本文來自微信公眾號“安全牛”。
對于各類數(shù)字化應(yīng)用系統(tǒng)而言,都需要依靠訪問權(quán)限來限制用戶和設(shè)備對系統(tǒng)進(jìn)行設(shè)置和應(yīng)用。因此,訪問權(quán)限是一個非常重要的安全特性,它們決定了用戶可以與應(yīng)用系統(tǒng)及其相關(guān)資源進(jìn)行交互的程度。而那些具有廣泛系統(tǒng)控制能力的管理員賬號或根權(quán)限賬號,則被稱為特權(quán)訪問賬號。隨著網(wǎng)絡(luò)威脅態(tài)勢的不斷發(fā)展,企業(yè)的特權(quán)賬號正在成為攻擊者的重點(diǎn)攻擊目標(biāo)。
為了遠(yuǎn)離惡意特權(quán)攻擊,企業(yè)首先有必要了解攻擊者會使用什么策略來實(shí)現(xiàn)特權(quán)攻擊。實(shí)際上這很困難,因?yàn)楣粽叱3=Y(jié)合不同的技術(shù)來逃避安全檢測,并在受害企業(yè)的網(wǎng)絡(luò)中橫向移動。以下收集整理了8種較常見卻又很危險的特權(quán)攻擊路徑,并給出了相應(yīng)的防護(hù)建議可供參考。
1
惡意軟件
惡意軟件是一個統(tǒng)稱,指攻擊者可能試圖安裝到系統(tǒng)上的眾多感染和病毒,包括間諜軟件、廣告軟件、病毒和勒索軟件等。在大多數(shù)的情況下,安裝惡意軟件需要更高的權(quán)限,這就是特權(quán)賬戶存在如此大風(fēng)險的關(guān)鍵原因。
當(dāng)前,惡意軟件攻擊最典型的例子是勒索軟件。獲取贖金通常是勒索軟件攻擊的最終目標(biāo)。但是攻擊者首先需要使用本文介紹的其他策略和方法來獲得成功安裝勒索軟件所需的特權(quán)。惡意軟件的其他事例還包括監(jiān)視或偵察軟件,這幫助黑客識別安全弱點(diǎn),比如未修補(bǔ)的漏洞或活動內(nèi)存中的密碼。
防護(hù)建議
•定期安裝防病毒軟件和軟件更新。
•實(shí)施最小特權(quán)原則,縮小可能的攻擊面。
•使用持續(xù)監(jiān)控工具檢測可疑的特權(quán)賬號活動。
2
系統(tǒng)漏洞
漏洞是攻擊者最廣泛使用的策略之一。他們可以利用這些代碼錯誤來獲得訪問權(quán)限、提升特權(quán)或執(zhí)行攻擊。這也是攻擊闖入組織系統(tǒng)的初始立足點(diǎn)。漏洞有多種形式,包括錯誤配置、不安全代碼、糟糕的API或其他各種安全性問題。為了利用漏洞,黑客必須使用漏洞利用代碼或工具。一旦得逞,就可以實(shí)施SQL注入、特權(quán)提升、遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)和信息泄露等攻擊。
防護(hù)建議
•使用漏洞掃描器識別未修補(bǔ)的漏洞。
•使用CVSS分?jǐn)?shù)和組織的內(nèi)部定性數(shù)據(jù),按嚴(yán)重程度對漏洞分類。
•盡快修補(bǔ)最嚴(yán)重的漏洞。組織通常不會有足夠的資源來修補(bǔ)所有漏洞,所以合理利用資源很重要。
3
網(wǎng)絡(luò)釣魚和社會工程
網(wǎng)絡(luò)釣魚指誘騙最終用戶泄露敏感信息(通常是登錄憑據(jù))的一系列策略。攻擊者通常已經(jīng)獲得了電子郵件地址或電話號碼,然后他們向目標(biāo)發(fā)送看似正規(guī)的信息,誘使他們點(diǎn)擊鏈接或填寫資料。
網(wǎng)絡(luò)釣魚常用作闖入IT環(huán)境的渠道。成功的網(wǎng)絡(luò)釣魚攻擊通常不會被最終用戶及其組織發(fā)現(xiàn),這為黑客分析系統(tǒng)和橫向移動創(chuàng)造了條件。在某些情況下,攻擊的目的也可能是為了布置更復(fù)雜的網(wǎng)絡(luò)釣魚騙局,尤其是當(dāng)黑客企圖竊取敏感信息、個人資料或知識產(chǎn)權(quán)時。
防護(hù)建議
•加強(qiáng)用戶培訓(xùn),以便員工發(fā)現(xiàn)警告信號。
•使用最新的網(wǎng)絡(luò)安全工具(比如SIEM平臺)來檢測異常行為,如可疑的電子郵件和鏈接。
•打上最新的安全補(bǔ)丁,因?yàn)楹诳涂赡芾眠^時的安全補(bǔ)丁執(zhí)行成功的網(wǎng)絡(luò)釣魚攻擊。
•安裝多因素身份驗(yàn)證機(jī)制,以加強(qiáng)防御。
4
供應(yīng)鏈攻擊
供應(yīng)鏈攻擊正成為一種越來越普遍的手法。攻擊者通過利用第三方供應(yīng)商、合作伙伴或供應(yīng)商來攻擊組織,這其中也需要借助某種形式的特權(quán)訪問來實(shí)現(xiàn)?,F(xiàn)代企業(yè)對自身的安全性建設(shè)已經(jīng)高度重視,但對第三方的安全性常常缺乏了解和控制,因此這成為備受黑客關(guān)注的一個安全防護(hù)薄弱環(huán)節(jié)。黑客們可以通過各種商業(yè)軟件產(chǎn)品獲得被泄露的特權(quán)訪問權(quán)限,隨后進(jìn)而伺機(jī)闖入受害者客戶的IT環(huán)境。
防護(hù)建議
•對第三方賬戶和服務(wù)賬戶以及內(nèi)部員工運(yùn)用最小權(quán)限。
•簽署協(xié)議為所有第三方供應(yīng)商、合作伙伴和供貨商明確具體的安全要求。
5
錯誤配置
錯誤配置往往很難定義,因?yàn)樗鼈兩婕耙幌盗胁煌膯栴}和挑戰(zhàn)。從本質(zhì)上講,使黑客更容易攻擊和訪問組織IT環(huán)境的現(xiàn)有IT策略和配置實(shí)踐都可以被認(rèn)為是錯誤配置。下面是幾種典型的錯誤配置及相應(yīng)的解決辦法:
1、出現(xiàn)在軟件、服務(wù)器、物聯(lián)網(wǎng)設(shè)備等系統(tǒng)的代碼中的硬編碼憑據(jù)。
防護(hù)建議
使用現(xiàn)代PAM軟件來識別硬編碼憑據(jù),然后將它們換成可以加密、保存、轉(zhuǎn)換的密碼。
2、使用空白或默認(rèn)密碼,因而更容易被蠻力破解方法猜中。
防護(hù)建議
實(shí)施嚴(yán)格的策略,要求密碼具有獨(dú)特性、復(fù)雜性、定期輪換。
3、特權(quán)過高的用戶和服務(wù)賬戶為黑客創(chuàng)建了廣泛的攻擊面,便于攻擊和橫向移動。
防護(hù)建議
實(shí)施最小權(quán)限原則,并定期檢查用戶賬戶和服務(wù)賬戶中是否存在不必要的權(quán)限。
4、缺乏密碼輪換或即時訪問使密碼更容易被猜中,一旦黑客成功登錄,毫無屏障可言。
防護(hù)建議
實(shí)施密碼輪換和及時訪問機(jī)制,這樣被盜的密碼變得無用,仍可以鎖定泄密的賬戶。
5、賬戶共享使黑客更容易獲得訪問權(quán)限,因?yàn)槊艽a常存儲在消息、郵件或其他不安全的介質(zhì)中
防護(hù)建議
•嚴(yán)格限制賬戶共享使用;
•如果使用共享賬戶,應(yīng)通過安全的數(shù)字令牌或密碼庫授予訪問權(quán)限;
•共享賬戶密碼對最終用戶應(yīng)該是不可見的。
6、對特權(quán)賬戶缺乏多因素身份驗(yàn)證也會使黑客更方便,因?yàn)樗麄冊讷@得訪問權(quán)限之前要克服的障礙更少。
防護(hù)建議
對所有特權(quán)賬戶統(tǒng)一實(shí)施MFA,最好對所有其他賬戶也實(shí)施MFA。這確保了組織在密碼泄露后擁有多一層防御。
7、針對文件、文件夾和本地設(shè)備的松散或薄弱的訪問控制也會加大攻擊面。這是由于糟糕的訪問策略實(shí)際上創(chuàng)建了更多的賬戶,攻擊者可以通過這些賬戶訪問敏感信息。
防護(hù)建議
實(shí)施可靠的身份和訪問管理(IAM)策略,以便只能由盡可能少的人查看敏感信息。
8、不安全的協(xié)議(比如HTTP或SSL)也會使組織易受攻擊。黑客可以利用這些協(xié)議的詳細(xì)信息來捕獲、分析、修改或竊取數(shù)據(jù),常常是在數(shù)據(jù)從客戶端傳輸?shù)椒?wù)器時。這有時可能包括未加密的登錄信息。
防護(hù)建議
始終使用最新的協(xié)議,避免與未做到這點(diǎn)的第三方軟件供應(yīng)商合作。
9、缺乏實(shí)時監(jiān)控也會使?jié)B入到環(huán)境中的黑客更容易逃避檢測。實(shí)時監(jiān)控技術(shù)可以幫助組織通過異常分析來發(fā)現(xiàn)可疑活動,因?yàn)楹诳偷幕顒油浅L厥狻?/p>
防護(hù)建議
實(shí)施實(shí)時監(jiān)控機(jī)制,以便在造成危害之前發(fā)現(xiàn)并阻止可疑行為。
10、服務(wù)賬戶缺少PAM控制會給黑客提供進(jìn)一步的訪問渠道。機(jī)器身份(比如RPA工作流、物聯(lián)網(wǎng)設(shè)備和應(yīng)用程序)常常需要訪問權(quán)限,才能執(zhí)行自動化功能。黑客可以利用這些賬戶獲得訪問權(quán)限。
防護(hù)建議
部署合適的特權(quán)賬號管理解決方案,并實(shí)施最小特權(quán)原則。
6
憑據(jù)利用
憑據(jù)利用是指黑客用來獲取登錄憑據(jù)的一系列手法和策略。登錄憑據(jù)可能包括明文密碼、密碼散列、數(shù)字令牌、API密鑰、SSH密鑰或更多信息。
•暴力猜測:黑客不斷猜測,直到猜中為止。在這種情況下,密碼通常容易猜到,比如“Password1”、“1234”或用戶的出生日期。糟糕的密碼輪換和密碼強(qiáng)度策略讓黑客更容易猜中密碼。
•密碼噴灑:類似暴力猜測,但攻擊面更廣。攻擊者可能企圖通過在多個賬戶中嘗試幾個常用密碼來獲得訪問權(quán)限。許多攻擊者使用機(jī)器人程序快速自動地完成這項(xiàng)工作。
•傳遞哈希:哈希是一串加密的字符,可以代替實(shí)際的密碼對用戶進(jìn)行身份驗(yàn)證。黑客??梢詮幕顒觾?nèi)存中提取這些哈希,無需知道它替代的明文密碼即可獲得訪問權(quán)限。
•密碼抓?。号c傳遞哈希相似,攻擊者掃描IT環(huán)境以獲取明文密碼。這些密碼可能存儲在活動內(nèi)存中,也可能存在于應(yīng)用程序的源代碼中。
•擊鍵記錄:攻擊者還可能使用擊鍵記錄軟件來記錄用戶鍵入的內(nèi)容,包括密碼。攻擊者可以安裝這種惡意軟件,為橫向移動提供便利。
•數(shù)據(jù)泄露:有時可以在暗網(wǎng)上買到明文密碼,讓黑客直接訪問賬戶。
•中間人攻擊:當(dāng)數(shù)據(jù)在服務(wù)器和客戶端設(shè)備之間移動時,黑客通常利用不安全的連接來訪問數(shù)據(jù)。不安全協(xié)議就是一個常見的例子。
在幾乎所有上述情況下,黑客通常先試圖訪問網(wǎng)絡(luò)環(huán)境,或者在獲得訪問權(quán)限后橫向移動。這些技術(shù)可以用來滲入并獲取特權(quán)賬戶。
防護(hù)建議
•創(chuàng)建可靠的策略,以確保密碼是獨(dú)特的、強(qiáng)大的,并定期更換。
•實(shí)施多因素認(rèn)證技術(shù),那樣黑客需要克服另一道屏障才能獲得訪問權(quán)限。
•盡可能使用無密碼技術(shù),包括單點(diǎn)登錄、密碼保管和加密。這可以確保最終用戶不需要看到明文密碼,而是可以通過MFA、單點(diǎn)登錄、數(shù)字令牌或密碼庫進(jìn)行身份驗(yàn)證。
7
SQL注入
當(dāng)黑客將惡意SQL代碼注入數(shù)據(jù)庫或服務(wù)器時,就會發(fā)生SQL攻擊,黑客因此能夠查看、修改或刪除數(shù)據(jù)庫中的信息,或者在某些情況下在服務(wù)器上執(zhí)行命令。SQL注入既可能是攻擊的最終目的,也可能是用于幫助更廣泛的攻擊策略的一種方法。黑客常通過網(wǎng)頁或應(yīng)用程序中的漏洞實(shí)現(xiàn)SQL注入。
防護(hù)建議
•運(yùn)用最小權(quán)限以縮小攻擊面。
•使用能夠?qū)崟r阻止SQL注入的防火墻。
•使用數(shù)據(jù)庫加密,這樣信息不容易被訪問和竊取。
•用參數(shù)化查詢和預(yù)定義語句替換SQL查詢。
8
拒絕服務(wù)攻擊
拒絕服務(wù)攻擊(DoS)旨在通過向攻擊目標(biāo)發(fā)送大量互聯(lián)網(wǎng)流量來關(guān)閉正常運(yùn)營的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)。攻擊目標(biāo)常??赡苁悄硞€網(wǎng)站、服務(wù)器、客戶應(yīng)用程序或其他關(guān)鍵任務(wù)系統(tǒng)。分布式拒絕服務(wù)(DDoS)攻擊的目的一樣,但黑客會從不同的系統(tǒng)或地方發(fā)動統(tǒng)一協(xié)調(diào)的攻擊,以掩蓋攻擊,盡量造成最大的潛在損害。
防護(hù)建議
•可以通過限制來自任何端點(diǎn)、設(shè)備或IP地址的流量來避免DoS攻擊。
•實(shí)施速率限制措施拒絕無法處理的流量。
•實(shí)施網(wǎng)絡(luò)分段,并安裝防火墻,阻止攻擊范圍擴(kuò)大。
•結(jié)合使用現(xiàn)代技術(shù)和實(shí)時異常檢測,以識別和動態(tài)阻止可疑活動。