博客横幅.jpg.

总云安全博客

在撞击前看到威胁的有利点

经过 凯文谢 | 8月12日,2020年上午5:00
拿着片剂个人计算机的女实业家输入密码。安全概念

我们最近观察到另一个近乎妥协/近违反事件。

在焦点一直讨论的对手,这种攻击日益复杂和复杂的攻击,诸如受损的凭证等验证和真正的技术继续成为最有效的武器之一。根据Verizon的年度DBIR报告,80%的确认数据泄露涉及弱,默认或被盗的密码;或蛮力凭证妥协。

风险将根据提供的访问级别而有所不同。特权凭据(例如,管理帐户)可以访问系统和设备,敏感数据或不受约束的权限,以在基础架构内移动。不要被遗忘,是服务账户吗? [email protected] 这通常会提供最深入的进入公司。 服务帐户由机器而不是人类使用,因此不能轻易利用一次性密码和MFA的增加安全性。

我们经常观察这些。虽然它们以自己的方式差异,但它们遵循类似的模式(方向追随首选框架):

  • 使用公开信息或无意中公开信息进行侦察。至少,这使得账户的见解是针对无意中披露的访问凭据的目标或可见性。凭证可能会受到损害的无数种方式;从关于社交媒体,网站甚至法律文件的公共信息范围。
  • 破解凭据和访问资源,主机或服务器。
  • 移动到账户或寄宿权,最终获得目标。 我们亲密的合作伙伴Crowdstrike表示,它需要一个入侵者 一小时58分钟 从最初受到损害的机器跳跃并通过网络横向移动。

虽然您想要保护所有三个前面,但防止所有凭证滥用实例的可能性都是基本上困难的:每次都必须是对的,并且攻击者只需要正确一次。大多数安全团队都很难确认,更不用说在发生之前响应妥协。

我们观察和跟踪所有前方的活动。特别是,我们的平台处于独特的位置,以在发生凭证妥协之后看到攻击,但在违规的影响之前。该位置可直接可见于对应用程序,系统和数据的初始访问;特别是当它们触发异常的,意外的行为,这些行为都表明恶意活动。 

仅在上个月内,以下是观察到行为的一个小样本:

  • 登录期间不寻常的行为,包括意外的地理位置和蛮力尝试
  • 由于已知的攻击者行为而触发的第二个因素
  • 敏感的数据上传,可能是尝试使用积极共享的恶意软件感染文档“毒害”井“。
  • 敏感数据下载,作为数据丢失和exfiltration行为的早期指标。
  • 识别恶意软件感染文件

观察到了数以千计的这些事件,它已经向控制,可用性设计和与伙伴相同的伙伴平台上的伙伴的积极集成通知。我们邀请您与我们分享您的用案例,或者对我们积极跟踪的行为进行简短的对话。

要了解您的组织如何在员工使用工作职责的广泛应用程序中获得完全可见性和控制,下载“BitGlass”下面的“BitGlass”。

现在下载

跟着我们

博客主题

查看全部