行业新闻与博客

92% 的网络安全和应用程序开发专业人士向 Axiad 报告，他们担心网络钓鱼社会工程攻击导致凭据泄露。以下是您可以采取的措施来增强您的组织及其秘密，以抵御凭证攻击。  

凭证攻击是一个日益严重的问题。今年早些时候，微软在推特上发布了一系列五条消息，称俄罗斯黑客使用“各种密码喷射、暴力破解和令牌盗窃技术”和“会话重放攻击，利用可能通过窃取的会话获得对云资源的初始访问权限”。非法销售。” 这些攻击使用住宅代理服务来隐藏攻击的来源。

这只是我们看到的针对组织的一些凭据攻击的示例之一。随着网络犯罪分子越来越多地试图获取尽可能多的受损凭证，几乎每天都会发生许多其他情况。事实上，Verizon 在其 2023 年数据泄露调查报告 (DBIR) 中报告称，86% 的 Web 应用程序攻击涉及使用泄露的凭据。

微软在 3 月份发布了一个补丁来解决上述安全问题，但最近（6 月 21 日）发布消息称，针对“政府、IT 服务提供商、非政府组织、国防工业和关键制造业”的此类凭证攻击活动有所增加。 ”

那么，企业可以采取哪些措施来反击那些想要泄露凭证的攻击者并加强其安全性以抵御凭证攻击呢？

让我们来讨论一下。

您的组织最初如何因凭证泄露而告终

有关凭据泄露的新闻已成为我们个人和职业生活的常规部分（不幸的是）。当我们谈论“凭据泄露”时，我们指的是除您之外的其他人可以访问您的用户名和密码的情况，即网络犯罪分子并不关心您的最佳利益。如果您是记下密码的人，那么这种情况就很容易发生，就像有人从您的办公桌上拿便签或日记一样。  

在数字世界中，很容易看出是什么使用户名和密码成为坏人的有吸引力的目标。您的用户名和密码是您王国的虚拟钥匙 - 它们可以访问从您的设备和在线银行帐户到您的电子邮件和其他通信平台的所有内容。如果这些秘密落入坏人之手，您的职业和 / 或个人生活将是最糟糕的噩梦。 

凭证管理不善是导致身份验证失败的因素之一。不幸的是，攻击者可以通过多种方式危害您的员工或客户的凭据。让我们探讨其中的几个：

坏人利用网络钓鱼攻击策略来诱骗受害者

这是一个非常广泛的类别。网络钓鱼既是网络攻击的一种，也是一种特定类型的攻击方法。

常见的网络钓鱼攻击类型包括：

• 一般网络钓鱼- 这是网络犯罪分子向大量列表发送一般网络钓鱼电子邮件以查看是否得到任何回复的情况。用钓鱼的比喻来说，他们把网撒到水里，看看能拉到什么。这些策略基本上没有针对性，成功率较低，但对攻击者来说仍然是发薪日。
• 鱼叉式网络钓鱼— 这种攻击具有高度针对性，攻击者会编写包含特定信息的电子邮件。这种类型的攻击者不是用宽网钓鱼，而是像冲浪者- 使用多根鱼竿在海滩上钓鱼的人。他们把鱼线挂上诱饵，然后坐下来等着看什么上钩。
• CEO 欺诈— 此类攻击涉及冒充组织内经理或其他高级官员的人。他们利用这种被认为具有权威的地位来欺骗、威胁或操纵员工交出登录凭据或进行电汇。

但如果这些事情还不够糟糕的话，一些网络犯罪分子还会利用人性本身作为工具，将他们的攻击提升到一个新的水平。

网络犯罪分子利用社会工程策略来操纵或欺骗他们的目标

社会工程是坏人在网络攻击中使用的一类策略。社会工程是利用人类情感来对抗人们，让他们做他们通常不会（也不应该）做的事情或获得某些东西的做法。

76% 涉及社会工程的攻击的目标是泄露凭证。Verizon 之前提到的 2023 DBIR 的数据显示，您的用户名和密码是他们最喜欢窃取的东西之一。

现在，面对这些威胁时，请设身处地为员工着想。网络犯罪分子会做足功课，从公开来源（社交媒体帐户、数字新闻通讯、公共目录、聚合数据共享网站等）了解您。这使他们能够猜测您帐户的密码或安全提示响应。

然而，一些坏人更喜欢更直接的方法。许多社会工程师宁愿利用他们对您的了解来欺骗或操纵您向他们提供您的登录信息或安全身份验证代码 - 例如，可能是通过假装是想要“提供帮助”的银行员工您解决了安全警报。

无论他们采取哪种策略，他们的目标通常都是获取您的登录信息。

坏人用恶意软件感染设备以进行监视或窃取数据

坏人喜欢恶意软件已不是什么秘密。实际上有数百万个恶意软件程序，每天都有新的程序被创建，其中许多程序被攻击者用来获取您被盗的凭据。

其中一个例子称为键盘记录器。键盘记录器是一种恶意软件应用程序，它记录您的击键并将该数据发送给部署它的攻击者。它可以是一个独立的程序，也可以将键盘记录器嵌入到另一个程序中以帮助其逃避检测。  

坏人通过中间人 (MitM) 攻击窃取登录信息

这种攻击方法涉及破坏人们用来访问互联网或特定网站的连接。在这些攻击中，MitM 攻击者将自己置于用户浏览器和他们所连接的服务或网站之间。通过这样做，他们能够拦截传输中的数据（包括敏感的登录凭据），以便他们可以随心所欲地使用它。

需要注意的 3 种常见凭据攻击方法

现在我们知道坏人是如何获得泄露的凭据的，现在是时候看看他们如何处理这些凭据了。网络犯罪分子喜欢使用三种常见的凭据攻击类型：

1. 暴力攻击——在这些类型的攻击中，网络犯罪分子反复尝试通过运行常见密码列表来猜测用户名 / 密码组合。尽管这种特殊方法不要求他们拥有可用的受损凭据，但这仍然是一种凭据攻击形式，因为他们试图猜测您的凭据。（查看这篇有关暴力破解技术的文章，了解有关如何防止这些攻击的更多信息。）
2. 撞库攻击——这些攻击类似于暴力攻击，但攻击者使用泄露或被盗的用户名 / 密码组合列表来查看它们是否在特定网站上有效。这就是受损凭证数据库对坏人派上用场的地方。
3. 字典攻击- 在这些攻击中，坏人使用字典中的单词列表与常见用户名（管理员、经理、用户、IT.admin 等）相结合来查看是否有任何提供对不同网站上帐户的访问权限。

攻击者使用受损凭证时会造成哪些损害

使用任何这些凭据攻击方法都可能使攻击者能够访问您的网络、电子邮件服务器、网站或其他数字资产。他们如何使用新发现的访问权限的一些示例包括：

• 从您的系统中窃取敏感的客户数据、知识产权和其他信息。
• 使用商业电子邮件泄露 (BEC) 攻击从您的合法帐户发送网络钓鱼或恶意电子邮件，以针对您的客户、合作伙伴、供应商或其他相关组织。
• 将恶意代码和文件上传到您的网站。

您可以采取的 7 个步骤来预防或对抗凭证攻击

现在您已经了解了受损凭据的组成以及坏人如何不断寻求获取这些凭据，现在是时候了解一些可以反击使用这些凭据的凭据攻击的方法了。本节包括预防性方法和反应性方法。

1. 评估您的身份和访问管理系统以确定需要改进的领域

花时间检查和分析公司的网络、网站、服务器、API 和其他资源。除了盘点您拥有的资源之外，您还可以确定如何访问这些资源以及您采取了哪些安全措施来确保对这些资源的访问安全。

请务必创建有用的文档，指定您希望管理员执行哪些操作以及您希望他们如何执行这些任务。这些信息不仅可以作为管理员的有用资源，而且还有助于合规性审核，并有助于确保 T 被交叉、I 被正确点缀。 

2. 设置强大的访问控制以确保只有需要访问的用户才可以访问

访问控制的一个重要组成部分是根据特权用户的角色或权限创建特权用户列表。这些列表授予用户访问特定系统和数据的授权。将访问控制列表 (ACL) 想象为夜总会的 VIP 列表或乡村俱乐部的会员资格：如果您没有访问权限，您将无法进入。您拥有的指定访问级别决定了您的访问权限您可以访问每个受保护的资产。

一些常见 ACL 的一些示例包括：

• 内容管理系统访问控制列表
• 文件系统 ACL
• 活动目录 (AD) ACL
• 网络 ACL

如果某人不在这些列表中，那么他们将无权访问这些资源。有权访问的人员越少，对组织的安全性就越好。通过减少特权用户的数量，您可以进一步减少组织的攻击面。

3. 实施和执行强密码安全要求

密码是保护帐户或数字资产访问安全的传统手段。密码本身并不坏。它们具有有用的目的。人们使用、保护和存储密码的方式往往是密码安全问题的核心。 

Recorded Future 和 Insikt Group 观察到，2022 年出售的泄露凭证数量增加了 600%。这一数字反映了专门使用信息窃取恶意软件窃取的凭证。 

帮自己一个忙，为您的登录门户和系统设置最小密码字符长度。然后鼓励您的员工、客户和其他用户执行以下操作：

• 对所有帐户使用唯一的密码（或者最好是密码短语），而不是在多个帐户中重复使用相同的密码。
• 避免使用个人信息作为密码（即家庭成员或宠物的姓名、周年纪念日或生日等个人日期等）。
• 避免使用名人的名字或流行文化的参考（即电影角色的名字、歌曲名称、电视节目名称等）。
• 打开多重身份验证（如果您可以选择）以添加另一层安全性。

您还需要确保使用强大的密码存储安全实践。在将密码添加到数据库之前，您首先应该向这些密码添加密码盐和胡椒（即随机字符串）并对它们进行哈希处理。这样，您将存储加盐 / 胡椒密码哈希值，而不是敏感的明文密码。 

在完美的世界中，每个人都会遵守这些规则，并且不会出现坏人使用受损凭证来攻击其他目标的问题。但我们并不生活在一个完美的世界；我们生活在一个坏人购买、出售和交易受损凭证（例如廉价跳蚤市场物品）的世界。由于您的组织和客户的帐户机密应被视为几乎无价，因此您需要如此对待它们。

4. 实施强无密码身份验证

顾名思义，无密码身份验证是一个专注于使用其他秘密进行身份验证（即证明您的数字身份）的概念，以便您可以访问安全的系统和数据。这为传统的用户名 + 密码登录凭据提供了更安全的替代方案。

通常被认为是无密码的身份验证方法的示例包括：

• 基于公钥基础设施 (PKI) 证书的身份验证。这种流行的方法使用数字签名的 X.509 数字证书（例如客户端身份验证证书）来确保只有合法用户才能验证和访问您的敏感资源。这些证书充当员工的数字身份，就像他们的数字护照一样，通过证明每个员工的真实身份来消除身份验证过程中的猜测。
• 基于生物识别、应用程序或令牌的多重身份验证 (MFA) 系统。MFA 是指使用至少两个识别因素（生物识别、应用程序或物理令牌）来对用户进行身份验证。例如，一款移动应用程序使用推送通知，而不是发送基于短信的一次性 PIN (OTP)。（注意：许多 2FA 方法除了推送应用程序通知之外还需要用户名 + 密码。因此，因此它们并不是真正的“无密码”。）
• 神奇的链接。这些工具是一次性使用链接，在身份验证过程中通过短信或电子邮件发送。它们在便利性方面有其用途（即，用户可以单击链接而不是输入密码），但就安全性而言也存在缺陷，因为无法验证用户是否是他们所说的人（在用户的电话号码或电子邮件被泄露的事件）。

与身份验证相关的数据可以使用各种方法（cookie、临时存储等）以数字方式存储。但 cookie 和令牌本身实际上并不是独立的无密码身份验证措施。

无密码身份验证有助于防止凭据泄露的方式非常简单：如果没有任何密码可供泄露，坏人就无法泄露您的凭据。Axiad 调查的 93% 的专业人士（来自我们之前引用的研究）表示，无密码身份验证“已经（或将会）对劳动力产生积极影响”。

使用此方法的另一个好处是，它使您更接近实现零信任（谁不希望这样呢？）

5. 遵循行业身份、秘密和密钥管理最佳实践

身份管理是为了确保授权、经过身份验证的用户可以访问预定的资源、系统和数据。因此，其中一个重要部分是确保这些数字身份的安全并且不易受到损害。为此，需要保护构成每个数字身份安全基础的加密属性。

PKI 密钥管理可帮助您保护用于实现安全性的加密工具。如果证书的私钥不受保护，那么用于保护或身份验证的任何内容都容易受到攻击。这就是为什么实施密钥管理最佳实践对于企业加密机密的安全至关重要。它们涵盖了从密钥管理的策略和标准到用于在整个生命周期中保护密钥的技术、工具和流程的所有内容。

安全存储密钥和其他机密的方法的一个示例是使用安全的集中式解决方案，例如硬件安全模块 (HSM) 或密钥保管库。

如果您不仔细管理和保护您的数字身份、加密密钥和其他秘密，那么就与数据机密性和身份验证说再见吧，因为它们保护的系统很容易受到损害。