网络罪犯是在入侵系统，还是直接登录？

当攻击者拥有钥匙和密码可以悄无声息地进入时，为何要破门而入触发警报？这正是网络安全领域的一个趋势：攻击者越来越多地窃取密码、甚至认证令牌和会话cookie来绕过多因素认证（MFA）代码，从而通过伪装成合法用户访问网络。

根据Verizon的报告，“使用被盗凭证"是近年来最流行的初始访问方法之一。去年32%的数据泄露事件涉及被盗凭证的使用。尽管威胁行为体有多种获取凭证的方式，但同样存在大量阻止他们的机会。

为什么凭证是网络攻击的起点

据估计，2024年全球企业有超过32亿个凭证被盗，年增长率为33%。通过这些凭证访问企业账户，威胁行为体可以有效地潜伏在阴影中策划下一步行动，这可能涉及更高级的犯罪利用形式：

通过这些步骤，攻击者还可以实施非常成功的勒索软件和其他攻击活动。

威胁行为体已开发出多种方法来窃取员工的企业凭证，甚至包括他们的MFA代码：

网络钓鱼：伪装成官方来源（如IT部门或技术供应商）发送的电子邮件或短信，诱使收件人点击恶意链接进入虚假登录页面。

语音钓鱼：攻击者通过电话冒充IT帮助台，要求受害者交出密码或注册新的MFA设备。

信息窃取器：专门设计用于从受害者计算机/设备收集凭证和会话cookie的恶意软件。去年75%的被盗凭证归因于信息窃取器。

暴力攻击：包括凭证填充（尝试先前泄露的用户名/密码组合）和密码喷洒（使用常用密码尝试不同网站）。

第三方泄露：攻击者入侵存储客户凭证的供应商或合作伙伴，如MSP或SaaS提供商。

MFA绕过：包括SIM交换、MFA提示轰炸（通过大量推送通知导致"警报疲劳”）和中间人攻击（拦截MFA会话令牌）。

近年来有许多密码泄露导致重大安全事件的真实案例：

Change Healthcare：在2024年最重要的网络攻击之一中，勒索软件组织ALPHV通过一组被盗凭证远程访问了未开启多因素认证的服务器，然后提升权限、横向移动并部署勒索软件。

Snowflake：经济动机的威胁行为体UNC5537通过信息窃取恶意软件先前窃取的凭证访问了多个客户的Snowflake数据库实例。

遵循零信任方法至关重要，其原则是"从不信任，始终验证"。这意味着在"边界"和分段网络内的各个阶段采用基于风险的身份验证。应根据风险概况对用户和设备进行评估和评分，这可以通过登录时间和位置、设备类型和会话行为来计算。

加强组织防护的其他措施包括：

更广泛地说，考虑通过托管检测和响应（MDR）服务寻求专业第三方的帮助，特别是资源有限的公司。除了降低总拥有成本外，信誉良好的MDR提供商还带来专业知识、全天候监控和威胁狩猎，以及能够加速事件响应的分析师。