Subscribe to receive notifications of new posts:

ภายใน Cloudflare: ป้องกันการแอบอ้างเป็นเจ้าของบัญชี

03/29/2021

1 min read
Inside Cloudflare: Preventing Account Takeovers

ตลอดสัปดาห์ที่ผ่านมา Cloudflare ได้เผยแพร่บล็อกโพสต์เกี่ยวกับผลิตภัณฑ์ที่สร้างขึ้นเพื่อรักษาความปลอดภัยลูกค้าของเราจากบ็อต credentials stuffing , ตรวจจับผู้ใช้ที่มีข้อมูลประจำตัวที่ถูกบุกรุก และปิดกั้นผู้ใช้จากบริการพร็อกซี แต่เราจะทำอย่างไรภายใน Cloudflare เพื่อป้องกันการเข้าครอบครองบัญชีในแอปพลิเคชันของเราเอง ทีมรักษาความปลอดภัยใช้ผลิตภัณฑ์ Cloudflare เพื่อป้องกันการบุกรุกบัญชีในเชิงรุก เรายังมีระบบตรวจจับและการทำงานอัตโนมัติเป็นเลเยอร์ที่สองเพื่อแจ้งเตือนเราหากบัญชีพนักงานถูกบุกรุก เพื่อให้แน่ใจว่าเราสามารถตรวจจับพฤติกรรมที่น่าสงสัย ตรวจสอบ และแก้ไขได้อย่างรวดเร็ว

เป้าหมายของเราคือป้องกันผู้โจมตีแบบอัตโนมัติและแบบกำหนดเป้าหมาย โดยไม่คำนึงถึงเทคนิคการแอบอ้างเป็นเจ้าของบัญชี: การโจมตีด้วย brute force, credential stuffing, บ็อตเน็ต วิศวกรรมโซเชียล หรือฟิชชิ่ง

วงจรการแอบอ้างเป็นเจ้าของบัญชีแบบคลาสสิก

อันดับแรก มาดูวงจรชีวิตทั่วไปสำหรับบัญชีที่ถูกบุกรุก

สถานการณ์ที่พบเห็นโดยทั่วไปคือการละเมิดรหัสผ่านและที่อยู่อีเมลหลายครั้ง ข้อมูลประจำตัวเหล่านี้ถูกนำมาใช้ซ้ำผ่าน credential stuffing เพื่อพยายามเข้าถึงบัญชีใด ๆ (บนแพลตฟอร์มใด ๆ ) ที่ผู้ใช้อาจใช้ข้อมูลข้างต้นซ้ำไปซ้ำมา เมื่อผู้โจมตีเข้าถึงครั้งแรกได้สำเร็จ ซึ่งหมายความว่ารหัสผ่านและที่อยู่อีเมลที่ใช้ร่วมกันได้ผล พวกเขาจะนำข้อมูลที่ได้จากระบบนั้นมาใช้กับระบบอื่น ๆ ผ่านวิธีการต่างๆ ลักษณะนี้จัดอยู่ในประเภทการเคลื่อนย้ายแบบด้านข้าง ด้วยรหัสผ่านเดียวที่รั่วไหล มีความเป็นไปได้ที่บริษัทที่ไม่เกี่ยวข้องจะเกิดการละเมิดโดยที่ผู้ใช้ที่ไม่ได้รับอนุญาตลงชื่อเข้าใช้และขโมยข้อมูล

การแอบอ้างเป็นเจ้าของบัญชีอีกรูปแบบหนึ่งคือ อีเมลฟิชชิ่งพร้อมลิงก์ที่ส่งถึงพนักงานโดยมีเป้าหมายเพื่อดึงข้อมูลประจำตัวของพนักงาน กลวิธีทั่วไปที่ผู้โจมตีใช้คือ Evilginx ซึ่งเป็นเฟรมเวิร์กการโจมตีแบบคนกลางที่ใช้เพื่อหลอกดึงข้อมูลประจำตัวและคุกกี้เซสชันของบริการเว็บใด ๆ ผู้โจมตีจะสร้างเพจที่คล้ายกับพอร์ทัลล็อกอินของบริษัท เพื่อดักจับการรับส่งข้อมูล และเก็บข้อมูลประจำตัวที่ป้อนลงในเพจไว้ เมื่อรวบรวมข้อมูลประจำตัวไว้ได้แล้ว ผู้โจมตีจะเข้าสู่ระบบในฐานะผู้ใช้ทันที ก่อนคัดกรองข้อมูล และพยายามลดทอนความแข็งแกร่งของระบบ/บัญชีที่เกี่ยวข้อง แต่เพราะมีการปรับปรุงระบบกรองอีเมลฟิชชิ่ง ผู้โจมตีจึงเลือกใช้วิธีการวิศวกรรมโซเชียลทางโทรศัพท์เพื่อให้พนักงานเข้าชมเว็บไซต์ที่เป็นอันตราย เช่น เว็บไซต์ที่กล่าวถึงข้างต้น

สองวิธีที่พบบ่อยที่สุดในการเพิ่มการตรวจสอบเพิ่มเติม คือการใช้รหัสผ่านครั้งเดียวแบบตามเวลา (TOTP) หรือรหัสยืนยันผ่านข้อความ (SMS) เป็นตัวเลือกการตรวจสอบสิทธิ์แบบหลายปัจจัย โดย TOTP จะสร้างรหัสผ่านแบบใช้ครั้งเดียวซึ่งใช้เวลาปัจจุบันเป็นต้นทางกำหนดลักษณะเฉพาะเจาะจง ซึ่งวิธีนี้มักได้มาจากแอปพลิเคชันมือถือ เช่น Google Authenticator แต่วิธีการตรวจสอบสิทธิ์แบบหลายปัจจัยทั้งสองวิธีเหล่านี้ไม่สามารถป้องกันการเข้าสวมบัญชีได้ เนื่องจากผู้โจมตีสามารถใช้กลวิธีทางวิศวกรรมโซเซียลเพื่อหลอกให้พนักงานบอกรหัส TOTP หรือ SMS นอกจากนี้ ผู้โจมตียังสามารถทำการสลับซิม ซึ่งเป็นกลวิธีที่ผู้ให้บริการโทรศัพท์ถูกหลอกให้กำหนดหมายเลขโทรศัพท์ของบุคคลอื่นให้กับอุปกรณ์เครื่องใหม่ เพื่อรับรหัสยืนยันที่ส่งไปยังอุปกรณ์ของผู้โจมตี

การแอบอ้างเป็นเจ้าของบัญชีเป็นภัยคุกคามต่อบริษัทและผู้ใช้อย่างแท้จริง มาดูตัวอย่างที่จับต้องได้ของการละเมิดความปลอดภัยลักษณะนี้ และวิธีป้องกันในหลายระดับโดยใช้ Cloudflare

ตัวอย่างจริงของการแอบอ้างเป็นเจ้าของบัญชี

ในปี 2020 ตัวอย่างของผลกระทบของการแอบอ้างเป็ฯเจ้าของบัญชีถูกแสดงให้เห็นเมื่อผู้โจมตีสามารถล้วงข้อมูลประจำตัวพนักงาน Twitter สำหรับใช้เข้าสู่ระบบ แล้วเข้าถึงบัญชี Twitter ที่ยืนยันแล้วนับสิบบัญชี วัยรุ่นจากฟลอริดาปลอมหมายเลขโทรศัพท์ของพนักงานด้วยการแลกเปลี่ยนซิม ซึ่งเป็นกลวิธีที่นำมาใช้เพื่อให้ผู้ให้บริการโทรศัพท์กำหนดหมายเลขโทรศัพท์ของบุคคลอื่นให้กับอุปกรณ์เครื่องใหม่ จากนั้นผู้โจมตีก็ทำวิศวกรรมโซเชียลให้กับพนักงาน Twitter โดยแสร้งทำเป็นเป็นสมาชิกแผนกไอทีของพนักงาน เมื่อพนักงานเชื่อตามนั้น ผู้โจมตีจะแนะนำให้พนักงานไปยังหน้าฟิชชิ่งที่คล้ายกับพอร์ทัลเข้าสู่ระบบ Okta ของ Twitter เมื่อพนักงานป้อนข้อมูลประจำตัวลงในหน้าที่ดูเหมือนถูกต้องตามกฎหมาย ผู้โจมตีก็สามารถใช้ข้อมูลดังกล่าวเพื่อเข้าถึงระบบของ Twitter ได้ การโจมตีนี้เกิดขึ้นได้เนื่องจากการใช้ SMS และ/หรือ TOTP สำหรับการตรวจสอบสิทธิ์แบบหลายปัจจัย หากพนักงาน Twitter มีโทเค็นการรักษาความปลอดภัยฮาร์ดแวร์ U2F เช่น YubiKey ผู้โจมตีจะป้อนข้อมูลประจำตัวที่ขโมยมา จากนั้นจะได้รับแจ้งให้แตะคีย์จริงเพื่อขอสิทธิ์เข้าระบบ ซึ่งจะทำไม่ได้หากไม่มีคีย์ของพนักงาน

ในสถานการณ์จำลองนี้ บริษัทสามารถใช้ Cloudflare Access เพื่อล็อคการเข้าถึงระบบภายในของอุปกรณ์ของบริษัท และใช้นโยบายการเข้าถึงที่รัดกุมเพื่อจำกัดบัญชีที่ผู้ใช้แต่ละกลุ่มสามารถเข้าถึงได้ โดยสามารถนำนโยบายมาใช้เพื่อบังคับให้พนักงานตรวจสอบสิทธิ์ด้วยโทเค็นการรักษาความปลอดภัยของฮาร์ดแวร์ U2F และปิดกั้นเหตุการณ์ทั้งหมดที่ใช้ TOTP/SMS

ในปี 2018 การละเมิดข้อมูลได้ทำความเสียหายให้กับข้อมูลผู้ใช้ MyFitnessPal รวมถึงรหัสผ่าน อีกสองปีต่อมา มีการนำข้อมูลที่หลอกล่อมาได้นี้มาใช้ทำการโจมตีแบบ credential stuffing บริษัทประกันสองแห่ง ได้แก่ Independence Blue Cross และ AmeriHealth New Jersey การโจมตีแบบ credential stuffing ส่งผลให้มีการเข้าถึงข้อมูลการประกันของผู้ใช้โดยไม่ได้รับอนุญาต รวมถึงการเรียกร้องค่าสินไหมทดแทน ตัวอย่างนี้แสดงให้เห็นว่าบริษัทใดก็ตามสามารถตกเป็นเป้าหมายของกลยุทธ์การแอบอ้างเป็นเจ้าของบัญชีได้

โซลูชันบ็อตของ Cloudflare รวมถึง Super Bot Fight Mode ซึ่งเปิดตัวในวันนี้อาจนำมาใช้ในหมู่บริษัทประกันภัยเพื่อปิดกั้น credential stuffing ในเชิงรุก สำหรับบริษัทประกันภัยที่กล่าวถึงอาจเปิดใช้งาน Exposed Credential Checks in WAF เป็นการภายในเพื่อตรวจสอบรหัสผ่านของผู้ใช้ที่ถูกเจาะ ก่อนแจ้งให้ผู้ใช้รีบเปลี่ยนรหัสผ่าน

การใช้ Cloudflare เพื่อรักษาความปลอดภัย Cloudflare

เวกเตอร์การแอบอ้างเป็นเจ้าของบัญชีทั่วไปจำนวนมากถูกปิดกั้นผ่านผลิตภัณฑ์ต่าง ๆ ของ Cloudflare ซึ่งช่วยให้ทีมรักษาความปลอดภัยมุ่งความสนใจไปที่การสร้างระบบป้องกันการโจมตีเฉพาะของ Cloudflare จากภายใน

ตัวอย่างเช่น Cloudflare Gateway ช่วยให้เราสามารถปิดกั้นโดเมนที่อาจเป็นอันตรายในเชิงรุกภายในตัวสร้างกฎ UI อย่างง่าย เมื่อปิดกั้นหมวดหมู่เหล่านี้บนปลายทางขององค์กร จะช่วยให้เราลดความเสี่ยงที่พนักงานจะพบกับภัยคุกคามที่รู้จัก

img

เมื่อมีโดเมนใหม่ที่ทีมรักษาความปลอดภัยสังเกตเห็นว่ากำลังพยายามโจมตีเพื่อรวบรวมข้อมูลประจำตัว เราสามารถปิดกั้นโดเมนในเชิงรุกได้โดยใช้รายการปิดกั้นใน Gateway ซึ่งจะป้องกันไม่ให้ปลายทางแก้ไขไซต์ได้แม้ว่าพนักงานจะนำทางไปยังไซต์นั้นโดยไม่ได้ตั้งใจ เครื่องมือรักษาความปลอดภัยมากมายสามารถใช้ที่อยู่ IP เพื่อปิดกั้น แต่นอกจากการปิดกั้น IP แล้ว เรายังสามารถปิดกั้นชื่อโดเมนเพื่อตอบสนองต่อการโจมตีให้ได้อย่างฉับไว เมื่อปิดกั้นโดเมนแล้ว หากผู้โจมตีใช้ไซต์เดียวกันบนที่อยู่ IP ใหม่ นั่นแสดงว่าเราได้บรรเทาความเสี่ยงที่อาจมีผู้เข้าไปซมไซต์ดังกล่าวแล้ว

พนักงาน Cloudflare ทั้งหมดจะต้องใช้โทเค็นการรักษาความปลอดภัยของฮาร์ดแวร์ FIDO2 เป็นการภายในเพื่อตรวจสอบสิทธิ์กับทรัพยากรใด ๆ ของบริษัท ซึ่งจะช่วยปกป้องระบบภายในจากหลุมพรางต่าง ๆ ที่ทำให้การแอบอ้างเป็นเจ้าของบัญชีทำได้ง่ายขึ้น

นอกจากข้อกำหนดโทเค็นฮาร์ดแวร์แล้ว ทีมรักษาความปลอดภัยยังใช้ Cloudflare Access เพื่อกำหนดให้มีเพียงอุปกรณ์ที่ได้รับการจัดการของบริษัทเท่านั้นที่สามารถเชื่อมต่อกับระบบภายใน กฎที่มีการจัดการสามารถกำหนดค่าให้อนุญาตหรือปิดกั้นตามปัจจัยต่าง ๆ รวมกัน เช่น การใช้วิธีแบบหลายปัจจัยและภูมิศาสตร์ของที่อยู่ IP รวมกัน ทีมรักษาความปลอดภัยสามารถเปลี่ยนจากวิธีการเชิงรับเป็นเชิงรุกได้โดยการปิดกั้นเหตุการณ์การตรวจสอบสิทธิ์จากอุปกรณ์ที่ไม่ใช่ของบริษัท ประเทศที่เราไม่มีพนักงาน หรือกิจกรรมที่ใช้ SMS/TOTP แทนโทเค็นการรักษาความปลอดภัยฮาร์ดแวร์ U2F

การเพิ่มเลเยอร์การป้องกันภายใน

นอกจากคุณสมบัติต่าง ๆ ของ Gateway แล้ว ทีมตรวจจับและตอบกลับยังส่งออกไฟล์บันทึก Gateway & Access เพื่อเพิ่มเติม เชื่อมโยง และพัฒนาการตรวจจับเหตุการณ์ดิบพร้อม ๆ กับไฟล์บันทึกระบบภายในอื่น ๆ ซึ่งเมื่อรวมไฟล์บันทึกทั้งหมดของเราไว้ในไปป์ไลน์ภายใน เราจะมีโอกาสสร้างการตรวจจับในแบบที่เรากำหนด และยกระดับให้การตอบสนองต่อเหตุการณ์เป็นระบบอัตโนมัติ

ในส่วนที่เกี่ยวข้องกับการแอบอ้างเป็นเจ้าของบัญชี ทีมงานของเรามุ่งเน้นไปที่การตรวจจับอาคารที่เน้นที่ เทคนิคการเข้าถึงเบื้องต้นเป็นการป้องกันเลเยอร์ที่สองในบัญชีพนักงาน

ตัวอย่างบางส่วนของการตรวจจับที่เน้นการลดมาตรการความปลอดภัยของบัญชี ได้แก่

  • การเข้าสู่ระบบหรือเหตุการณ์การตรวจสอบสิทธิ์อื่น ๆ กับระบบภายในจาก VPN
  • การเปลี่ยนแปลงโทเค็นการตรวจสอบสิทธิ์แบบหลายปัจจัยของพนักงานและการใช้อุปกรณ์ใหม่
  • เหตุการณ์การเข้าสู่ระบบหรือการตรวจสอบสิทธิ์จากที่อยู่ IP ที่ไม่คุ้นเคย
  • เหตุการณ์การเข้าสู่ระบบหรือการตรวจสอบสิทธิ์จากที่อยู่ IP ในประเทศที่มีความเสี่ยงสูง
  • เหตุการณ์การตรวจสอบสิทธิ์ด้วยซอฟต์โทเค็นการตรวจสอบสิทธิ์แบบหลายปัจจัยกับระบบภายใน
  • เหตุการณ์ใด ๆ จากที่อยู่ IP ที่เกี่ยวข้องกับผู้คุกคามที่รู้จัก

อย่างไรก็ตาม ยังมีรูปแบบพฤติกรรมมากมายที่อาจบ่งบอกว่าบัญชีไม่ได้มาตรฐานความปลอดภัยเท่าที่ควร แทนการใช้กฎการตรวจจับแบบคงที่สำหรับกฎทั้งหมด ทีมตรวจจับและตอบกลับได้จัดลำดับความสำคัญของการสร้างโมเดลการเรียนรู้ของระบบที่ช่วยตรวจจับพฤติกรรมการตรวจสอบสิทธิ์ที่ผิดปกติภายในบัญชีของพนักงาน

สัญญาณความเสี่ยงคือรูปแบบที่สามารถระบุถึงพฤติกรรมที่เป็นอันตรายและนำมาใช้เพื่อกำหนดว่าพฤติกรรมนั้นน่าจะเป็นอันตรายอย่างแท้จริง ทุกบริษัทมีสัญญาณความเสี่ยงด้านความปลอดภัยบางสัญญาณที่เหมือนกันเพื่อตรวจจับบัญชีที่มีมาตรฐานความปลอดภัยลดลง อย่างไรก็ตาม สัญญาณดังกล่าวอาจแตกต่างกันมากขึ้นอยู่กับโครงสร้างพื้นฐาน การรวมผลิตภัณฑ์ความปลอดภัยของ Cloudflare เข้ากับงานวิศวกรรมของเราเองจะช่วยให้เรามีระบบป้องกันที่ราบรื่นสำหรับระบบเผชิญหน้าทั้งภายนอกและภายใน

อิทธิพลต่อแผนกลยุทธ์สำหรับผลิตภัณฑ์

เมื่อ Cloudflare ขยายชุดผลิตภัณฑ์ด้านความปลอดภัย ทีมความปลอดภัยโดยรวมทำงานอย่างใกล้ชิดเพื่อการมีบทบาทที่สำคัญต่อแผนกลยุทธ์สำหรับผลิตภัณฑ์ เราสามารถให้ข้อมูลเชิงลึกที่นำไปใช้ได้จริงในการควบคุมและการตรวจจับทั้งหมดที่จำเป็นต่อการบรรเทาและตอบสนองต่อการโจมตีทางไซเบอร์ในปัจจุบันได้อย่างมีประสิทธิภาพ เราเปิดเผยกลยุทธ์ภายในร่วมกับทีมผลิตภัณฑ์โดยใช้ลูปการตอบรับที่ได้จากการสื่อสารและการทำงานร่วมกัน จากนั้นลองใช้ผลิตภัณฑ์ที่สร้างขึ้นที่ Cloudflare เพื่อให้แน่ใจว่าผลิตภัณฑ์ดังกล่าวปกป้องข้อมูลพนักงานและลูกค้าของเราได้จริง

Cloudflare เป็นสถานที่ที่ยินดีต้อนรับและอภิปรายแนวคิดใหม่ ๆ เพื่อให้แน่ใจว่าผลิตภัณฑ์ของเราเป็นทรัพย์สินสำหรับทีมความปลอดภัยและไอทีที่กำลังใช้งานผลิตภัณฑ์ดังกล่าว การได้เป็นส่วนหนึ่งของการเดินทางครั้งนั้นคือกำลังใจที่สำคัญ!

ขั้นตอนถัดไป

การแอบอ้างเป็นเจ้าของบัญชีเป็นหนึ่งในการโจมตีการรักษาความปลอดภัยทางไซเบอร์ที่พบบ่อยที่สุด แต่คุณสามารถปรับปรุงความสมบูรณ์ของโปรแกรมความปลอดภัยของคุณได้อย่างรวดเร็วด้วยการวางมาตรการบรรเทาผลกระทบที่โฟกัสที่การเข้าถึงครั้งแรก การบรรเทาผลกระทบเหล่านี้จะหยุดผู้โจมตีที่ขั้นตอน "การลาดตระเวน" ของเชนการกำจัดทางไซเบอร์ ซึ่งเป็นรูปแบบขั้นตอนการโจมตีที่สร้างโดย Lockheed Martin และขยายผ่านโครงงาน MITRE ATT&CK

แล้วกลยุทธ์ใดดีที่สุดที่คุณสามารถนำมาใช้เพื่อปกป้องความปลอดภัยขององค์กรของคุณ

ทำให้การโจมตีด้วยการแอบอ้างเป็นเจ้าของบัญชีทำได้ยาก

ที่ Cloudflare เราบังคับใช้นโยบายความปลอดภัยที่เน้นที่ความปลอดภัยของบัญชี ซึ่งรวมถึงการบังคับใช้โทเค็นความปลอดภัยของฮาร์ดแวร์สำหรับการตรวจสอบสิทธิ์แบบหลายปัจจัย ความซับซ้อนของรหัสผ่านที่รัดกุม การปิดกั้นเชิงรุกสำหรับโดเมนที่ไม่ดีที่รู้จัก และการป้องกันบ็อตบนไซต์ที่เชื่อมต่อภายนอก การบรรเทาผลกระทบเหล่านี้แต่ละอย่างมีจุดมุ่งหมายเพื่อขัดขวางช่วงเริ่มต้นของขั้นตอนการโจมตี (Kill Chain) ของผู้โจมตี

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Security Week (TH)Cloudflare Gateway (TH)Cloudflare Access (TH)

Follow on X

Cloudflare|@cloudflare

Related posts