网络罪犯是在入侵系统，还是直接登录？

当攻击者手握钥匙和密码时，何必破门而入触发警报？这正是当前网络安全领域的一个趋势：攻击者越来越多地窃取密码、认证令牌和会话cookie，以绕过多因素认证（MFA），伪装成合法用户进入网络。

根据Verizon的报告，“使用被盗凭证”是近年来最常用的初始访问方法。去年32%的数据泄露事件都涉及被盗凭证的使用。尽管威胁分子有多种获取凭证的途径，但企业也有众多机会阻止他们。

为什么凭证成为网络攻击的重灾区

据估计，2024年全球企业有超过32亿凭证被盗，年增长33%。凭借这些凭证对企业账户的访问权限，威胁分子可以悄然隐匿，策划下一步行动，包括：

• 进行网络侦察：寻找下一步要攻击的数据、资产和用户权限
• 提升权限：通过漏洞利用横向移动，接近高价值数据存储/系统
• 秘密建立与命令控制（C2）服务器的通信：以下载更多恶意软件并外泄数据

通过这些步骤，攻击者还能实施非常成功的勒索软件等活动。

攻击者如何获取密码

威胁分子已开发出多种方法来窃取员工的企业凭证，甚至MFA代码：

• 网络钓鱼：冒充官方来源（如IT部门或技术供应商）发送欺诈邮件或短信，诱使收件人点击恶意链接进入虚假登录页面
• 语音钓鱼：通过电话冒充IT服务台，以虚构背景故事要求受害者交出密码或注册新MFA设备
• 信息窃取器：通过恶意链接/附件、受感染网站、陷阱移动应用等方式传播的恶意软件，专门收集凭证和会话cookie
• 暴力攻击：包括凭证填充和密码喷洒，使用自动化工具大规模尝试用户名/密码组合
• 第三方泄露：攻击存储客户凭证的供应商或合作伙伴，或购买已泄露的登录组合
• MFA绕过：包括SIM卡交换、MFA提示轰炸和中间人攻击等技术

现实案例

近年来有许多因密码泄露导致重大安全事件的实例：

• Change Healthcare：2024年最重大的网络攻击之一，勒索软件组织ALPHV利用被盗凭证远程访问未开启MFA的服务器，最终导致医疗系统严重中断
• Snowflake：经济利益驱动的威胁组织UNC5537通过信息窃取器获取的凭证访问多个客户的Snowflake数据库实例

防护措施

保护员工密码、加强登录安全并密切监控IT环境比以往任何时候都更加重要：

• 采用零信任方法：基于"从不信任，始终验证"原则，在"边界"和分段网络内各阶段实施基于风险的认证
• 强化多因素认证：作为防御底线不容妥协
• 员工培训：包括使用最新社会工程技术的真实场景模拟
• 严格政策和工具：防止用户访问风险网站，在所有服务器、端点和其他设备上部署安全软件
• 持续监控：检测可能通过泄露凭证进入网络的攻击者
• 最小权限原则：减少账户泄露可能造成的损害
• 暗网监控：检查企业凭证是否在网络犯罪地下市场出售

更广泛地说，考虑通过托管检测与响应（MDR）服务寻求专业第三方的帮助，特别是资源有限的公司。除了降低总拥有成本外，信誉良好的MDR提供商还带来专业知识、全天候监控和威胁搜寻，以及能够加速事件响应的分析师。