账号和登录引发的安全运维难题 大牛教你轻松解决
发布时间:2022-08-25 16:00:06 所属栏目:安全 来源:互联网
导读:以操作系统、数据库、网络设备运维视角设定账号,这类账号一旦设定,不能随意删除,因此,在员工离职、调岗等异动时不能通过删除账号来实现账号权限回收。 基于异常账号(黑名单账号,失效账号)和账号异常行为(绕行登录,单账号多IP登录,非上班时间登录,
|
以操作系统、数据库、网络设备运维视角设定账号,这类账号一旦设定,不能随意删除,因此,在员工离职、调岗等异动时不能通过删除账号来实现账号权限回收。 基于异常账号(黑名单账号,失效账号)和账号异常行为(绕行登录,单账号多IP登录,非上班时间登录,高危操作和敏感文件访问)维度分析,能及时发现某账号的操作行为时间轴轨迹,形成立体画像,及时检测威胁,避免安全威胁进一步扩大化,有效降低安全损失。 1.黑名单账号登录 告警发生场景:源用户账号不在用户指定的白名单账号列表中,并且曾经产生过一些攻击、违规等行为的账号可以列为黑名单账号重点关注。 人工分析:用户在日常运维中可以建立资产账号的黑白名单库,白名单账号为合法账号,黑名单账号为产生异常行为(绕行登录,单账号多IP登录,非上班时间登录,高危操作和敏感文件访问)的账号。通过查看登录日志筛选出所有登录账号,比对是否不在白名单账号中并属于黑名单账号。 工具分析:集中采集 linux 系统登录日志,解析关键字段:事件类型为登录,结果是否登录成功,登录账号信息,通过自定义黑白名单账号字典,账号信息命中不在白名单账号且在黑名单账号即刻触发告警,能大幅提升黑名单账号风险识别效率。 2. 失效账号登录 告警发生场景:源用户账号为失效账号,失效账号可能为离职员工账号、已经禁用/删除或过期的账号,正常不会用失效账号登录。 攻击方式:以失效账号登录系统,产生攻击、违规等风险行为。 人工分析:查看登录日志筛选出所有登录账号,比对是否属于失效账号。 工具分析:集中采集linux系统登录日志,解析关键字段:事件类型为登录,结果是否登录成功,登录账号信息,通过自定义失效账号字典,账号信息命中失效账号字典即刻触发告警,能大幅提升失效账号风险识别效率。 3.多账号登录同一重要资产失败 告警发生场景:多个不同的账号登录同一个目标资产失败,可能存在有意的批量账号猜测攻击。 攻击方式:以多个不同的账号登录同一个目标资产尝试进行密码猜测暴力破解。 检测思路:超过3个以上不同账号登录同一个目标主机失败。 日志来源:以linux系统登录日志为例 人工分析:需要查看同一台目标主机的登录失败日志,是否在短时间内有多个不同的源IP、不同账号登录失败。 工具分析:集中采集 linux 系统登录日志,解析关键字段:事件类型为登录,结果是登录失败,针对同一个目标系统,在一段时间内失败超过 3 次即刻触发告警,能大幅提升账号风险行为识别效率。 4.单账号多 IP 登录 告警发生场景:某账号已登录,在未退出的情况下从另一源 IP 地址成功登录,可能密码外泄或被破解。 攻击方式:攻击者获取账户信息后从多个 IP 地址成功登录,通过多 IP 干扰溯源取证。 检测思路:通过多条日志关联分析,登录结果成功的账户为同一个账户,但是源IP不同,即可判定属于单账号多IP登录事件,触发告警。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号