網(wǎng)約車(chē)巨頭Uber再次成為攻擊受害者成為圈內(nèi)熱議話(huà)題，據(jù)悉，攻擊者利用一名員工的Slack賬戶(hù)，入侵了該公司的多個(gè)內(nèi)部系統(tǒng)，并公開(kāi)了電子郵件、云存儲(chǔ)和代碼存儲(chǔ)庫(kù)的截圖。此外，攻擊者還可以訪問(wèn)公司的HackerOne漏洞賞金計(jì)劃，這意味著他可以查看研究人員提交的每個(gè)漏洞報(bào)告。

　　有外媒報(bào)道攻擊黑客僅18歲，且其攻擊目的僅僅是為了好玩。進(jìn)一步的報(bào)道稱(chēng)，此次黑客攻擊事件可能與Lapsus$黑客組織有關(guān)，Lapsus$曾對(duì)微軟、思科、英偉達(dá)、三星和Okta等其他知名科技公司進(jìn)行過(guò)網(wǎng)絡(luò)攻擊。

　　無(wú)論如何，事實(shí)就是Uber再次成為攻擊受害者，這讓這家市值超過(guò)600億美元的上市公司再度成為嘲諷對(duì)象和典型案例，因?yàn)樗麄冋莆罩罅康挠脩?hù)數(shù)據(jù)，人們當(dāng)然并不希望這些數(shù)據(jù)常因黑客攻擊事件而受到威脅。

　　其實(shí)早在2016年Uber就曾發(fā)生過(guò)重大網(wǎng)絡(luò)事件，黑客入侵Uber且獲取了數(shù)百萬(wàn)乘客的個(gè)人隱私，包括姓名、電子郵箱、電話(huà)號(hào)碼，網(wǎng)約車(chē)司機(jī)的牌照等信息也同時(shí)被盜。事件發(fā)生后，Uber對(duì)社會(huì)采取隱瞞措施，一直到一年后才公開(kāi)。一系列的攻擊事件加之安全管控不完善，且后續(xù)處理不當(dāng)對(duì)公司造成巨大損失及不利影響，導(dǎo)致Uber相關(guān)高管被刑事指控。

　　無(wú)獨(dú)有偶，16年事件與近期攻擊都涉及到“HackerOne”，Uber在HackerOne的官方賬號(hào)被黑意味著攻擊者可以看到其他黑客們向平臺(tái)提交的所有關(guān)于Uber公司的安全漏洞細(xì)節(jié)。

　　Uber在社交平臺(tái)對(duì)此次攻擊事件的聲明

　　對(duì)于此次事件我們大致梳理了相應(yīng)攻擊流程：

　　Uber員工感染惡意軟件，導(dǎo)致員工憑據(jù)被泄漏；

　　涵蓋Uber員工憑據(jù)的文件被放在暗網(wǎng)進(jìn)行售賣(mài)；

　　黑客從暗網(wǎng)購(gòu)買(mǎi)該文件；

　　黑客從文件中挑選合適的員工進(jìn)行下手，使用該員工憑據(jù)為自己的設(shè)備注冊(cè)MFA提醒；

　　當(dāng)DUO持續(xù)不斷地向目標(biāo)員工發(fā)送MFA新設(shè)備綁定的提醒時(shí)，黑客在Whatsapp上偽裝成Uber的IT，表示如果不想一直接受MFA的該條提醒，只需要點(diǎn)擊Accept；

　　當(dāng)Uber員工點(diǎn)擊Accept后，成功為黑客的設(shè)備注冊(cè)了MFA的提醒；

　　黑客使用該方式順利通過(guò)VPN的MFA二次認(rèn)證登錄進(jìn)Uber公司內(nèi)網(wǎng)；

　　黑客進(jìn)入內(nèi)網(wǎng)后，通過(guò)內(nèi)網(wǎng)掃描發(fā)現(xiàn)一個(gè)內(nèi)部的網(wǎng)絡(luò)共享，其中包含一個(gè)具有PAM管理員賬戶(hù)憑據(jù)的腳本文件。

　　不難發(fā)現(xiàn)，每次網(wǎng)絡(luò)攻擊都始于利用攻擊面中的薄弱點(diǎn)進(jìn)入受多重安全設(shè)備保護(hù)的內(nèi)部網(wǎng)絡(luò)、域、敏感系統(tǒng)等。為了阻止攻擊者跨越網(wǎng)絡(luò)邊界，每個(gè)企業(yè)都會(huì)部署大量的安全設(shè)備，包括防火墻、郵件網(wǎng)關(guān)、VPN等。

　　基于邊界網(wǎng)絡(luò)控制的這種策略，可以阻斷大量的網(wǎng)絡(luò)攻擊，但一旦攻擊者突破邊界，薄弱的內(nèi)部網(wǎng)絡(luò)及大量的基礎(chǔ)設(shè)施、業(yè)務(wù)系統(tǒng)將完全暴露在攻擊者的視野中。

　　在Uber事件中，一個(gè)員工憑據(jù)的泄漏，意味著為攻擊者打開(kāi)了通往Uber網(wǎng)絡(luò)世界的大門(mén)。PAM憑據(jù)的泄漏，意味著攻擊者將成為Uber大量系統(tǒng)的控制者。

　　隨著攻擊導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)的崩解，攻擊者在內(nèi)網(wǎng)的攻擊思路將由單點(diǎn)突破變?yōu)槔锰貦?quán)身份批量橫向移動(dòng)，而這種攻擊往往是使用特權(quán)賬號(hào)的正常登錄行為，這種攻擊在行為特征上來(lái)看也是非惡意的。部署在內(nèi)網(wǎng)的NDR以及在業(yè)務(wù)系統(tǒng)邊界的WAF等均難以識(shí)別此類(lèi)行為，傳統(tǒng)的終端安全更無(wú)法對(duì)此類(lèi)身份向的惡意利用做出有效檢測(cè)。

　　一個(gè)亟需關(guān)注的防御面在我們面前徐徐展開(kāi)——“身份威脅檢測(cè)和響應(yīng)”（ITDR）。

　　中安網(wǎng)星——身份威脅檢測(cè)和響應(yīng)（ITDR）

　　隨著近期身份威脅檢測(cè)與響應(yīng)概念的廣受關(guān)注，作為國(guó)內(nèi)首家以AD安全防護(hù)問(wèn)題切入身份安全治理的安全廠商，中安網(wǎng)星身份安全研究團(tuán)隊(duì)認(rèn)為：“過(guò)去以終端和網(wǎng)絡(luò)維度為核心的威脅檢測(cè)產(chǎn)品非常多，但現(xiàn)階段隨著網(wǎng)絡(luò)架構(gòu)逐漸云化及去邊界化，身份正快速成為企業(yè)的新邊界，以身份威脅檢測(cè)和響應(yīng)為核心的防護(hù)會(huì)成為網(wǎng)絡(luò)安全市場(chǎng)不可或缺的一部分；身份安全不僅僅是身份認(rèn)證與管理（IAM）這一件事，更包括有檢測(cè)、保護(hù)、響應(yīng)一整套方案；”AD“作為企業(yè)常用的身份認(rèn)證源，有大量的認(rèn)證對(duì)象接入認(rèn)證使用，具有極大的保護(hù)價(jià)值，因而以AD安全防護(hù)問(wèn)題切入身份安全治理的路徑也是切實(shí)可行的。”

　　中安網(wǎng)星憑借自主創(chuàng)新研發(fā)的AD域安全防護(hù)產(chǎn)品——智域，為身份安全檢測(cè)與響應(yīng)（ITDR）解決方案的落地打下了堅(jiān)實(shí)的基礎(chǔ)。未來(lái)中安網(wǎng)星身份安全檢測(cè)與響應(yīng)（ITDR）解決方案，將為更多的企業(yè)用戶(hù)提供領(lǐng)先的身份安全防護(hù)能力。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<