从塔吉特到Ashley Madison,我们已经见识到与第三方的交互会怎样将弹性环境——设备、服务、应用自由进出的环境,转变成一个后门密布,黑客可轻易渗透进公司网络的不稳定空间。以下便是与第三方合作相关的5大威胁:
威胁1 共享凭证
这是我们在大型企业中遭遇的最危险的身份验证方式之一。设想有那么一个服务,不经常使用,却要求某种形式的基于凭证的身份验证。随时间推移,这个服务的用户发生了改变,但出于方便考虑,凭证却一直未变。该服务目前可出于多种目的,在多个地点,用不同设备登录。仅仅需要一个笨拙的用户上了凭证获取技术的当,该服务以及该服务的后续登录用户就万劫不复了。
公司内部的共享服务,从数据库到通信协议,都能成为想延伸触角获取目标网络更多访问权的恶意黑客的主要目标。持续的用户行为监视让系统管理员可以通过个体身份验证协议映射和关联所有异常用户访问事件来预防此种类型的服务滥用。无论共享凭证在你的网络里是不是司空见惯,能近实时地识别出它可能是你公司网络有潜在信息泄露的迹象。
威胁2 无规律访问
将内部凭证授权给合作伙伴的公司必须确信他们是长期而慎重的合作关系。管理和监控受信外部人士可能会是摆脱不掉的麻烦,尤其涉及试图分辨一个账户是否被黑的时候。账户和资源使用的无规律频繁变化,再加上对IT策略和规程的不熟悉,导致警报激增。
对合作公司或者重要内容或服务提供商赋予信任应该始于将终端用户的可能使用方式完全同化进公司。这意味着联合员工培训、严密监控的固定用户列表,以及预定义的参与用例。所有这些将有助于确保一旦怀疑有被黑凭证不当使用的状况,你的安全运营中心(SOC)有能力识别并修复该问题。
威胁3 联合云
很多公司开始着手部署云驱动的安全解决方案。尽管云应用使用规程已经受到广泛关注,我们仍然看到有更多的复杂规程建立在传统环境和新兴云之间,形成了另一个待解决的空间。着眼未来,我们建议采用跨环境身份验证协议和能够更细粒度监视这不断进化的攻击界面的措施。
认识到允许受信外部人士访问内部网络的固有弱点,安全运营中心需要对这些攻击界面投以特别关注。
威胁4 公共互联网接入
接入互联网且允许第三方远程登录的设备简直就是攻击者梦寐以求的大奖。采用社会工程和其他欺骗手段,攻击者可以拿到你共享工作站的初始访问权,并基于这一最初立足点渗透进你的网络中。
采用安全远程连接协议并在工作站上应用额外的监视层将减轻外部非授权访问的可能性,还可能在外部人士试图在你周边建立据点的时候提供有价值的情报。
威胁5 特权账户
特权账户可供内部不法分子和恶意外部人士安全获取敏感资源和/或修改自身访问级别。这正是特权账户应该像提供给受信外部人士的账户一样在共享访问工作站上被隐藏或禁用。
尽管由于大多数外部访问权授予的是需要某种程度的较高权限以提供服务或技术的团体而往往不可能真的禁用特权账户,我们建议在这些设备上建立目的明确的访问组以保证域控规则和其他方面都能辅助实时发现异常。