俄克拉荷马大学
AI智能总结
案例研究 OU修复了1,000个暴露的电子邮件帐户 俄克拉荷马大学 Overview 成立于1890年的俄克拉荷马大学(OU)是一所位于俄克拉荷马州诺曼市的公立研究型大学。该校拥有超过21,000名本科生、6,000名全职员工和80,000个活跃账户。机构意识到网络犯罪活动的潜在威胁始终存在,并采取积极的安全措施,但需要自动化和良好的数据来真正产生影响。 挑战 由于缺乏内部资源或足够的工具来识别和修复暴露的学生、教职员工和工作人员的电子邮件账户,OU一直处于账号被窃的风险之中。 解决方案 OU选择了SpyCloud,因为其用户友好的API和能够快速与ActiveDirectory账户对比的全面且已操作化的暴露数据,从而自动阻止恶意行为者攻击账户。 结果 OU现能基于可靠的SpyCloud数据和学生员工的创新性举措采取适当的补救措施,从而防止成千上万的账户被接管并对用户和大学造成危害。 使用SpyCloud 以及我们学生员工的聪明才智,我们合法地防止坏人损害账户。 OU面临与其他大多数高等教育机构相同的挑战:学生和工作人员使用学校电子邮件账户进行个人用途,经常在多个网站上重复使用他们在OU设置的密码。当他们这样做时,会使得网络犯罪分子不仅能够进入个人网站,还能够找到途径进入学校的账户。 OU知道其80,000个活跃账户中的一些账户会周期性地暴露在网络犯罪分子面前。然而,它并没有有效的方法来监控这些账户并发现所有暴露的情况。它依赖于第三方服务以及开源资源,如Pastebin和HaveIBeenPwned网站。 我们查看了Pastebin,他们会提醒我们已泄露的凭证,但这只给了我们故事的一部分,因为并非所有数据泄露的信息都会公开发布,“奥克拉荷马大学副CISOAaronBaillio表示。“有许多暗网和非公开网站拥有我们的信息,但我们无法通过公开来源看到这些信息。因此,我们必须找到一种更可靠的方式来获取警报并管理暴露。” 管理这些凭证暴露并非易事。即使OU收到了泄露警报,他们也没有足够的资源能力来调查并确定所有受影响的账户是否属于当前的学生或员工 、暴露的密码是否与他们的当前OU密码匹配,以及暴露发生的具体时间 。此外,该机构也没有实施任何密码策略来保护活跃账户的安全。Baillio及其团队将保护机构的安全作为优先事项,从前端和后端着手。 OU首先制定了一项全校范围的密码政策。学生、教职工和工作人员每年必须重置密码,且密码长度不少于八个字符,并需满足复杂性要求。同一密码在五次循环中不可重复使用。在良好的密码习惯得到执行后,学校开始自动化账户接管预防措施。 OU在其安全套件中拥有少数凭证暴露产品,但这些产品的规模和功能都不符合其需求。他们选择了SpyCloud,因为该解决方案不仅显示凭证的位置,还提供明文密码和哈希值,以便更容易找到精确匹配。此外,该解决方案还揭示了暗网中的暴露情况,而这些情况并未在公开来源中列出。通过在凭证出现在公共论坛之前发现这些暴露情况,OU可以在犯罪分子造成损害之前采取更多的预防措施。 有限的安全经验来构建有效的自动化。我们无法在其他平台上实现这一目标。” 使用SpyCloudAPI,一名学生员工能够从SpyCloud获取超过7,000个外泄电子邮件列表,运行自己的脚本,并发现超过1,000个具有匹配密码的ActiveDirectory账户。 我们不想在不必要的情况下封锁账户,因此来自SpyCloud的如此详细且可用的数据有助于我们的安全团队更加谨慎,“Baillio说。‘我们可以查看数据泄露的日期、发现暴露的时间以及严重程度。如果SpyCloud标记的事件中受影响的电子邮件数量为10个,但泄露已经超过一年,我们希望密码策略已经强制要求重置密码,因此我们不需要锁定账户。’” 在SpyCloud出现之前,如果接到7,000个暴露的密码警报,我们很可能因为资源不足而不得不忽略它们,”Baillio说。“有了SpyCloud,我们可以在不到30分钟内获取这些信息。我们将这些信息转交给我们的技术支持部门,在数小时内,成功保护了1,000个账户。借助SpyCloud和我们学生员工的创新精神,我们真正防止了坏人篡改账户。” OU决定将SpyCloud整合到其内部SOAR平台(安全、编排、自动化和响应)中。通过使用SpyCloud的API,他们将SpyCloud的数据泄露数据拉入到平台中。当有关特定数据泄露或凭证泄露的警报触发时,会自动创建一个工单。 作为其实用应用的一部分,学校选择了几名SOC学生员工,而不是使用SpyCloudActiveDirectoryGuardian生成自动化脚本,而是让他们实践自己的技能来创建自定义脚本,这些脚本会将SpyCloud的数据与学校的ActiveDirectory进行对比。这些脚本确定活跃账户和密码是否一致。 巴利奥认为,自大学将SpyCloud纳入安全栈后,大学目前处于更为有利的位置。因为SpyCloud能够使他们快速且高效地使用自身工具和内部集成来识别被comprommised的账户,从而能够更快地做出决策并进行修复。 他和他的团队专注于培训和外展活动,以教育学生、教职员工和工作人员有关密码重复使用的危险性,以及他所说可以导致高达60%的学生点击率的钓鱼campaign。 “SpyCloudAPI为我们自动化了繁重的工作和数据收集 ,”Baillio说。 我们的学生员工将SOAR和SpyCloud进行集成,以便我们能够迅速响应。拥有在Apiary中清晰定义的API文档,使我们的团队和学生能够更容易地使用这些工具。 如果您的密码在一处被泄露,可以肯定的是,在您其他使用相同密码的地方也会被泄露。我们需要让用户了解电子邮件和密码所带来的诸多安全隐患。OU正努力成为一个超越课堂的学习场所,影响他们的日常生活。 我曾在国防部工作了十年。在那里,我环游世界并支持驻地和部署中的网络操作与信息安全保障。我编写了符合AF认证和NIST认证的合规文件,包括政策和技术文档。我还花费了大量的时间在系统开发过程中进行安全工程。目前,我是俄克拉荷马大学安全运营的主管。我们涵盖了从日常维护到事件响应的整个安全运营范围。 防止可能导致勒索软件的帐户接管。 了解更多 计划并开发了用于恶意软件检测、DNS安全、漏洞发现与修复以及事件响应成熟度的工具集。我们支持整个大学的安全运营,并为学院的安全项目提供建议。 打击帐户接管和在线欺诈。 了解更多 SpyCloud将重新捕获的数据转化为保护企业免受网络攻击的手段。其产品利用一款专有的引擎从犯罪地下网络收集、整理、丰富和分析数据,从而促使企业能够主动预防账户接管和勒索软件,并保护其业务及其消费者免受在线欺诈。其独特的数据来源包括泄露事件、受恶意软件感染的设备及其他地下渠道,这些数据还支持许多流行的暗网监控和身份盗窃防护产品。SpyCloud的客户包括全球十大企业中的半数 、中型企业以及世界各地的政府机构。总部位于美国德克萨斯州奥斯汀市,SpyCloud拥有超过150名网络安全专家,致力于使互联网变得更加安全。 揭露罪犯企图伤害你的生意 。 了解更多 在spycloud.com上了解更多信息 利用SpyCloud的数据增强您的解决方案。 了解更多
