什么是基于凭证的攻击?

2020-04-22 17:24:17 云杰 101

什么是基于凭证的攻击?


当攻击者窃取凭据以获取访问权限,绕过组织的安全措施并窃取关键数据时,就会发生基于凭据的攻击。

 

凭证盗窃是基于凭证的攻击的第一阶段,是窃取凭证的过程。攻击者通常将网络钓鱼用于凭据盗窃,因为这是一种相当便宜且极为有效的策略。凭据网络钓鱼的有效性取决于人与人之间的互动,以欺骗员工,这与依靠安全防御弱点的恶意软件和漏洞利用方法不同。

企业凭证盗窃通常是有针对性的。攻击者搜寻诸如LinkedIn之类的社交媒体网站,搜索其凭证将授予对关键数据和信息的访问权限的特定用户。用于企业凭据盗窃的网络钓鱼电子邮件和网站比用于消费者凭据盗窃的网络钓鱼电子邮件和网站复杂得多。攻击者为使这些电子邮件和网站看上去与合法的公司应用程序和通信几乎相同而付出了巨大的努力。

正是在基于凭据的攻击的这一阶段,安全意识培训才成为第一道防线。不幸的是,不能保证员工会在100%的时间内识别出网络钓鱼企图。为了最大程度地减少凭据盗用,公司凭据应仅限于已批准的应用程序,并且应阻止不太可能或未知的应用程序和站点的使用。安全产品能够阻止公司凭据离开组织的网络,并阻止其提交到恶意站点。

 

什么是凭证滥用?

凭证滥用是基于凭证的攻击的最终结果,是实际使用泄露的密码来验证应用程序和窃取数据。

一旦攻击者掌握了用户凭据和密码,他们便可以在地下的网络犯罪中出售凭据,或使用它们来破坏组织的网络,从而绕过所有安全措施以阻止对手,在网络内横向移动并窃取数据。

在无分段的环境中,攻击者可以在组织的网络中自由移动。如果环境是隔离的,并且可以跨用户和应用程序提供可见性,则可以采取安全措施来防止攻击者横向移动并获得对关键数据的访问权限。

一旦攻击者获得了可以像有效用户一样操作的凭据,就很难进行识别入侵者并验证该用户是否确实是其凭据所声称的身份的人员。组织通常在应用程序内实施多因素身份验证,以要求用户多次验证其身份。但是,对组织内使用的每个单个应用程序执行此操作都是不可扩展的。在网络层(即在防火墙中)实施基于策略的多因素身份验证将提供所需的规模和最终用户的易用性。