引言:本文讨论了云账号劫持背后的基本概念,以及安全团队通监控来阻止攻击的五种方法。
众所周知,发生在系统内部的账号劫持(Account takeovers,https://managedmethods.com/blog/category/account-takeover/)一直以来,都备受安全管理员与系统管理员的关注。如今,随着云服务的广泛使用,发生在云端应用程序中的云账号劫持现象,也同样引起了各种类型与规模组织(如:Google G Suite和Microsoft Office 365)的重视和警惕。由于云服务脱离了人们传统意义上的本地管理边界,因此信息安全团队很难对其进行实时检测与防御,这也是黑客屡屡容易得手云账号劫持的原因之一。他们可以轻松地通过账号劫持,快速地访问到更多的账号和业务数据。可见,账号劫持对于企业信息系统的危害性是不言而喻的。不过,对于许多快速采用了云端业务的组织来说,他们不但在碰到安全事件时反应速度不够敏捷,而且对于云计算安全性的相关概念存在着一定程度的误解。首先,网络管理员会习惯性地误以为他们现有的、基于网络的安全基础架构足以保护新增的云端应用。其次,他们也会倾向性地认为,云服务提供商理应该负责保护云端应用、及其客户数据。什么是云账号劫持?云账号劫持的基本原理,与前文提的发生在系统内部的账号劫持相同。黑客通过获得对于某个账号的访问权,进而根据自己的目的,利用该账号去访问其他更多的账号、以及业务信息。显然,监控并了解云端应用的各种异常行为,是防止与发现账号劫持的首要步骤。为此,我们将详细讨论如下五项监控要点,以检测出对于云端账号的劫持(哪怕只是些尝试),并及时采取适当的补救措施。1.登录位置通过登录位置(https://dzone.com/articles/sso-login-key-benefits-and-implementation)来检测可能存在的云账号劫持,是一种非常简单易行,且效果明显的方法。借助针对登录位置的分析,您可以查看到是否存在着一些已被列入已知黑名单的危险IP源的登录尝试。据此,您可以通过调整云端安全策略的设置,来禁止此类地址所发起的登录、以及其他尝试性的活动。例如:学生与员工们对于某国内大学官网的访问与登录,都应当源自在境内。如果您监控到突然有源于美国的IP地址,使用某个账号进行大量的登录尝试,那么很可能该账号已经招到了劫持,并正在发起攻击。当然,有时候也会存在着一个学生团体正好在国外游学,他们需要远程登录进来的情况。因此,我们需要制定好细粒度的策略,只允许特定的用户群体从境外访问到学校的云服务环境中,并能够在登录时及时通知安全与运维人员相关的信息。在此,我推荐的实践方式是:本着谨慎的态度,默认阻止此类位置的登录,直至合法用户提出合理的请求,方可逐个“解锁”开启。2.屡次尝试登录失败根据Signal Sciences的一项研究表明(译者注:一家网络安全初创公司,https://info.signalsciences.com/detecting-account-takeovers-defending-your-users),任何外部应用程序在上线之后,都可能会出现大约30%的登录失败率,其中不乏有用户忘记了自己的密码,或是键盘输入错误,以及应用服务器本身的出错可能。但是,如果在较短的时间内,大量出现失败的登录尝试,则表明云账号正在受到异常攻击。黑客很可能正在使用爆破或撞库的方式,来尝试所有最常见的密码、以及已知的密码变体,以获得针对目标应用的授权访问。同样,我们可以通过设置相应的策略,来限制某个账号在被锁定之前,所允许的尝试登录失败次数。通常,管理员会设置该限制为三到五次。当触及该阀值之后,用户需要主动联系负责该应用的管理员,以解锁自己的账号,或重置登录密码。与此同时,我们可以通过设置警报的方式,以便在出现多次尝试登录失败时,应用程序能够及时地发送通知给相应的安全与运维管理员。据此,管理员则能够通过采取主动的措施,来验证此类尝试的合法性。
