网络罪犯是在入侵系统,还是直接登录?

本文深入探讨了网络攻击者如何通过窃取凭证、绕过多因素认证等手段入侵企业系统,并提供了基于零信任架构的防护策略,包括风险认证、员工培训和持续监控等关键技术方案。

网络罪犯是在入侵你的系统——还是直接登录?

随着攻击者经常简单地用钥匙"华尔兹"穿过公司的数字前门,以下是如何锁紧你自己的门。

为什么选择悄悄进入?

当你有钥匙和密码可以悄悄进入时,为什么要破门而入并触发房屋警报?这就是网络安全趋势背后的逻辑:对手越来越多地寻求窃取密码,甚至身份验证令牌和会话cookie,以绕过MFA代码,从而通过伪装成合法用户来访问网络。

根据Verizon的数据,“使用被盗凭证"是近年来获取初始访问权限的最流行方法之一。其报告指出,去年三分之一(32%)的数据泄露事件中出现了被盗凭证的使用。然而,尽管威胁行为者有多种方式获取凭证,但也有大量机会阻止他们。

为什么凭证是网络攻击的起点

据估计,2024年全球企业有超过32亿个凭证被盗,年增长率为33%。通过这些凭证对企业账户的访问,威胁行为者可以有效地潜入阴影中,同时策划下一步行动。这可能涉及一些更高级形式的犯罪利用,例如:

  • 进行网络侦察:寻找接下来要攻击的数据、资产和用户权限
  • 提升权限,例如通过漏洞利用,以便横向移动到达那些高价值数据存储/系统
  • 秘密建立与命令与控制(C2)服务器的通信,以下载额外的恶意软件并外泄数据

通过执行这些步骤,对手还可以执行非常成功的勒索软件和其他攻击活动。

他们如何获取密码

威胁行为者已经开发出各种方法来危害你员工的企业凭证,在某些情况下甚至包括他们的MFA代码。这些方法包括:

  • 网络钓鱼:伪造来自官方来源(即IT部门或技术供应商)的电子邮件或短信。收件人将被鼓励点击恶意链接,将他们带到虚假登录页面(即Microsoft)。
  • 语音钓鱼:网络钓鱼主题的变体,但这次受害者接到威胁行为者的电话。他们可能冒充IT帮助台,并请求受害者交出密码或注册新的MFA设备,作为某些虚构背景故事的一部分。或者他们可以打电话给帮助台,声称是需要紧急密码重置以完成工作的高管或员工。
  • 信息窃取器:旨在从受害者的计算机/设备中收集凭证和会话cookie的恶意软件。它可能通过恶意网络钓鱼链接/附件、受感染的网站、陷阱移动应用程序、社交媒体诈骗甚至非官方游戏修改到达。据信,去年75%的被盗凭证是由信息窃取器造成的。
  • 暴力攻击:这些包括凭证填充,即对手尝试先前被入侵的用户名/密码组合对企业网站和应用程序进行攻击。同时,密码喷洒利用不同站点上常用的密码。自动化机器人帮助他们大规模地进行,直到一个最终成功。
  • 第三方泄露:对手入侵存储其客户端凭证的供应商或合作伙伴,例如MSP或SaaS提供商。或者他们购买大量已被入侵的登录"组合"以在后续攻击中使用。
  • MFA绕过:技术包括SIM卡交换、MFA提示轰炸(通过推送通知淹没目标以引起"警报疲劳"并引发推送批准)以及中间人攻击,攻击者将自己插入用户和合法身份验证服务之间以拦截MFA会话令牌。

过去几年充满了导致重大安全事件的密码泄露真实案例。其中包括:

  • Change Healthcare:在2024年最重要的网络攻击之一中,勒索软件组织ALPHV(BlackCat)瘫痪了Change Healthcare,一家主要的美国医疗技术提供商。该团伙利用一组被盗凭证远程访问了一台未开启多因素身份验证(MFA)的服务器。然后他们提升了权限并在系统内横向移动,部署了勒索软件,最终导致医疗系统前所未有的中断以及数百万美国人敏感数据的盗窃。
  • Snowflake:经济动机的威胁行为者UNC5537获得了多个客户Snowflake客户数据库实例的访问权限。数亿下游客户受到这次大规模数据盗窃勒索活动的影响。据信,威胁行为者通过先前通过信息窃取器恶意软件窃取的凭证访问了他们的环境。

保持警惕

所有这些都使得保护员工密码、使登录更安全以及更密切地监控IT环境以发现泄露的迹象比以往任何时候都更加重要。

这大部分可以通过遵循基于"从不信任,始终验证"原则的零信任方法来实现。这意味着在"边界"以及分段网络内的各个阶段采用基于风险的身份验证。应根据用户和设备的风险状况对其进行评估和评分,这可以从登录的时间和位置、设备类型和会话行为计算出来。为了加强组织对未经授权访问的保护并确保符合法规,坚如磐石的多因素身份验证(MFA)也是不容谈判的防线。

你应该通过为员工提供更新的培训和意识计划来补充这种方法,包括使用最新社会工程技术的真实世界模拟。防止用户访问风险网站(信息窃取器可能潜伏的地方)的严格策略和工具也很重要,所有服务器、端点和其他设备上的安全软件以及用于发现可疑行为的持续监控工具也是如此。后者将帮助你检测可能通过被盗凭证进入网络的对手。实际上,组织还需要有一种减少被盗账户可能造成损害的方法,例如遵循最小权限原则。最后,暗网监控可以帮助你检查是否有任何企业凭证在网络犯罪地下市场出售。

更广泛地说,考虑通过托管检测和响应(MDR)服务寻求专家第三方的帮助,特别是如果你的公司资源短缺。除了降低总拥有成本外,信誉良好的MDR提供商还带来主题专业知识、全天候监控和威胁搜寻,以及访问了解基于凭证入侵的细微差别并在检测到被盗账户时加速事件响应的分析师。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次