AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
親愛的Twitter,我覺得我們有必要聊聊「賬號安全」了~
當地時間7月15日,推特遭大規模黑客攻擊,奧巴馬、拜登、比爾·蓋茨、巴菲特、馬斯克、貝佐斯、侃爺等多位名人政要推特被黑,發布了相似推文“雙倍返現,你給我1000美元,我還你2000美元。”
賬號被盜 事件影響較大
?
據美國有線電視新聞網報道,當地時間周三(15日),多位美國名人政要的推特賬戶遭黑客入侵,發布比特幣詐騙鏈接。賬號遭黑客入侵的人士包括美國前總統奧巴馬、民主黨總統候選人拜登、微軟公司創始人比爾·蓋茨、亞馬遜公司創始人杰夫·貝佐斯、金融大亨沃倫·巴菲特、特斯拉CEO埃隆·馬斯克、紐約市前市長邁克爾·布隆伯格、歌手坎耶·韋斯特、美國社交名媛金·卡戴珊等。
?
此次受到影響的名人政要賬號數量眾多,可以說是推特歷史上最大的安全事件。推特官方表示正在對此事進行調查,推特的部分功能將受限,推特認證賬號將無法發布推文或者重置密碼。
賬號安全 面臨重大挑戰
?
能同時拿下蓋茨、貝佐斯、巴菲特、拜登、奧巴馬、馬斯克的Twitter賬號發布消息,絕對在黑客史上濃濃地留下一筆。到目前為止,黑客在Twitter上發布的比特幣賬號地址已經接受了超過320筆轉賬,價值超過11萬美元;更有甚者,如果是發送了類似支持川普連任的政治話語,后果不堪設想,賬號安全的問題不容忽視。
?
諸如Twitter這樣的用戶基礎足夠龐大的網站或企業,是黑客眼中極具有價值的攻擊目標,其中名人政要、高權限用戶以及服務和共享類賬戶是內部和外部攻擊者的主要攻擊對象。通過獲取他們的訪問權限則能夠訪問最敏感的數據、交易信息和歷史記錄,甚至可以偽裝成被攻擊者持續潛伏進行APT攻擊。由于諸如Twitter網站或企業的賬號數量龐大且難以區分是否在合法使用,組織在監控這些賬號時面臨著巨大的挑戰。有效監控賬號不僅是一項重要的合規性要求,而且還是一項關鍵的威脅管理功能。
圖:賬號失陷
?
對賬號異常行為的監控、檢測和分析正是UEBA用戶與實體行為分析技術的特長,通過收集整合全方位多維度以及用戶上下文等數據信息,全局關聯,進行行為基線分析和群體異常分析,通過AI機器學習異常檢測算法,可以更深層次的進行賬號安全洞察,迅速識別異常事件。通過對賬號登錄的時間、地點、頻次和操作等異常監控,判斷是否存在如短時間內異地登錄、登錄次數偏離整體基線、非工作時間上線和靜默賬號的忽然出現等異常活動,溯源分析確認是否存在賬號被盜用或被攻陷。
?
AiThink全面覆蓋賬號風險場景
?
安恒信息AiThink用戶與實體行為分析系統(UEBA)內置了超100+典型特征場景,覆蓋賬號安全、數據訪問安全和業務安全等場景,包括賬號風險,離職員工權限風險,內部數據竊取,數據泄漏風險,運維惡意操作等等。
圖:特征場景
?
? 賬號風險:針對企業員工VPN、OA等辦公應用賬號被攻擊者竊取的風險監控。
? 離職員工權限風險:針對離職員工仍然具有權限,登錄辦公應用或業務系統的風險監控。
? 內部數據竊取:針對企業員工對內部OA、HR等系統數據的異常訪問和竊取風險監控。
? 數據泄漏風險:針對內部源代碼、數據庫等數據泄漏風險的監控。
? 運維惡意操作:針對運維人員的高風險操作檢測,以及異常行為預警。
?
Use Case 1:賬號盜用
賬號盜用一直是困擾企業用戶安全審計和行為審計的痛點。惡意用戶從事非法活動時,通常會刪除或篡改活動日志,從而偽裝成其他用戶,來掩蓋自己的痕跡。
?
用戶A,是一家金融機構的系統管理員,他的賬號有很多出入IT系統的權限,某天他的賬號被黑客盜用了,黑客通過VPN等通道接入內網,并且將數據偷盜到公司外。
?
AiThink用戶與實體行為分析系統(UEBA)通過接入的防火墻、IDS和IPS等檢測設備日志,發現用戶使用從未使用過的外部地址,即源地址行為異常;且利用LSTM算法發現用戶有大量的數據庫查詢訪問操作,偏離日常行為基線。綜合判斷用戶A疑似被賬號盜用。
?
Use Case 2:特權賬號監控
用戶A,像其他特權用戶一樣,利用其賬號的權限登錄到某一臺主機或者服務器,主機登錄算法用以檢測每個用戶經常使用的主機或者服務,DBA通常傾向于登錄固定的幾臺機器,并且都是使用相似的命令,同時,銷售人員都是使用OA系統的服務進行數據訪問,兩者使用方式完全不同。且發現用戶A登錄的是一臺保存銷售數據的服務器,這與他所在的DBA管理員組群體行為不同。
?
AiThink用戶與實體行為分析系統(UEBA)通過Kmeans聚類算法根據用戶行為數據的特征矩陣對用戶劃分對等組,行為模式類似的人群會劃分到一個動態群組。基于Peer Group Analysis實時個群對比分析進行異常行為識別。異常用戶一般占少數,可以通過對大部分用戶的行為進行建模,找出少數的高危用戶,再匹配威脅或攻擊模型來確認。
?
Use Case 3:離職員工
有數據顯示,內部威脅的最大風險來自于那些因不正當原因離職的員工,因此密切關注被解雇員工的賬戶活動非常重要。當員工離開公司時,他們的賬戶會從公司各系統中取消,但在許多情況下,他們仍然保留對某些公司資源的訪問權。尤其針對特權賬戶,前管理員可能造成的潛在損害本質上更大。
?
員工A以前工作非常積極,經常朝九晚八加班工作,但在最近的兩到三個星期中,基本都是五點半下班就準時打卡回家,利用Weekly周期性異常算法發現其偏離了之前的行為基線;且結合瀏覽器訪問日志數據,發現有多個招聘類網站的訪問記錄。
圖:行為基線
?
AiThink用戶與實體行為分析系統(UEBA)能夠洞察員工行為的改變,將這些員工在可能地數據泄露行為之前發現。
?
在過去和現在都不斷在上演的賬號安全導致信息泄漏事件,在諸多賬號安全事件中,也許Twitter事件僅僅是我們所看到的冰山一角。隨著各行業安全需求的不斷變化,相信AiThink可以幫助解決更多賬號安全問題,保障用戶信息安全。
?
如何獲得UEBA白皮書!
《UEBA白皮書》干貨滿滿,等你來翻牌,點擊提交信息,免費獲取資料!
?
