21年12月以来,黑客组织Lapsus$完成了多次高调的网络入侵行动,对全球多家知名企业进行了网络攻击,窃取了重要数据并胁迫受害目标索取赎金。其中,窃取了某芯片制造商1TB数据,并导致其内部电子邮件系统瘫痪;盗取了某电子公司190GB的数据,其中可能包含其核心技术。本文将对此案例进行分析,并利用UEBA技术提出安全防范建议。
1. 威胁分析
(1)勒索组织分析
Lapsus$是一个非传统的数据勒索黑客组织,他们不会在受害者的设备上安装勒索软件,但会通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据,以赎金勒索受害者,否则便公开窃取的数据。
该组织主要通过社会工程实现非法入侵。具体来讲,Lapsus$会对目标组织及其合作伙伴(例如客服中心和服务台)的员工展开贿赂或欺诈,借此获取内部访问权限。有消息称,至少自2021年11月以来,Lapsus$就一直通过各个社交媒体平台招募企业内部员工。
关键词:数据安全、数据安全解决方案、数据安全保护法、数据安全公司、数据安全厂商、数据要素安全、北京数据安全公司、北京数据安全厂商
(2)攻击策略分析
Lapsus$的攻击策略包括呼叫形式的社会工程、换手机卡以实现账户接管、访问个人邮箱账户、获取访问凭证等。
呼叫形式的社会工程:致电目标组织的客服台,用话术诱导技术支持人员重置高权限账户的凭证。
换手机卡以实现账户接管:以贿赂或诱导的方式让移动运营商的员工将目标手机号码转移到他们指定的设备中。以此为基础,攻击者就能获得短信或电话发送给受害者的一次性密码,并借此重置以短信形式进行验证的在线账户密码。
访问个人邮箱账户:目前大部分员工都会配合VPN来远程访问雇主网络,因此可通过目标组织员工的个人电子邮箱账户下手,从而访问目标组织的关键账户。
获取访问凭证:收买目标组织的员工/供应商/业务合作伙伴以获取访问凭证。夺取私人(非工作相关)账户,静待对方完成访问后再搜寻可用于访问企业系统的其他凭证。通常员工经常会使用个人账户或号码作为双因素验证或密码恢复方法,所以攻击者也可以借此实现密码重置和账户恢复操作。
关键词:数据安全、数据安全解决方案、数据安全保护法、数据安全公司、数据安全厂商、数据要素安全、北京数据安全公司、北京数据安全厂商
2. 安全建议
(1)提高人员安全意识
人是安全链中最薄弱的一环,很多内部风险的起因往往是由于人的安全意识匮乏导致。人员网络安全意识培养至关重要,包括定期进行安全意识的宣传、制定员工规范操作计算机的相关规定、制定安全制度考核、制定应急处置方案和做好应急演练等。
(2)采用用户实体行为分析UEBA技术
用户实体行为分析(UEBA,user entity behavior analytics)技术作为目前异常发现的重要分析技术,主要围绕用户、账号、敏感数据、关键应用、访问方式、时间、地点、频度等信息,基于统计和机器学习构建用户关联实体的画像和行为基线,偏离了这些基线的可疑活动视为异常,识别违规访问、数据泄露、账号滥用等异常行为,并发现未知的安全威胁。
关键词:数据安全、数据安全解决方案、数据安全保护法、数据安全公司、数据安全厂商、数据要素安全、北京数据安全公司、北京数据安全厂商
图 1 UEBA主要功能图
网御星云UEBA分析技术主要包含数据采集、数据治理、检测分析、事件调查四部分。
数据采集:基于大数据计算和存储技术,支持网络流数据、设备日志、应用服务器日志等数据的采集,以及漏洞扫描数据、威胁情报数据的接入。
数据治理:基于安全分析需要进行数据范式化、清洗、解析、丰富化和标签等加工处理,对部分安全设备告警数据提供语义自动理解识别能力,使数据“干净可用”,保证数据质量。
检测分析:基于5W1H(Who人员、When时间、What对象、Where地点、Why原因、How方法)分析法发现高级威胁关键环节的异常行为。提供预置分析算法模型,可以发现账号滥用、可疑域名、暴力破解、数据泄露等内部安全威胁。
事件调查:从广泛的数据中提取指纹数据和画像数据,通过智能分析引擎,自动识别、关联用户和实体,理解其行为。实现用户画像、实体画像,一目了然地呈现高危人员、高危设备的概况、异常行为,以及上下文信息。
网御星云UEBA解决方案将人工智能、机器学习、用户/实体画像、行为分析、上下文关联等功能集于一身,具备对恶意、粗心用户的及时发现,以及异常系统、高危设备的洞察力,助力客户发现数据泄露、违规操作、非法接入等安全风险。
关键词:数据安全、数据安全解决方案、数据安全保护法、数据安全公司、数据安全厂商、数据要素安全、北京数据安全公司、北京数据安全厂商
免责声明:科技狗对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。 本网站转载图片、文字之类版权申明,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除:yzl_300@126.com
