你们中的许多人可能在US-Cert警报电子邮件列表中,但我怀疑你们中的许多人没有. 因为你们大多数人都有面向互联网的设备, 或者更有可能是基于云的应用程序(办公室 365 / 谷歌 Apps), 至少), 我想确保我们所有的客户都“听到”了上周早些时候发出的警报信息,因为这很可能会影响到你(或者可能已经影响到你)。.
美国国土安全部(DHS)和联邦调查局(FBI)已经确定,恶意网络行为者越来越多地使用一种被称为密码喷洒的暴力攻击方式来攻击美国和国外的组织.
在这些攻击中, 而不是对一个帐户运行无穷无尽的密码流, 这通常会让他们被锁在外面,很快被发现, 攻击者对多个帐户处理一个密码, 然后换一个新密码,一遍又一遍地重复这个过程. 这是一个慢得多的安静的过程,它会周期性地运行,直到他们最终成功攻击并获得账户的访问权.
国土安全部注意到的是,攻击者倾向于把重点放在使用SSO的应用程序上(尽管任何向互联网开放的东西都可能成为攻击目标)(想想使用您的AD信息对任何云应用程序进行身份验证的服务),而一个容易攻击的目标是基于云的电子邮件服务. SSO是最受欢迎的目标,因为一旦他们拥有了一组良好的凭据,攻击者就可以访问这些凭据可以通过Internet访问的所有内容.
一旦他们攻击了一个电子邮件服务,他们还可以访问整个目录的其余部分,并利用它对更多的帐户进行额外的攻击,直到他们找到一个可以访问您的环境中包含的最有趣的数据的帐户. 也许这是学生/员工的记录和SSN或类似的东西,然后攻击者将这些数据从网络中泄露出来,以获取其他地方的经济利益.
为了监视针对您的应用程序/服务的这种类型攻击的迹象,国土安全部建议您在集中的时间段内(主要是短爆发,但最长可达2小时的窗口)监视这些服务的尝试登录/登录失败的增加。.
他们还建议注意从您的组织成员通常不会使用的IP地址成功登录. 例如, 从智利这样的地方成功登录是正常的吗, 伊朗还是欧洲?
为了防范这类攻击,国土安全部建议:
- 对所有面向internet的服务使用多因素身份验证
- 确保所有用户都遵循强密码策略
- 确保您的帮助台关注异常数量的密码重置请求
这些建议大多并不新鲜, 在CSI,我们在过去的几年里一直在谈论它们/向你推荐它们. 但这只是另一个例子, 如果你还没有这样做, 你现在就得采取行动. 如果不这样做,您的组织就会受到目前正在进行的真实攻击的利用.
如果需要额外的帮助或讨论在您的网络中实施任何必要的更改,请与我们联系.
有关美国电子证书警告的全文,请参阅:
http://www.us-cert.gov/ncas/alerts/TA18-086A
文件中还有两个有用的参考链接,我抄录在这里,其中包含以下方面的额外建议:
选择和保护密码:
http://www.us-cert.gov/ncas/tips/ST04-002
补充密码- MFA:
http://www.us-cert.gov/ncas/tips/ST05-012
鲍勃·克纳普
最近的评论