2021 年美国政府凭证曝光

特别报告: 2021年美国 凭据 政府曝光 Introduction 交叉中的关键基础设施和服务解决密码问题 不良的凭据习惯如何进行燃料攻击 缩小政府最大的网络安全差距预防措施关于SpyCloud 270K 凭证 .GOV电子邮件在2020年发布 87% .GOV员工密码重用率 79% 防御工业基础供应商的密码重用率 Abcd1234 与.GOV电子邮件地址相关的顶部暴露密码 Introduction 世界各地的组织都陷入了网络攻击的恶性循环。应对这些攻击具有令人难以置信的破坏性和成本；去年，单个勒索软件攻击的平均补救成本增加了一倍以上，从761,106美元增加到185万美元由于数据泄露的财务影响全 面打击了组织，公共部门的平均总成本增加了79%，从2019年的108万美元增加到2020年的193万美元。随着攻击和成本的激增，很明显，美国政府必须为这个网络犯罪的新时代做好准备。 可以说，地球上没有比美国政府更大的数据生产者，收集者，消费者和传播者了。然而，根据我们的分析，其在联邦，州和地方各级的庞大雇员网络，包括其承包商，恰好是一些比较粗心的凭证卫生从业者-特别是他们的 .gov帐户密码，这可能是介于高度敏感资产和犯罪眼睛之间的唯一安全措施。 在需要多因素身份验证（MFA）等分层防御的机构中，人们错误地认为这足以阻止确定的网络犯罪分子。随着2020年针对政府员工凭据和网络会话Cookie的网络钓鱼和恶意软件活动的增加-比上一年增加了67％-MFA根本不够。 TheU.S.政府严重依赖信息技术来提高效率和优化公民参与。政府机构持有的数据对网络犯罪分子非常有价值(特别是那些代表对美国有长期敌意的国家工作的人S.)，因为它包括政府雇员和公民的个人身份信息(PII)，以及对机密资产和知识产权的访问。 正如本报告所解释的那样，密码重用和松散的凭证安全协议的普遍性是暴露美国S.重大风险。是的，人类行为使密码习惯难以控制，但目前的情况是站不住脚的。它需要立即关注和采取行动来修复，以及适用于员工、供应商和公民的凭证安全新框架；其中之一： 用户被阻止选择和重复使用以前被泄露的密码。 受恶意软件感染的计算机将被快速调查和修复。 被盗数据在攻击生命周期的早期被否定，切断了犯罪分子的从中获利的能力。 十字准线中的关键基础设施和服务 2019年5月7日，巴尔的摩遭到勒索软件攻击，要求支付相当于76,000美元的比特币。攻击者突破了巴尔的摩网络中的一个开放式服务器，并安装了一个后门 ，在整个城市的计算机中移动，寻找有价值的服务器进行感染。为了传播勒索软件，它使用了NSA开发的名为EteralBle的软件，并结合了一种称为“传递哈希” 的技术，该技术利用被盗的凭据而无需破解密码。这座城市拒绝支付赎金。他们的恢复持续了几周，花费了至少1800万美元。 巴尔的摩最终成为针对政府基础设施的勒索软件后果的榜样。可悲的是，他们不会是最后一个。随着这场大流行在2020年颠覆了传统的IT和安全运营 ，近2400美元S.政府、医疗机构和学校是勒索软件的受害者。这些袭击中断了医疗，迫使救护车改道，并使公共交通瘫痪。 在美国，网络攻击多年来一直引起人们的关注。不仅违规的频率增加了，而且全球和经济影响也增加了。2018年，美国在受网络犯罪影响的国家中名列前茅；业内专家估计，美国S.由于网络攻击，政府面临超过137亿美元的成本 。在过去三年中，仅针对政府的勒索软件攻击就付出了代价。 528.8亿美元的恢复和停机时间。受影响的人数估计约为2亿。 现在勒索软件针对的是美国关键基础设施。这包括系统和资产 支持紧急服务，电信网络以及能源生产和传输设施。目前，勒索软件攻击正以无情的速度发生-估计每天发生4,000次攻击（每11秒一次）。 以下重大事件在短短6个月内成为媒体的头条新闻： 2020年12月：联邦执法部门收到了许多关于针对K-12教育机构的勒索软件攻击的报告。这些攻击针对学校计算机系统，减慢了访问速度，在某些情况下还使远程学习无法访问这些系统。 2020年12月：攻击者渗透了至少18,000个美国政府和私人网络SolarWinds供应链攻击，这是一项前所未有的活动，为2021年的后续攻击打开了大门。 2021年5月：ColonialPipeline宣布，它是勒索软件攻击的受害者，该攻击导致美国东南部大部分地区的汽油和其他石油产品的交付暂时中断。 2021年6月：肉类加工公司JBS的目标是勒索软件，这影响了公司的运营并威胁了食品供应。据报道，该公司支付了1100万美元的赎金。 这些事件，勒索软件或其他方式都具有类似的模式：犯罪分子利用被盗或受损的凭证来访问网络并在任何人注意之前传播感染。 解决密码问题 在过去的几年中，使用被盗或受损的凭证已成为导致违规的头号攻击媒介。公共部门也不例外。 密码重复使用会给政府机构和承包商带来重大的安全风险，尤其是当员工将不良的密码卫生带入工作时。通常，员工会将公司凭据用作个人登录，反之亦然。当第三方网站遭受数据泄露时，重复使用的员工登录为犯罪分子提供了获取公司数据的便捷途径。例如，如果员工使用其工作电子邮件和密码登录社交媒体网站，则违反该网站的罪犯可以轻松地将这些点连接起来以访问该员工的工作帐户等。 不幸的是，由于人为错误，疏忽和缺乏资源，密码 使用它们的人是网络安全中最薄弱的环节，也是网络犯罪分子渗透政府账户的最常见工具。 政府在网络安全防御，顾问和威胁检测工具（如防火墙，安全信息和事件管理（SIEM）以及防病毒产品）上花费了大量资金。所有这些工具都有自己的位置 ，可能非常有价值，但它们并没有解决这样一个事实，即如果更好地关注密码，就可以避免绝大多数攻击。 对于任何缺乏资源和解决方案来保护自己的组织，都无法超越勒索软件。但是，专注于密码安全性使解决勒索软件变得相当简单。即使是资金最不足的地方也可以通过理解和否定这些攻击的根本原因来防止它。 不良的凭据习惯如何进行燃料攻击 我们知道ColonialPipeline勒索软件攻击始于在另一个漏洞的一批被盗凭证中发现的单个受损密码。简而言之，使用被盗凭证渗透网络并安装勒索软件是犯罪分子最简单的途径。 多年来，组织一直是数据泄露的受害者，这些数据泄露窃取了大量用户数据，包括用户名和密码。这些违规行为的战利品最终会在犯罪市场上提供给任何想要购买它们的人。由于密码重复使用的普遍性，一旦犯罪分子从一个漏洞中获取了暴露的登录凭据，他们就可以使用它们来解锁更有利可图的帐户。 这意味着，如果一组来自第三方入侵的被盗凭证包含.gov电子邮件域，犯罪分子就有明显的线索表明他们可以访问网络和潜在的敏感政府信息。 在我们的分析中在重新捕获的泄露数据中，SpyCloud确定： 269,690份明文政府证书在465份违规行为中泄露。 在国防工业基地的27家最大的公司中，超过100万对暴露的电子邮件和公司帐户密码。 为能源领域109家财富1000强公司的员工提供了800,000份公司证书(每家公司超过7,000份)。这些风险为不良行为者获取政府资源并在政府供应链中造成巨大风险提供了潜在途径。 此外，当涉及到政府雇员的密码重用习惯时，SpyCloud的研究表明，87%的人正在使用.gov和个人帐户的密码相同。 坏HABIT刑事优势 我们选择弱的通用密码 不管所有关于强密码的重要性的建议，用户都会选择连续的数字和字典单词，或者在密码末尾添加一个！或1（特别是当IT提示每90天更改一次密码时） 。令人难忘的密码可能对用户来说是独一无二的-但它们通常不是。 密码喷雾攻击 易于记住的密码也很容易被不良行为者猜测，从而使消费者容易受到密码喷洒的攻击。这是一种蛮力攻击，其中网络犯罪分子使用用户名和常用密码列表来尝试访问特定站点。一旦匹配，他们将针对尽可能多的帐户测试相同的用户名和密码 组合。 我们在多个帐户中重复使用密码 对SpyCloud数据库的分析发现，在2020年多次数据泄露事件中暴露的用户中 ，密码重用率为60％。对于拥有.gov帐户的员工，这一比率甚至更糟：87 ％。如果 .gov用户帐户与被破坏的个人帐户共享密码，犯罪分子很容易将这些点连接起来并获得对政府数据的访问权限。 凭据填充攻击 密码重用从字面上可以实现凭据填充，这种攻击使用自动化来检查多个网站的合法凭据对，以查看可以接管的其他帐户。目前，每天估计有360万次此类攻击针 对美国人，联邦调查局和CISA最近开始发布有关这些蛮力攻击的警告。 我们点击链接并从不熟悉的来源下载附件 点击任何链接或文件在我们的收件箱中，无论我们是否识别发件人，都是人 类的天性。在最坏的情况下，无辜的点击会导致我们的机器感染键盘记录恶意软件。实际上，94％的恶意软件是通过电子邮件传递的。 键盘记录恶意软件 带有键盘记录组件的恶意软件可以记录用户的一举一动，捕获浏览器历史记录，会话cookie，文件，系统信息以及公司和第三方资源的登录数据。在许多情况下 ，这些信息使犯罪分子能够绕过MFA并直接访问网络，从而为勒索软件攻击打开 了大门。 强制重置：缩小政府最大的网络安全差距 美国政府机构之所以成为攻击目标，部分原因是它们准备不足，攻击者也知道这一点。国土安全部（DHS）在其《联邦网络安全风险确定报告和行动计划》中发现： “机构不了解，也没有资源来应对当前的威胁环境，机构没有标准化的网络安全流程和IT能力，这影响了他们有效获得可见性和高效的能力打击威胁，机构缺乏对其网络上发生的事情的可见性和特别是缺乏检测数据泄露的能力。“ 正如我们现在看到的那样，城市和州一级的情况更加不稳定。与巴尔的摩一样，许多市政府使用较旧的操作系统 ，硬件和软件，使它们更容易受到攻击。造成这种情况的原因很大程度上是由于缺乏 资金，这不太可能很快改变。不幸的是，当司法部制定其5亿美元的赠款计划时，网络犯罪并不是优先考虑的事项。更糟糕的是，FEMA指出，在2020年，只有2%的国土安全部准备赠款用于网络安全。虽然拜登政府对 网络安全，并表示将出台更严格的政策，在基本凭证安全和密码卫生方面的持续自满是不可持续的。 地方政府 在所有部门中，该部门停止数据加密和使用备份还原数据的能力最低。因此，地方政府拥有支付赎金的最高倾向之一-进一步鼓励攻击者将其作为目标。 联邦政府 由于联邦机构对训练有素的IT专业人员和SOC的大量投资，联邦机构在阻止勒索软件方面比地方政府更熟练。作为回应，攻击者专注于勒索式攻击，他们窃取敏感数据，然后威胁要暴露它，除非支付赎金 。 政府承包商/供应链 政府承包商是网络攻击的有吸引力的目标，因为美国S.联邦政府将高度敏感的信息委托给这些私人公司。被盗凭证被用来访问“安全”网络，并在组织内部造成严重破坏-并可能在供应链上造成破坏，正如我们目睹的SolarWids攻击的后果一样。SpyClod的研究发现，在最大的国防工业基地供应商（拥有政府特权的私人公司）中，79%的密码在公司和个人帐户中重复使用。 美国政府雇用或与美国政府做生意的每个人都必须认真对待网络安全。凭据管理提供了最有影响力和最实际的起点。 预防措施 持续监控受损凭据 尽管犯罪分子经常使用以前被破坏的数据来访问帐户，但组织可以使用相同的数据来保护自己。能够持续检查用户凭据是否显示在第三方中 漏洞和地下市场使政府组织能够快速保护.gov帐户，并防止犯罪分子将数据货币化。 关注供应链 政府工作依赖于与私营企业的伙伴关系，但那些外部组织也容易受到攻击，这反过来又使机构处于危险之中。对供应商基于凭证的网络攻击风险的可见性至关重要。如果发现数据泄露和恶意软件感染，机构可以选择限制对其数据的访问，直到受影响的供应商采取纠正措施。 教育你的劳动力 电子邮件仍然是恶意软件最常见的分发方法之一，包括勒索软件。无辜地单击错误的链接或附件可能会激活感染系统并删除数据的恶意代码。由于人类是每个安