當?shù)貢r間7月15日，推特遭大規(guī)模黑客攻擊，奧巴馬、拜登、比爾·蓋茨、巴菲特、馬斯克、貝佐斯、侃爺?shù)榷辔幻苏铺乇缓冢l(fā)布了相似推文“雙倍返現(xiàn)，你給我1000美元，我還你2000美元?！?/span>

賬號被盜 事件影響較大

?

據(jù)美國有線電視新聞網(wǎng)報道，當?shù)貢r間周三（15日），多位美國名人政要的推特賬戶遭黑客入侵，發(fā)布比特幣詐騙鏈接。賬號遭黑客入侵的人士包括美國前總統(tǒng)奧巴馬、民主黨總統(tǒng)候選人拜登、微軟公司創(chuàng)始人比爾·蓋茨、亞馬遜公司創(chuàng)始人杰夫·貝佐斯、金融大亨沃倫·巴菲特、特斯拉CEO埃隆·馬斯克、紐約市前市長邁克爾·布隆伯格、歌手坎耶·韋斯特、美國社交名媛金·卡戴珊等。

?

此次受到影響的名人政要賬號數(shù)量眾多，可以說是推特歷史上最大的安全事件。推特官方表示正在對此事進行調查，推特的部分功能將受限，推特認證賬號將無法發(fā)布推文或者重置密碼。

賬號安全 面臨重大挑戰(zhàn)

?

能同時拿下蓋茨、貝佐斯、巴菲特、拜登、奧巴馬、馬斯克的Twitter賬號發(fā)布消息，絕對在黑客史上濃濃地留下一筆。到目前為止，黑客在Twitter上發(fā)布的比特幣賬號地址已經(jīng)接受了超過320筆轉賬，價值超過11萬美元；更有甚者，如果是發(fā)送了類似支持川普連任的政治話語，后果不堪設想，賬號安全的問題不容忽視。

?

諸如Twitter這樣的用戶基礎足夠龐大的網(wǎng)站或企業(yè)，是黑客眼中極具有價值的攻擊目標，其中名人政要、高權限用戶以及服務和共享類賬戶是內部和外部攻擊者的主要攻擊對象。通過獲取他們的訪問權限則能夠訪問最敏感的數(shù)據(jù)、交易信息和歷史記錄，甚至可以偽裝成被攻擊者持續(xù)潛伏進行APT攻擊。由于諸如Twitter網(wǎng)站或企業(yè)的賬號數(shù)量龐大且難以區(qū)分是否在合法使用，組織在監(jiān)控這些賬號時面臨著巨大的挑戰(zhàn)。有效監(jiān)控賬號不僅是一項重要的合規(guī)性要求，而且還是一項關鍵的威脅管理功能。

圖：賬號失陷

?

對賬號異常行為的監(jiān)控、檢測和分析正是UEBA用戶與實體行為分析技術的特長，通過收集整合全方位多維度以及用戶上下文等數(shù)據(jù)信息，全局關聯(lián)，進行行為基線分析和群體異常分析，通過AI機器學習異常檢測算法，可以更深層次的進行賬號安全洞察，迅速識別異常事件。通過對賬號登錄的時間、地點、頻次和操作等異常監(jiān)控，判斷是否存在如短時間內異地登錄、登錄次數(shù)偏離整體基線、非工作時間上線和靜默賬號的忽然出現(xiàn)等異?；顒?，溯源分析確認是否存在賬號被盜用或被攻陷。

?

AiThink全面覆蓋賬號風險場景

?

安恒信息AiThink用戶與實體行為分析系統(tǒng)（UEBA）內置了超100+典型特征場景，覆蓋賬號安全、數(shù)據(jù)訪問安全和業(yè)務安全等場景，包括賬號風險，離職員工權限風險，內部數(shù)據(jù)竊取，數(shù)據(jù)泄漏風險，運維惡意操作等等。

圖：特征場景

?

? 賬號風險：針對企業(yè)員工VPN、OA等辦公應用賬號被攻擊者竊取的風險監(jiān)控。

? 離職員工權限風險：針對離職員工仍然具有權限，登錄辦公應用或業(yè)務系統(tǒng)的風險監(jiān)控。

? 內部數(shù)據(jù)竊?。横槍ζ髽I(yè)員工對內部OA、HR等系統(tǒng)數(shù)據(jù)的異常訪問和竊取風險監(jiān)控。

? 數(shù)據(jù)泄漏風險：針對內部源代碼、數(shù)據(jù)庫等數(shù)據(jù)泄漏風險的監(jiān)控。

? 運維惡意操作：針對運維人員的高風險操作檢測，以及異常行為預警。

?

Use Case 1：賬號盜用

賬號盜用一直是困擾企業(yè)用戶安全審計和行為審計的痛點。惡意用戶從事非法活動時，通常會刪除或篡改活動日志，從而偽裝成其他用戶，來掩蓋自己的痕跡。

?

用戶A，是一家金融機構的系統(tǒng)管理員，他的賬號有很多出入IT系統(tǒng)的權限，某天他的賬號被黑客盜用了，黑客通過VPN等通道接入內網(wǎng)，并且將數(shù)據(jù)偷盜到公司外。

?

AiThink用戶與實體行為分析系統(tǒng)（UEBA）通過接入的防火墻、IDS和IPS等檢測設備日志，發(fā)現(xiàn)用戶使用從未使用過的外部地址，即源地址行為異常；且利用LSTM算法發(fā)現(xiàn)用戶有大量的數(shù)據(jù)庫查詢訪問操作，偏離日常行為基線。綜合判斷用戶A疑似被賬號盜用。

?

Use Case 2：特權賬號監(jiān)控

用戶A，像其他特權用戶一樣，利用其賬號的權限登錄到某一臺主機或者服務器，主機登錄算法用以檢測每個用戶經(jīng)常使用的主機或者服務，DBA通常傾向于登錄固定的幾臺機器，并且都是使用相似的命令，同時，銷售人員都是使用OA系統(tǒng)的服務進行數(shù)據(jù)訪問，兩者使用方式完全不同。且發(fā)現(xiàn)用戶A登錄的是一臺保存銷售數(shù)據(jù)的服務器，這與他所在的DBA管理員組群體行為不同。

?

AiThink用戶與實體行為分析系統(tǒng)（UEBA）通過Kmeans聚類算法根據(jù)用戶行為數(shù)據(jù)的特征矩陣對用戶劃分對等組，行為模式類似的人群會劃分到一個動態(tài)群組。基于Peer Group Analysis實時個群對比分析進行異常行為識別。異常用戶一般占少數(shù)，可以通過對大部分用戶的行為進行建模，找出少數(shù)的高危用戶，再匹配威脅或攻擊模型來確認。

?

Use Case 3：離職員工

有數(shù)據(jù)顯示，內部威脅的最大風險來自于那些因不正當原因離職的員工，因此密切關注被解雇員工的賬戶活動非常重要。當員工離開公司時，他們的賬戶會從公司各系統(tǒng)中取消，但在許多情況下，他們仍然保留對某些公司資源的訪問權。尤其針對特權賬戶，前管理員可能造成的潛在損害本質上更大。

?

員工A以前工作非常積極，經(jīng)常朝九晚八加班工作，但在最近的兩到三個星期中，基本都是五點半下班就準時打卡回家，利用Weekly周期性異常算法發(fā)現(xiàn)其偏離了之前的行為基線；且結合瀏覽器訪問日志數(shù)據(jù)，發(fā)現(xiàn)有多個招聘類網(wǎng)站的訪問記錄。

圖：行為基線

?

AiThink用戶與實體行為分析系統(tǒng)（UEBA）能夠洞察員工行為的改變，將這些員工在可能地數(shù)據(jù)泄露行為之前發(fā)現(xiàn)。

?

在過去和現(xiàn)在都不斷在上演的賬號安全導致信息泄漏事件，在諸多賬號安全事件中，也許Twitter事件僅僅是我們所看到的冰山一角。隨著各行業(yè)安全需求的不斷變化，相信AiThink可以幫助解決更多賬號安全問題，保障用戶信息安全。

?

如何獲得UEBA白皮書！

《UEBA白皮書》干貨滿滿，等你來翻牌，點擊提交信息，免費獲取資料！

?