21年12月以來,黑客組織Lapsus$完成了多次高調的網絡入侵行動,對全球多家知名企業進行了網絡攻擊,竊取了重要數據并脅迫受害目標索取贖金。其中,竊取了某芯片制造商1TB數據,并導致其內部電子郵件系統癱瘓;盜取了某電子公司190GB的數據,其中可能包含其核心技術。本文將對此案例進行分析,并利用UEBA技術提出安全防范建議。
1. 威脅分析
(1)勒索組織分析
Lapsus$是一個非傳統的數據勒索黑客組織,他們不會在受害者的設備上安裝勒索軟件,但會通過破壞公司系統,竊取源代碼、客戶名單、數據庫和其他有價值的數據,以贖金勒索受害者,否則便公開竊取的數據。
該組織主要通過社會工程實現非法入侵。具體來講,Lapsus$會對目標組織及其合作伙伴(例如客服中心和服務臺)的員工展開賄賂或欺詐,借此獲取內部訪問權限。有消息稱,至少自2021年11月以來,Lapsus$就一直通過各個社交媒體平臺招募企業內部員工。
關鍵詞:數據安全、數據安全解決方案、數據安全保護法、數據安全公司、數據安全廠商、數據要素安全、北京數據安全公司、北京數據安全廠商
(2)攻擊策略分析
Lapsus$的攻擊策略包括呼叫形式的社會工程、換手機卡以實現賬戶接管、訪問個人郵箱賬戶、獲取訪問憑證等。
呼叫形式的社會工程:致電目標組織的客服臺,用話術誘導技術支持人員重置高權限賬戶的憑證。
換手機卡以實現賬戶接管:以賄賂或誘導的方式讓移動運營商的員工將目標手機號碼轉移到他們指定的設備中。以此為基礎,攻擊者就能獲得短信或電話發送給受害者的一次性密碼,并借此重置以短信形式進行驗證的在線賬戶密碼。
訪問個人郵箱賬戶:目前大部分員工都會配合VPN來遠程訪問雇主網絡,因此可通過目標組織員工的個人電子郵箱賬戶下手,從而訪問目標組織的關鍵賬戶。
獲取訪問憑證:收買目標組織的員工/供應商/業務合作伙伴以獲取訪問憑證。奪取私人(非工作相關)賬戶,靜待對方完成訪問后再搜尋可用于訪問企業系統的其他憑證。通常員工經常會使用個人賬戶或號碼作為雙因素驗證或密碼恢復方法,所以攻擊者也可以借此實現密碼重置和賬戶恢復操作。
關鍵詞:數據安全、數據安全解決方案、數據安全保護法、數據安全公司、數據安全廠商、數據要素安全、北京數據安全公司、北京數據安全廠商
2. 安全建議
(1)提高人員安全意識
人是安全鏈中最薄弱的一環,很多內部風險的起因往往是由于人的安全意識匱乏導致。人員網絡安全意識培養至關重要,包括定期進行安全意識的宣傳、制定員工規范操作計算機的相關規定、制定安全制度考核、制定應急處置方案和做好應急演練等。
(2)采用用戶實體行為分析UEBA技術
用戶實體行為分析(UEBA,user entity behavior analytics)技術作為目前異常發現的重要分析技術,主要圍繞用戶、賬號、敏感數據、關鍵應用、訪問方式、時間、地點、頻度等信息,基于統計和機器學習構建用戶關聯實體的畫像和行為基線,偏離了這些基線的可疑活動視為異常,識別違規訪問、數據泄露、賬號濫用等異常行為,并發現未知的安全威脅。
關鍵詞:數據安全、數據安全解決方案、數據安全保護法、數據安全公司、數據安全廠商、數據要素安全、北京數據安全公司、北京數據安全廠商
圖 1 UEBA主要功能圖
網御星云UEBA分析技術主要包含數據采集、數據治理、檢測分析、事件調查四部分。
數據采集:基于大數據計算和存儲技術,支持網絡流數據、設備日志、應用服務器日志等數據的采集,以及漏洞掃描數據、威脅情報數據的接入。
數據治理:基于安全分析需要進行數據范式化、清洗、解析、豐富化和標簽等加工處理,對部分安全設備告警數據提供語義自動理解識別能力,使數據“干凈可用”,保證數據質量。
檢測分析:基于5W1H(Who人員、When時間、What對象、Where地點、Why原因、How方法)分析法發現高級威脅關鍵環節的異常行為。提供預置分析算法模型,可以發現賬號濫用、可疑域名、暴力破解、數據泄露等內部安全威脅。
事件調查:從廣泛的數據中提取指紋數據和畫像數據,通過智能分析引擎,自動識別、關聯用戶和實體,理解其行為。實現用戶畫像、實體畫像,一目了然地呈現高危人員、高危設備的概況、異常行為,以及上下文信息。
網御星云UEBA解決方案將人工智能、機器學習、用戶/實體畫像、行為分析、上下文關聯等功能集于一身,具備對惡意、粗心用戶的及時發現,以及異常系統、高危設備的洞察力,助力客戶發現數據泄露、違規操作、非法接入等安全風險。
關鍵詞:數據安全、數據安全解決方案、數據安全保護法、數據安全公司、數據安全廠商、數據要素安全、北京數據安全公司、北京數據安全廠商
