选择企业ATO预防解决方案的注意事项 目录 Overview 03评估ATO预防解决方案和供应商时的主要考虑因素03数据收集 0304 恶意软件数据04 早期检测05 数据清理、固化和富集05 自动化06 概念证明06 支持06NIST合规性07员工ATO预防解决方案清单08使用SpyCloud对ATO采取行动 Overview 账户接管(ATO)攻击正在上升,越来越多307%在过去的3年里,花费了数十亿美元的组织-一个惊人的114亿美元仅在2021年。作为犯罪分子可以窃取的最可取的数据,凭证仍然是顶部入口点流入组织,并且是导致安全漏洞的主要原因,因为它们允许恶意行为者以合法用户的身份出现在您的系统中。 每年有数百万人的用户名和密码被盗,身份盗用(ATO)事件变得前所未有的普遍。去年,SpyCloud重新回收了 17亿个凭证对(电子邮件地址/用户名+密码组合),继续成为犯罪地下世界中最受欢迎和具有高收益性的资产,不仅用于实施如ATO(账户接管)类型的攻击,还包括后续的攻击活动。 勒索软件例如,高调的ColonialPipeline事件涉及犯罪分子利用泄露的凭据访问管道系统并发起勒索软件攻击。窃取的数据可以作为进入网络和特定应用程序的入口点,在这些地方存储有客户数据、财务信息、知识产权及其他敏感数据。 为了防止这些网络攻击,组织必须找到检测和重置被comprommised资质的方法。然而,每种方法仅解决了问题的一个方面。要有效预防ATO(凭证窃取攻击),解决方案必须考虑所谓的“下一代ATO防护”,这不仅关注通过被盗凭证来防范ATO,还关注随着犯罪分子的策略演变而窃取会话cookie的恶意软件,从而劫持网络会话。 考虑以下最佳实践和指导原则,以评估适当的ATO预防解决方案如何帮助您的组织节省减少风险所需的时间和资源。 评估ATO预防解决方案和供应商时的主要考虑因素 数据收集 大规模的数据收集以应对威胁,在大多数企业面前是不可能实现的。组织无法以必要的速度在数据被利用前找到、整理和匹配这些受损害的数据,从而无法领先于不断涌现的攻击。 许多ATO预防工具缺乏从暗网各个层级收集全面数据的能力。虽然许多解决方案能够收集来自合法论坛上公开且经过验证的犯罪地下网上可获得的商品级和中等价值数据,理想情况下,一个ATO预防解决方案应投入人力情报资源关注暗网的底层和核心层,在这些地方高价值数据在封闭和离线的小组内交易和销售。这种专业化超越了基本的威胁情报,旨在早期获取泄露时间线的数据,以便快速识别和修复被入侵的员工、合作伙伴和供应商账户,防止它们被用于损害业务。 该解决方案的数据仓库应既全面又不断更新。此外,公司还应能够呈现过去一年内以下您认为对整改和报告有意义的指标,包括: 从第三方数据泄露中收集的独特数据的数量,如电子邮件地址、用户名、密码和个人可识别信息(PII) 。 从恶意软件受害者日志中收集的独特数据的数量,包括凭证、个人识别信息(PII)、IP地址和网页会话cookie。 明文/破解密码的数量 以上数据,特定于贵公司的域名 同时,供应商应该愿意并能够证明它遵守数据收集的道德标准。 恶意软件数据 恶意软件感染的设备对企业构成高风险,因为这些设备使威胁行为者能够窃取员工凭据和网络会话cookie(即使对于像单点登录(SSO)和虚拟专用网络(VPN)实例这样的第三方应用程序也是如此),以及其他有助于它们通过账户接管(ATO)或会话劫持方式渗透企业业务的数据。使用盗取的身份验证数据在被盗凭据和会话cookie中进行攻击,从而进一步增加风险。反检测浏览器对手可以像合法用户一样登录员工的账户,甚至可以绕过多重身份验证(MFA)。 为了防范这一威胁,全面的ATO预防解决方案将包括对员工管理的乃至未管理的受恶意软件感染设备接入网络的情况进行洞察 ,以便尽快重置被comprommised的密码并无效化被盗用的网络会话,从而在恶意行为者能够发起ATO或勒索软件攻击之前将其锁定。 早期检测 在数据泄露事件发生后,攻击者通常会将窃取的数据限制在一个小范围的受信任同事内,并在此期间利用这些数据进行牟利,往往在被泄露组织意识到有安全事件之前。当数据最终从这些封闭的小圈子泄露出去并被公众知晓时,窃取的数据通常已经暴露了18到24个月之久。 因此,在泄露时间线上尽早检测用户凭证和cookies的暴露是ATO预防解决方案的核心功能之一。真正阻止ATO需要在犯罪分子有机会使用被盗凭证、测试其他账户或在暗网上出售/交易这些凭证之前,尽早识别出被攻击的账户。唯一的方法是拥有一个全面的、不断更新的实时数据库,包含泄露和恶意软件的数据。 数据清理、固化和富集 收集暗网数据本身不足以防止账户接管。依赖收集和分发公开泄露数据的情报解决方案是被动的,并不能提供必要的可操作数据来阻止额外的数据泄露和账户接管,或提前应对勒索软件攻击。企业需要经过适当清洗和丰富处理的可操作数据,以提前应对这些威胁。 暗网数据通常以杂乱无序的形式存在,无法直接使用。您的反身份盗用解决方案应基于一个清理和整理的过程,以解析和规范化数据、去除噪音,并提取真正相关且可操作的信息。确保该解决方案具备消除不必要的警报的能力,即移除不包含密码或高度有价值的个人身份信息(PII)的文件。此外,此过程还应识别重复记录,包括这些记录在数据泄露和组合列表中出现的次数,以便您了解特定员工在犯罪地下经济中的风险规模。 数据增强提供了上下文洞察,包括来源、泄露描述以及实际被泄露的明文密码,以提高其实用性。供应商破解收集到的密码的能力使您能够确定泄露的凭据是否与员工当前使用的凭据完全匹配。 仅提供数据收集而将行动性负担留给人企业的解决方案不会提升你的安全态势。在预防ATO(账户接管)和后续的勒索软件攻击时,数据质量和行动性至关重要。能够访问高质量、干净、丰富并经过分析的数据,使你能够将这些数据与用户在多个在线身份角色下的行为相关联,从而确定他们对企业的实际风险。 自动化 根据CISO报告,41%的CISO认为自动化是他们前三项安全目标之一。自动化解决方案对安全团队而言极具价值,因为它们允许以预防和保护为导向,预先批准或拒绝预定的操作,并且能够最大限度地减少繁忙团队的影响。 由于犯罪地下网络中可用的数据量庞大,如果安全团队花费大量时间手动搜索、过滤和整理公开的泄露数据以应对威胁,组织几乎不可能保持领先。能够以文档化且标准化的格式自动查询数据的能力是可取的,因为它可以节省内部团队的时间和努力,同时确保从ATO(高级持续威胁)中得到保护。 理想情况下,该解决方案还应能够集成到现有的工作流程和应用程序中,包括目录服务、SIEM和其他内部检测工具,从而允许企业自动化密码重置,并确保正确的团队能够有效应对受恶意软件感染的设备。 自动化像警报和密码重置这样的操作是防止身份盗窃解决方案减少延迟的最佳方式。最终,防止身份盗窃解决方案能够更快地检测到被compromized的凭据,组织就能更快地采取行动。 概念证明 为了评估其数据的质量和实用性,你应该要求进行“匹配率测试”以及ATO预防解决方案的“概念验证”(ProofofConcept,POC )。每个供应商都应能够通过分享其系统中存在的所有时间的数据(包括过去12个月收集的数据)以及与你的活跃用户匹配的数据来证明其结果,包括总体匹配率、实际凭证匹配以及明文密码。 在这种类型的测试中,通过选择提供最广泛且质量最高的各种结果的供应商来缩小范围最为简便。 支持 一家希望获得企业级数据安全的组织不应将就任何低于企业级别的支持,而应从其ATO预防解决方案供应商处获得企业级支持 。供应商的客户支持团队应在常规工作时间内实时提供支持,并在关键时刻提供24/7/365全天候服务,同时提供快速解决问题和简洁沟通的能力。此外,他们的客户成功团队应与您合作,建立长期关系,并确保您与供应商及解决方案之间的积极体验。 除了专门的客户支持和成功团队外,供应商还应制定服务水平协议(SLAs),其中应包括对高优先级请求在最多一个企业工作日内的响应时间,并且任何托管API或门户的正常运行时间为99.9%。 NIST合规性 企业面临着越来越多的监管清单合规性义务,并且合规水平因行业而异。您的ATO预防解决方案应帮助您满足组织日益增长的合规需求,包括国家工业标准与技术研究院(NIST)的密码指南,该指南强调了强策略以降低ATO的风险: 禁止“常用的、预期的或受损的”密码,包括以前的违规语料库中包含的密码 至少需要8+个字符的密码 不要强制任意重置密码,因为它会导致密码重复使用和轮换限制密码尝试失败的次数 员工ATO预防解决方案清单 在评估ATO预防解决方案时,请使用此快速指南确保解决方案检查所有框: 数据收集自动化 该解决方案包含漏洞数据和恶意软件数据。该解决方案可自动执行暴露的密码警报和重置功能。 该解决方案监控员工、合作伙伴和供应商的受损帐户。 该解决方案与安全框架中的其他工具集成。 供应商的数据不断刷新。 供应商遵守数据收集的道德标准。 恶意软件数据 概念证明 供应商允许您测试数据以确保高质量的结果。 该解决方案识别出➓入您CORPORATENETWORK的已感染受管理及未监控恶意软件的设备 。 ✯持 供应商通过专门的团队提供全面的✯持。 Thesolutionincludes从受恶意软件感染的机器获取的信息,包括泄露的凭证和被盗的网络会话cookie。 该解决方案提供了对受感染的第三方应用程序(即SSO 、VPN)的可见性,并提供了一个全面的后感染修复计划,以消除勒索软件的入口点。 早期检测 该解决方案在攻击生命周期的早期识别受损的凭据和被盗的Cookie。 数据清理、固化和富集 供应商的客户✯持团队提供快速的解决方案和简洁的沟通。 ✯持团队可用于实时✯持,并且还可以24/7/365处理关键项目。 供应商通过组建客户成功团队而不仅仅是提供客户✯持,以确保您从供应商和解决方案中获得长期价值。 合规性 该解决方案有助于满足政府和行业监管标准和实践。 该解决方案提供的不仅仅是原始数据馈送。 供应商会清理和管理数据,以确保数据的相关性和可操作性,从而为解决方案提供动力。 供应商使用源信息丰富数据,以提供更多上下文洞察 。 供应商在密码破解方面投入了大量资金,使数据具有可操作性,并避免了无关的警报。 使用SpyCloud对ATO采取行动 为了真正防止高级持续威胁(ATO)导致的后续网络攻击,如勒索软件攻击,仅仅依靠威胁情报解决方案是不够的。由于攻击不仅来自犯罪分子,还可能来自无意中泄露机密信息的内部人员,因此预防高级持续威胁的解决方案必须更加全面,包括监控被篡改的凭证和网页会话cookie。 SpyCloud的企业级ATO防护有助于降低数据泄露风险,通过在员工凭证出现在犯罪地下网络时向您发出警报,从而减少犯罪分子进入您的网络并交付勒索软件的入口点。 为什么是SpyCloud? SpyCloud旨在打破网络犯罪循环,包括账户➓管、勒索软件和在线欺诈。我们的解决方案基于全球最大的最具行动力的回收泄露和恶意软件数据的网络犯罪分析。 作为全球范围内B2B组织和消费者品牌的可信赖合作伙伴,包括《财富》前10强的一半企业,SpyCloud保护超过30亿个账户免受使用被盗数据进行的网络攻击。听听一些我们满意客户的声音: 通过将员工凭证和网络会话cookie与行业最大的重新捕获数据仓库进行比对,您可以在犯罪分子有机会使用这些数据之前重置被comprommised的身份验证数据。 SpyCloud的企业解决方案检查ATO预防的所有方框: -Atlassian首席安全情报分析师,NielsHeijmans 控制你的人类攻击面 通过提前通知新曝光缩短曝光窗口 防止、检测和重置受损的员工密码 识别感染了infostealer恶意软件