账号和登录引发的安全运维问题,大牛教你轻松处理!
发布时间:2022-07-11 14:57:53 所属栏目:安全 来源:互联网
导读:根据最新的 IBM 全球威胁调查报告《X-Force威胁情报指数2020》,受攻击网络中 60% 的初始访问都是利用以前窃取的凭据或已知的软件漏洞,从而使攻击者更少依赖欺骗来获取访问权限。 一、概述 以操作系统、数据库、网络设备运维视角设定账号,这类账号一旦设
|
根据最新的 IBM 全球威胁调查报告《X-Force威胁情报指数2020》,受攻击网络中 60% 的初始访问都是利用以前窃取的凭据或已知的软件漏洞,从而使攻击者更少依赖欺骗来获取访问权限。 一、概述 以操作系统、数据库、网络设备运维视角设定账号,这类账号一旦设定,不能随意删除,因此,在员工离职、调岗等异动时不能通过删除账号来实现账号权限回收。 特权账号保管不善,导致登录凭证泄露、丢失,被恶意攻击者、别有用心者获取,然后被攻击者利用该登录凭证非授权访问业务系统,进而可能导致系统数据被删除、恶意增加管理员权限、非法下载大量数据等。特权账户从创建、使用、保存、注销等全过程更是面临较大泄露风险,比如有些特权账户需要进行多次流转(从超级管理员到普通管理员传递),目前普遍采用邮件、微信的方式的进行传递,有些安全意识较高的可能还进行加密处理,有些安全意识差的或者应急场景,密码明文传输更是比比皆是。攻击者若获取部分的账户、密码可能会对企业进行大范围的横向扩展攻击,导致系统遭受大面积入侵。 二、账号安全威胁检测措施 1.黑名单账号登录 告警发生场景:源用户账号不在用户指定的白名单账号列表中,并且曾经产生过一些攻击、违规等行为的账号可以列为黑名单账号重点关注。 日志来源:以 linux 系统登录日志为例 复制 Sep 2 15:47:10 localhost sshd[21996]: Accepted password for blackhat from 192.168.1.41 port 60982 ssh2 1. 人工分析:用户在日常运维中可以建立资产账号的黑白名单库,白名单账号为合法账号,黑名单账号为产生异常行为(绕行登录,单账号多IP登录,非上班时间登录,高危操作和敏感文件访问)的账号。通过查看登录日志筛选出所有登录账号,比对是否不在白名单账号中并属于黑名单账号。 工具分析:集中采集 linux 系统登录日志,解析关键字段:事件类型为登录,结果是否登录成功,登录账号信息,通过自定义黑白名单账号字典,账号信息命中不在白名单账号且在黑名单账号即刻触发告警,能大幅提升黑名单账号风险识别效率。 2. 失效账号登录 告警发生场景:源用户账号为失效账号,失效账号可能为离职员工账号、已经禁用/删除或过期的账号,正常不会用失效账号登录。 攻击方式:以失效账号登录系统,产生攻击、违规等风险行为。 检测思路:通过登录日志查看账号信息是否为失效账号。 日志来源:以linux系统登录日志为例 复制 Sep 10 15:40:10 localhost sshd[21996]: Accepted password for invalid from 192.168.1.41 port 60982 ssh2 1. 人工分析:查看登录日志筛选出所有登录账号,比对是否属于失效账号。 工具分析:集中采集linux系统登录日志,解析关键字段:事件类型为登录,结果是否登录成功,登录账号信息,通过自定义失效账号字典,账号信息命中失效账号字典即刻触发告警,能大幅提升失效账号风险识别效率。 攻击方式:以多个不同的账号登录同一个目标资产尝试进行密码猜测暴力破解。 检测思路:超过3个以上不同账号登录同一个目标主机失败。 日志来源:以linux系统登录日志为例 复制 Sep 10 15:40:10 localhost sshd[21996]: Failed password for userA from 192.168.1.41 port 60982 ssh2 Sep 10 15:42:12 localhost sshd[6116]: Failed password for userB from 192.168.1.39 port 60982 ssh2 Sep 10 15:43:15 localhost sshd[1828]: Failed password for userC from 192.168.1.21 port 60982 ssh2 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号