狼皮下的羊:为何基于IP的身份验证规则亟需变革
这是关于该问题的一些思考以及我们需要如何改变的快速文章。虽然偏向Azure平台,但我认为其中的挑战和解决方案具有普适性。
一如既往,期待您的想法!
基于IP的检测规则 vs 商业VPN提供商(火车迷因)
基于IP的规则当前如何工作及存在的问题
网络钓鱼仍然是组织面临的主要威胁,而多因素认证(MFA)等传统缓解措施现在正被相对轻松地攻破。
- AITM——中间人攻击:威胁行为者使用EvilProxy等工具窃取Azure MFA令牌。这些网站通常非常逼真,会拉取品牌图像(参见相关博客文章)
- Quishing(二维码钓鱼):输入详细信息的用户通常使用移动设备(可能没有相同级别的监控,如Web代理)
因此,在没有对电子邮件和后续点击URL的充分可见性的情况下,我们将不得不依赖观察到的身份验证详细信息。
目前,判断外部网络身份验证是合法还是账户泄露迹象的一个主要方法是查看IP地址的详细信息。
我们可能会查找或阻止以下项目:
- 不可能旅行:有人从地理上分开的位置登录,这是一个人不可能做到的
- 威胁情报:我们是否知道连接IP地址已知为"恶意"
- 基于国家:IP地址所在的国家是否与我们开展业务或用户所在的国家一致
这些(曾经)都是缓解这些可疑登录的相当可靠的方法。微软关于AiTM的文章中还提出了许多其他检测点。
然而——形势已经转变了一段时间,意味着我们不能依赖这些方法,一个主要原因是NordVPN等VPN服务的普遍使用增加。
VPN服务
根据NordVPN的统计数据,我们可以看到在过去3年中,使用量增长到约33.0%的美国人经常使用VPN。
逐年VPN使用情况
这并不奇怪,向公众营销VPN服务的力度很大。不是故意针对NordVPN——但我们可以看到,它已经达到成为足球队主要赞助商以及赞助影响者等的程度。
利物浦NordVPN赞助
住宅代理
人们使用VPN的原因通常是尝试从他们当前不居住的国家访问媒体。例如,有人可能想观看BBC节目而不在英国,但他们不想付费,因为如果BBC观察到他们来自法国等地的IP,则可能需要付费。
这导致媒体公司与VPN提供商之间的猫鼠游戏。用户希望使用VPN,而媒体公司会尝试阻止这些。传统上,阻止可能相对容易——查找的IP通常属于数据中心,而不是正常访问者预期的ISP。
然而,住宅代理已经介入,这些通常会付费让用户与"网络"共享他们的家庭IP,允许另一个国家的人通过他们路由流量,从而看起来只是一个正常用户。
快速谷歌搜索显示了它们的广泛程度:
住宅代理——谷歌
为什么所有这些对安全团队都是问题
由于传统VPN服务和住宅代理提供的匿名性,它们受到威胁行为者(包括犯罪和国家)的青睐。用户和威胁现在仅从IP地址上 effectively 无法区分。
这意味着如果我们回到一些传统的检测方法:
- 不可能旅行:现在用户可以在相对较短的时间内轻松来自几个地理上分开的位置
- 威胁情报:威胁行为者可能使用过一个IP并被标记为"恶意"进入威胁馈送。同一IP随后可能被合法用户使用
- 基于国家:用户可能不总是选择他们居住的国家作为出口点(诚然,他们可能会)
可能的解决方案和潜在缺点
那么组织该怎么办?我认为有几种选择,包括列出的一些选项。
- 设备注册:通过将设备注册到组织,或使用客户端证书等其他方法,我们可以对连接者更有信心。这可能工作量很大,并且对自带设备(BYOD)可能有挑战。我个人认为这是最稳健的方法
- 组织性阻止VPN:如果我们抛开阻止VPN或住宅代理的技术挑战(两者都有可用的馈送),随着普通用户使用量的增加,可能不适合制定这样可能令人沮丧的严格政策。我认为这个挑战不会消失,所以我觉得我们需要更聪明的解决方案
- 验证:当我们怀疑时,我们可能希望与用户或其经理验证他们是否使用VPN。然而,这里有两个潜在问题:首先,这可能成为安全团队定期进行的大量苦工。其次,确保您是与用户验证,而不仅仅是威胁行为者
- 关联:如果我们开始映射对手获得初始访问权限后可能采取的行动,我们可以开始将其与使用VPN的上下文叠加,例如新的转发规则或用于身份验证的意外应用程序。在我看来,这是检测这些的最佳方式,但关键是我们有其他基于威胁一旦获得访问权限可能表现出的行为的检测。我们还需要某种方式来突出显示一组可疑规则——像基于风险的警报这样的东西适合这一点,但并非所有SIEM都提供它
总结
普通用户使用VPN的增加意味着仅凭IP在我们的检测和预防方法中已经不够。如果我们要成功,我们必须以不同的方式应对这一挑战。
我非常感谢任何其他见解,特别是您在此处发现的有效方法。我真的很想了解一些第一手知识,关于威胁一旦获得Azure账户访问权限后执行的活动类型。
检测工程
VPN
网络安全
网络钓鱼