常莽

近日，有報(bào)道稱(chēng)，一種新的惡意軟件正在通過(guò)針對(duì)LinkedIn賬戶(hù)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)劫持Meta Facebook Business和廣告平臺(tái)賬戶(hù)。研究人員表示，這種名為Ducktail的惡意軟件使用來(lái)自經(jīng)過(guò)身份驗(yàn)證的用戶(hù)會(huì)話的瀏覽器cookie來(lái)接管賬戶(hù)，并最終劫持受害者有權(quán)訪問(wèn)的任何Facebook Business賬戶(hù)，竊取相關(guān)數(shù)據(jù)。

賬戶(hù)劫持

賬戶(hù)劫持（Account Hijacking）是控制他人賬戶(hù)的行為，目的通常是竊取個(gè)人信息、冒充或勒索受害者。賬戶(hù)劫持作為一種常見(jiàn)的攻擊類(lèi)型，執(zhí)行起來(lái)卻并不容易，為了成功實(shí)施攻擊，攻擊者必須提前弄清楚受害者的密碼。

企業(yè)賬戶(hù)被劫持會(huì)帶來(lái)巨大的安全威脅。例如，在上述“Facebook企業(yè)賬戶(hù)被劫持”事件中，為了滲透賬戶(hù)，攻擊者針對(duì)Linkedln用戶(hù)發(fā)起一場(chǎng)網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)使用與品牌、產(chǎn)品和項(xiàng)目規(guī)劃相關(guān)的關(guān)鍵字來(lái)引誘受害者下載包含惡意軟件可執(zhí)行文件以及相關(guān)圖像、文檔和視頻文件的存檔。

據(jù)了解，惡意軟件從Facebook竊取的具體信息包括安全憑證、個(gè)人賬戶(hù)識(shí)別信息、業(yè)務(wù)詳細(xì)信息和廣告賬戶(hù)信息。此外，研究人員表示，Ducktail還允許威脅行為者對(duì)Facebook商業(yè)賬戶(hù)進(jìn)行完全管理控制，這可以讓他們?cè)L問(wèn)用戶(hù)的信用卡或其他交易數(shù)據(jù)以獲取經(jīng)濟(jì)利益。

雖然，此次新型惡意軟件Ducktail能夠利用經(jīng)過(guò)身份驗(yàn)證的Facebook會(huì)話從受害者的Facebook賬戶(hù)中竊取信息。但一般情況下，保護(hù)企業(yè)賬戶(hù)、身份和訪問(wèn)管理仍然是一個(gè)很好的解決方案。

學(xué)會(huì)利用多因素的身份驗(yàn)證

例如，企業(yè)可以在VPN端點(diǎn)上實(shí)施RADIUS認(rèn)證，要求出示唯一憑證后才可訪問(wèn)。RADIUS認(rèn)證比使用共享憑證安全得多，但如果用戶(hù)憑證還是不幸被泄露，就需要額外的保護(hù)措施。此時(shí)，多因素的身份認(rèn)證就有了用武之地，例如，在VPN和RDP系統(tǒng)登錄時(shí)要求用戶(hù)出示二次認(rèn)證因素會(huì)讓登錄過(guò)程的安全性進(jìn)一步提升。目前，有幾類(lèi)驗(yàn)證因素已經(jīng)可以完全防止機(jī)器人暴力破解，并且對(duì)于其他針對(duì)性攻擊也同樣有效。

同時(shí)，企業(yè)還必須考慮自動(dòng)訪問(wèn)應(yīng)用的各種方法，如用于Web API的TLS相互認(rèn)證的證書(shū)，以及認(rèn)證令牌和所使用的API密鑰。但關(guān)鍵問(wèn)題是，要理解用戶(hù)如何登錄，并且為每種訪問(wèn)方法采取適當(dāng)?shù)谋Ｗo(hù)措施。

訪問(wèn)權(quán)限管控

例如，在企業(yè)云賬戶(hù)管理中，會(huì)計(jì)部門(mén)往往要求訪問(wèn)云供應(yīng)商控制臺(tái)的付款和賬單部分，但是負(fù)責(zé)監(jiān)視IaaS環(huán)境中的對(duì)象的運(yùn)營(yíng)工程師們有可能并不需要訪問(wèn)詳細(xì)的賬單記錄。其中，會(huì)計(jì)部門(mén)的哪些成員能夠創(chuàng)建新的存儲(chǔ)空間、啟動(dòng)新的虛擬實(shí)例，或者是對(duì)運(yùn)行在無(wú)服務(wù)器PaaS中的功能做出更改，而哪些又不能呢？這就是訪問(wèn)權(quán)限管控（例如“最小化權(quán)限”），企業(yè)要禁止一些非必要訪問(wèn)。

信任但要驗(yàn)證

正如對(duì)待諸如Windows的域賬戶(hù)等內(nèi)部賬戶(hù)一樣，企業(yè)的安全管理者也應(yīng)當(dāng)定期地驗(yàn)證訪問(wèn)等級(jí)是否適當(dāng)。

要建立終止和工作的變更程序，以確保在個(gè)人放棄或改變角色時(shí)能夠進(jìn)行相應(yīng)調(diào)整；要審核憑據(jù)的使用，確保其作用得到有效發(fā)揮；還要考慮是否存在一些工具，諸如在企業(yè)的訪問(wèn)策略中能夠扮演某種角色的特權(quán)身份管理工具。其中，特權(quán)身份管理工具有助于記錄憑據(jù)的使用，這類(lèi)工具的審計(jì)功能有助于記錄系統(tǒng)、賬戶(hù)的訪問(wèn)痕跡。