减轻凭据暴露风险的五个步骤

每年都有数十亿的证书出现在网上，无论是在各种网站，还是在网络犯罪分子共享的数据转储中。这些凭证经常被用于账户接管攻击，使组织面临违约、勒索软件和数据窃取。

尽管一些国家组织意识到日益增加的身份威胁，并在其武库中拥有多种工具来帮助减少潜在风险，但现实是，现有的方法在很大程度是无效的。根据《2022年Verizon数据泄露调查报告》，超过60 %的数据泄露与凭证有关。

攻击者使用社会工程、暴力和在地下网络上购买泄露的证书等技术，以损害合法身份，并未经授权进入受害者组织的系统和资源。

攻击者经常利用一个事实——即一些密码在不同用户之间共享，从而更容易破坏同一组织中的多个帐户。部分员工重复使用密码。其他人在他们的密码在各种网站之间使用共享模式。攻击者可以使用破解技术和字典攻击，通过利用共享模式来克服密码置换，即使密码是散列的。该组织面临的主要挑战是，黑客只需要一个单一的密码匹配才能闯入。

为了有效地缓解他们的暴露，考虑到当前的威胁情报，组织需要从对手的角度关注什么是可利用的。

采取这五个步骤组织减轻凭证泄露：

收集泄露的凭证数据

为了开始解决这个问题，安全团队需要收集从不同网络的外部泄漏的凭据数据。这可以让他们初步了解组织面临的风险，以及需要更新的个人凭证。

分析数据

从那里开始，安全团队需要识别可能导致安全暴露的凭据。攻击者会采取用户名和密码组合(无论是明文还是散列)，然后尝试使用它们来访问服务或系统。安全团队应该使用类似的技术来评估他们的风险。这包括：

· 检查凭据是否允许访问组织的外部公开资产，例如Web服务和数据库

· 试图破解捕获的密码散列

· 验证泄露的凭证数据与组织的身份管理工具，如Active Directory之间的匹配

· 对原始数据进行操作以增加所获得的妥协身份的数量。例如，用户通常使用相同的密码模式。即使泄露的凭证不允许访问外部资产或匹配Active Directory条目，也有可能通过测试变异来找到额外的匹配项。

减少凭据泄露

在验证泄漏的凭据以识别实际的暴露之后，组织可以采取有针对性的行动来降低攻击者进行同样操作的风险。例如，它们可以清除Active Directory中不活跃的泄漏帐户或为活跃用户发起密码更改。

重新评估安全流程

在直接缓解之后，安全团队应该评估他们当前的流程是否安全，并在可能的情况下进行改进。例如，如果他们正在处理许多匹配的泄漏凭据，他们可能会建议在整个组织中更改整个密码策略。类似地，如果在Active Directory中发现不活跃用户，则可能有利于重新审视员工下岗流程。

自动重复

攻击者不断采用新技术。攻击面发生变化，新的身份在例行的基础上被添加和移除。同样，人类将永远容易发生偶然的错误。因此，一次性的努力来发现、验证和缓解凭据暴露是不够的。为了在高度动态的威胁环境中实现可持续安全，组织必须不断重复这一过程。

不过资源受限的安全团队无法有充足时间手动执行所有这些步骤。有效管理威胁的唯一方法是自动化验证过程。

Pentera为组织提供了一种方法来自动模拟攻击者的技术，试图利用外部和网络内部的泄漏证书。为了关闭验证循环，Pentera提供了对完整攻击路径的洞察，以及可操作的补救步骤，使组织能够有效地最大限度地提高其身份强度。