关于账户接管的 6 个神话

关于6个神话 账户接管(ATO) Prevent离子Strategies 关于ATO预防策略的6个神话 你觉得你做得足够了吗？ 帐户接管（ATO）是真实的，并且正在以惊人的速度增长。世界上运行密码，人们重复使用密码，犯罪分子仍然依靠这一事实来实施ATO。 The#1过去4年(2017-2020年)最常见的违规行动是使用被盗凭证。 平均而言，55岁以上的人只使用12个密码，而千禧一代使用8andZ世代只使用5. 59%很多人在任何地方都使用相同的密码，而普通人 200需要密码识别的在线帐户。 Only45%说他们会在数据泄露后更改密码. 43%通过大多数网站提交的登录是帐户接管尝试。 仅ATO对美国企业的成本就超过了$5BATO给你的企业带来了什么损失？ 认为标准的安全措施可以提供100%的帐户接管保护？ 再想想.我们分析了6种最流行的“ATO预防策略”，我们发现的是神话而不是事实。 误区1：多因素身份验证 在大多数国家,少于33%使用MFA的企业：美国和加拿大为28%，澳大利亚为29%，33%在英国。 07623是 您的PIN码代码 0101101000101101000011100010111011010 0010101100110100101001010001110010100 1010101011010110001010101011000110011 0011010101110101000110111010101100010 0101101000101101000011100010111011010 0010101100110100101001010001110010100 100010101101010101ACCESSGRANTED 07623 <10%Gmail用户启用了2FA。 MFA不会停止所有ATO，因为： 尽管继续接受教育，但采用率仍然很低。 个人身份信息(PII)经常被暴露 在社交媒体上，犯罪分子用它来猜测账户安全问题。 密码重复使用会暴露多个帐户。 犯罪分子使用网络钓鱼和SIM交换来拦截代码。 误区2：护照d经理 Only23%互联网用户使用密码管理器。在不需要密码管理器的组织中， 53%依靠人类的记忆来记住他们的密码. 用户名 用户名 用户名 catgirl23 catgirl23 catgirl23 密码 密码 密码 fluffykitty9 fluffykitty9 fluffykitty9 登录 登录 登录 30%正在使用高风险策略，例如编写密码在笔记本上。 密码管理器尚未停止ATO，因为： 大多数员工在家里不使用密码管理器。员工在个人设备上登录工作帐户。 超过76%的人重复使用相同的密码多个帐户。 犯罪分子将在多个帐户上尝试违反密码。 误区3：90天护照d轮换 fluffykitty9 fluffykitty8 fluffykitty7 fluffykitty6 密码重用允许猜测下一个密码 <猜测。 41%可以在3秒内猜出密码。 60%的密码可以用自动化工具破解。 90天的密码轮换不能有效防止ATO因为： fluffykitty1 fluffykitty3 用户通常以弱密码开始。 fluffykitty2 fluffykitty4 用户经常以可预测，可猜测的方式更改密码方式（例如fluffykitty8到fluffykitty9）。 fluffykitty5 攻击者使用恶意软件在密码更改后启用访问。 误区4：行为或基于启发式解决方案 超过350,000每天都有新的恶意软件程序。网络钓鱼攻击有所增加250%年复一年。 2019年，组织报告经历了中位数922,331 凭证填充尝试。 基于行为或启发式的解决方案并不总是有效，因为： 威胁行为者已经适应了反措施。 它们对应用程序具有运营影响，这些应用程序可以对客户体验产生负面影响。 老练的罪犯不太可能向人工智能倾斜。 风险水平 LOW中等HIGH非常高 SPYCLOUD.COM 关于ATO预防策略的6个神话 来源见第11页 误区5：深层和暗网扫描， 0101011 01010 011 10 0 1001010 UFFYK100 01 0 0 01 101 01101 101101 1 11 1101 10001 11101101 履带和刮板 >90%互联网上的信息在深网中，无法访问通过表面网络爬虫 识别和遏制违规行为的平均时间为280天。 Fullz或受害者的全部被盗信息可以在暗网上出售just$30-$40. 扫描仪、爬虫和爬虫错过了有价值的英特尔，因为: 被盗凭证很少在黑暗网络论坛上完整发布。 扫描仪只提取经过编辑的样本，而不是fullz。Fullz只能通过与威胁行为者的秘密关系获得。 自动化工具无法完全满足人类的需求。 误区6：公司政策 76%的公司缺乏使用个人电子邮件的政策公司网络。 7%对公司网络上的个人应用程序有政策，但不要监控。 50%的用户使用相同的密码为他们的个人和工作帐户。 公司政策不足以阻止ATO，因为： 20%的员工并不总是遵循公司的安全政策。 威胁行为者使用重复使用的个人目标公司帐户帐户密码。 犯罪分子向遵循公司政策的员工发送恶意软件，或者找到其他方法来利用它们。 网络犯罪策略的发展速度快于公司政策的制定速度。 选择右溶胶螺母离子 在评估ATO预防解决方案时，请提出一些棘手的问题： 在犯罪分子有机会造成伤害之前，这种解决方案能否及早发现潜在的妥协？此解决方案能否自动修复容易受到损害的帐户? 此解决方案是否包括对明文公开凭据的访问？ 网络罪犯很聪明。 您的ATO预防解决方案需要更智能。 在行业的支持下，为最佳的ATO预防提供可能最高质量、最具可操作性的漏洞数据库 SpyCloud是ATO预防领域的领导者，保护数十亿员工和消费者全球客户。我们从第三方收集的绝大多数被泄露的数据 入侵来自人类智能(HUMINT)，使我们能够找到暴露的凭证 在ATO生命周期的早期-在自动化工具知道它们存在于黑暗网络之前。通过我们的自动密码修复，我们使繁忙的安全团队能够扩展。 了解更多信息并在spycloud.com检查您的ATO曝光 Sources 你觉得你做得足够了吗？ 1.Verizon数据违规调查报告2017-2020；https://spycloud.com/a-deep-dive-into-the-verizon-2020-data-break-investigations-report/ 2.https://www.ibm.com/security/data-break/identity-report-user-study 3.https://lp-cdn.lastpass.com/lporcamedia/document-library/lastpass/pdf/en/logmein-lastpass-survey-电子书-v8.pdf 4.https://www.zdnet.com/article/google-launings-password-checkup-feature-will-add-it-to-chrome-later-this-year/ 5.https://securityintelligence.com/why-you-should-drop-everything-and-enable-two-factor-authentication-immediately/ 6.https://www.javelinstrategy.com/coverage-area/2018-身份-欺诈-欺诈-进入-新-时代-复杂性 误区1： 1.https://lp-cdn.lastpass.com/lporcamedia/document-library/lastpass/pdf/en/LMI0828a-IAM-LastPass-State-the-Password-Report.pdf 2.https://www.theverge.com/2018/1/23/16922500/gmail-users-双因素-身份验证-google 误区2： 1.https://www.helpnetsecurity.com/2020/05/18/use-password-manager/ 2.https://www.techrepublic.com/article/57-of-it-workers-who-get-phished-not-change-their-password-behaviors/ 3.https://www.helpnetsecurity.com/2020/05/18/use-password-manager/ 4.https://spycloud.com/spycloud-research-break-exposure-of-the-forture-1000/ 误区3： 1.https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes 误区4： 1.https://www.av-test.org/en/statistics/malware/ 2.https://www.cpomagazine.com/cyber-security/phishing-attacks-now-more-common-than-malware/ 3.https://spycloud.com/a-deep-dive-into-the-verizon-2020-data-break-investigations-report/ 误区5： 1.https://www.experian.com/blogs/ask-experian/wp-content/uploads/dark-web-infographic.jpg 2.https://www.ibm.com/security/digital-assets/cost-data-break/#/ 3.https://www.darkreading.com/vulnerabilities---threats/complete-personal-fraud-kits-sell-for-less-than-$40-on-dark-web/d/d-id/1335362 误区6： 1-2：https://www.computereconomics.com/article.cfm?id=1060 3.https://www.lastpass.com/state-of-the-password/global-password-security-report-2018 4.https://www.securitymagazine.com/articles/92992-of-workers-don-follow-company-security-policies-all-the-time