可能没有相同级别的监控，如Web代理）。

因此，如果没有对电子邮件和后续点击URL的良好可见性，我们将不得不依赖观察到的身份验证详细信息。

目前，判断外部对我们网络的身份验证是合法还是账户泄露迹象的一个主要方法是查看IP地址的详细信息。

我们可能会查找或阻止以下项目：

不可能旅行 - 有人从地理上分离的位置登录，这对任何人来说都是不可能的
威胁情报 - 我们是否知道连接IP地址已知是"恶意"的
基于国家 - IP地址所在国家是否与我们开展业务或用户所在地一致

这些都曾是缓解可疑登录的相当可靠的方法。微软关于AiTM的文章中还提出了许多其他检测点。

然而，形势一直在变化，意味着我们不能依赖这些方法，一个主要原因是NordVPN等VPN服务的普遍使用。

VPN服务

根据NordVPN的统计数据，我们可以看到过去3年使用量增长到约33.0%的美国人经常使用VPN。

这并不奇怪，向公众营销VPN服务的规模巨大。不是故意针对NordVPN，但我们可以看到他们已经达到赞助足球队以及影响者等的程度。

住宅代理

人们使用VPN的原因通常是尝试从他们当前不居住的国家访问媒体。例如，有人可能想观看BBC节目而不在英国，但他们不想付费，如果BBC观察到他们来自法国等地的IP，他们可能需要付费。

这导致了媒体公司与VPN提供商之间的猫鼠游戏。用户希望使用VPN，而媒体公司会试图阻止这些。传统上，阻止可能相对容易 - 查找的IP通常属于数据中心，而不是正常访问者预期的ISP。

然而，住宅代理已经介入，这些通常会付费让用户与"网络"共享他们的家庭IP，允许另一个国家的人通过他们路由流量，因此看起来就像普通用户。

快速谷歌搜索显示它们的广泛程度：

为什么所有这些对安全团队都是问题

由于传统VPN服务和住宅代理提供的匿名性，它们受到威胁行为者（包括犯罪和国家）的青睐。用户和威胁现在仅从IP地址上实际上无法区分。

这意味着，如果我们回到一些传统的检测方法：

不可能旅行 - 现在用户可以在相对较短的时间内轻松来自几个地理上分离的位置
威胁情报 - 威胁行为者可能使用过某个IP并被标记为"恶意"到威胁源中。然后合法用户可能使用相同的IP
基于国家 - 用户可能不总是选择他们居住的国家作为出口点（诚然，他们可能会）

可能的解决方案和潜在缺点

那么组织该怎么办？我认为有几个选项，包括列出的一些选项。

设备注册 - 通过将设备注册到组织中，或使用其他方法如客户端证书，我们可以对谁在连接有更强的信心。这可能工作量很大，并且对BYOD可能有挑战。我个人认为这是最稳健的方法。

组织性阻止VPN - 如果我们抛开阻止VPN或住宅代理的技术挑战（两者都有可用的源），随着普通用户使用量的增加，采用可能令人沮丧的如此严格策略可能不合适。我认为这个挑战不会消失，所以我觉得我们需要比这更聪明的解决方案。

验证 - 当我们怀疑时，我们可能希望与用户或其经理验证他们是否在使用VPN。然而，我在这里看到两个潜在问题：首先，这对安全团队定期执行可能成为大量苦工。其次，确保您是与用户验证，而不仅仅是威胁行为者。

关联 - 如果我们开始映射对手在获得初始访问权限后可能采取的行动，我们可以开始将其与使用VPN的上下文叠加，例如新的转发规则或用于身份验证的意外应用程序。在我看来，这是检测这些的最佳方式，但关键是我们有其他基于威胁获得访问权限后可能表现出的行为的检测。我们还需要某种方式来突出显示一组可疑规则 - 像基于风险的警报这样的东西适合这一点，但并非所有SIEM都提供它。

总结

普通用户使用VPN的增加意味着仅IP在我们的检测和预防方法中是不够的。如果我们要成功，我们必须以不同的方式应对这一挑战。

我真的很感激任何其他见解，特别是您在这里发现有效的任何方法。我真的很想了解您发现威胁一旦获得Azure账户访问权限后执行的各类活动的第一手知识。