【.com快译】众所周知,发生在系统内部的账号接管(Accounttakeovers,https://managedmethods.com/blog/category/account-takeover/)一直是安全管理员和系统管理员最关心的问题。如今,随着云服务的广泛应用,云应用中的云账号劫持现象也引起了各种类型、各种规模的组织(如:GoogleGSuite、MicrosoftOffice365)的关注和警惕。由于云服务脱离了人们传统的本地管理边界,信息安全团队很难对其进行实时检测和防御,这也是黑客经常轻易劫持云账户的原因之一。他们可以通过帐户劫持轻松访问更多帐户和业务数据。由此可见,账号劫持对企业信息系统的危害是不言而喻的。然而,对于许多快速采用云服务的组织来说,不仅对安全事件的响应速度不够快,而且对云计算安全相关的概念也存在一定程度的误解。首先,网络管理员习惯性地假设他们现有的、基于网络的安全基础设施足以保护新的基于云的应用程序。其次,他们还倾向于认为云服务提供商应该负责保护云应用程序及其客户数据。什么是云账号劫持?云账号劫持的基本原理与上述发生在系统内部的账号劫持是一样的。黑客获得一个账户的访问权限,然后根据自己的目的利用该账户访问其他账户和业务信息。显然,监控和了解云应用的各种异常行为是防范和发现账号劫持的第一步。为此,我们将详细讨论以下五个监测点,以检测云账户劫持(即使只是几次尝试),并及时采取适当的补救措施。1、登录位置通过登录位置检测可能的云账号劫持是非常简单有效的方法(https://dzone.com/articles/sso-login-key-benefits-and-implementation)。通过登录位置分析,您可以查看是否有任何来自已知被列入黑名单的危险IP来源的登录尝试。因此,您可以通过调整云安全策略设置来禁止此类地址发起的登录和其他尝试的活动。例如:学生和员工对国内高校官网的访问和登录,均应起源于境内。如果突然看到来自美国IP地址的账号出现大量登录尝试,很可能是该账号被劫持,正在发起攻击。当然,有时学生团恰好出国旅游,需要远程登录。因此,我们需要制定细粒度的策略,只允许特定的用户群体从国外访问学校的云服务环境,并且在登录时能够及时将相关信息通知安全和运维人员。这里,我推荐的做法是:以一种谨慎的方式,登录到这些位置默认是被阻止的,直到合法用户提出合理的请求后,才能将它们一一“解锁”。2.重复登录尝试失败根据SignalSciences(译者注:网络安全初创公司,https://info.signalsciences.com/detecting-account-takeovers-defending-your-users)的一项研究,任何外部应用程序被启动后,可能会有30%左右的登录失败率。其中很多可能有用户忘记密码,或者键盘输入错误,应用服务器本身也可能有错误。但是,如果在较短的时间内出现大量失败的登录尝试,则说明云账号被异常攻击。黑客可能会使用暴力破解或凭据填充来尝试所有最常见的密码以及已知的密码变体,以获得对目标应用程序的授权访问。同样,我们可以通过设置相应的策略来限制一个账号在被锁定前允许的登录失败次数。通常,管理员将此限制设置为三到五次。当达到阈值时,用户需要主动联系应用的负责管理员解锁账号或重置登录密码。同时,我们可以设置告警,当多次登录尝试失败时,应用可以及时通知相应的安全和运维管理员。因此,管理员可以通过采取主动措施来验证此类尝试的合法性。3.横向钓鱼邮件上面介绍的两种方法主要是检测是否有人试图劫持账户。我们下面讨论的方法着重于如何发现成功的云帐户劫持攻击。通常,这些横向网络钓鱼电子邮件来自被劫持的帐户。由于这些电子邮件是从合法的内部帐户发送的,因此使用传统的网络钓鱼过滤器很难检测到横向网络钓鱼。并且由于其合法性和隐蔽性,它会在绕过大多数安全保护机制的情况下传播到应用程序内的其他帐户。最近的一项研究(https://www.csoonline.com/article/3433736/threat-spotlight-lateral-phishing.html)发现,七分之一的受访组织至少遭受了一次横向网络钓鱼攻击。其中,154个被劫持账户向超过10万名指定收件人发送横向钓鱼邮件。该报告还指出:在这些收件人中,大约40%是来自同一组织的同事,其余则是各种私人、客户、合作伙伴和供应商类型的帐户。通常,我们使用传统的邮件传输代理(MTA,mailtransferagents)和钓鱼过滤程序来防止来自组织外部的钓鱼攻击。然而,这些安全工具缺乏从内部检测网络钓鱼攻击的能力,因为被劫持的帐户发生在内部网上。新兴的云安全解决方案可以扫描传入和传出的电子邮件、电子邮件中包含的附件??以及共享磁盘上的网络钓鱼链接和恶意软件。4.恶意OAuth连接如今,通过OAuth将SaaS应用程序连接到云环境已经司空见惯。但是,您可能无法轻易区分那些恶意的OAuth连接,这将直接导致云应用程序的帐户劫持。那么这种联系是如何产生的呢?黑客通常会创建需要读取、写入和访问用户Gmail或Outlook365帐户的应用程序。该应用程序通过合法的OAuth连接被授予适当的权限。因此,黑客可以直接通过用户帐户发送带有钓鱼链接的电子邮件,而无需实际登录他们劫持的帐户。更狡猾的是,此类电子邮件完全不会被企业内已有的传统网络钓鱼过滤器和MTA检测到。因此,如果您在云环境中检测到危险或恶意的OAuth连接,第一步是直接阻止该连接。接下来,您应该联系关联帐户的持有人,询问他们是否允许未知应用程序。在建议用户立即重置其帐户登录密码的同时,您应协助审查是否有任何文件或其他关联帐户遭到破坏。5、文件共享下载异常众所周知,账号劫持只是手段,不是目的。攻击者真正想要的是敏感的专有数据,例如用户的社会安全号码、姓名、地址、电话号码、健康信息、财务信息和知识产权。因此,如果您的云安全平台检测到某个帐户正在共享(或试图)共享敏感信息或向组织外部的目标提供下载,那么该帐户显然已被劫持。您需要立即关闭帐户,强制重置密码,检查现有应用程序环境的其余部分,并验证其他帐户没有以这种方式受到损害。综上所述,如果您的组织正在通过云应用程序提供或使用电子邮件、文件共享和存储等服务,请使用专为云服务设计的安全平台来监控、检测和自动化帐户劫持。攻击以改善现有云数据和服务的安全状况。原标题:监控账户接管的5种方法,作者:KatieFritchen
