探索:「账号安全」问题的“蝴蝶效应”与应对方案
安恒信息首席科学家刘博讲到:“一次严重的网络安全威胁,无论是基于漏洞的外部攻击,还是基于社工的钓鱼邮件,还是内部人员的越权或风险行为,大多数情况下的落脚点是获取账号权限。所以通过UEBA机器学习模型建立行为基线,实时发现各类账号的异常行为,是最后一道关键防线。同时建议上线零信任产品,防患于未然,规避账号失陷盗用等风险。”
01 常见的账号安全风险
#默认密码未改
厂商为了方便网络设备或系统的初始配置,一般设置了默认密码,而这类默认账号具有最高的管理员权限,管理员在初始配置完成后,没有删除或更改该账号密码。
#长期未改密
密码一直处于未修改的情况,并且这些密码均为弱口令或企业常用的默认密码,极易被撞库或暴力破解攻破。
#幽灵账号
部分管理员为了绕开整体的管理,有时会在使用完特权账号以后再额外新建特权账号。这些新的特权账号就属于幽灵账号,会绕开组织的安全体系,导致严重的安全事故。
#僵尸账号
按照等保要求,企业应该对长期不使用的僵尸账号进行禁用或删除。
#后门账号
在软件的开发阶段,程序员常常会在软件内创建后门账号以便可以修改程序设计中的缺陷。
#弱口令账号
管理员设置的密码过于简单,如123456、admin、@WSX等。
#提权账号
非法提高账号在系统中的权限,从而方便攻击。
#账号共用
多个用户采用同一个账号操作管理系统设备。
#员工离职
离职人员账号及测试帐号,当人员离职后,管理员未及时收回其账号的权限。
# 社工攻击
社会工程学通常以交谈、欺骗或假冒等方式从合法用户中套取用户账号信息。
02 账号安全频繁引发的蝴蝶效应
账号安全频繁引发的蝴蝶效应,包含敏感数据泄漏、非法篡改、越权访问、恶意操作、挖矿木马、肉鸡后门和敲诈勒索等。
#iCloud艳照门
好莱坞女星“艳照门”事件发生后,苹果公司作出回应,“我们已经发现,某些名人账号安全性受到威胁,用户的用户名、密码和安全问题受到非常有针对性的攻击,这是网络上常见的手段。”iCloud艳照门其实并不高明,黑客通过暴力破解攻击不断尝试用户的帐号名和密码,最终获取好莱坞明星的iCloud帐号。
#Twitter账号遭黑客入侵
2020年7月15日,推特遭大规模黑客攻击,多位美国名人政要的推特账户遭黑客入侵,发布比特币诈骗链接。此次受到影响的名人政要账号数量众多,可以说是推特历史上最大的安全事件。黑客在Twitter上发布的比特币账号地址已经接受了超过320笔转账,价值超过11万美元。
03 解决账号安全的难点
#账号数量庞大
企业人员多,IT环境越发复杂,账号数量异常庞大。
#账号类型杂
包括AD域、VPN、堡垒机、上网行为、邮件系统、OA、CRM和人事系统等账号类型繁多、数据分散,且哪些账号信息本应归属为同一自然人关联困难。
#风险识别难
账号一旦失陷后,攻击者伪装为正常用户潜伏在组织内部,长期地进行内网渗透,对组织造成巨大的损失。
04 优质方案推荐
上述诸多风险都是长期存在的,因为账号的数量太多,种类太杂,没有数据的支撑很难对这些账号风险进行识别,更无法做到可视化的直观展现。这是我们过去长期在客户当中看到非常共性的问题。
#机器学习动态基线监测
对账号异常行为的监控、检测和分析正是AiThink UEBA用户与实体行为分析技术的特长,通过收集整合全方位多维度以及用户上下文等数据信息,全局关联,进行行为基线分析和群体异常分析,通过AI机器学习异常检测算法,可以更深层次的进行账号安全洞察,迅速识别异常事件。
通过对账号登录的时间、地点、频次和操作等异常监控,判断是否存在如短时间内异地登录、登录次数偏离整体基线、非工作时间上线和静默账号的忽然出现等异常活动,溯源分析确认是否存在账号被盗用或被攻陷。
# 统一智能管控、防患于未然
AiTrust零信任解决方案,以可信数字身份为基础,通过持续信任评估、动态访问控制等核心能力,从“零”开始、为政企构建安全可信的业务、数据访问通道。