亲爱的Twitter,我觉得我们有必要聊聊「账号安全」了~
当地时间7月15日,推特遭大规模黑客攻击,奥巴马、拜登、比尔·盖茨、巴菲特、马斯克、贝佐斯、侃爷等多位名人政要推特被黑,发布了相似推文“双倍返现,你给我1000美元,我还你2000美元。”
账号被盗 事件影响较大
据美国有线电视新闻网报道,当地时间周三(15日),多位美国名人政要的推特账户遭黑客入侵,发布比特币诈骗链接。账号遭黑客入侵的人士包括美国前总统奥巴马、民主党总统候选人拜登、微软公司创始人比尔·盖茨、亚马逊公司创始人杰夫·贝佐斯、金融大亨沃伦·巴菲特、特斯拉CEO埃隆·马斯克、纽约市前市长迈克尔·布隆伯格、歌手坎耶·韦斯特、美国社交名媛金·卡戴珊等。
此次受到影响的名人政要账号数量众多,可以说是推特历史上最大的安全事件。推特官方表示正在对此事进行调查,推特的部分功能将受限,推特认证账号将无法发布推文或者重置密码。
账号安全 面临重大挑战
能同时拿下盖茨、贝佐斯、巴菲特、拜登、奥巴马、马斯克的Twitter账号发布消息,绝对在黑客史上浓浓地留下一笔。到目前为止,黑客在Twitter上发布的比特币账号地址已经接受了超过320笔转账,价值超过11万美元;更有甚者,如果是发送了类似支持川普连任的政治话语,后果不堪设想,账号安全的问题不容忽视。
诸如Twitter这样的用户基础足够庞大的网站或企业,是黑客眼中极具有价值的攻击目标,其中名人政要、高权限用户以及服务和共享类账户是内部和外部攻击者的主要攻击对象。通过获取他们的访问权限则能够访问最敏感的数据、交易信息和历史记录,甚至可以伪装成被攻击者持续潜伏进行APT攻击。由于诸如Twitter网站或企业的账号数量庞大且难以区分是否在合法使用,组织在监控这些账号时面临着巨大的挑战。有效监控账号不仅是一项重要的合规性要求,而且还是一项关键的威胁管理功能。
图:账号失陷
对账号异常行为的监控、检测和分析正是UEBA用户与实体行为分析技术的特长,通过收集整合全方位多维度以及用户上下文等数据信息,全局关联,进行行为基线分析和群体异常分析,通过AI机器学习异常检测算法,可以更深层次的进行账号安全洞察,迅速识别异常事件。通过对账号登录的时间、地点、频次和操作等异常监控,判断是否存在如短时间内异地登录、登录次数偏离整体基线、非工作时间上线和静默账号的忽然出现等异常活动,溯源分析确认是否存在账号被盗用或被攻陷。
AiThink全面覆盖账号风险场景
安恒信息AiThink用户与实体行为分析系统(UEBA)内置了超100+典型特征场景,覆盖账号安全、数据访问安全和业务安全等场景,包括账号风险,离职员工权限风险,内部数据窃取,数据泄漏风险,运维恶意操作等等。
图:特征场景
• 账号风险:针对企业员工VPN、OA等办公应用账号被攻击者窃取的风险监控。
• 离职员工权限风险:针对离职员工仍然具有权限,登录办公应用或业务系统的风险监控。
• 内部数据窃取:针对企业员工对内部OA、HR等系统数据的异常访问和窃取风险监控。
• 数据泄漏风险:针对内部源代码、数据库等数据泄漏风险的监控。
• 运维恶意操作:针对运维人员的高风险操作检测,以及异常行为预警。
Use Case 1:账号盗用
账号盗用一直是困扰企业用户安全审计和行为审计的痛点。恶意用户从事非法活动时,通常会删除或篡改活动日志,从而伪装成其他用户,来掩盖自己的痕迹。
用户A,是一家金融机构的系统管理员,他的账号有很多出入IT系统的权限,某天他的账号被黑客盗用了,黑客通过VPN等通道接入内网,并且将数据偷盗到公司外。
AiThink用户与实体行为分析系统(UEBA)通过接入的防火墙、IDS和IPS等检测设备日志,发现用户使用从未使用过的外部地址,即源地址行为异常;且利用LSTM算法发现用户有大量的数据库查询访问操作,偏离日常行为基线。综合判断用户A疑似被账号盗用。
Use Case 2:特权账号监控
用户A,像其他特权用户一样,利用其账号的权限登录到某一台主机或者服务器,主机登录算法用以检测每个用户经常使用的主机或者服务,DBA通常倾向于登录固定的几台机器,并且都是使用相似的命令,同时,销售人员都是使用OA系统的服务进行数据访问,两者使用方式完全不同。且发现用户A登录的是一台保存销售数据的服务器,这与他所在的DBA管理员组群体行为不同。
AiThink用户与实体行为分析系统(UEBA)通过Kmeans聚类算法根据用户行为数据的特征矩阵对用户划分对等组,行为模式类似的人群会划分到一个动态群组。基于Peer Group Analysis实时个群对比分析进行异常行为识别。异常用户一般占少数,可以通过对大部分用户的行为进行建模,找出少数的高危用户,再匹配威胁或攻击模型来确认。
Use Case 3:离职员工
有数据显示,内部威胁的最大风险来自于那些因不正当原因离职的员工,因此密切关注被解雇员工的账户活动非常重要。当员工离开公司时,他们的账户会从公司各系统中取消,但在许多情况下,他们仍然保留对某些公司资源的访问权。尤其针对特权账户,前管理员可能造成的潜在损害本质上更大。
员工A以前工作非常积极,经常朝九晚八加班工作,但在最近的两到三个星期中,基本都是五点半下班就准时打卡回家,利用Weekly周期性异常算法发现其偏离了之前的行为基线;且结合浏览器访问日志数据,发现有多个招聘类网站的访问记录。
图:行为基线
AiThink用户与实体行为分析系统(UEBA)能够洞察员工行为的改变,将这些员工在可能地数据泄露行为之前发现。
在过去和现在都不断在上演的账号安全导致信息泄漏事件,在诸多账号安全事件中,也许Twitter事件仅仅是我们所看到的冰山一角。随着各行业安全需求的不断变化,相信AiThink可以帮助解决更多账号安全问题,保障用户信息安全。
如何获得UEBA白皮书
关注“安恒信息”公众号
后台回复:UEBA
获取《UEBA技术白皮书》电子版一份
往期精选
围观
热文
卡里的蛋糕不保?知名蛋糕连锁店数据库遭入侵,安全细节细思极恐
热文