五个监控云账号劫持的检测方法

众所周知，发生在系统内部的账号劫持，一直以来，都备受安全管理员与系统管理员的关注。如今，随着云服务的广泛使用，发生在云端应用程序中的云账号劫持现象，也同样引起了各种类型与规模组织的重视和警惕。

由于云服务脱离了人们传统意义上的本地管理边界，因此信息安全团队很难对其进行实时检测与防御，这也是黑客屡屡容易得手云账号劫持的原因之一。他们可以轻松地通过账号劫持，快速地访问到更多的账号和业务数据。可见，账号劫持对于企业信息系统的危害性是不言而喻的。

不过，对于许多快速采用了云端业务的组织来说，他们不但在碰到安全事件时反应速度不够敏捷，而且对于云计算安全性的相关概念存在着一定程度的误解。首先，网络管理员会习惯性地误以为他们现有的、基于网络的安全基础架构足以保护新增的云端应用。其次，他们也会倾向性地认为，云服务提供商理应该负责保护云端应用、及其客户数据。

什么是云账号劫持？

云账号劫持的基本原理，与前文提的发生在系统内部的账号劫持相同。黑客通过获得对于某个账号的访问权，进而根据自己的目的，利用该账号去访问其他更多的账号、以及业务信息。

显然，监控并了解云端应用的各种异常行为，是防止与发现账号劫持的首要步骤。为此，我们将详细讨论如下五项监控要点，以检测出对于云端账号的劫持（哪怕只是些尝试），并及时采取适当的补救措施。

1. 登录位置

通过登录位置（https://dzone.com/articles/sso-login-key-benefits-and-implementation）来检测可能存在的云账号劫持，是一种非常简单易行，且效果明显的方法。借助针对登录位置的分析，您可以查看到是否存在着一些已被列入已知黑名单的危险IP源的登录尝试。据此，您可以通过调整云端安全策略的设置，来禁止此类地址所发起的登录、以及其他尝试性的活动。

例如：学生与员工们对于某国内大学官网的访问与登录，都应当源自在境内。如果您监控到突然有源于美国的IP地址，使用某个账号进行大量的登录尝试，那么很可能该账号已经遭到了劫持，并正在发起攻击。

当然，有时候也会存在着一个学生团体正好在国外游学，他们需要远程登录进来的情况。因此，我们需要制定好细粒度的策略，只允许特定的用户群体从境外访问到学校的云服务环境中，并能够在登录时及时通知安全与运维人员相关的信息。在此，我推荐的实践方式是：本着谨慎的态度，默认阻止此类位置的登录，直至合法用户提出合理的请求，方可逐个“解锁”开启。

2. 屡次尝试登录失败

根据Signal Sciences的一项研究表明，任何外部应用程序在上线之后，都可能会出现大约30%的登录失败率，其中不乏有用户忘记了自己的密码，或是键盘输入错误，以及应用服务器本身的出错可能。但是，如果在较短的时间内，大量出现失败的登录尝试，则表明云账号正在受到异常攻击。黑客很可能正在使用爆破或撞库的方式，来尝试所有最常见的密码、以及已知的密码变体，以获得针对目标应用的授权访问。

同样，我们可以通过设置相应的策略，来限制某个账号在被锁定之前，所允许的尝试登录失败次数。通常，管理员会设置该限制为三到五次。当触及该阀值之后，用户需要主动联系负责该应用的管理员，以解锁自己的账号，或重置登录密码。与此同时，我们可以通过设置警报的方式，以便在出现多次尝试登录失败时，应用程序能够及时地发送通知给相应的安全与运维管理员。据此，管理员则能够通过采取主动的措施，来验证此类尝试的合法性。

3. 横向网络钓鱼（Lateral Phishing）邮件

前面介绍的两种方法主要检测是否有人正在尝试劫持账号。下面我们讨论的方法则是关注如何发现已经得手的云账号劫持攻击。

通常，那些横向网络钓鱼邮件都源自某个已被劫持的账号。由于此类电子邮件是从内部合法账号所发出，因此我们使用传统的网络钓鱼过滤程序，很难检测到横向网络钓鱼的行为。而且由于具有合法性与隐蔽性，因此它在绕过大多数安全防护机制的同事，还会蔓延到应用内部的其他账号上。

最近有研究发现：在过去的七个月时间里，有七分之一的受访组织至少遭受过一次横向网络钓鱼攻击。其中有154个被劫持的账号，曾经向100，000多名指定接收者发送过横向网络钓鱼邮件。该报告还指出：在这些接收者中，大约40%是同组织的同事，而其余的是各种私人、客户、合作伙伴、以及供应商类型的账号。

通常，我们会采用传统的邮件传输代理（MTA，mail transfer agents）和网络钓鱼过滤程序，防范来自组织外部的钓鱼攻击。但是，由于被劫持的账号发生在内网，因此这些安全工具缺乏从内部检测到钓鱼攻击的能力。而新兴的云安全解决方案，则能够实现扫描入向与出向的邮件、邮件中包含的附件、以及共享盘上的钓鱼链接和恶意软件等。

4. 恶意的OAuth连接

如今，通过OAuth将SaaS应用程序连接到云端环境之中，已经变得稀松平常。但是，您可能无法简单地分辨出那些恶意的OAuth连接，它们会直接导致云端应用的账号被劫持。

那么此类连接是如何产生的呢？黑客通常会创建一个需要对用户的Gmail或Outlook 365账号具有读取、写入和获取权限的应用程序。该应用通过合法的OAuth连接，被授予了相应的权限。黑客们据此可以直接通过用户的账号，发送带有网络钓鱼链接的电子邮件，而无需真正登录到他们所劫持账号上。而且更狡猾的是，此类电子邮件完全不会被企业内既有的传统网络钓鱼过滤程序和MTA所检测到。

因此，如果您在云端环境中检测到了某个危险或恶意的OAuth连接，那么第一步就是要直接阻断该连接。接着，您应该联系该连接账号的持有人，询问其是否允许了不明的应用程序。在建议用户立即重置其账号登录密码的同时，您还应该协助审查是否有文件或其他关联账号遭到了破坏。

5. 异常的文件共享和下载

众所周知，账号劫持只是途径，并非目的。攻击者真正想要的是诸如：用户社会安全号码、姓名、地址、电话号码、健康信息、财务信息、以及知识产权内容等敏感且专有的数据。因此，如果您的云安全平台检测到某个账号正在（或尝试着）向本组织以外的某个目标共享敏感信息、或者提供下载的话，那么该账号显然已被劫持了。您需要立即关停该账号，强制重设密码，审查现有应用环境中的其余部分，并确认其他账号是否也受到了此类攻击。

综上所述，如果您的组织正在通过云端应用来提供或使用电子邮件、文件共享、以及存储等服务的话，请通过针对云服务设计的安全平台，来监控、检测和自动化与账号劫持相关的攻击行为，以提高现有云端数据和业务的安全态势。