账号安全那些事儿

最新推荐文章于 2022-12-26 10:08:19 发布
最新推荐文章于 2022-12-26 10:08:19 发布
阅读量368 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全 安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/115011471
版权

随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。账号安全,也在不断的威胁着企业核心数据安全。

根据最新的 IBM 全球威胁调查报告《X-Force威胁情报指数2020》,受攻击网络中 60% 的初始访问都是利用以前窃取的凭据或已知的软件漏洞,从而使攻击者更少依赖欺骗来获取访问权限。

一、概述

以操作系统、数据库、网络设备运维视角设定账号,这类账号一旦设定,不能随时删除,因此,在员工离职、调岗等异动时不能通过删除账号来实现账号权限回收。

特权账号保管不善,导致登录凭证泄露、丢失,被恶意攻击者、别有用心者获取,然后被攻击者利用该登录凭证非授权访问业务系统,进而可能导致系统数据被删除、恶意增加管理员权限、非法下载大量数据等。特权账户从创建、使用、保存、注销等全过程更是面临较大泄露风险,比如有些特权账户需要进行多次流转(从超级管理员到普通管理员传递),目前普遍采用邮件、微信的方式的进行传递,有些安全意识较高的可能还进行加密处理,有些安全意识差的或者应急场景,密码明文传输更是比比皆是。攻击者若获取部分的账户、密码可能会对企业进行大范围的横向扩展攻击,导致系统遭受大面积入侵。

基于异常账号(黑名单账号,失效账号)和账号异常行为(绕行登录,单账号多IP登录,非上班时间登录,高危操作和敏感文件访问)维度分析,能及时发现某账号的操作行为时间轴轨迹,形成立体画像,及时检测威胁,避免安全威胁进一步扩大化,有效降低安全损失。

二、账号安全威胁检测措施

1.黑名单账号登录

告警发生场景:源用户账号不在用户指定的白名单账号列表中,并且曾经产生过一些攻击、违规等行为的账号可以列为黑名单账号重点关注。

攻击方式:以黑名单账号登录系统,产生攻击、违规等风险行为。

检测思路:通过登录日志查看账号信息是否不在用户自定义的白名单账号列表中,将产生异常行为(绕行登录,单账号多IP登录,非上班时间登录,高危操作和敏感文件访问)的账号设置为黑名单账号列表,账号不在白名单且在黑名单列表中的触发告警。如白名单账号产生异常行为后,将转成黑名单账号。

日志来源:以 linux 系统登录日志为例

Sep 2 15:47:10 localhost sshd[21996]: Accepted password for blackhat from 192.168.1.41 port 60982 ssh2

人工分析:用户在日常运维中可以建立资产账号的黑白名单库,白名单账号为合法账号,黑名单账号为产生异常行为(绕行登录,单账号多IP登录,非上班时间登录,高危操作和敏感文件访问)的账号。通过查看登录日志筛选出所有登录账号,比对是否不在白名单账号中并属于黑名单账号。
工具分析:集中采集 linux 系统登录日志,解析关键字段:事件类型为登录,结果是否登录成功,登录账号信息,通过自定义黑白名单账号字典,账号信息命中不在白名单账号且在黑名单账号即刻触发告警,能大幅提升黑名单账号风险识别效率。

2. 失效账号登录

告警发生场景:源用户账号为失效账号,失效账号可能为离职员工账号、已经禁用/删除或过期的账号,正常不会用失效账号登录。
攻击方式:以失效账号登录系统,产生攻击、违规等风险行为。
检测思路:通过登录日志查看账号信息是否为失效账号。
日志来源:以linux系统登录日志为例

Sep 10 15:40:10 localhost sshd[21996]: Accepted password for invalid from 192.168.1.41 port 60982 ssh2

人工分析:查看登录日志筛选出所有登录账号,比对是否属于失效账号。
工具分析:集中采集linux系统登录日志,解析关键字段:事件类型为登录,结果是否登录成功,登录账号信息,通过自定义失效账号字典,账号信息命中失效账号字典即刻触发告警,能大幅提升失效账号风险识别效率。

3.多账号登录同一重要资产失败

告警发生场景:多个不同的账号登录同一个目标资产失败,可能存在有意的批量账号猜测攻击。
攻击方式:以多个不同的账号登录同一个目标资产尝试进行密码猜测暴力破解。
检测思路:超过3个以上不同账号登录同一个目标主机失败。
日志来源:以linux系统登录日志为例

Sep 10 15:40:10 localhost sshd[21996]: Failed password for userA from 192.168.1.41 port 60982 ssh2
Sep 10 15:42:12 localhost sshd[6116]: Failed password for userB from 192.168.1.39 port 60982 ssh2
Sep 10 15:43:15 localhost sshd[1828]: Failed password for userC from 192.168.1.21 port 60982 ssh2

人工分析:需要查看同一台目标主机的登录失败日志,是否在短时间内有多个不同的源IP、不同账号登录失败。
工具分析:集中采集 linux 系统登录日志,解析关键字段:事件类型为登录,结果是登录失败,针对同一个目标系统,在一段时间内失败超过 3 次即刻触发告警,能大幅提升账号风险行为识别效率。

4.单账号多 IP 登录

告警发生场景:某账号已登录,在未退出的情况下从另一源 IP 地址成功登录,可能密码外泄或被破解。
攻击方式:攻击者获取账户信息后从多个 IP 地址成功登录,通过多 IP 干扰溯源取证。
检测思路:通过多条日志关联分析,登录结果成功的账户为同一个账户,但是源IP不同,即可判定属于单账号多IP登录事件,触发告警。

最低0.47元/天 解锁文章
SECISLAND安全官
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
账号权限问题导致数据泄露频发,如何破解“万豪们”的安全难题?
尚红林 阿里云安全资深产品专家
05-11 1648
2020开年真是不算太平,除了现实世界里新冠病毒疫情爆发、沙特石油大战,赛博世界里也出现了大规模数据泄露事件,万豪酒店520万用户数据再遭泄露。该漏洞始于2020年1月中旬,2020年2月底被发现。对本来就处于复工复产初期不算景气的酒店业,也算是雪上加霜。 据悉,本次导致数据泄露的原因是通过万豪第三方特许经营酒店中两名员工的登录账号访问了大量敏感数据造成的。对比上次, 2014年起即存在第三方账号对喜达屋网络未经授权的访问,但公司直到2018年9月才第一次收到警报,今年同样的戏码再次上演。由此可以看出,对
浅谈账户安全
daiyudong2020的博客
07-11 1502
一、什么是账号安全,主要涉及几大方面 1,防养号 1.1 恶意注册/登录 危害:黑产养号,准备随时作恶 2,防刷 2.1 刷广告 危害:破坏产品生态,涉黄涉政 2.2 撸羊毛 危害:损失直接的金钱 3,防盗 3.1 盗号 危害:非法转移个人财产、诈骗、刷广告等 3....
安全管理最佳实践系列:账号安全管理
weixin_34112181的博客
01-06 973
在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除云上所有数据及备份一样。 也许你会侥幸认为“这不会发生在我身上吧?”,未必!根据CSA 2016对业界主流云服务商的客户安全威胁分析报告,发现特权账户密码/AK等敏...
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
最新发布
xiaozhao2017的博客
12-26 3671
windows暴破事件日志
MS16-032提权正确方法
weixin_30311605的博客
03-18 1243
原版MS16-032提权会Spawn一个System Shell出来,只能通过Remote Desktop获取。这里修改exploit,直接反弹Shell。注意MS16-032依赖 thread handle,如果提了很多次后, thread handle用尽也无法成功。 root@kali:/tmp# wget https://raw.githubusercontent.com/samratas...
特权账号安全能力建设.pdf
01-25
特权账号安全能力建设 特权账号安全能力建设是当前企业信息安全建设的关键环节。随着数据安全形势的演变,特权账号管理的重要性日益凸显。特权账号是一种高权限账号,能够访问和控制企业关键的IT资产和数据资源。...
全套账号安全管理规范要求
04-09
信息安全管理制度全套
账号安全建设一期.ppt
07-21
企业员工账号安全建设一期
浅析账号体系安全.pdf
08-07
账号体系与业务安全相关性 直接影响 如何防止-营销活动 如何防止-金融安全(账号体系) 为何不去密码? 假如没有了登陆密码,会发生什么? 我们将面临新的挑战
IIS网站独立帐号设置教程确保服务器安全
09-30
自己的服务器某个站被人入侵后,其它的网站也相继遭殃,百分之九十是IIS网站帐号权限过大,服务器上的所有网站共用一个IIS帐号所致,接来下新手如何设置IIS网站帐号,感兴趣的朋友可以参考下哈
解析win7/WinServer2008用户登录日志
weixin_34342207的博客
09-24 440
Logon Type 2 – Interactive This is what occurs to you first when you think of logons, that is, a logon at the console of a computer. You’ll see type 2 logons when a user attempts to log on at the lo...
windows2008 安全日志出现大量帐号登录失败的解决办法
热门推荐
未央帝的专栏
08-07 4万+
最近几天,通过事件查看器发现了大量的帐号登录失败的日志,搞得焦头烂额的。 信息内容 `帐户登录失败。主题: 安全 ID: SYSTEM 帐户名: XXX-XXXXX$ 帐户域: WORKGROUP 登录 ID: 0x3e7登录类型: 3登录失败的帐户: 安全 ID: N
Windows中的工作组(Work Group)、域(Domain)、域控(DC)、活动目录(AD)介绍
CoffeMilk的博客
11-15 1万+
一、域介绍 1.1、工作组 1.1.1、工作组介绍 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有很多(成百上千)台工作电脑;如果不对这些电脑进行分组,则都会显示在"网上邻居"内,这样都很混乱,不好区分电脑归属,不利于资料的共享。 比如,在一个公司内,有信息部、研发部、设备部、人力资源部等,则就创建对应的部门组,组内就是对应的成员电脑,这样就清晰明了了。 1.1.2、怎样加入工作组 1.2、什么是域 1.3、 ..
【不忘初心】Win10_20H2_2009_19042.662_X64_六合一_[纯净精简版][2.72G](2020.12.8)
小刚刚技术博客
12-08 5379
母版来自MSDN WIN10_20H2.19042.508,集成补到19042.662,20H2相比1909 2004版本要稳定很多,此版修复了上次的一些问题,精简方法基本上还是原来配方,为了保证稳定初心的系统全部都是离线精简和优化,非二次封装。系统纯净、流畅、进程少无任何第三方软件,可正常更新补丁、办公无影响、欢迎朋友们测试反馈,提出意见! 1、可正常在线更新补丁。 2、纯净 无任何第三方软件。 3、追求稳定、没有过度优化,可以正常办公。 4、打印 蓝牙...
Linux日志安全分析,Linux日志分析场景(一)
weixin_31859277的博客
05-04 639
随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,对企业的正常工作,造成巨大影响。高级持续性威胁(APT***)、鱼叉***、内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全。如何检测安全威胁事件?通过海量日志分析能有效发现安全威胁事件的蛛丝马迹,触发告警,...
通过windows安全日志查找账号锁定
weixin_34162228的博客
03-11 1383
1.FilterEventID4740whichisthelockoutevent.2.FilterEventviewbytheaccountname:<QueryList><QueryId="0"Path="Security"><SelectPath="Security">*[EventData[Dat...
奇安信2022特权账号安全管理深度解析
"【标题】:《特权账号安全能力建设》是一份由奇安信科技集团股份有限公司于2022年1月发布的研究报告,主要关注于企业在数据中心中管理具有高度访问权限的特权账号的重要性。特权账号,按照Gartner的定义,是指在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值