基于凭证的网络攻击发生后需采取的七个步骤

如今，黑客们进行网络攻击不是横冲直撞的直接闯入，而是采用更隐秘的登录方式。网络犯罪分子会使用有效的凭证，绕过安全系统，同时在监控工具面前显得合法。

这个问题很普遍；谷歌Cloud报告称，47%的云数据泄露是由于凭证保护薄弱或不存在造成的，而IBM X-Force将全球近三分之一的网络攻击归咎于账户泄露。

那这对企业防御意味着什么呢？用户需要了解有关如何保护系统免受基于凭证的攻击、当防御失败时应该做什么。

为什么基于凭证的攻击是黑客的首选方法

网络罪犯喜欢基于凭证的攻击有以下几个原因：

·易于执行：与更复杂的零日攻击相比，基于凭证的攻击相对容易部署。

·成功率高：用户在多个账户上重复使用相同的密码，攻击者更容易获得广泛的访问权限；一把钥匙可以打开许多扇门。

·检测风险低：因为它们使用有效的凭据进行攻击，黑客可以混入正常的流量中，从而避开安全警报。

·价格便宜：基于凭证的攻击需要最少的资源，但可以产生大量的奖励。黑客可以很容易地（而且花费不高）在暗网上买到一套被盗的凭证，然后使用免费的自动化工具跨多个系统测试凭证。

·系统通用：基于凭证的攻击可以在任何需要凭证的地方使用，这意味着黑客有多个潜在的入口点——从web应用程序到云服务。

为什么企业会成为攻击首选目标

企业会成为基于凭证的黑客的一个有吸引力的目标吗？如果存在一些安全漏洞，那么企业的系统可能比人们想象的更容易受到攻击。以下是企业成为首要目标的原因：

·弱密码策略为攻击者创建了一个公开的邀请，使其可以通过自动化工具和通用密码列表轻松猜测或破解凭证

·如果不能实现多因素身份验证，即使是最强大的密码也容易被窃取

·不充分的安全培训使员工更容易受到网络钓鱼电子邮件、社会工程策略和其他攻击的攻击

·糟糕的网络分割让黑客一旦攻破了一个端点就可以开放访问

·监视不足会使攻击者在关键系统内操作数天、数周甚至数月而不被发现

·员工密码重复使用会放大任何违规行为的影响，因为一个被盗的凭证可以解锁个人和公司环境中的多个系统。

当凭证被泄露时应如何应对

如果企业成为基于凭证的攻击的目标，应意识到后果会有多么严重。

以下是企业在应对攻击时遵循的典型防范步骤：

1.初始检测和警报。一旦监控工具检测到异常并提醒安全团队时，企业必须迅速采取行动以限制损害。

2.评估和分类。验证警报是否合法。然后，确定哪些系统和帐户受到影响，评估对企业的潜在影响。

3.隔离和遏制。切断受感染设备与网络的连接，切断黑客的接入点。撤销对受感染帐户的访问权限，并分割网络以遏制威胁。

4.详细的调查。通过分析日志和取证数据跟踪攻击者的活动。确定黑客是如何破坏凭证的，并评估黑客在访问时所做的事情。

5.沟通和通知。透明滋生信任，而保密滋生猜疑。考虑到这一点，向所有相关的利益相关者提供清晰、真实的更新，包括高级管理层、法律团队和受影响的用户。

6.根除和恢复。开始重建自己的安全系统，让它们更强大。重置所有受损帐户的密码，修补被利用的漏洞，从干净的备份中恢复系统，并实现多因素身份验证。

7.事后审查。防范未来攻击的最佳方法是从当前的漏洞中吸取教训。在泄露事件发生后，分析事件响应流程，更新响应计划，并根据经验教训实施额外的安全措施。