应付会话劫持和旁路MFA 新威胁

发布时间：2022-06-12 14:50 所属栏目：53 来源：互联网

导读：当谈到企业网络威胁时，凭证被理所当然地视为该领域的钥匙。当有效凭据打开前门时，为什么要对脆弱的系统或人使用恶意代码？当前的最佳实践通常认为多因素身份验证 (MFA) 和密码管理器足以降低帐户劫持的风险。但不幸的是，地下网络犯罪组织很快就适应了。

　　当谈到企业网络威胁时，凭证被理所当然地视为该领域的钥匙。当有效凭据打开前门时，为什么要对脆弱的系统或人使用恶意代码？

　　当前的最佳实践通常认为多因素身份验证 (MFA) 和密码管理器足以降低帐户劫持的风险。但不幸的是，地下网络犯罪组织很快就适应了。通过infostealer恶意软件和 cookie 盗窃进行会话劫持是一种越来越流行的旁路 MFA 方法。在过去的 12 个月里，Recorded Future 在地下站点上看到了数千次此类技术的引用。

　　好消息是，组织可以通过遵循最佳实践、重新配置入侵检测工具和增强威胁情报来进行反击。

　　这并不是说这项技术特别新。美国网络安全和基础设施安全局 (CISA) 在 2021 年 1 月就 cookie 被盗发出警告。但随着 MFA 变得越来越流行，规避它的尝试也将变得越来越普遍。

　　这就是为什么组织必须更新自己的策略和安全策略，以减轻不断演变的帐户和会话劫持威胁。

　　MFA 和密码管理器必须仍然是事实。但安全团队也可以探索更频繁地执行 MFA 的解决方案的可能性。这种情况多久发生一次取决于你：每天登录够不够，每次登录是否太多？你想给你的用户创造多少摩擦？哪些应用程序需要施加如此多的压力？这些问题由你来考虑。考虑监控你的组织被泄露的身份——这将减少攻击者窃取与身份相关的信息并将其转售以供其他攻击者使用的窗口。你可以更进一步，在 Recorded Future，我们将这种身份情报直接连接到我们的 IAM 提供商，通过自动重置密码和审核来加速这种威胁的分类。有了这些信息的API，自动化剧本在你的SOC中变得可行和可扩展。

　　不幸的是，安全不是一个目的地，而是一个持续的旅程。为了避免在这条道路上出现更多的坎坷，明智的做法是应对来自信息窃取者和会话劫持的威胁。

（编辑：ASP站长网）