每年,数十亿的凭据出现在网上,无论是在暗网、透明网、粘贴网站还是网络犯罪分子共享的数据转储中。这些凭据通常用于帐户接管攻击,使组织暴露于漏洞、勒索软件和数据盗窃。
虽然 CISO 意识到身份威胁日益严重,并在他们的工具库中拥有多种工具来帮助降低潜在风险,但现实情况是,现有的方法已被证明在很大程度上是无效的。根据2022 年 Verizon 数据泄露调查报告,超过 60% 的泄露涉及凭据泄露。
攻击者使用社交工程、暴力破解和在暗网上购买泄露的凭据等技术来破坏合法身份,并未经授权访问受害组织的系统和资源。
攻击者经常利用一些密码在不同用户之间共享的事实,从而更容易破坏同一组织中的多个帐户。一些员工重复使用密码。其他人在各种网站的密码中使用共享模式。对手可以使用破解技术和字典攻击通过利用共享模式来克服密码排列,即使密码是散列的。该组织面临的主要挑战是黑客只需要一个密码匹配即可闯入。
鉴于当前的威胁情报,为了有效减轻他们的暴露风险,组织需要关注从对手的角度来看是可利用的。
以下是组织应采取的五个步骤来减少凭据暴露:
收集泄露的凭证数据
为了开始解决这个问题,安全团队需要收集从开放网络到黑暗网络的各个地方从外部泄露的凭据数据。这可以让他们初步了解其组织面临的风险,以及需要更新的个人凭证。
分析数据
从那里,安全团队需要识别实际上可能导致安全风险的凭据。攻击者会获取用户名和密码组合(明文或散列),然后尝试使用它们访问服务或系统。安全团队应该使用类似的技术来评估他们的风险。这包括:
-
检查凭据是否允许访问组织的外部公开资产,例如 Web 服务和数据库
-
试图破解捕获的密码哈希
-
验证泄露的凭证数据与组织的身份管理工具(如 Active Directory)之间的匹配
-
操纵原始数据以增加获得的受感染身份数量。例如,用户通常使用相同的密码模式。即使泄露的凭据不允许访问面向外部的资产或匹配 Active Directory 条目,也可以通过测试变体找到其他匹配项。
减少凭证暴露
在验证泄露的凭据以识别实际暴露后,组织可以采取有针对性的行动来降低攻击者这样做的风险。例如,他们可以删除 Active Directory 中不活动的泄露帐户或为活动用户启动密码更改。
重新评估安全流程
直接缓解后,安全团队应评估其当前流程是否安全,并在可能的情况下进行改进。例如,如果他们正在处理许多匹配的泄露凭据,他们可能会建议更改整个组织的整个密码策略。同样,如果在 Active Directory 中发现非活动用户,重新审视员工离职流程可能会有所帮助。
自动重复
攻击者不断采用新技术。攻击面发生变化,新身份会定期添加和删除。同样,人类总是容易出现意外错误。因此,仅靠一次性努力来查找、验证和减轻凭证暴露是不够的。为了在高度动态的威胁环境中实现可持续安全,组织必须不断重复这一过程。
但是,资源受限的安全团队无法以足够的节奏手动执行所有这些步骤。有效管理威胁的唯一方法是自动化验证过程。
原文始发于微信公众号(祺印说信安):降低凭证暴露风险的五个步骤
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论