眾所周知，發(fā)生在系統(tǒng)內(nèi)部的賬號劫持，一直以來，都備受安全管理員與系統(tǒng)管理員的關(guān)注。如今，隨著云服務(wù)的廣泛使用，發(fā)生在云端應(yīng)用程序中的云賬號劫持現(xiàn)象，也同樣引起了各種類型與規(guī)模組織的重視和警惕。

由于云服務(wù)脫離了人們傳統(tǒng)意義上的本地管理邊界，因此信息安全團隊很難對其進行實時檢測與防御，這也是黑客屢屢容易得手云賬號劫持的原因之一。他們可以輕松地通過賬號劫持，快速地訪問到更多的賬號和業(yè)務(wù)數(shù)據(jù)。可見，賬號劫持對于企業(yè)信息系統(tǒng)的危害性是不言而喻的。

不過，對于許多快速采用了云端業(yè)務(wù)的組織來說，他們不但在碰到安全事件時反應(yīng)速度不夠敏捷，而且對于云計算安全性的相關(guān)概念存在著一定程度的誤解。首先，網(wǎng)絡(luò)管理員會習(xí)慣性地誤以為他們現(xiàn)有的、基于網(wǎng)絡(luò)的安全基礎(chǔ)架構(gòu)足以保護新增的云端應(yīng)用。其次，他們也會傾向性地認(rèn)為，云服務(wù)提供商理應(yīng)該負(fù)責(zé)保護云端應(yīng)用、及其客戶數(shù)據(jù)。

什么是云賬號劫持？

云賬號劫持的基本原理，與前文提的發(fā)生在系統(tǒng)內(nèi)部的賬號劫持相同。黑客通過獲得對于某個賬號的訪問權(quán)，進而根據(jù)自己的目的，利用該賬號去訪問其他更多的賬號、以及業(yè)務(wù)信息。

顯然，監(jiān)控并了解云端應(yīng)用的各種異常行為，是防止與發(fā)現(xiàn)賬號劫持的首要步驟。為此，我們將詳細(xì)討論如下五項監(jiān)控要點，以檢測出對于云端賬號的劫持（哪怕只是些嘗試），并及時采取適當(dāng)?shù)难a救措施。

1. 登錄位置

通過登錄位置（https://dzone.com/articles/sso-login-key-benefits-and-implementation）來檢測可能存在的云賬號劫持，是一種非常簡單易行，且效果明顯的方法。借助針對登錄位置的分析，您可以查看到是否存在著一些已被列入已知黑名單的危險IP源的登錄嘗試。據(jù)此，您可以通過調(diào)整云端安全策略的設(shè)置，來禁止此類地址所發(fā)起的登錄、以及其他嘗試性的活動。

例如：學(xué)生與員工們對于某國內(nèi)大學(xué)官網(wǎng)的訪問與登錄，都應(yīng)當(dāng)源自在境內(nèi)。如果您監(jiān)控到突然有源于美國的IP地址，使用某個賬號進行大量的登錄嘗試，那么很可能該賬號已經(jīng)遭到了劫持，并正在發(fā)起攻擊。

當(dāng)然，有時候也會存在著一個學(xué)生團體正好在國外游學(xué)，他們需要遠(yuǎn)程登錄進來的情況。因此，我們需要制定好細(xì)粒度的策略，只允許特定的用戶群體從境外訪問到學(xué)校的云服務(wù)環(huán)境中，并能夠在登錄時及時通知安全與運維人員相關(guān)的信息。在此，我推薦的實踐方式是：本著謹(jǐn)慎的態(tài)度，默認(rèn)阻止此類位置的登錄，直至合法用戶提出合理的請求，方可逐個“解鎖”開啟。

2. 屢次嘗試登錄失敗

根據(jù)Signal Sciences的一項研究表明，任何外部應(yīng)用程序在上線之后，都可能會出現(xiàn)大約30%的登錄失敗率，其中不乏有用戶忘記了自己的密碼，或是鍵盤輸入錯誤，以及應(yīng)用服務(wù)器本身的出錯可能。但是，如果在較短的時間內(nèi)，大量出現(xiàn)失敗的登錄嘗試，則表明云賬號正在受到異常攻擊。黑客很可能正在使用爆破或撞庫的方式，來嘗試所有最常見的密碼、以及已知的密碼變體，以獲得針對目標(biāo)應(yīng)用的授權(quán)訪問。

同樣，我們可以通過設(shè)置相應(yīng)的策略，來限制某個賬號在被鎖定之前，所允許的嘗試登錄失敗次數(shù)。通常，管理員會設(shè)置該限制為三到五次。當(dāng)觸及該閥值之后，用戶需要主動聯(lián)系負(fù)責(zé)該應(yīng)用的管理員，以解鎖自己的賬號，或重置登錄密碼。與此同時，我們可以通過設(shè)置警報的方式，以便在出現(xiàn)多次嘗試登錄失敗時，應(yīng)用程序能夠及時地發(fā)送通知給相應(yīng)的安全與運維管理員。據(jù)此，管理員則能夠通過采取主動的措施，來驗證此類嘗試的合法性。

3. 橫向網(wǎng)絡(luò)釣魚（Lateral Phishing）郵件

前面介紹的兩種方法主要檢測是否有人正在嘗試劫持賬號。下面我們討論的方法則是關(guān)注如何發(fā)現(xiàn)已經(jīng)得手的云賬號劫持攻擊。

通常，那些橫向網(wǎng)絡(luò)釣魚郵件都源自某個已被劫持的賬號。由于此類電子郵件是從內(nèi)部合法賬號所發(fā)出，因此我們使用傳統(tǒng)的網(wǎng)絡(luò)釣魚過濾程序，很難檢測到橫向網(wǎng)絡(luò)釣魚的行為。而且由于具有合法性與隱蔽性，因此它在繞過大多數(shù)安全防護機制的同事，還會蔓延到應(yīng)用內(nèi)部的其他賬號上。

最近有研究發(fā)現(xiàn)：在過去的七個月時間里，有七分之一的受訪組織至少遭受過一次橫向網(wǎng)絡(luò)釣魚攻擊。其中有154個被劫持的賬號，曾經(jīng)向100，000多名指定接收者發(fā)送過橫向網(wǎng)絡(luò)釣魚郵件。該報告還指出：在這些接收者中，大約40%是同組織的同事，而其余的是各種私人、客戶、合作伙伴、以及供應(yīng)商類型的賬號。

通常，我們會采用傳統(tǒng)的郵件傳輸代理（MTA，mail transfer agents）和網(wǎng)絡(luò)釣魚過濾程序，防范來自組織外部的釣魚攻擊。但是，由于被劫持的賬號發(fā)生在內(nèi)網(wǎng)，因此這些安全工具缺乏從內(nèi)部檢測到釣魚攻擊的能力。而新興的云安全解決方案，則能夠?qū)崿F(xiàn)掃描入向與出向的郵件、郵件中包含的附件、以及共享盤上的釣魚鏈接和惡意軟件等。

4. 惡意的OAuth連接

如今，通過OAuth將SaaS應(yīng)用程序連接到云端環(huán)境之中，已經(jīng)變得稀松平常。但是，您可能無法簡單地分辨出那些惡意的OAuth連接，它們會直接導(dǎo)致云端應(yīng)用的賬號被劫持。

那么此類連接是如何產(chǎn)生的呢？黑客通常會創(chuàng)建一個需要對用戶的Gmail或Outlook 365賬號具有讀取、寫入和獲取權(quán)限的應(yīng)用程序。該應(yīng)用通過合法的OAuth連接，被授予了相應(yīng)的權(quán)限。黑客們據(jù)此可以直接通過用戶的賬號，發(fā)送帶有網(wǎng)絡(luò)釣魚鏈接的電子郵件，而無需真正登錄到他們所劫持賬號上。而且更狡猾的是，此類電子郵件完全不會被企業(yè)內(nèi)既有的傳統(tǒng)網(wǎng)絡(luò)釣魚過濾程序和MTA所檢測到。

因此，如果您在云端環(huán)境中檢測到了某個危險或惡意的OAuth連接，那么第一步就是要直接阻斷該連接。接著，您應(yīng)該聯(lián)系該連接賬號的持有人，詢問其是否允許了不明的應(yīng)用程序。在建議用戶立即重置其賬號登錄密碼的同時，您還應(yīng)該協(xié)助審查是否有文件或其他關(guān)聯(lián)賬號遭到了破壞。

5. 異常的文件共享和下載

眾所周知，賬號劫持只是途徑，并非目的。攻擊者真正想要的是諸如：用戶社會安全號碼、姓名、地址、電話號碼、健康信息、財務(wù)信息、以及知識產(chǎn)權(quán)內(nèi)容等敏感且專有的數(shù)據(jù)。因此，如果您的云安全平臺檢測到某個賬號正在（或嘗試著）向本組織以外的某個目標(biāo)共享敏感信息、或者提供下載的話，那么該賬號顯然已被劫持了。您需要立即關(guān)停該賬號，強制重設(shè)密碼，審查現(xiàn)有應(yīng)用環(huán)境中的其余部分，并確認(rèn)其他賬號是否也受到了此類攻擊。

綜上所述，如果您的組織正在通過云端應(yīng)用來提供或使用電子郵件、文件共享、以及存儲等服務(wù)的話，請通過針對云服務(wù)設(shè)計的安全平臺，來監(jiān)控、檢測和自動化與賬號劫持相關(guān)的攻擊行為，以提高現(xiàn)有云端數(shù)據(jù)和業(yè)務(wù)的安全態(tài)勢。