众所周知,发生在系统内部的账号劫持(Account takeovers,https://managedmethods.com/blog/category/account-takeover/)一直以来,都备受安全管理员与系统管理员的关注。如今,随着云服务的广泛使用,发生在云端应用程序中的云账号劫持现象,也同样引起了各种类型与规模组织(如:Google G Suite和Microsoft Office 365)的重视和警惕。
由于云服务脱离了人们传统意义上的本地管理边界,因此信息安全团队很难对其进行实时检测与防御,这也是黑客屡屡容易得手云账号劫持的原因之一。他们可以轻松地通过账号劫持,快速地访问到更多的账号和业务数据。可见,账号劫持对于企业信息系统的危害性是不言而喻的。
不过,对于许多快速采用了云端业务的组织来说,他们不但在碰到安全事件时反应速度不够敏捷,而且对于云计算安全性的相关概念存在着一定程度的误解。首先,网络管理员会习惯性地误以为他们现有的、基于网络的安全基础架构足以保护新增的云端应用。其次,他们也会倾向性地认为,云服务提供商理应该负责保护云端应用、及其客户数据。
什么是云账号劫持?
云账号劫持的基本原理,与前文提的发生在系统内部的账号劫持相同。黑客通过获得对于某个账号的访问权,进而根据自己的目的,利用该账号去访问其他更多的账号、以及业务信息。
显然,监控并了解云端应用的各种异常行为,是防止与发现账号劫持的首要步骤。为此,我们将详细讨论如下五项监控要点,以检测出对于云端账号的劫持(哪怕只是些尝试),并及时采取适当的补救措施。
1. 登录位置
通过登录位置(https://dzone.com/articles/sso-login-key-benefits-and-implementation)来检测可能存在的云账号劫持,是一种非常简单易行,且效果明显的方法。借助针对登录位置的分析,您可以查看到是否存在着一些已被列入已知黑名单的危险IP源的登录尝试。据此,您可以通过调整云端安全策略的设置,来禁止此类地址所发起的登录、以及其他尝试性的活动。
例如:学生与员工们对于某国内大学官网的访问与登录,都应当源自在境内。如果您监控到突然有源于美国的IP地址,使用某个账号进行大量的登录尝试,那么很可能该账号已经遭到了劫持,并正在发起攻击。
当然,有时候也会存在着一个学生团体正好在国外游学,他们需要远程登录进来的情况。因此,我们需要制定好细粒度的策略,只允许特定的用户群体从境外访问到学校的云服务环境中,并能够在登录时及时通知安全与运维人员相关的信息。在此,我推荐的实践方式是:本着谨慎的态度,默认阻止此类位置的登录,直至合法用户提出合理的请求,方可逐个“解锁”开启。
2. 屡次尝试登录失败
根据Signal Sciences的一项研究表明(译者注:一家网络安全初创公司,https://info.signalsciences.com/detecting-account-takeovers-defending-your-users),任何外部应用程序在上线之后,都可能会出现大约30%的登录失败率,其中不乏有用户忘记了自己的密码,或是键盘输入错误,以及应用服务器本身的出错可能。但是,如果在较短的时间内,大量出现失败的登录尝试,则表明云账号正在受到异常攻击。黑客很可能正在使用爆破或撞库的方式,来尝试所有最常见的密码、以及已知的密码变体,以获得针对目标应用的授权访问。
同样,我们可以通过设置相应的策略,来限制某个账号在被锁定之前,所允许的尝试登录失败次数。通常,管理员会设置该限制为三到五次。当触及该阀值之后,用户需要主动联系负责该应用的管理员,以解锁自己的账号,或重置登录密码。与此同时,我们可以通过设置警报的方式,以便在出现多次尝试登录失败时,应用程序能够及时地发送通知给相应的安全与运维管理员。据此,管理员则能够通过采取主动的措施,来验证此类尝试的合法性。
3. 横向网络钓鱼(Lateral Phishing)邮件
前面介绍的两种方法主要检测是否有人正在尝试劫持账号。下面我们讨论的方法则是关注如何发现已经得手的云账号劫持攻击。
通常,那些横向网络钓鱼邮件都源自某个已被劫持的账号。由于此类电子邮件是从内部合法账号所发出,因此我们使用传统的网络钓鱼过滤程序,很难检测到横向网络钓鱼的行为。而且由于具有合法性与隐蔽性,因此它在绕过大多数安全防护机制的同事,还会蔓延到应用内部的其他账号上。
最近有研究(https://www.csoonline.com/article/3433736/threat-spotlight-lateral-phishing.html)发现:在过去的七个月时间里,有七分之一的受访组织至少遭受过一次横向网络钓鱼攻击。其中有154个被劫持的账号,曾经向100,000多名指定接收者发送过横向网络钓鱼邮件。该报告还指出:在这些接收者中,大约40%是同组织的同事,而其余的是各种私人、客户、合作伙伴、以及供应商类型的账号。
通常,我们会采用传统的邮件传输代理(MTA,mail transfer agents)和网络钓鱼过滤程序,防范来自组织外部的钓鱼攻击。但是,由于被劫持的账号发生在内网,因此这些安全工具缺乏从内部检测到钓鱼攻击的能力。而新兴的云安全解决方案,则能够实现扫描入向与出向的邮件、邮件中包含的附件、以及共享盘上的钓鱼链接和恶意软件等。
4. 恶意的OAuth连接
如今,通过OAuth将SaaS应用程序连接到云端环境之中,已经变得稀松平常。但是,您可能无法简单地分辨出那些恶意的OAuth连接,它们会直接导致云端应用的账号被劫持。
那么此类连接是如何产生的呢?黑客通常会创建一个需要对用户的Gmail或Outlook 365账号具有读取、写入和获取权限的应用程序。该应用通过合法的OAuth连接,被授予了相应的权限。黑客们据此可以直接通过用户的账号,发送带有网络钓鱼链接的电子邮件,而无需真正登录到他们所劫持账号上。而且更狡猾的是,此类电子邮件完全不会被企业内既有的传统网络钓鱼过滤程序和MTA所检测到。
因此,如果您在云端环境中检测到了某个危险或恶意的OAuth连接,那么第一步就是要直接阻断该连接。接着,您应该联系该连接账号的持有人,询问其是否允许了不明的应用程序。在建议用户立即重置其账号登录密码的同时,您还应该协助审查是否有文件或其他关联账号遭到了破坏。
5. 异常的文件共享和下载
众所周知,账号劫持只是途径,并非目的。攻击者真正想要的是诸如:用户社会安全号码、姓名、地址、电话号码、健康信息、财务信息、以及知识产权内容等敏感且专有的数据。因此,如果您的云安全平台检测到某个账号正在(或尝试着)向本组织以外的某个目标共享敏感信息、或者提供下载的话,那么该账号显然已被劫持了。您需要立即关停该账号,强制重设密码,审查现有应用环境中的其余部分,并确认其他账号是否也受到了此类攻击。
综上所述,如果您的组织正在通过云端应用来提供或使用电子邮件、文件共享、以及存储等服务的话,请通过针对云服务设计的安全平台,来监控、检测和自动化与账号劫持相关的攻击行为,以提高现有云端数据和业务的安全态势。
原文标题:5 Ways To Monitor for an Account Takeover,作者:Katie Fritchen