M&S和Co-op Group有什么共同点?除了是英国最具知名度的高街零售商之一外,他们最近还遭遇了一起重大勒索软件泄露事件。他们还都成为了获取企业密码的视觉攻击目标,为敲诈者在网络中占据了关键立足点。
这些与身份有关的泄露事件使两家零售商损失超过5亿英镑(约6.67亿美元),更不用说对终端客户造成了难以估量的声誉损害和影响。对于在各个垂直领域运营的组织,包括关键基础设施提供商来说,坏消息是它们只是冰山一角。
身份为何重要
为什么身份会成为如此流行的攻击途径?部分原因源于当今公司的运作方式。曾几何时,所有企业资源都安全地位于网络边界后方,安全团队采用“城堡与护城河”策略来防守该边界。但如今的IT环境更加分散。云服务器、本地桌面、家庭办公笔记本电脑和移动设备的激增,意味着过去的确定性已经消失。
身份实际上是新的网络边界,使凭证成为备受追捧的商品。据Verizon称,去年近四分之一(22%)的数据泄露事件中,凭证滥用是因素之一。不幸的是,他们面临多种威胁:
- 信息窃取者恶意软件正达到流行病级别。它可能通过钓鱼、恶意应用、驾车下载、社交媒体诈骗等方式安装在受害者的设备上。有估计称,去年被盗的32亿个凭证中有75%(21亿个)是通过信息窃取者收集的。
- 钓鱼、短信和虚拟访问仍然是获取凭证的常见方式,尤其是在更具针对性的攻击中。威胁行为者通常会研究他们所针对的个人,以提高成功率。据信M&S和Co-op是通过对其外包IT服务台的视觉攻击被攻破的。
- 针对组织或其外包商持有的密码数据库的数据泄露,可能是威胁行为者获取资质的另一个重要来源。像信息窃取者一样,这些工具最终会被投放到网络犯罪论坛上出售和继续使用。
- 暴力破解攻击利用自动化工具尝试大量凭证,直到其中一个成功。凭据填充利用大量账户的先前登录(用户名/密码)组合列表。密码喷洒也会对一小部分常见密码进行类似处理。词典攻击则利用常用密码、短语和泄露的密码针对单个账户。
不难找到源自身份攻击引发的灾难性安全事件案例。除了M&S和Co-op Group案例外,还有殖民管道事件,其中可能的暴力破解攻击让勒索软件攻击者攻破了遗留VPN的单一密码,导致美国东海岸严重的燃料短缺。此外,英国物流公司KNP因黑客仅凭猜测员工密码并加密关键系统而被迫破产。
身份威胁一览
身份泄露带来的风险还因其他几个因素而加剧。最小权限是一种关键的最佳实践,个人只获得足够的访问权限以履行其职责,且通常在有限时间内不多。不幸的是,这种优惠常常被正确应用,导致账户被过度特权。
结果是,利用被攻破凭证的威胁行为者能够深入被入侵的组织内部——横向移动,触及敏感系统。这会在破门后造成更大的“爆炸半径”,并可能带来更大的伤害。同样的问题也可能加剧恶意甚至疏忽内部人员带来的风险。
身份蔓延是另一个重大挑战。如果IT部门未能妥善管理用户和机器的账户、凭证和权限,安全盲点不可避免地会出现。这增加了威胁行为者的攻击面,使暴力破解攻击更成功且更容易获得过度特权的账户。人工智能代理的出现和物联网的持续发展将大幅增加必须集中管理的机器身份数量。
最后,还有合作伙伴和供应商的威胁需要考虑。这可能意味着有MSP或外包商能接触到你的企业系统,甚至是软件供应商。你的实体和数字供应链越庞大、越复杂,身份泄露的风险就越大。
如何提升身份安全
经过深思熟虑的多层次身份安全方法可以帮助降低严重入侵的风险。请考虑以下几点:
- 采取最小权限原则,定期审查和调整这些权限。这样可以最大限度地减少攻击的爆炸半径。
- 通过为所有员工存储在密码管理器中的强密码、唯一密码的策略,强制执行最低权限。
- 通过多因素认证(MFA)增强密码安全,即使黑客获得了企业凭证,也无法访问该账户。建议使用认证器应用或基于通行密钥的方法,而不是短信代码,因为这些代码很容易被拦截。
- 实行强有力的身份生命周期管理,在员工入职和离职期间自动配置和取消账户。定期扫描应识别并删除常被威胁行为者劫持的休眠账户。
- 采用特权账户管理(PAM)方法保护特权账户,该方法包括自动轮换凭证和即时访问。
- 从CEO到所有员工,重新评估安全培训,确保他们了解身份安全的重要性,并能识别最新的钓鱼攻击手法。模拟练习可以帮助后者。
上述大多数建议构成了零信任网络安全方法:围绕“永不信任,始终核实”的理念提出。这意味着每一次访问尝试(无论是人机还是机器)都经过身份验证、授权和验证——无论是在网络内部还是外部。系统和网络会持续监控是否有可疑活动。
这正是管理型检测与响应(MDR)工具能带来巨大价值的地方。一支全天候24小时、全天候的专家团队密切监控您的网络,及时标记任何潜在入侵,以便加以控制和管理。最佳实践身份安全始于预防优先的思维。