目录 Overview03 评估ATO预防解决方案和供应商时的主要考虑因素03 数据收集03 恶意软件数据04 早期检测04 数据清理、固化和富集05 自动化05 概念证明06 支持06 NIST合规性06 员工ATO预防解决方案清单07 使用SpyCloud对ATO采取行动08 Overview 账户接管(ATO)攻击正在上升,越来越多307%在过去的3年里,花费了组织数十亿美元 -一个惊人的114亿美元仅在2021年。作为犯罪分子可以窃取的最可取的数据,凭证仍然是顶部入口点进入组织和入侵的主要原因,因为它们允许不良行为者在 你的系统。 每年有数百万个用户名和密码被盗,ATO比以往任何时候都更加普遍。去年,SpyCloud重新捕获了 17亿个凭证对(电子邮件地址/用户名+密码组合),这仍然是最受追捧 在犯罪地下后,利润丰厚的资产不仅要进行像ATO这样的攻击,还要进行后续攻击,包括 勒索软件.Forexample,thehigh-profileColonialPipelineincreasedcriminalsgainingaccesstothepipeline’ssystem 使用受损凭据并发起勒索软件攻击。此被盗数据可以提供进入网络的入口点 和特殊的fic应用程序,其中包含客户数据、fi财务信息、知识产权和其他敏感数据。 为了防止这些网络攻击,组织必须找到检测和重置受损凭证的方法。但是,每个这些仅解决了问题的一个方面。为了有效,ATO预防解决方案必须考虑到可以被认为是“下一代ATO预防”,它不仅侧重于通过被盗凭证解决ATO,而且 恶意软件窃取的会话cookie,因为犯罪分子发展了他们的策略,包括劫持网络会话。 考虑以下最佳实践和准则,以评估适当的ATO预防解决方案如何节省您的组织花费的时间和资源来降低风险。 评估ATO预防解决方案时的主要考虑因素和供应商 数据收集 对于大多数企业来说,以所需的规模收集数据以保持对威胁的控制是不可能的。组织根本无法获得领先于需要被发现、策划并以速度与用户匹配的不断遭到攻击的数据 在它被用来对你的生意造成伤害之前必须采取行动。 许多ATO预防工具缺乏从暗网的各个层面收集全面的数据。而许多解决方案收集 关于地下犯罪的公开和经过审查的论坛上提供的商品和中等价值数据,最好是ATO预防解决方案将把人力资源投入到暗网的下层和核心层,在那里交易高价值的数据 andsoldinclosedandofflinegroups.Thisspecialitygoesbeyondbasicthreatintelligencetocollectdataearlyinthebreach 在可能之前对受损的员工、合作伙伴和供应商帐户进行最快的身份识别和补救的时间表被用来损害生意。 解决方案的数据存储库应该既全面又不断刷新。此外,公司应该能够提供一年的以下指标,您认为这些指标对补救和报告有意义,包括: 从第三方数据泄露中收集的唯一数据的计数,例如电子邮件地址、用户名、密码和个人身份信息(PII) 从恶意软件受害者日志中收集的唯一数据的计数,包括凭据、PII、IP地址和Web 会话cookie 明文/破解密码的数量 上述数据,特别是fic到您公司的域名(s) 同时,供应商应该愿意并能够证明它遵守数据收集的道德标准。 恶意软件数据 受恶意软件感染的设备给企业带来了很高的风险,因为它们使威胁行为者能够虹吸员工凭据 和Web会话Cookie(即使是来自SSO和VPN实例的第三方应用程序),以及其他有助于它们的数据 infiltrateyourbusinessviaATOorsessionhijacking。在被盗凭证和会话cookie中使用被盗的身份验证数据上反检测浏览器,对手可以像合法用户一样登录员工的账户,甚至绕过多因素 身份验证(MFA)。 为了防范这种威胁,全面的ATO预防解决方案将包括对员工的管理和 甚至未经管理的受恶意软件感染的设备访问您的网络,因此受感染的密码可以重置和被盗的网络会话可以尽快失效,从而在恶意行为者发起ATO或勒索软件攻击之前将其锁定。 早期检测 入侵发生后,攻击者通常会将被盗数据保存在一小群受信任的同事中,而他们货币化它,通常在被破坏的组织意识到发生了事件之前。到数据泄露超出这些当公众意识到这一漏洞时,被盗数据通常已经暴露了18到24个月。 因此,尽早在违规时间表中检测用户凭据和cookie的暴露是一种 ATO预防解决方案的核心功能。真正停止ATO需要在早期识别受损帐户之前 犯罪分子有时间使用被盗的凭据,对其他帐户进行测试,或在darknet上出售/交易它们。唯一的这样做的方法是访问一个全面的,不断更新的,实时的数据库的漏洞和恶意软件数据。 数据清理、固化和富集 在防止帐户接管方面,从暗网上收集数据是不够的。威胁情报 收集和分发公共违规数据的解决方案是被动的,不提供停止所需的可操作数据额外的数据泄露和账户接管,或者领先于勒索软件攻击。企业需要可操作的数据适当清洗和丰富,以领先于这些威胁。 来自暗网的数据打包得不好——它通常以混乱和非结构化的格式重新捕获。您的ATO 预防解决方案应以清理和管理过程为基础,以解析和规范化数据,删除 噪音,并获得真正相关和可操作的内容。确保解决方案能够通过以下方式消除不必要的警报 removefilesthatdon’tcontainspasswordorhighlyvaluablePII.Thisprocessshouldalsoidentifyduplyrecords,including 他们在违规和组合列表中被看到多少次,所以你知道特定员工在地下犯罪。 数据丰富提供了上下文洞察,包括来源、违规描述和实际违规明文密码以增加其可操作性。供应商破解收集的密码的能力允许您确定暴露的凭据与您的员工正在使用的凭据完全匹配。 仅提供数据收集并给企业带来可操作性负担的解决方案不会为您的安全性增加价值姿势。数据质量和可操作性对于防止ATO和后续勒索软件攻击至关重要。有 访问干净、丰富和分析的高质量数据,使您能够将其与他们的个人用户相关联多个在线角色,以确定他们对您的企业的真正风险。 自动化 根据CISO报告,41%的CISO认为自动化是他们的三大安全目标之一。自动化 解决方案对安全团队很有价值,因为它们允许通过主动镜头批准或拒绝预定的操作预防和保护,同时尽量减少对繁忙团队的影响。 在犯罪地下有如此多的数据可用的情况下,组织几乎不可能在威胁面前保持领先 theirsecurityteamsarespendinghoursmanuallysearchingfor,filtering,andsortingpublicbreakdata.Havingtheabilityto 以有据可查的标准化格式自动查询数据是可取的,因为它节省了内部团队的时间和精力,同时确保免受ATO的保护。 理想情况下,该解决方案还应提供与现有工作流和应用程序的集成,包括目录服务、SIEM 和其他内部检测工具,允许企业自动重置密码,并确保正确的团队有效修复受恶意软件感染的设备。 自动执行警报和密码重置等操作是ATO预防解决方案最大限度地减少延迟的最佳方式。 ATO防护解决方案检测受损凭证的速度越快,组织采取行动的速度就越快。 概念证明 要评估其数据的质量和可操作性,您应该要求进行“匹配率测试”和概念证明(POC) TheATOpreventionsolution.Eachvendorshouldbeabletoproveitsresultsbysharingwhatdataexistsintheirsystem(alltime 并在过去12个月内收集)匹配您的活动用户,包括总体匹配率、实际凭据匹配和明文密码。 在这些类型的测试中,最容易通过选择提供最广泛结果的供应商来缩小fi范围品种和最高的质量。 支持 想要企业级数据安全性的组织不应满足于其企业级支持 ATO预防解决方案供应商。供应商的客户支持团队应在正常工作时间和 24/7/365的关键项目,以及提供快速的解决方案和简洁的沟通。此外,他们的客户成功团队应该与您合作,建立长期关系,并确保与供应商和 解决方案。 除了专门的客户支持和成功团队外,供应商还应制定服务级别协议(SLA) 包括最多一个工作日来解决高优先级请求,以及任何托管API或门户。 NIST合规性 企业面临着越来越多的监管清单合规性义务,合规水平因行业而异。 您的ATO预防解决方案应帮助您满足组织不断增长的法规遵从性需求,包括国家标准与技术研究所(NIST)密码指南,强调降低风险的强有力政策 ATO: 禁止“常用、预期或受损”密码,包括包含在先前的违约语料库 至少需要8+个字符的密码 不要强制任意重置密码,因为它会导致密码重复使用和轮换 限制密码尝试失败的次数 员工ATO预防解决方案清单 在评估ATO预防解决方案时,请使用此快速指南确保解决方案检查所有框: 数据收集自动化 该解决方案包含漏洞数据和恶意软件数据。该解决方案可自动执行暴露的密码警报和重置功能。 该解决方案监控受攻击的帐户 员工、合作伙伴和供应商。该解决方案与其他工具集成在您的安全框架。 供应商的数据不断刷新。 供应商遵守数据收集的道德标准。 恶意软件数据 概念证明 供应商允许您测试数据以确保质量结果。 解决方案标识fies已管理和未监控受恶意软件感染的设备正在访问您的企业网络。 该解决方案包括从 受恶意软件感染的计算机,包括受攻击的计算机凭据和被盗的Web会话Cookie。 支持 供应商通过以下方式提供全面的支持敬业的团队。 供应商的客户支持团队提供快速决议和简洁的沟通。 该解决方案提供了对受损第三方的可见性 应用程序(即SSO,VPN),提供全面的感染后补救计划,以否定 勒索软件. 早期检测 解决方案标识会破坏凭据并被盗 cookie在攻击生命周期的早期。 数据清理、固化和富集 该解决方案提供的不仅仅是原始数据馈送。供应商会清理和管理数据,以确保 相关且可操作的解决方案。 供应商使用源信息丰富数据,以提供更多的上下文见解。 供应商在密码破解方面投入巨资,使数据可操作,避免无关的警报。 支持团队可用于现场支持,也处理关键项目24/7/365。 供应商超越了客户支持 客户成功团队确保您看到长期价值与供应商和解决方案。 合规性 该解决方案有助于满足政府和行业监管标准和实践。 对ATO采取行动SpyCloud 为了真正防止ATO,可以导致后续 网络攻击,如勒索软件,威胁情报解决方案仅仅是不够的。来自罪犯的攻击 以及意外或不知情的内部威胁,ATO预防解决方案必须更全面,以包括对 被泄露的凭据和Web会话cookie。 SpyCloud的企业ATO预防可帮助降低您的风险当您的员工的凭据时,通过提醒您数据泄露出现在犯罪地下,这反过来减少了进入 犯罪分子向您的网络提供勒索软件的要点。 通过检查您的员工的凭据和Web会话Cookie 与业内最大的重新捕获数据存储库相比, 您可以在犯罪分子之前重置受损的身份验证数据有机会使用它。 SpyCloud的企业解决方案检查ATO的所有方框预防: 控制你的人类攻击面 缩短您的曝光窗口与早期通知fi阳离子新曝光 防止、检测和重置受损员工密码 识别感染了infostealer恶意软件的员工 识别第三方供应商和存在违规行为的供应商恶意软件暴露 保护董事会成员和高级管理人员账户接管 帮助满足法规遵从性 增强员工帐户接管的现有工作流预防 为什么是SpyCloud ? SpyCloud的存在是为了破坏网络犯罪的循环,包括帐户接管、勒索软件和在线 欺诈。我们的解决方案由CybercrimeAnalytics提供支持基于世界上最大和最可行的 收集重新捕获的漏洞和恶意软件数据。 作为B2B组织和消费者值得信赖的合作伙伴全球各地的品牌,包括一半的财富