该地天数7月15日,twitter遭大规模骇客反击,克林顿、佩林、比尔·沙利文、芒格、Tesla、贝索斯、侃爷等多名名流高官twitter被黑,正式发布了相似贴文“更少折扣,你给我1000英镑,我还你2000英镑。”
帐号失窃 事件影响较大
据美联社报道,该地天数周二(15日),。帐号遭骇客入侵的人士包括英国前总统克林顿、自由党总统参选人佩林、甲骨文公司创办人比尔·沙利文、Amazon公司创办人乔纳森·贝索斯、金融钜子莫尔·芒格、TeslaCEOsert·Tesla、曼哈顿前市长安德鲁·布隆伯格、女歌手奥兹·科克、英国SNS上流社会金·Adele等。
此次受到影响的名流高官帐号数目众多,可以说是推特历史上最大的安全可靠事件。twitter非官方表示正在对此事展开调查,twitter的部分机能将受到限制,twitter证书帐号将无法正式发布贴文或者抹除公钥。
帐号安全可靠 遭遇重大考验
能同时夺下沙利文、贝索斯、芒格、佩林、克林顿、Tesla的Twitter帐号正式发布消息,绝对在骇客史上浓浓的地留下一大笔。到为止,骇客在Twitter上正式发布的比特币帐号门牌号已经接受了少于320笔提款,商业价值少于11万英镑;什至,如果是推送了类似支持奥巴马参选的政治词句,不良后果当心,帐号安全可靠的问题不容小视。
譬如Twitter这样的使用者基础足够巨大的中文网站或民营企业,是骇客眼里极具有商业价值的反击目标,其中名流高官、高职权使用者以及服务和共享资源类账户是内部和内部普通使用者的主要反击对象。通过获取他们的出访职权则能够出访最敏感的数据、交易信息和历史纪录,甚至可以扮作被普通使用者持续隐匿展开APT反击。由于譬如Twitter中文网站或民营企业的帐号数目巨大且难以界定是否在不合法使用,组织在监视这些帐号时遭遇着巨大的考验。有效监视帐号不仅是几项重要的合规要求,而且还是几项关键的威胁管理机能。
图:帐号失陷
对帐号异常行为的监视、检测和分析正是UEBA使用者与实体行为分析技术的特长,通过收集整合全方位多维度以及使用者上下文等数据信息,全局关联,展开行为基线分析和群体异常分析,通过AI机器学习异常检测算法,可以更深层次的展开帐号安全可靠洞察,迅速识别异常事件。通过对帐号登录的天数、地点、频次和操作等异常监视,判断是否存在如短天数内异地登录、登录次数偏离整体基线、非工作天数上线和静默帐号的忽然出现等异常活动,溯源分析确认是否存在帐号失窃用或被攻陷。
AiThink全面覆盖帐号风险场景
安恒信息AiThink使用者与实体行为分析系统(UEBA)内置了超100+典型特征场景,覆盖帐号安全可靠、数据出访安全可靠和业务安全可靠等场景,包括帐号风险,离职员工职权风险,内部数据窃取,数据泄漏风险,运维恶意操作等等。
图:特征场景
• 帐号风险:针对民营企业员工VPN、OA等办公应用帐号被普通使用者窃取的风险监视。
• 离职员工职权风险:针对离职员工仍然具有职权,登录办公应用或业务系统的风险监视。
• 内部数据窃取:针对民营企业员工对内部OA、HR等系统数据的异常出访和窃取风险监视。
• 数据泄漏风险:针对内部源代码、数据库等数据泄漏风险的监视。
• 运维恶意操作:针对运维人员的高风险操作检测,以及异常行为预警。
Use Case 1:账号盗用
帐号盗用一直是困扰民营企业使用者安全可靠审计和行为审计的痛点。恶意使用者从事非法活动时,通常会删除或篡改活动日志,从而扮作其他使用者,来掩盖自己的痕迹。
使用者A,是一家金融机构的系统管理员,他的帐号有很多出入IT系统的职权,某天他的帐号被骇客盗用了,骇客通过VPN等通道接入内网,并且将数据偷盗到公司外。
AiThink使用者与实体行为分析系统(UEBA)通过接入的防火墙、IDS和IPS等检测设备日志,发现使用者使用从未使用过的内部门牌号,即源门牌号行为异常;且利用LSTM算法发现使用者有大量的数据库查询出访操作,偏离日常行为基线。综合判断使用者A疑似被帐号盗用。
Use Case 2:特权帐号监视
使用者A,像其他特权用户一样,利用其帐号的职权登录到某一台主机或者服务器,主机登录算法用以检测每个使用者经常使用的主机或者服务,DBA通常倾向于登录固定的几台机器,并且都是使用相似的命令,同时,销售人员都是使用OA系统的服务展开数据出访,两者使用方式完全不同。且发现使用者A登录的是一台保存销售数据的服务器,这与他所在的DBA管理员组群体行为不同。
AiThink使用者与实体行为分析系统(UEBA)通过Kmeans聚类算法根据用户行为数据的特征矩阵对使用者划分对等组,行为模式类似的人群会划分到一个动态群组。基于Peer Group Analysis实时个群对比分析展开异常行为识别。异常使用者一般占少数,可以通过对大部分使用者的行为展开建模,找出少数的高危使用者,再匹配威胁或反击模型来确认。
Use Case 3:离职员工
有数据显示,内部威胁的最大风险来自于那些因不正当原因离职的员工,因此密切关注被解雇员工的账户活动非常重要。当员工离开公司时,他们的账户会从公司各系统中取消,但在许多情况下,他们仍然保留对某些公司资源的出访权。尤其针对特权账户,前管理员可能造成的潜在损害本质上更大。
员工A以前工作非常积极,经常朝九晚八加班工作,但在最近的两到三个星期中,基本都是五点半下班就准时打卡回家,利用Weekly周期性异常算法发现其偏离了之前的行为基线;且结合浏览器出访日志数据,发现有多个招聘类中文网站的出访记录。
图:行为基线
AiThink使用者与实体行为分析系统(UEBA)能够洞察员工行为的改变,将这些员工在可能地数据泄露行为之前发现。
在过去和现在都不断在上演的帐号安全可靠导致信息泄漏事件,在诸多帐号安全可靠事件中,也许Twitter事件仅仅是我们所看到的冰山一角。随着各行业安全可靠需求的不断变化,相信AiThink可以帮助解决更多帐号安全可靠问题,保障使用者信息安全可靠。