五個(gè)監(jiān)控云賬號(hào)劫持的檢測(cè)方法

眾所周知，發(fā)生在系統(tǒng)內(nèi)部的賬號(hào)劫持，一直以來(lái)，都備受安全管理員與系統(tǒng)管理員的關(guān)注。如今，隨著云服務(wù)的廣泛使用，發(fā)生在云端應(yīng)用程序中的云賬號(hào)劫持現(xiàn)象，也同樣引起了各種類(lèi)型與規(guī)模組織的重視和警惕。

由于云服務(wù)脫離了人們傳統(tǒng)意義上的本地管理邊界，因此信息安全團(tuán)隊(duì)很難對(duì)其進(jìn)行實(shí)時(shí)檢測(cè)與防御，這也是黑客屢屢容易得手云賬號(hào)劫持的原因之一。他們可以輕松地通過(guò)賬號(hào)劫持，快速地訪問(wèn)到更多的賬號(hào)和業(yè)務(wù)數(shù)據(jù)?？梢?jiàn)，賬號(hào)劫持對(duì)于企業(yè)信息系統(tǒng)的危害性是不言而喻的。

不過(guò)，對(duì)于許多快速采用了云端業(yè)務(wù)的組織來(lái)說(shuō)，他們不但在碰到安全事件時(shí)反應(yīng)速度不夠敏捷，而且對(duì)于云計(jì)算安全性的相關(guān)概念存在著一定程度的誤解。首先，網(wǎng)絡(luò)管理員會(huì)習(xí)慣性地誤以為他們現(xiàn)有的、基于網(wǎng)絡(luò)的安全基礎(chǔ)架構(gòu)足以保護(hù)新增的云端應(yīng)用。其次，他們也會(huì)傾向性地認(rèn)為，云服務(wù)提供商理應(yīng)該負(fù)責(zé)保護(hù)云端應(yīng)用、及其客戶數(shù)據(jù)。

什么是云賬號(hào)劫持？

云賬號(hào)劫持的基本原理，與前文提的發(fā)生在系統(tǒng)內(nèi)部的賬號(hào)劫持相同。黑客通過(guò)獲得對(duì)于某個(gè)賬號(hào)的訪問(wèn)權(quán)，進(jìn)而根據(jù)自己的目的，利用該賬號(hào)去訪問(wèn)其他更多的賬號(hào)、以及業(yè)務(wù)信息。

顯然，監(jiān)控并了解云端應(yīng)用的各種異常行為，是防止與發(fā)現(xiàn)賬號(hào)劫持的首要步驟。為此，我們將詳細(xì)討論如下五項(xiàng)監(jiān)控要點(diǎn)，以檢測(cè)出對(duì)于云端賬號(hào)的劫持（哪怕只是些嘗試），并及時(shí)采取適當(dāng)?shù)难a(bǔ)救措施。

1. 登錄位置

通過(guò)登錄位置（https://dzone.com/articles/sso-login-key-benefits-and-implementation）來(lái)檢測(cè)可能存在的云賬號(hào)劫持，是一種非常簡(jiǎn)單易行，且效果明顯的方法。借助針對(duì)登錄位置的分析，您可以查看到是否存在著一些已被列入已知黑名單的危險(xiǎn)IP源的登錄嘗試。據(jù)此，您可以通過(guò)調(diào)整云端安全策略的設(shè)置，來(lái)禁止此類(lèi)地址所發(fā)起的登錄、以及其他嘗試性的活動(dòng)。

例如：學(xué)生與員工們對(duì)于某國(guó)內(nèi)大學(xué)官網(wǎng)的訪問(wèn)與登錄，都應(yīng)當(dāng)源自在境內(nèi)。如果您監(jiān)控到突然有源于美國(guó)的IP地址，使用某個(gè)賬號(hào)進(jìn)行大量的登錄嘗試，那么很可能該賬號(hào)已經(jīng)遭到了劫持，并正在發(fā)起攻擊。

當(dāng)然，有時(shí)候也會(huì)存在著一個(gè)學(xué)生團(tuán)體正好在國(guó)外游學(xué)，他們需要遠(yuǎn)程登錄進(jìn)來(lái)的情況。因此，我們需要制定好細(xì)粒度的策略，只允許特定的用戶群體從境外訪問(wèn)到學(xué)校的云服務(wù)環(huán)境中，并能夠在登錄時(shí)及時(shí)通知安全與運(yùn)維人員相關(guān)的信息。在此，我推薦的實(shí)踐方式是：本著謹(jǐn)慎的態(tài)度，默認(rèn)阻止此類(lèi)位置的登錄，直至合法用戶提出合理的請(qǐng)求，方可逐個(gè)“解鎖”開(kāi)啟。

2. 屢次嘗試登錄失敗

根據(jù)Signal Sciences的一項(xiàng)研究表明，任何外部應(yīng)用程序在上線之后，都可能會(huì)出現(xiàn)大約30%的登錄失敗率，其中不乏有用戶忘記了自己的密碼，或是鍵盤(pán)輸入錯(cuò)誤，以及應(yīng)用服務(wù)器本身的出錯(cuò)可能。但是，如果在較短的時(shí)間內(nèi)，大量出現(xiàn)失敗的登錄嘗試，則表明云賬號(hào)正在受到異常攻擊。黑客很可能正在使用爆破或撞庫(kù)的方式，來(lái)嘗試所有最常見(jiàn)的密碼、以及已知的密碼變體，以獲得針對(duì)目標(biāo)應(yīng)用的授權(quán)訪問(wèn)。

同樣，我們可以通過(guò)設(shè)置相應(yīng)的策略，來(lái)限制某個(gè)賬號(hào)在被鎖定之前，所允許的嘗試登錄失敗次數(shù)。通常，管理員會(huì)設(shè)置該限制為三到五次。當(dāng)觸及該閥值之后，用戶需要主動(dòng)聯(lián)系負(fù)責(zé)該應(yīng)用的管理員，以解鎖自己的賬號(hào)，或重置登錄密碼。與此同時(shí)，我們可以通過(guò)設(shè)置警報(bào)的方式，以便在出現(xiàn)多次嘗試登錄失敗時(shí)，應(yīng)用程序能夠及時(shí)地發(fā)送通知給相應(yīng)的安全與運(yùn)維管理員。據(jù)此，管理員則能夠通過(guò)采取主動(dòng)的措施，來(lái)驗(yàn)證此類(lèi)嘗試的合法性。

3. 橫向網(wǎng)絡(luò)釣魚(yú)（Lateral Phishing）郵件

前面介紹的兩種方法主要檢測(cè)是否有人正在嘗試劫持賬號(hào)。下面我們討論的方法則是關(guān)注如何發(fā)現(xiàn)已經(jīng)得手的云賬號(hào)劫持攻擊。

通常，那些橫向網(wǎng)絡(luò)釣魚(yú)郵件都源自某個(gè)已被劫持的賬號(hào)。由于此類(lèi)電子郵件是從內(nèi)部合法賬號(hào)所發(fā)出，因此我們使用傳統(tǒng)的網(wǎng)絡(luò)釣魚(yú)過(guò)濾程序，很難檢測(cè)到橫向網(wǎng)絡(luò)釣魚(yú)的行為。而且由于具有合法性與隱蔽性，因此它在繞過(guò)大多數(shù)安全防護(hù)機(jī)制的同事，還會(huì)蔓延到應(yīng)用內(nèi)部的其他賬號(hào)上。

最近有研究發(fā)現(xiàn)：在過(guò)去的七個(gè)月時(shí)間里，有七分之一的受訪組織至少遭受過(guò)一次橫向網(wǎng)絡(luò)釣魚(yú)攻擊。其中有154個(gè)被劫持的賬號(hào)，曾經(jīng)向100，000多名指定接收者發(fā)送過(guò)橫向網(wǎng)絡(luò)釣魚(yú)郵件。該報(bào)告還指出：在這些接收者中，大約40%是同組織的同事，而其余的是各種私人、客戶、合作伙伴、以及供應(yīng)商類(lèi)型的賬號(hào)。

通常，我們會(huì)采用傳統(tǒng)的郵件傳輸代理（MTA，mail transfer agents）和網(wǎng)絡(luò)釣魚(yú)過(guò)濾程序，防范來(lái)自組織外部的釣魚(yú)攻擊。但是，由于被劫持的賬號(hào)發(fā)生在內(nèi)網(wǎng)，因此這些安全工具缺乏從內(nèi)部檢測(cè)到釣魚(yú)攻擊的能力。而新興的云安全解決方案，則能夠?qū)崿F(xiàn)掃描入向與出向的郵件、郵件中包含的附件、以及共享盤(pán)上的釣魚(yú)鏈接和惡意軟件等。

4. 惡意的OAuth連接

如今，通過(guò)OAuth將SaaS應(yīng)用程序連接到云端環(huán)境之中，已經(jīng)變得稀松平常。但是，您可能無(wú)法簡(jiǎn)單地分辨出那些惡意的OAuth連接，它們會(huì)直接導(dǎo)致云端應(yīng)用的賬號(hào)被劫持。

那么此類(lèi)連接是如何產(chǎn)生的呢？黑客通常會(huì)創(chuàng)建一個(gè)需要對(duì)用戶的Gmail或Outlook 365賬號(hào)具有讀取、寫(xiě)入和獲取權(quán)限的應(yīng)用程序。該應(yīng)用通過(guò)合法的OAuth連接，被授予了相應(yīng)的權(quán)限。黑客們據(jù)此可以直接通過(guò)用戶的賬號(hào)，發(fā)送帶有網(wǎng)絡(luò)釣魚(yú)鏈接的電子郵件，而無(wú)需真正登錄到他們所劫持賬號(hào)上。而且更狡猾的是，此類(lèi)電子郵件完全不會(huì)被企業(yè)內(nèi)既有的傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)過(guò)濾程序和MTA所檢測(cè)到。

因此，如果您在云端環(huán)境中檢測(cè)到了某個(gè)危險(xiǎn)或惡意的OAuth連接，那么第一步就是要直接阻斷該連接。接著，您應(yīng)該聯(lián)系該連接賬號(hào)的持有人，詢(xún)問(wèn)其是否允許了不明的應(yīng)用程序。在建議用戶立即重置其賬號(hào)登錄密碼的同時(shí)，您還應(yīng)該協(xié)助審查是否有文件或其他關(guān)聯(lián)賬號(hào)遭到了破壞。

5. 異常的文件共享和下載

眾所周知，賬號(hào)劫持只是途徑，并非目的。攻擊者真正想要的是諸如：用戶社會(huì)安全號(hào)碼、姓名、地址、電話號(hào)碼、健康信息、財(cái)務(wù)信息、以及知識(shí)產(chǎn)權(quán)內(nèi)容等敏感且專(zhuān)有的數(shù)據(jù)。因此，如果您的云安全平臺(tái)檢測(cè)到某個(gè)賬號(hào)正在（或嘗試著）向本組織以外的某個(gè)目標(biāo)共享敏感信息、或者提供下載的話，那么該賬號(hào)顯然已被劫持了。您需要立即關(guān)停該賬號(hào)，強(qiáng)制重設(shè)密碼，審查現(xiàn)有應(yīng)用環(huán)境中的其余部分，并確認(rèn)其他賬號(hào)是否也受到了此類(lèi)攻擊。

綜上所述，如果您的組織正在通過(guò)云端應(yīng)用來(lái)提供或使用電子郵件、文件共享、以及存儲(chǔ)等服務(wù)的話，請(qǐng)通過(guò)針對(duì)云服務(wù)設(shè)計(jì)的安全平臺(tái)，來(lái)監(jiān)控、檢測(cè)和自動(dòng)化與賬號(hào)劫持相關(guān)的攻擊行為，以提高現(xiàn)有云端數(shù)據(jù)和業(yè)務(wù)的安全態(tài)勢(shì)。