憑證如何遭到入侵?
讓我們完全定義認證:大多數人都假設它們只是大多數服務通常依賴的密碼/用戶名組合,但憑證世界正在迅速發生變化。
生物辨識技術和無密碼存取金鑰變得越來越流行,而按鈕身份驗證 (MFA)的興起為我們提供了越來越多的選項來保護他們的帳戶和資料。
這為攻擊者提供了新的令人興奮的竊取這些憑證的方式。
行為攻擊
傳統上,獲取電子郵件和密碼的最成功方法是透過其他資料外洩(可以提供電子郵件和偶爾的明文密碼)和網路釣魚攻擊。
數據洩露憑證竊取的成功主要取決於:
網路釣魚電子郵件會將受害者引導至虛假登入頁面。 這些虛假登錄屏幕與其合法對應相同,會將憑證發送到攻擊者自己的數據庫。 儘管這兩種行為仍然猖獗,但組織的網路釣魚防禦措施正在減緩網路釣魚憑證盜竊的速度。
他們取代了鍵盤記錄器和暴力強制攻擊的進步。
技術攻擊
鍵盤記錄器已經存在了很長一段時間:一旦安裝,它們會跟踪用戶的金鑰輸入並將其發送到 C2 服務器。 收集不僅僅是密碼:敏感資源和內部通信都可以被抓取。 暴力攻擊以前是機器人手動輸入任何可能的字母和數字組合(憑證填充),希望它能盲目地輸入正確的組合。
然而,就像鍵盤記錄器一樣,暴力攻擊已經發展了...
Kerberoasting 是智能粗制強制的一個例子:Windows 的身份驗證服務使用 Kerberos 通訊協定來確保使用者被允許存取他們要求的伺服器。 如果使用者擁有 Kerberos 票證的存取金鑰,則會授予他們對伺服器的存取權
(無論他們是否擁有基礎帳戶的電子郵件或密碼。)
Kerberoasting 攻擊會導致攻擊者竊取這些加密票證,然後透過暴力破解或基於字典的攻擊來執行加密金鑰。 他們確實需要初始的權限來要求 Kerberos 門票,這意味著 Kerber oasting 通常會在較低級別的帳戶遭到入侵後開始。
這使 Kerberoasting 成為權限提升的流行選項。
如何偵測入侵的憑證
為了偵測入侵的認證,組織會使用使用者實體和行為分析 (UEBA) 系統來監控使用者活動,並識別可能表示安全威脅的異常行為。
UEBA 解決方案從來源收集和分析數據,例如:
他們這樣做是為了建立一般使用者行為隨著時間的推移的基準線。 當活動偏離這些已建立的模式時,它可能會發出潛在的憑證或帳戶入侵。
安全資訊與事件管理(安全性資訊與事件管理)平台在偵測受損帳戶方面也發揮關鍵作用。 透過收集和分析整個組織的安全日誌,安全性資訊與事件管理工具將事件關聯起來以標記可疑行為,例如:
(可能表示一個 安全漏洞。)
持續監控使用者帳戶和身份驗證活動對於及早識別潛在的妥協是至關重要,讓組織能夠迅速回應以減低風險。
透過 Check Point Harmony 阻止憑證洩露
Check Point Harmony 將基於政策的限制與進階異常偵測結合,防止密碼重複使用並偵測憑證竊取。
Check Point 的安全瀏覽器存取原則可讓管理員透過定義禁止重複使用密碼的特定公司網域來防止密碼重複使用。 在這些受保護的網域設定並與使用者的瀏覽器擴充功能同步之後,當使用者輸入這些指定網域之一的認證時,系統會擷取並在本機儲存密碼的雜湊版本 (使用 SHA-256 與 HMAC)。
通過存儲此密碼雜湊,擴展程序可以檢測相同的密碼是否在不同的不受保護的網域上重複使用。
如果偵測到密碼重複使用,系統會啟動預先設定的回應,例如:
這種方法允許保護 Active Directory 以外的網域。
為了偵測洩漏的憑證,Check Point 使用異常偵測引擎來識別合法使用者的異常活動模式。 系統會根據登入時間、位置、資料傳輸和電子郵件行為建立使用者設定檔,以建立典型行為的基準。
如果開始出現顯著偏差,則每個異常動作都會按嚴重性分析並評估:「嚴重」事件表示帳戶破壞的可能性很高,並需要立即調查,將它們帶到安全團隊的工作流程中的頂部。
不僅是自動化的分析系統...
Harmony Email & Office系統可以根據過去幾個小時內使用者最近電子郵件的檢查來啟動警報。 其網路釣魚防護引擎會密切評估任何潛在的網路釣魚連結或電子郵件,如果檢查發現任何高風險通信,則該引擎可以隔離任何進一步的電子郵件或操作。
如果您需要此功能但沒有人力,請查看 Check Point 的外部風險管理服務。
這種全面的方法結合密碼重複使用防護和複雜的異常偵測功能,有助於保護認證,同時能夠快速回應任何偵測到的安全事件。 如果您擔心公司網路內的活動,請立即聯絡安全專家。
反映意見