你们中的许多人可能在US-Cert警报电子邮件列表中,但我怀疑你们中的许多人没有. 因为你们大多数人都有面向互联网的设备, 或者更有可能是基于云的应用(Office 365 /谷歌Apps), at least), 我想确保我们所有的客户都“听到”了这条上周早些时候发出的警告中包含的信息,因为这可能会非常影响你(或可能已经影响到你)。.
美国国土安全部(DHS)和联邦调查局(FBI)已经确定,恶意网络行为者正在越来越多地使用一种名为“密码喷洒”的蛮力攻击方式来攻击美国和国外的组织.
In these attacks, 而不是对一个账户运行无尽的密码流, 这通常会让他们被锁定并很快被发现, 攻击者针对多个帐户处理单个密码, 然后切换到一个新的密码,一遍又一遍地重复这个过程. 这是一个非常缓慢的过程,因此会周期性地运行,直到他们最终获得成功点击并访问一个帐户.
国土安全部已经注意到,攻击者倾向于把注意力集中在使用SSO的应用程序上(尽管任何开放到Internet的东西都可能是一个目标)(想想那些使用您的AD信息来验证任何云应用程序的服务),一个容易的目标是基于云的电子邮件服务. SSO是最受欢迎的目标,因为一旦有了一组良好的凭据,攻击者就可以访问这些凭据可以通过Internet访问的所有内容.
一旦他们命中了一个电子邮件服务,他们也可以访问整个目录的其余部分,并利用它来利用更多的攻击帐户,直到他们找到一个可以访问您的环境中包含的最有趣的数据的帐户. 也许这是学生/员工的记录和SSN或类似的东西,然后攻击者将这些数据从网络中泄露出去,以在其他地方获得经济利益.
为了监视应用程序/服务遭受这类攻击的迹象,DHS建议您在集中的时间内(主要是短爆发,但最长可达2个小时的窗口)观察这些服务尝试登录/登录失败的增加情况。.
他们还建议观察从组织成员通常不会使用的IP地址成功登录的情况. For instance, 从智利这样的地方登陆是否正常, Iran or Europe?
为了防范这类攻击,国土安全部建议:
- 对所有面向internet的服务使用多因素身份验证
- 确保所有用户都遵循严格的密码策略
- 确保您的帮助台注意到异常数量的密码重置请求
这些建议中的大多数都不是什么新鲜事, 在CSI,我们在过去的几年里一直在谈论/建议你去做这些事情. 但这只是另一个例子, 如果您还没有这样做的话, 你现在就得采取行动. 如果不这样做,您的组织就会暴露于真实的和正在进行的攻击中.
如果需要额外的帮助或讨论在您的网络中实施任何需要的更改,请与我们联系.
有关US-Cert警报的全文可在此找到:
http://www.us-cert.gov/ncas/alerts/TA18-086A
在我抄送的文件中,还有两个有用的参考链接,它们包含了额外的建议:
选择和保护密码:
http://www.us-cert.gov/ncas/tips/ST04-002
Supplementing Passwords – MFA:
http://www.us-cert.gov/ncas/tips/ST05-012
Bob Knapp
Recent Comments