最新 ShinyHunters 数据泄露事件揭示现代网络攻击趋势
- 浏览次数 145
- 喜欢 0
最新一波归因于网络犯罪团伙 ShinyHunters 的数据泄露事件(例如 University of Nottingham、DentaQuest、7-Eleven、Medtronic 和 Wynn Resorts)强化了一个安全领导者无法再忽视的严酷事实:攻击者正越来越多地绕过传统边界防御,转而针对身份、身份验证工作流、SaaS 集成和受信任的访问路径,而不是直接利用软件漏洞。
过去几个月,ShinyHunters 与涉及 Salesforce 环境、Snowflake 客户、SaaS 集成以及 Okta 等身份平台的攻击有关。研究人员和事件响应人员一致观察到相同的模式:被盗凭证、受损的 OAuth 令牌、社会工程学、vishing(语音钓鱼)以及滥用合法访问权限。
这不仅仅是另一种泄露趋势。它证明了身份已成为企业安全的主要战场。
ShinyHunters 战术手册的演变
历史上,攻击者专注于利用未修补的系统或部署恶意软件来获得持久性。如今以身份为中心的威胁行为者的运作方式不同。他们不是“闯入”,而是“登录”。
对 ShinyHunters 相关活动的最新调查揭示了以下重复使用的战术:
- 信息窃取器收集的凭证
- 多因素身份验证(MFA)疲劳和 vishing 攻击
- 受损的 SaaS 集成
- OAuth 令牌滥用
- 云应用程序中的过度权限
- 错误配置的身份和访客访问设置
- 第三方信任利用
- 冒充帮助台
在今年早些时候披露的 Salesforce Experience Cloud 活动中,据报道攻击者利用过于宽松的访客用户配置从面向公众的门户中提取 CRM 数据。Salesforce 强调该问题源于身份和访问配置错误,而非平台漏洞。
同样,与 ShinyHunters 相关的 Snowflake 攻击利用了被盗凭证和第三方集成,而非 Snowflake 基础设施本身的弱点。调查人员指出,许多受影响组织缺乏强 MFA 强制执行和对异常身份验证行为的可见性。
相同的模式也出现在针对 SaaS 生态系统、分析提供商和云连接应用程序的攻击中。一旦攻击者获得有效的身份或会话令牌,他们通常可以在不触发传统安全控制的情况下横向移动并访问敏感数据。
为何传统安全控制正在失效
这些攻击暴露了许多企业安全架构中日益扩大的差距。
防火墙、端点保护和基于签名的检测等传统工具旨在识别恶意代码或异常网络活动。但基于身份的攻击通常看起来很合法,因为攻击者使用有效凭证、批准的 API 和授权的应用程序。
对许多安全系统而言,员工账户从浏览器会话访问 Salesforce 看起来与正常业务活动无异。
这正是身份成为首选攻击向量的原因。
现代企业现在运行在跨越云平台、SaaS 应用程序、承包商、合作伙伴和远程劳动力的高度分布式环境中。每个身份(无论是人还是机器)都可能成为攻击者的入口。
攻击者比大多数组织更了解这一现实。
身份威胁检测改变局势
向身份驱动型攻击的转变需要防御策略的相应转变。
身份威胁检测和风险缓解已成为组织检测和阻止绕过传统防御的攻击的关键能力。与时间点身份验证不同,身份威胁检测分析与凭证关联的完整交互模式,以及环境中其他身份和凭证的活动,以识别泄露指标和恶意行为。身份威胁检测不再仅关注端点或网络流量,而是持续监控混合环境中的身份系统、身份验证活动、权限提升和访问行为,以检测和缓解基于身份的威胁。
这种方法使组织能够识别可疑活动,例如:
- 不可能的旅行或异常登录行为
- MFA 操纵尝试
- 基于机器人的攻击
- Deepfake 攻击
- SIM 卡交换
- OAuth 令牌滥用
- 权限提升
- 休眠或孤立账户被激活
- 跨访问通道的横向移动
- 与社会工程学相关的可疑身份验证模式
更重要的是,身份威胁检测提供了上下文。
安全团队不仅需要知道谁进行了身份验证,还需要了解行为是否符合预期模式、访问了哪些资源、身份是否最近被提升,以及下游 SaaS 应用程序或集成是否带来额外的风险暴露。
在 ShinyHunters 活动中,许多攻击本可以通过更好地检测身份异常、令牌滥用或异常权限行为在大规模数据外泄发生前被中断。
信任利用的兴起
最近 ShinyHunters 行动中最令人担忧的方面之一是滥用受信任的关系。
威胁行为者越来越多地针对供应商、集成、支持工作流和身份提供商,因为一个点的妥协可能会波及多个组织。分析近期活动的研究人员观察到,攻击者利用第三方 SaaS 提供商和集成平台进入下游客户环境。这产生了危险的乘数效应。
单个受损的身份、承包商账户或 OAuth 集成可以为攻击者提供对数百个连接系统的合法访问。在这些场景中,传统的网络分段提供的保护有限,因为信任关系本身就成为了攻击路径。
因此,组织不仅需要对其员工身份具有可见性,还需要对其生态系统中的非人类身份、API 连接、服务账户和联合访问关系具有可见性。
安全领导者必须重新思考身份保护
从最新 ShinyHunters 数据泄露事件中吸取的教训不仅仅是攻击者变得越来越复杂。它意味着企业安全策略必须超越“经过身份验证的用户本质上是受信任的”这一假设。
身份不能再仅仅被视为访问管理功能。它必须成为核心安全学科。
这意味着组织应优先考虑:
- 持续的身份监控
- 基于风险的身份验证
- 强抗钓鱼 MFA
- 最小权限访问强制执行
- OAuth 和令牌治理
- 异常身份行为检测
结论
现代攻击链越来越多地以身份开始并以身份结束。
ShinyHunters 等组织表明,攻击者不一定需要恶意软件或零日漏洞即可造成大规模破坏。在许多情况下,他们只需要一个受信任的登录名、一个被忽视的权限或一个受损的令牌。
认识到这一转变并相应投资于身份威胁检测和响应的组织将更有能力在下一代攻击成为下一个头条新闻之前将其阻止。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文