0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

五个监控云账号劫持的检测方法

如意 来源:51cto 作者:51cto 2020-07-02 10:48 次阅读

众所周知,发生在系统内部的账号劫持,一直以来,都备受安全管理员与系统管理员的关注。如今,随着云服务的广泛使用,发生在云端应用程序中的云账号劫持现象,也同样引起了各种类型与规模组织的重视和警惕。

由于云服务脱离了人们传统意义上的本地管理边界,因此信息安全团队很难对其进行实时检测与防御,这也是黑客屡屡容易得手云账号劫持的原因之一。他们可以轻松地通过账号劫持,快速地访问到更多的账号和业务数据。可见,账号劫持对于企业信息系统的危害性是不言而喻的。

不过,对于许多快速采用了云端业务的组织来说,他们不但在碰到安全事件时反应速度不够敏捷,而且对于云计算安全性的相关概念存在着一定程度的误解。首先,网络管理员会习惯性地误以为他们现有的、基于网络的安全基础架构足以保护新增的云端应用。其次,他们也会倾向性地认为,云服务提供商理应该负责保护云端应用、及其客户数据。

什么是云账号劫持?

云账号劫持的基本原理,与前文提的发生在系统内部的账号劫持相同。黑客通过获得对于某个账号的访问权,进而根据自己的目的,利用该账号去访问其他更多的账号、以及业务信息。

显然,监控并了解云端应用的各种异常行为,是防止与发现账号劫持的首要步骤。为此,我们将详细讨论如下五项监控要点,以检测出对于云端账号的劫持(哪怕只是些尝试),并及时采取适当的补救措施。

1. 登录位置

通过登录位置(https://dzone.com/articles/sso-login-key-benefits-and-implementation)来检测可能存在的云账号劫持,是一种非常简单易行,且效果明显的方法。借助针对登录位置的分析,您可以查看到是否存在着一些已被列入已知黑名单的危险IP源的登录尝试。据此,您可以通过调整云端安全策略的设置,来禁止此类地址所发起的登录、以及其他尝试性的活动。

例如:学生与员工们对于某国内大学官网的访问与登录,都应当源自在境内。如果您监控到突然有源于美国的IP地址,使用某个账号进行大量的登录尝试,那么很可能该账号已经遭到了劫持,并正在发起攻击。

当然,有时候也会存在着一个学生团体正好在国外游学,他们需要远程登录进来的情况。因此,我们需要制定好细粒度的策略,只允许特定的用户群体从境外访问到学校的云服务环境中,并能够在登录时及时通知安全与运维人员相关的信息。在此,我推荐的实践方式是:本着谨慎的态度,默认阻止此类位置的登录,直至合法用户提出合理的请求,方可逐个“解锁”开启。

2. 屡次尝试登录失败

根据Signal Sciences的一项研究表明,任何外部应用程序在上线之后,都可能会出现大约30%的登录失败率,其中不乏有用户忘记了自己的密码,或是键盘输入错误,以及应用服务器本身的出错可能。但是,如果在较短的时间内,大量出现失败的登录尝试,则表明云账号正在受到异常攻击。黑客很可能正在使用爆破或撞库的方式,来尝试所有最常见的密码、以及已知的密码变体,以获得针对目标应用的授权访问。

同样,我们可以通过设置相应的策略,来限制某个账号在被锁定之前,所允许的尝试登录失败次数。通常,管理员会设置该限制为三到五次。当触及该阀值之后,用户需要主动联系负责该应用的管理员,以解锁自己的账号,或重置登录密码。与此同时,我们可以通过设置警报的方式,以便在出现多次尝试登录失败时,应用程序能够及时地发送通知给相应的安全与运维管理员。据此,管理员则能够通过采取主动的措施,来验证此类尝试的合法性。

3. 横向网络钓鱼(Lateral Phishing)邮件

前面介绍的两种方法主要检测是否有人正在尝试劫持账号。下面我们讨论的方法则是关注如何发现已经得手的云账号劫持攻击。

通常,那些横向网络钓鱼邮件都源自某个已被劫持的账号。由于此类电子邮件是从内部合法账号所发出,因此我们使用传统的网络钓鱼过滤程序,很难检测到横向网络钓鱼的行为。而且由于具有合法性与隐蔽性,因此它在绕过大多数安全防护机制的同事,还会蔓延到应用内部的其他账号上。

最近有研究发现:在过去的七个月时间里,有七分之一的受访组织至少遭受过一次横向网络钓鱼攻击。其中有154个被劫持的账号,曾经向100,000多名指定接收者发送过横向网络钓鱼邮件。该报告还指出:在这些接收者中,大约40%是同组织的同事,而其余的是各种私人、客户、合作伙伴、以及供应商类型的账号。

通常,我们会采用传统的邮件传输代理(MTA,mail transfer agents)和网络钓鱼过滤程序,防范来自组织外部的钓鱼攻击。但是,由于被劫持的账号发生在内网,因此这些安全工具缺乏从内部检测到钓鱼攻击的能力。而新兴的云安全解决方案,则能够实现扫描入向与出向的邮件、邮件中包含的附件、以及共享盘上的钓鱼链接和恶意软件等。

4. 恶意的OAuth连接

如今,通过OAuth将SaaS应用程序连接到云端环境之中,已经变得稀松平常。但是,您可能无法简单地分辨出那些恶意的OAuth连接,它们会直接导致云端应用的账号被劫持。

那么此类连接是如何产生的呢?黑客通常会创建一个需要对用户的Gmail或Outlook 365账号具有读取、写入和获取权限的应用程序。该应用通过合法的OAuth连接,被授予了相应的权限。黑客们据此可以直接通过用户的账号,发送带有网络钓鱼链接的电子邮件,而无需真正登录到他们所劫持账号上。而且更狡猾的是,此类电子邮件完全不会被企业内既有的传统网络钓鱼过滤程序和MTA所检测到。

因此,如果您在云端环境中检测到了某个危险或恶意的OAuth连接,那么第一步就是要直接阻断该连接。接着,您应该联系该连接账号的持有人,询问其是否允许了不明的应用程序。在建议用户立即重置其账号登录密码的同时,您还应该协助审查是否有文件或其他关联账号遭到了破坏。

5. 异常的文件共享和下载

众所周知,账号劫持只是途径,并非目的。攻击者真正想要的是诸如:用户社会安全号码、姓名、地址、电话号码、健康信息、财务信息、以及知识产权内容等敏感且专有的数据。因此,如果您的云安全平台检测到某个账号正在(或尝试着)向本组织以外的某个目标共享敏感信息、或者提供下载的话,那么该账号显然已被劫持了。您需要立即关停该账号,强制重设密码,审查现有应用环境中的其余部分,并确认其他账号是否也受到了此类攻击。

综上所述,如果您的组织正在通过云端应用来提供或使用电子邮件、文件共享、以及存储等服务的话,请通过针对云服务设计的安全平台,来监控、检测和自动化与账号劫持相关的攻击行为,以提高现有云端数据和业务的安全态势。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 监控
    +关注

    关注

    6

    文章

    2206

    浏览量

    55187
  • 检测
    +关注

    关注

    5

    文章

    4486

    浏览量

    91456
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59726
收藏 人收藏

    评论

    相关推荐

    Jtti:常用的网络质量监控方法有哪些

    常用的网络质量监控方法包括以下几种: 1. ICMP探测:   使用ICMP协议(如Ping)来检测网络连通性和质量。这种方法通过发送探测数据包并分析回包结果来
    的头像 发表于 11-15 15:50 249次阅读

    使用zabbix监控服务器的方法

    1. 了解Zabbix Zabbix是一企业级的开源监控解决方案,用于监控IT基础设施,包括硬件、软件和服务。它提供了数据收集、数据存储、数据处理和可视化功能,以及灵活的通知机制。 2. 准备
    的头像 发表于 11-08 10:47 245次阅读

    一开孔双控接线方法

    一开孔双控开关是一种常见的家庭电气安装组件,它允许两个位置控制同一电器或灯具的开关。这种开关通常用于卧室、走廊或楼梯等需要在两端控制灯光的地方。以下是一开孔双控接线的一般方法,但
    的头像 发表于 10-14 09:15 955次阅读

    美国大带宽服务器怎么用?完整教程来了

    首先选择一家靠谱的服务商,其次在服务商平台上创建服务器实例,第三,进行远程连接,并配置服务器,第步部署应用程序,最后在部署完成后,对服务器进行
    的头像 发表于 09-20 11:00 431次阅读

    艾体宝干货 老牌科技企业也难幸免的域名劫持是什么?

    域名劫持严重威胁企业的网络安全。著名案例包括Google越南、Perl编程语言官网和联想集团官网的域名劫持事件。为预防域名劫持,建议使用强认证、定期更新密码、监控域名到期日期、限制访问
    的头像 发表于 07-05 14:03 278次阅读
    艾体宝干货  老牌科技企业也难幸免的域名<b class='flag-5'>劫持</b>是什么?

    人脸检测方法各有什么特征和优缺点

    人脸检测是计算机视觉领域的一重要研究方向,主要用于识别和定位图像中的人脸。以下是种常见的人脸检测方法及其特征和优缺点的介绍: 基于肤色的
    的头像 发表于 07-03 14:47 820次阅读

    人脸检测与识别的方法有哪些

    人脸检测与识别是计算机视觉领域中的一重要研究方向,具有广泛的应用前景,如安全监控、身份认证、智能视频分析等。本文将详细介绍人脸检测与识别的方法
    的头像 发表于 07-03 14:45 709次阅读

    微波检测主要检测方法有哪些

    微波检测是一种利用微波技术进行物体特性检测方法。它广泛应用于通信、雷达、遥感、医疗、工业等领域。微波检测方法众多,本文将详细介绍几种主要的
    的头像 发表于 05-28 14:35 1414次阅读

    阿里将在国家投建数据中心

    阿里近日宣布,将在全球范围内进行大规模扩张,计划在韩国、马来西亚、菲律宾、泰国及墨西哥国投资新建数据中心。此举不仅彰显了阿里冲刺全球市场的决心,更体现了其在AI基础设施领域的战略布局。
    的头像 发表于 05-27 09:31 1353次阅读

    服务器监控完整指南

    如今,大多数组织都依赖混合IT基础设施,并使用公共提供商及其本地系统的服务。基础设施更具可扩展性,更容易适应公司的需求。尽管如此,您还是应该持续进行基础设施监控,尤其是在将服务器迁移到
    的头像 发表于 03-20 17:19 409次阅读

    混合策略的关键要素

    列举了有助于企业混合策略取得成功的关键要素,包括更低的成本、广泛的可移植性、工作负载管理、工作负载整合和数据安全。
    的头像 发表于 01-23 14:44 664次阅读

    电梯IP方对讲机功能介绍及常见问题解决方法

    的解决方法。 一、电梯IP方对讲机功能介绍 1、实时通信:电梯IP方对讲机通过网络连接,实现多方实时语音通信,可以方便地进行楼层间、电梯内外的语音交流。 2、远程监控:该对讲机可配
    的头像 发表于 01-22 10:48 983次阅读
    电梯IP<b class='flag-5'>五</b>方对讲机功能介绍及常见问题解决<b class='flag-5'>方法</b>

    水质检测仪器有哪些 常规参数水质检测仪使用方法

    检测仪、浊度计、电导率计等等。针对常规参数水质检测仪,下面将详细介绍其使用方法。 常规参数水质检测
    的头像 发表于 01-17 15:08 1478次阅读

    远程监控平台,让你的数据无处可藏!

    远程监控平台,让你的数据无处可藏! 平台远程监控是一种通过平台实现对设备的远程监控和管理的
    的头像 发表于 01-05 17:00 551次阅读

    恒讯科技分析:监控系统的站点监控类型有哪些?

    监控系统中的站点监控主要用于检测和报告关于网站、应用程序或网络服务的可用性和性能的信息。站点监控类型通常包括以下几种: 一、HTTP/HT
    的头像 发表于 12-28 17:26 436次阅读