选择帐户接管安全解决方案的注意事项

目录 Overview03评估ATO预防解决方案和供应商时的主要考虑因素03数据收集恶意软件数据03040405050606060708早期检测数据清理、固化和富集自动化概念证明支持NIST合规性员工ATO预防解决方案清单使用SpyCloud对ATO采取行动 Overview 账户接管(ATO)攻击正在上升，越来越多307%在过去的3年里，花费了组织数十亿美元-一个惊人的114亿美元仅在2021年。作为犯罪分子可以窃取的最可取的数据，凭证仍然是顶部入口点进入组织和入侵的主要原因，因为它们允许不良行为者在你的系统。 每年有数百万个用户名和密码被盗，ATO比以往任何时候都更加普遍。去年，SpyCloud重新捕获了17亿个凭证对（电子邮件地址/用户名+密码组合），这仍然是最受追捧在犯罪地下后，利润丰厚的资产不仅要进行像ATO这样的攻击，还要进行后续攻击，包括勒索软件. For example, the high - profile Colonial Pipeline increased criminals gaining access to the pipeline’s system使用受损凭据并发起勒索软件攻击。此被盗数据可以提供进入网络的入口点和特殊的fic应用程序，其中包含客户数据、fi财务信息、知识产权和其他敏感数据。 为了防止这些网络攻击，组织必须找到检测和重置受损凭证的方法。但是，每个这些仅解决了问题的一个方面。为了有效，ATO预防解决方案必须考虑到可以被认为是“下一代ATO预防”，它不仅侧重于通过被盗凭证解决ATO，而且恶意软件窃取的会话cookie，因为犯罪分子发展了他们的策略，包括劫持网络会话。 考虑以下最佳实践和准则，以评估适当的ATO预防解决方案如何节省您的组织花费的时间和资源来降低风险。 评估ATO预防解决方案时的主要考虑因素和供应商 数据收集 对于大多数企业来说，以所需的规模收集数据以保持对威胁的控制是不可能的。组织根本无法获得领先于需要被发现、策划并以速度与用户匹配的不断遭到攻击的数据在它被用来对你的生意造成伤害之前必须采取行动。 许多ATO预防工具缺乏从暗网的各个层面收集全面的数据。而许多解决方案收集关于地下犯罪的公开和经过审查的论坛上提供的商品和中等价值数据，最好是ATO预防解决方案将把人力资源投入到暗网的下层和核心层，在那里交易高价值的数据and sold in closed and offline groups. This speciality goes beyond basic threat intelligence to collect data early in the breach在可能之前对受损的员工、合作伙伴和供应商帐户进行最快的身份识别和补救的时间表被用来损害生意。 解决方案的数据存储库应该既全面又不断刷新。此外，公司应该能够提供一年的以下指标，您认为这些指标对补救和报告有意义，包括： 从第三方数据泄露中收集的唯一数据的计数，例如电子邮件地址、用户名、密码和个人身份信息(PII)从恶意软件受害者日志中收集的唯一数据的计数，包括凭据、PII、IP地址和Web会话cookie明文/破解密码的数量上述数据，特别是fic到您公司的域名(s) 同时，供应商应该愿意并能够证明它遵守数据收集的道德标准。 恶意软件数据 受恶意软件感染的设备给企业带来了很高的风险，因为它们使威胁行为者能够虹吸员工凭据和Web会话Cookie（即使是来自SSO和VPN实例的第三方应用程序），以及其他有助于它们的数据infiltrate your business via ATO or session hijacking。在被盗凭证和会话cookie中使用被盗的身份验证数据上反检测浏览器，对手可以像合法用户一样登录员工的账户，甚至绕过多因素身份验证(MFA)。 为了防范这种威胁，全面的ATO预防解决方案将包括对员工的管理和甚至未经管理的受恶意软件感染的设备访问您的网络，因此受感染的密码可以重置和被盗的网络会话可以尽快失效，从而在恶意行为者发起ATO或勒索软件攻击之前将其锁定。 早期检测 入侵发生后，攻击者通常会将被盗数据保存在一小群受信任的同事中，而他们货币化它，通常在被破坏的组织意识到发生了事件之前。到数据泄露超出这些当公众意识到这一漏洞时，被盗数据通常已经暴露了18到24个月。 因此，尽早在违规时间表中检测用户凭据和cookie的暴露是一种ATO预防解决方案的核心功能。真正停止ATO需要在早期识别受损帐户之前犯罪分子有时间使用被盗的凭据，对其他帐户进行测试，或在darknet上出售/交易它们。唯一的这样做的方法是访问一个全面的，不断更新的，实时的数据库的漏洞和恶意软件数据。 数据清理、固化和富集 在防止帐户接管方面，从暗网上收集数据是不够的。威胁情报收集和分发公共违规数据的解决方案是被动的，不提供停止所需的可操作数据额外的数据泄露和账户接管，或者领先于勒索软件攻击。企业需要可操作的数据适当清洗和丰富，以领先于这些威胁。 来自暗网的数据打包得不好——它通常以混乱和非结构化的格式重新捕获。您的ATO预防解决方案应以清理和管理过程为基础，以解析和规范化数据，删除噪音，并获得真正相关和可操作的内容。确保解决方案能够通过以下方式消除不必要的警报removefiles that don’t contains password or highly valuable PII. This process should also identify duply records, including他们在违规和组合列表中被看到多少次，所以你知道特定员工在地下犯罪。 数据丰富提供了上下文洞察，包括来源、违规描述和实际违规明文密码以增加其可操作性。供应商破解收集的密码的能力允许您确定暴露的凭据与您的员工正在使用的凭据完全匹配。 仅提供数据收集并给企业带来可操作性负担的解决方案不会为您的安全性增加价值姿势。数据质量和可操作性对于防止ATO和后续勒索软件攻击至关重要。有访问干净、丰富和分析的高质量数据，使您能够将其与他们的个人用户相关联多个在线角色，以确定他们对您的企业的真正风险。 自动化 根据CISO报告，41%的CISO认为自动化是他们的三大安全目标之一。自动化解决方案对安全团队很有价值，因为它们允许通过主动镜头批准或拒绝预定的操作预防和保护，同时尽量减少对繁忙团队的影响。 在犯罪地下有如此多的数据可用的情况下，组织几乎不可能在威胁面前保持领先their security teams are spending hours manually searching for,filtering, and sorting public break data. Having the ability to以有据可查的标准化格式自动查询数据是可取的，因为它节省了内部团队的时间和精力，同时确保免受ATO的保护。 理想情况下，该解决方案还应提供与现有工作流和应用程序的集成，包括目录服务、SIEM和其他内部检测工具，允许企业自动重置密码，并确保正确的团队有效修复受恶意软件感染的设备。 自动执行警报和密码重置等操作是ATO预防解决方案最大限度地减少延迟的最佳方式。ATO防护解决方案检测受损凭证的速度越快，组织采取行动的速度就越快。 概念证明 要评估其数据的质量和可操作性，您应该要求进行“匹配率测试”和概念证明(POC)The ATO prevention solution. Each vendor should be able to prove its results by sharing what data exists in their system (all time并在过去12个月内收集)匹配您的活动用户，包括总体匹配率、实际凭据匹配和明文密码。 在这些类型的测试中，最容易通过选择提供最广泛结果的供应商来缩小fi范围品种和最高的质量。 支持 想要企业级数据安全性的组织不应满足于其企业级支持ATO预防解决方案供应商。供应商的客户支持团队应在正常工作时间和24 / 7 / 365的关键项目，以及提供快速的解决方案和简洁的沟通。此外，他们的客户成功团队应该与您合作，建立长期关系，并确保与供应商和解决方案。 除了专门的客户支持和成功团队外，供应商还应制定服务级别协议(SLA)包括最多一个工作日来解决高优先级请求，以及任何托管API或门户。 NIST合规性 企业面临着越来越多的监管清单合规性义务，合规水平因行业而异。您的ATO预防解决方案应帮助您满足组织不断增长的法规遵从性需求，包括国家标准与技术研究所(NIST)密码指南，强调降低风险的强有力政策ATO： 禁止“常用、预期或受损”密码，包括包含在先前的违约语料库至少需要8 +个字符的密码不要强制任意重置密码，因为它会导致密码重复使用和轮换限制密码尝试失败的次数 选择企业ATO预防解决方案的注意事项 员工ATO预防解决方案清单 在评估ATO预防解决方案时，请使用此快速指南确保解决方案检查所有框： 数据收集 自动化 该解决方案可自动执行暴露的密码警报和重置功能。 该解决方案包含漏洞数据和恶意软件数据。 该解决方案监控受攻击的帐户员工、合作伙伴和供应商。 该解决方案与其他工具集成在您的安全框架。 供应商的数据不断刷新。 概念证明 供应商遵守数据收集的道德标准。 供应商允许您测试数据以确保质量结果。 恶意软件数据 解决方案标识fies已管理和未监控受恶意软件感染的设备正在访问您的企业网络。 支持 供应商通过以下方式提供全面的支持敬业的团队。 该解决方案包括从 供应商的客户支持团队提供快速决议和简洁的沟通。 受恶意软件感染的计算机，包括受攻击的计算机凭据和被盗的Web会话Cookie。 支持团队可用于现场支持，也处理关键项目24 / 7 / 365。 该解决方案提供了对受损第三方的可见性应用程序（即SSO，VPN），提供全面的感染后补救计划，以否定勒索软件. 供应商超越了客户支持客户成功团队确保您看到长期价值与供应商和解决方案。 早期检测 解决方案标识会破坏凭据并被盗cookie在攻击生命周期的早期。 合规性 该解决方案有助于满足政府和行业监管标准和实践。 数据清理、固化和富集 该解决方案提供的不仅仅是原始数据馈送。 供应商会清理和管理数据，以确保相关且可操作的解决方案。 供应商使用源信息丰富数据，以提供更多的上下文见解。 供应商在密码破解方面投入巨资，使数据可操作，避免无关的警报。 对ATO采取行动SpyCloud 为什么是SpyCloud ？ SpyCloud的存在是为了破坏网络犯罪的循环，包括帐户接管、勒索软件和在线欺诈。我们的解决方案由Cybercrime Analytics提供支持基于世界上最大和最可行的收集重新捕获的漏洞和恶意软件数据。 为了真正防止ATO，可以导致后续网络攻击，如勒索软件，威胁情报解决方案仅仅是不够的。来自罪犯的攻击以及意外或不知情的内部威胁，ATO预防解决方案必须更全面，以包括对被泄露的凭据和Web会话cookie。 作为B2B组织和消费者值得信赖的合作伙伴全球各地的品牌，包括一半的财富10，SpyCloud保护了超过30亿的帐户使用被盗数据进行的网络攻击。听到我们的一些满意的客户： SpyCloud的企业ATO预防可帮助降低您的风险当您的员工的凭据时，通过提醒您数据泄露出现在犯罪地下，这反过来减少了进入犯罪分子向您的网络提供勒索软件的要点。 通过检查您的员工的凭据和Web会话Cookie与业内最大的重新捕获数据存储库相比，您可以在犯罪分子之前重置受损的身份验证数据有机会使用它。 SpyCloud的企业解决方案检查ATO的所有方框预防: Atlassian首席安全情报分析师,尼尔斯·海曼斯 控制你的人类攻击面缩短您的曝光