文章首发微信公众号:网络研究院,关注获取更多。
根据调查研究的数据,安全领导者对利用恶意软件渗透的身份验证数据进行的攻击感到担忧,其中 53% 的人表示极度担忧,只有不到 1% 的人承认他们根本不担心。
然而,许多人仍然缺乏必要的工具来调查这些感染的安全和组织影响,并有效地减轻后续攻击。98% 的人表示,更好地了解有风险的应用程序将显著改善他们的安全状况。
IT 安全团队的斗争
虽然提高对 SSO 和基于云的应用程序的被盗身份验证详细信息的可见性排名很高,但人类行为仍然困扰着 IT 安全团队。
最容易被忽视的恶意软件入口点包括:
-
57% 的组织允许员工在个人和公司设备之间同步浏览器数据,从而使威胁行为者能够通过受感染的个人设备窃取员工凭证和其他用户身份验证数据,同时保持不被发现。
-
54% 的组织因员工未经批准而采用应用程序和系统而与影子 IT 作斗争,这不仅在可见性方面造成了差距,而且在基本安全控制和公司政策方面也造成了差距。
-
36% 的组织允许不受管理的个人或共享设备访问业务应用程序和系统,这为缺乏强大安全措施的设备访问敏感数据和资源打开了大门,并最大限度地减少了安全团队进行适当监控和修复所需的监督。
此类看似无害的行为可能会无意中使组织遭受恶意软件和后续攻击,包括因被盗访问详细信息而产生的勒索软件。
根据研究,每次感染平均会暴露 26 个业务应用程序的访问权限。
虽然大多数组织都了解恶意软件的普遍性和普遍性威胁,但数字化转型和混合工作模式为犯罪分子利用隐藏的安全漏洞创造了完美的环境。
犯罪分子正在通过利用松懈的网络行为和部署信息窃取程序来利用这些漏洞,这些信息窃取程序旨在快速窃取密码以外的访问详细信息。
如今,授予有效会话访问权限的身份验证 cookie 是通过会话劫持(绕过密码、密钥甚至 MFA)进行下一代帐户接管的最有价值的资产之一。
恶意软件感染
快速检测漏洞并采取行动对于阻止试图损害组织的恶意行为者至关重要。
然而,调查显示,许多人都在努力应对恶意软件感染的常规响应:27% 的人不会定期检查其应用程序日志是否有泄露迹象,36% 的人不会为可能暴露的应用程序重置密码,39% 的人不会终止会话 cookie在暴露的迹象。
根据最近的研究,攻击者的停留时间一直在增长,为恶意行为者提供了充足的时间来操作恶意软件窃取的数据。
可见性有限会影响平均发现时间 (MTTD) 和平均修复时间 (MTTR),从而加剧业务风险并耗尽资源。
改掉坏习惯需要时间和资源,大多数组织无力承担,而且一开始就很难找到。为了降低未经授权的帐户访问、受感染的设备和人为错误造成的风险,他们需要一种新的方法来检测和修复恶意软件。
对于许多安全团队来说,响应感染是一个以机器为中心的过程,涉及从设备中隔离和清除恶意软件。然而,以身份为中心的方法更为彻底,因为最终目标是更好地解决与个人用户相关的日益增长的攻击面,从而使业务面临风险。
关键保护缺口
2023 年上半年,研究人员发现,在所有重新捕获的恶意软件日志中,有 20% 在成功执行恶意软件时安装了防病毒程序。这些解决方案不仅不能阻止攻击,而且还缺乏自动化能力来防止任何可在事后使用的被盗数据。
在这场可见性和全面响应的斗争中,安全团队显然需要实施更强大、以身份为中心的感染后补救方法,以阻止犯罪分子利用恶意软件渗透的数据进一步损害业务。
该框架的关键是通过重置暴露的凭据并使受信息窃取者破坏的活动会话无效的步骤来增强现有的恶意软件感染响应。