文章来源:
https://cloudsecurityalliance.org/blog/2024/05/17/the-risk-and-impact-of-unauthorized-access-to-enterprise-environments
本文翻译来自CSA翻译组:
翻译:张坤,CSA大中华区专家
审校:崔崟,CSA翻译组轮席组长
未授权访问可以对企业构成严重威胁,例如泄露敏感信息并干扰运营。网络犯罪分子通过高级网络钓鱼攻击和 API安全缺陷来利用漏洞,这凸显了公司实施强有力的安全措施的必要性。这篇博文强调了防止未授权访问的重要性,并概述了防止未授权访问的基础策略和创新策略。
未经授权访问的风险和影响
未授权访问带来的威胁远不止简单的数据泄露,甚至可能对企业造成经济损失、声誉损害以及潜在的法律后果等严重影响。
为什么防止未授权访问至关重要
未经授权的个人访问组织的系统或数据可能产生多种有害影响:
未授权访问的类型
网络犯罪分子渗透组织防御并获得未授权访问的方式多样。以下是一些最常见的技术:
译者注:信息收集也是未授权访问成功率较高的手段,攻击者通过对公开的信息进行收集分析,获取具有权限的内部人员有意或无意泄露的登录凭证,例如GitHub存储的内部代码等。
未授权访问的案例
近年来,多起未经授权访问事件成为头条新闻,凸显了这一问题的普遍性。以下案例值得关注:
Trello:2024 年 1 月, Trello的1500 万用户的数据被爬取并发布在暗网上。
美国银行:2023 年 11 月的勒索病毒攻击导致了约 57,000 名客户的数据泄露。
印度医学研究委员会:2023 年 10 月,一次泄露事件暴露了约 8.15 亿印度公民的健康信息,这是印度历史上最大的未经授权访问事件之一。
安大略省出生登记处:2023 年 9 月,一次违规事件导致约 340 万人的健康信息遭到未授权访问。
Norton Healthcare:2023 年 5 月,约 250 万名患者的个人信息因未授权访问而被泄露。
五种新的、危险的未经授权访问方法
虽然网络钓鱼仍是最为流行的未授权访问的手段,但网络犯罪分子仍在不断升级他们的技术,使用新的策略来绕过安全防御。以下是一些需要注意的最新威胁:
网络钓鱼也在随着人工智能的使用不断发展,网络犯罪分子利用人工智能制作更具说服力和个性化的网络钓鱼电子邮件、消息或网站。这些AI驱动的活动可以绕过传统的安全过滤器,甚至欺骗最精通技术的个人,泄露/窃取他们的登录凭据或敏感信息。
API(应用程序编程接口)提供定制功能,虽然功能强大,但也会带来安全风险。攻击者利用这些漏洞(例如暴露的端点或弱身份验证)来获得对数据的未授权访问。
该方法涉及使用 DNS(域名系统)查询或响应来绕过网络安全措施,为网络犯罪分子创建隐藏通道,以便在未被发现的情况下从网络中提取敏感信息。
网络犯罪分子利用漏洞在组织网络内或不同云环境之间横向移动。这能够使他们获取组织的基础设施信息并访问敏感数据或系统。
这种风险经常被忽视,它涉及有权访问您的系统或数据的第三方服务提供商。如果这些提供商受到攻击,网络犯罪分子可以通过它们对您组织的敏感信息进行未授权访问。
为了防范这些威胁,组织可以实施多种有效的安全措施:
实施强密码策略并使用多因素身份验证 (MFA) 可以显著增强安全性。MFA 需要除密码之外的其他验证,例如指纹或发送到移动设备的唯一代码。注:一般多因子按照“你是谁、你知道什么、你有什么”来交叉配置。
保持软件系统更新并及时应用安全补丁对于防范已知漏洞至关重要。
对静态和传输中的敏感数据进行加密可以防止未经授权的用户读取或使用这些数据,即使他们获得了访问权限。
网络更小的隔离段设计可以有效遏制风险的传播,把风险控制在更小的范围内。
使用高级工具监控和分析用户行为可以帮助检测可能的未授权访问尝试的异常活动。
增强安全性的先进策略
随着网络威胁的发展,安全策略也应随之发展。以下是需要考虑的高级策略:
使用用户位置、设备、时间和过去行为等因素有助于就访问请求的合法性做出明智的决策,从而增强安全措施。
实施以上策略可以帮助加强防御,抵御不断变化的网络威胁。