媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

探索：「賬號安全」問題的“蝴蝶效應(yīng)”與應(yīng)對方案

閱讀量：次

安恒信息首席科學(xué)家劉博講到：“一次嚴(yán)重的網(wǎng)絡(luò)安全威脅，無論是基于漏洞的外部攻擊，還是基于社工的釣魚郵件，還是內(nèi)部人員的越權(quán)或風(fēng)險行為，大多數(shù)情況下的落腳點是獲取賬號權(quán)限。所以通過UEBA機(jī)器學(xué)習(xí)模型建立行為基線，實時發(fā)現(xiàn)各類賬號的異常行為，是最后一道關(guān)鍵防線。同時建議上線零信任產(chǎn)品，防患于未然，規(guī)避賬號失陷盜用等風(fēng)險。”

01??常見的賬號安全風(fēng)險

#默認(rèn)密碼未改

廠商為了方便網(wǎng)絡(luò)設(shè)備或系統(tǒng)的初始配置，一般設(shè)置了默認(rèn)密碼，而這類默認(rèn)賬號具有最高的管理員權(quán)限，管理員在初始配置完成后，沒有刪除或更改該賬號密碼。

#長期未改密

密碼一直處于未修改的情況，并且這些密碼均為弱口令或企業(yè)常用的默認(rèn)密碼，極易被撞庫或暴力破解攻破。

#幽靈賬號

部分管理員為了繞開整體的管理，有時會在使用完特權(quán)賬號以后再額外新建特權(quán)賬號。這些新的特權(quán)賬號就屬于幽靈賬號，會繞開組織的安全體系，導(dǎo)致嚴(yán)重的安全事故。

#僵尸賬號

按照等保要求，企業(yè)應(yīng)該對長期不使用的僵尸賬號進(jìn)行禁用或刪除。

#后門賬號

在軟件的開發(fā)階段，程序員常常會在軟件內(nèi)創(chuàng)建后門賬號以便可以修改程序設(shè)計中的缺陷。

#弱口令賬號

管理員設(shè)置的密碼過于簡單，如123456、admin、@WSX等。

#提權(quán)賬號

非法提高賬號在系統(tǒng)中的權(quán)限，從而方便攻擊。

#賬號共用

多個用戶采用同一個賬號操作管理系統(tǒng)設(shè)備。

#員工離職

離職人員賬號及測試帳號，當(dāng)人員離職后，管理員未及時收回其賬號的權(quán)限。

#?社工攻擊

社會工程學(xué)通常以交談、欺騙或假冒等方式從合法用戶中套取用戶賬號信息。

02??賬號安全頻繁引發(fā)的蝴蝶效應(yīng)

賬號安全頻繁引發(fā)的蝴蝶效應(yīng)，包含敏感數(shù)據(jù)泄漏、非法篡改、越權(quán)訪問、惡意操作、挖礦木馬、肉雞后門和敲詐勒索等。

#iCloud艷照門

好萊塢女星“艷照門”事件發(fā)生后，蘋果公司作出回應(yīng)，“我們已經(jīng)發(fā)現(xiàn)，某些名人賬號安全性受到威脅，用戶的用戶名、密碼和安全問題受到非常有針對性的攻擊，這是網(wǎng)絡(luò)上常見的手段?！眎Cloud艷照門其實并不高明，黑客通過暴力破解攻擊不斷嘗試用戶的帳號名和密碼，最終獲取好萊塢明星的iCloud帳號。

#Twitter賬號遭黑客入侵

2020年7月15日，推特遭大規(guī)模黑客攻擊，多位美國名人政要的推特賬戶遭黑客入侵，發(fā)布比特幣詐騙鏈接。此次受到影響的名人政要賬號數(shù)量眾多，可以說是推特歷史上最大的安全事件。黑客在Twitter上發(fā)布的比特幣賬號地址已經(jīng)接受了超過320筆轉(zhuǎn)賬，價值超過11萬美元。

03??解決賬號安全的難點

#賬號數(shù)量龐大

企業(yè)人員多，IT環(huán)境越發(fā)復(fù)雜，賬號數(shù)量異常龐大。

#賬號類型雜

包括AD域、VPN、堡壘機(jī)、上網(wǎng)行為、郵件系統(tǒng)、OA、CRM和人事系統(tǒng)等賬號類型繁多、數(shù)據(jù)分散，且哪些賬號信息本應(yīng)歸屬為同一自然人關(guān)聯(lián)困難。

#風(fēng)險識別難

賬號一旦失陷后，攻擊者偽裝為正常用戶潛伏在組織內(nèi)部，長期地進(jìn)行內(nèi)網(wǎng)滲透，對組織造成巨大的損失。

04??優(yōu)質(zhì)方案推薦

上述諸多風(fēng)險都是長期存在的，因為賬號的數(shù)量太多，種類太雜，沒有數(shù)據(jù)的支撐很難對這些賬號風(fēng)險進(jìn)行識別，更無法做到可視化的直觀展現(xiàn)。這是我們過去長期在客戶當(dāng)中看到非常共性的問題。

#機(jī)器學(xué)習(xí)動態(tài)基線監(jiān)測

對賬號異常行為的監(jiān)控、檢測和分析正是AiThink UEBA用戶與實體行為分析技術(shù)的特長，通過收集整合全方位多維度以及用戶上下文等數(shù)據(jù)信息，全局關(guān)聯(lián)，進(jìn)行行為基線分析和群體異常分析，通過AI機(jī)器學(xué)習(xí)異常檢測算法，可以更深層次的進(jìn)行賬號安全洞察，迅速識別異常事件。

通過對賬號登錄的時間、地點、頻次和操作等異常監(jiān)控，判斷是否存在如短時間內(nèi)異地登錄、登錄次數(shù)偏離整體基線、非工作時間上線和靜默賬號的忽然出現(xiàn)等異常活動，溯源分析確認(rèn)是否存在賬號被盜用或被攻陷。