3.横向网络钓鱼(Lateral Phishing)邮件
前面介绍的两种方法主要检测是否有人正在尝试劫持账号。下面我们讨论的方法则是关注如何发现已经得手的云账号劫持攻击。
通常,那些横向网络钓鱼邮件都源自某个已被劫持的账号。由于此类电子邮件是从内部合法账号所发出,因此我们使用传统的网络钓鱼过滤程序,很难检测到横向网络钓鱼的行为。而且由于具有合法性与隐蔽性,因此它在绕过大多数安全防护机制的同事,还会蔓延到应用内部的其他账号上。
最近有研究(https://www.csoonline.com/article/3433736/threat-spotlight-lateral-phishing.html)发现:在过去的七个月时间里,有七分之一的受访组织至少遭受过一次横向网络钓鱼攻击。其中有154个被劫持的账号,曾经向100,000多名指定接收者发送过横向网络钓鱼邮件。该报告还指出:在这些接收者中,大约40%是同组织的同事,而其余的是各种私人、客户、合作伙伴、以及供应商类型的账号。
通常,我们会采用传统的邮件传输代理(MTA,mail transfer agents)和网络钓鱼过滤程序,防范来自组织外部的钓鱼攻击。但是,由于被劫持的账号发生在内网,因此这些安全工具缺乏从内部检测到钓鱼攻击的能力。而新兴的云安全解决方案,则能够实现扫描入向与出向的邮件、邮件中包含的附件、以及共享盘上的钓鱼链接和恶意软件等。
4.恶意的OAuth连接
如今,通过OAuth将SaaS应用程序连接到云端环境之中,已经变得稀松平常。但是,您可能无法简单地分辨出那些恶意的OAuth连接,它们会直接导致云端应用的账号被劫持。
那么此类连接是如何产生的呢?黑客通常会创建一个需要对用户的Gmail或Outlook 365账号具有读取、写入和获取权限的应用程序。该应用通过合法的OAuth连接,被授予了相应的权限。黑客们据此可以直接通过用户的账号,发送带有网络钓鱼链接的电子邮件,而无需真正登录到他们所劫持账号上。而且更狡猾的是,此类电子邮件完全不会被企业内既有的传统网络钓鱼过滤程序和MTA所检测到。
因此,如果您在云端环境中检测到了某个危险或恶意的OAuth连接,那么第一步就是要直接阻断该连接。接着,您应该联系该连接账号的持有人,询问其是否允许了不明的应用程序。在建议用户立即重置其账号登录密码的同时,您还应该协助审查是否有文件或其他关联账号遭到了破坏。
5.异常的文件共享和下载
众所周知,账号劫持只是途径,并非目的。攻击者真正想要的是诸如:用户社会安全号码、姓名、地址、电话号码、健康信息、财务信息、以及知识产权内容等敏感且专有的数据。因此,如果您的云安全平台检测到某个账号正在(或尝试着)向本组织以外的某个目标共享敏感信息、或者提供下载的话,那么该账号显然已被劫持了。您需要立即关停该账号,强制重设密码,审查现有应用环境中的其余部分,并确认其他账号是否也受到了此类攻击。
综上所述,如果您的组织正在通过云端应用来提供或使用电子邮件、文件共享、以及存储等服务的话,请通过针对云服务设计的安全平台,来监控、检测和自动化与账号劫持相关的攻击行为,以提高现有云端数据和业务的安全态势。
【原标题】5 Ways To Monitor foran Account Takeover (作者: Katie Fritchen )
原文链接:https://dzone.com/articles/5-ways-to-monitor-for-an-account-takeover
