白皮书

妥协的关键指标
防止违反

作为几乎所有攻击模式下的常见活动,登录提供了最清晰的危害指标之一,以帮助保护公司数据和阻止攻击。

在本白皮书中,您将找到:

  • 到底谁和什么是共同的威胁
  • 潜在危害指标的详细说明
  • 为什么登录是最容易受到威胁的标志
  • 怎么样 用户锁 可以利用此指标不仅可以检测,还可以防止违规

究竟是谁和什么威胁?

最常见的威胁参与者可分为两类。首先是 外部演员 (骇客,恶意软体作者,威胁组织等),去年约占资料泄漏的三分之二1.

第二个是 内部演员 要么已经可以访问您的重要数据,要么在内部进行黑客攻击以获取访问权限。该组仅占数据泄露事件的三分之一以下1,剩下的折中归因于合作伙伴和多个参与者共同努力1.

为了使事情变得更加复杂,还有很多渗透网络的方法。黑客,社会工程学和恶意软件都排在第一位 数据泄露中的攻击媒介,这只会使保护和检测抵御威胁更加困难。

明显的保护和预防步骤 您应该服用,例如 修补, 指某东西的用途 反恶意软件/反网络钓鱼 软件, 应用程序白名单, 和更多。但是,如前所述,即使在安全性最强的组织中,成功的攻击仍然会发生。

在本文的其余部分,我们将假设 尽管IT部门最好是适当保护环境,但妥协仍将继续存在。因此,变得至关重要的是,能够识别出危害的指标–正常活动,网络流量,访问等方面的异常值–应该进行调查和/或响应,以使每个指标都是合法的危害事件。

那么,妥协的指标是什么?

确定妥协的关键指标

折衷的关键指标 任何有效的攻击都会在某种程度上包括隐身或迷惑,因此折衷指标不一定总是以相同的方式出现。

因此,让我们来看一下使用 访问层 (请参见图表)在您的环境中-每个人都容易受到攻击,因此很容易受到损害-并查看每个人都有哪些指标。

周长

过去,外围是您的防火墙。但是我们知道,今天像您这样的组织经常将应用程序公开给外部使用,利用私有和公共云基础结构(从逻辑上扩展范围),并允许对内部资源进行各种远程访问。而且,因为那里 该网络的一部分暴露在外,这是显而易见的攻击媒介,可用来识别威胁。

此时,您环境中的危害指标需要进行一些分析。它们包括:

  • 端口/应用程序流量不匹配 –与内部系统的通信(可能包括入站命令和数据的出站渗透)通常需要通过开放端口(例如,通过TCP端口80进行的HTTP流量)进行通信,以到达外部服务器。
  • 数据读取/出站流量增加 –目标是获取尽可能多的数据;寻找数据库的其他读取信息以及出站流量大小是明确的指示,表明有些问题。
  • 地理不合规定 –您在乌克兰的业务为零。那么,为什么那个国家与您的组织之间流量如此之大?通讯源异常是连接需要您注意的明显标志。

终点

有趣的是,今天的端点是网络的一部分 不断地 无障碍 边界–它们到达网络之外,可以上网,并充当入站电子邮件的容器(既为恶意软件提供了一种进入手段,又使他们有机会嵌入自身)。

终结点计算机上的危害指标包括对特定终结点计算机的配置和活动正常情况进行深入的比较。指标包括:

  • 流氓程序 –从恶意软件到黑客工具的所有事物都被视为以前从未在端点上运行的过程。这并不总是那么容易,因为某些黑客使用现有的命令,DLL和可执行文件“不在家”,或者使用直接内存注入来避免被发现。
  • 坚持不懈 –任务的存在,自动运行的注册表设置,浏览器插件,甚至篡改服务设置,都表明端点受到了威胁。

登录

大多数攻击者专注于利用帐户来访问数据或在组织中移动。登录是获得具有有价值数据的端点的必要的第一步。指标包括以下登录异常:

  • 使用的端点 – CEO永远不会从计算机上登录“应付帐款”,对吗?
  • 使用时 –具有9到5工作功能的用户在星期六的凌晨3点登录?是的,这很可疑。
  • 频率 –用户通常在早上登录一次,并在晚上注销,突然突然间突然登录和注销可能表示有问题。
  • 并发 -大多数用户登录到单个端点。看到这样的用户突然同时登录到多个端点是一个明显的危险信号。

横向运动

这是大多数攻击所需要的步骤,因为它们的最初立足点是低级工作站,无权访问任何有价值的物品。横向移动是跳跃机器(根据需要)以定位和访问具有重要数据的系统的过程。尽管这看起来有点像“登录”,但它绝不是对连接类型(通过RDP,SMB等)和身份验证(阅读:登录)的组合进行的分析。指标包括:

  • 用户/应用程序不匹配 –低级用户很少(如果有的话)使用与IT相关的工具,脚本等。从未使用RDP会话等的用户–同样是粗略的。
  • 网络流量异常 –类似的工具 网猫 可以在允许的端口上引导通信,以及通常不可见的任何形式的存在或过大的流量(例如SMB,RPC,RDP等)–都表明可能存在危害。

资料存取

就像之前涵盖的环境的每个部分一样,即使是基于文件的访问,基于数据库的访问或基于企业内容管理解决方案的访问,随着时间的推移也是相对可预测的。因此,查找以下异常可能表明存在妥协:

  • 访问时 –与登录一样,随着时间的流逝,用户对任何类型数据的访问都相当一致。下班后的访问值得怀疑。
  • 从哪里 –应该监视网络内端点通常访问的宝贵数据,以防止网络外部或外围端点的访问。
  • 数据量 –满足外围需要,以监视从网络发送的数据的增加,监视数据读取,导出或任何有价值的数据的复制/保存的任何增加。

寻找最容易妥协的迹象

由于大多数指标需要深入分析,因此从时间(甚至成本)的角度出发,禁止对大多数这些指标进行监控。您经常需要交叉引用多种信息来源,以获得各种见解。

我们必须确定哪些指标可以 最容易发现 同时提供 最伟大的指标 为了妥协。

最后,一个基本的事实有助于缩小您从哪里开始的重点-攻击者无权在您的组织中执行任何操作,除非他们能够破坏一组内部凭据。

除了外围攻击(其中SQL注入之类的攻击方法不需要凭据来访问数据)外,本文提到的所有其他层在某些时候都需要登录。端点需要登录才能访问,任何类型的横向移动都需要进行身份验证才能访问目标端点,而对数据的访问首先需要经过身份验证的连接。

简而言之:无登录,无访问权限!

实际上,与黑客相关的违规行为中有81%利用了被盗或弱密码1,使登录成为一个 几乎所有攻击模式的共同活动。因此,如果您必须选择一个区域来集中精力,那就是登录。

预防,而不仅仅是发现违规行为

通过将登录作为关键指标,您还可以 在采取关键行动之前确定妥协。这使登录成为真正的前述指标之一。例如,与横向移动和数据访问相关的指示器仅在采取措施后才发生。

此外,如果对登录进行了适当的监控,则可以使用第三方解决方案将其与自动响应相关联。例如 用户锁 将采取诸如注销用户和实施帐户使用限制之类的措施,以阻止威胁参与者并保护公司数据。简而言之,如果某些事情超出了一组既定限制,UserLock 在损坏完成之前自动采取行动 –不仅在IT介入时。

观察UserLock如何限制用户帐户的使用。

授权部门/ IP地址

用户锁减少了网络攻击面,以防止由于凭据泄露或可疑用户行为而导致不必要的访问。在限制区域之外,访问将被自动拒绝。

授权时间

用户锁限制对特定时间范围或最大会话长度的访问。在这些时间以外或时间到了时,会在事先警告的情况下断开用户的连接(强制注销)。

安全的无线和远程用户访问

用户锁考虑了来自所有会话类型和设备的访问。它使组织可以更好地控制和限制从域外部对其无线网络和用户连接的访问​​。

拒绝同时连接
从单一身份

用户锁可以限制唯一入口点和并发会话的数量,以防止从单个身份同时登录。停止粗心大意的行为,密码共享并确保对所有网络操作负责。

登录被拒绝

使用登录安全性阻止和停止妥协

作为成熟的安全策略的一部分,即使某些攻击也可以超越最佳分层防御,这一假设是必要且负责的。在此前提下,IT部门有必要尽早发现攻击的危害指标。

尽管某些指标比其他指标更难监控,但登录仍然是最容易观察的指标之一。通过在关键操作发生之前识别出危害,登录可以通过UserLock与自动响应相关联,不仅可以检测而且可以防止网络漏洞。

1 Verizon,数据泄露调查报告(2017)

下载本PDF白皮书

PDF版本-160 KB

关于UserLock

全球有3,000多家客户依靠UserLock来防止安全漏洞。与Active Directory一起使用以扩展而不是取代其安全性时,UserLock为所有Windows Active Directory域登录提供了强大的保护,即使凭据被泄露也是如此。

  • 使用用户登录周围的上下文信息,UserLock可以对身份验证后用户的操作施加进一步的限制
  • 用户锁提供实时可见性,风险检测工具和集中式审核,以帮助快速检测和响应可疑活动。

发现并尝试UserLock

仪表板用户锁