一旦威胁者能够窥探你的组织内部,他们就会蹑手蹑脚地四处走动,尽可能多地收集信息。他们在寻找什么?
他们需要拥有管理员级访问权限的活跃且合法的帐户来获取真正的目标:您的 SaaS 数据。
在您的本地网络中发现更多背景信息,了解被入侵的帐户、服务或设备可以访问哪些其他服务和系统。
具有高权限和低监控级别的服务帐户。
多产用户是标准用户帐户,具有大量访问权限,但比管理员帐户的保护较少。
3. 凭证盗窃和权限提升
威胁行为者已准备好采取重大行动——他们可能在下班后进入银行前门,但他们仍然需要进入金库的方法。
在横向迁移 SaaS 数据时,攻击者拥有一些强大的手段。他们可以发送内部鱼叉式网络钓鱼邮件,诱骗管理员授予他们更高的权限(即使是临时权限)来执行特定任务。他们甚至可能重新配置现有的服务帐户,将访问权限分配给 SSO 保护下的一个或多个 SaaS 应用。
无论哪种方式,进入您用于管理身份和凭据的系统对于攻击的最后阶段来说已经足够了。
有了身份和凭证,威胁行为者就拥有了他们所需的一切——不仅 罗马尼亚电话号码列表 仅 是访问单个 SaaS 平台,还包括你通过 SSO 便捷绑定的所有功能。你为 IT 和 DevOps 团队构建的便利,也为威胁行为者带来了便利。
您最应该注意哪些横向移动角度?
在上面的路线图中,我们提到了在 AD 等内部身份和访问解决方案中经常发现的两种类型的帐户,它们会给您的 SaaS 数据带来重大风险。
服务账户:这些账户负责执行自动化的机器对机器 (M2M) 通信,通常拥有高权限访问权限以执行自动化操作,但经常躲避负责监控身份和访问权限的管理员的监控。据 Silverfort 称,小型公司拥有的服务账户数量与用户账户数量相当,这为威胁行为者创造了充足的机会。更令人担忧的是: Osterman Research的一份白皮书发现,仅有 5.7% 的组织能够完全监控其服务账户,而只有 22% 的组织能够阻止恶意访问。
多产用户:出于各种原因,这些账户的访问权限远远超出其应有范围,使其成为横向攻击的理想目标。由于他们并非正式管理员,IT 和安全团队对他们的审查较少,这意味着他们的操作在雷达下进行——无论是在正常使用时,还是在威胁行为者的控制下。根据 Silverfort 的数据,多产账户的比例会随着组织规模的扩大而稳步上升,因为它们与配置错误、缺乏可见性以及糟糕的管理决策积累有关。
即使是复杂的组织也缺乏足够的监控和安全系统来充分保护这些账户免受横向野心威胁者的攻击——就像试图保护银行免遭抢劫一样,安装世界上最先进的安全系统只有在你晚上出门时记得锁门才有意义。
基于横向移动和身份的真实示例
- Board index
- All times are UTC
- Delete cookies
- Contact us