基于凭证的网络攻击发生后需采取的七个步骤
导语:防范未来攻击的最佳方法是从当前的漏洞中吸取教训。在泄露事件发生后,分析事件响应流程,更新响应计划,并根据经验教训实施额外的安全措施。
如今,黑客们进行网络攻击不是横冲直撞的直接闯入,而是采用更隐秘的登录方式。网络犯罪分子会使用有效的凭证,绕过安全系统,同时在监控工具面前显得合法。
这个问题很普遍;谷歌Cloud报告称,47%的云数据泄露是由于凭证保护薄弱或不存在造成的,而IBM X-Force将全球近三分之一的网络攻击归咎于账户泄露。
那这对企业防御意味着什么呢?用户需要了解有关如何保护系统免受基于凭证的攻击、当防御失败时应该做什么。
为什么基于凭证的攻击是黑客的首选方法
网络罪犯喜欢基于凭证的攻击有以下几个原因:
·易于执行:与更复杂的零日攻击相比,基于凭证的攻击相对容易部署。
·成功率高:用户在多个账户上重复使用相同的密码,攻击者更容易获得广泛的访问权限;一把钥匙可以打开许多扇门。
·检测风险低:因为它们使用有效的凭据进行攻击,黑客可以混入正常的流量中,从而避开安全警报。
·价格便宜:基于凭证的攻击需要最少的资源,但可以产生大量的奖励。黑客可以很容易地(而且花费不高)在暗网上买到一套被盗的凭证,然后使用免费的自动化工具跨多个系统测试凭证。
·系统通用:基于凭证的攻击可以在任何需要凭证的地方使用,这意味着黑客有多个潜在的入口点——从web应用程序到云服务。
为什么企业会成为攻击首选目标
企业会成为基于凭证的黑客的一个有吸引力的目标吗?如果存在一些安全漏洞,那么企业的系统可能比人们想象的更容易受到攻击。以下是企业成为首要目标的原因:
·弱密码策略为攻击者创建了一个公开的邀请,使其可以通过自动化工具和通用密码列表轻松猜测或破解凭证
·如果不能实现多因素身份验证,即使是最强大的密码也容易被窃取
·不充分的安全培训使员工更容易受到网络钓鱼电子邮件、社会工程策略和其他攻击的攻击
·糟糕的网络分割让黑客一旦攻破了一个端点就可以开放访问
·监视不足会使攻击者在关键系统内操作数天、数周甚至数月而不被发现
·员工密码重复使用会放大任何违规行为的影响,因为一个被盗的凭证可以解锁个人和公司环境中的多个系统。
当凭证被泄露时应如何应对
如果企业成为基于凭证的攻击的目标,应意识到后果会有多么严重。
以下是企业在应对攻击时遵循的典型防范步骤:
1.初始检测和警报。一旦监控工具检测到异常并提醒安全团队时,企业必须迅速采取行动以限制损害。
2.评估和分类。验证警报是否合法。然后,确定哪些系统和帐户受到影响,评估对企业的潜在影响。
3.隔离和遏制。切断受感染设备与网络的连接,切断黑客的接入点。撤销对受感染帐户的访问权限,并分割网络以遏制威胁。
4.详细的调查。通过分析日志和取证数据跟踪攻击者的活动。确定黑客是如何破坏凭证的,并评估黑客在访问时所做的事情。
5.沟通和通知。透明滋生信任,而保密滋生猜疑。考虑到这一点,向所有相关的利益相关者提供清晰、真实的更新,包括高级管理层、法律团队和受影响的用户。
6.根除和恢复。开始重建自己的安全系统,让它们更强大。重置所有受损帐户的密码,修补被利用的漏洞,从干净的备份中恢复系统,并实现多因素身份验证。
7.事后审查。防范未来攻击的最佳方法是从当前的漏洞中吸取教训。在泄露事件发生后,分析事件响应流程,更新响应计划,并根据经验教训实施额外的安全措施。
发表评论