具有欺骗性的Microsoft Office信标文件
2020-04-20张晓艺
张晓艺
现在来自世界各地的攻击者经常会出现在网络安全新闻的头条上。但是,研究表明,组织中60 %的数据泄露和其他网络攻击实际上是由疏忽的内部人员实施的。根据波耐蒙研究所最近的一项研究,控制内部威胁平均需要72天的时间,拥有超过1000名员工的典型组织每年在内部事件后平均花费10万美元清理。
各种因素有目的地诱使恶意内部人员:他们可能正在寻求报复遭受雇主的“虐待”,或者正在寻求回报以将机密信息出售给感兴趣的竞标者,或者正在寻求对自己或有同情心的第三方有经济或政治利益的知识产权。内部人员可能根本不知道他们应该用来处理敏感信息或寻求更方便的数据访问的安全协议,从而无意中为攻击者提供了切入点。无论哪种方式,即使是拥有一整套部署了安全解决方案的受保护最多的组织,也仍然难以在数据离开组织之前识别并阻止内部人员。
内部威胁程序不足
安全策略显然需要阻止恶意行为者,如果他们设法进入,则将其阻止。但内部人员是员工,从本质上来说,他们已经在外围,并且可以信任地访问一定数量的端点。此外,内部人员凭借对组织最有价值资产的专业知识洞察,通常比外部攻击者更谨慎地进行操作。专注于外围边缘的安全措施将不适用于此类内部人员,并且由于他们的许多行动都将得到授权,因此基于行为来处理数据以显示安全事件的解决方案不一定会抓住他们。
许多组织已将内部威胁计划作为网络安全策略的一部分,以防止和检测内部威胁,避免意外数据泄漏,提高员工的意识并遵守国际和本地安全法规。这些程序是阻止员工成为内部威胁,检测当前对组织构成风险的内部人员以及减轻内部人员所引起后续安全事件的第一步。
但是,没有一个依靠员工行为分析或教育的内部威胁程序,无论设计得如何好,都不会永远消除内部威胁。基于员工行为的检测解决方案通常会产生大量误报,浪费您的安全团队的时间和资源。虽然员工教育可以帮助提高人们对内部人员过失或盗窃的潜在风险,但依赖于员工记住他们的培训材料并不是全面或可靠的安全解决方案。毕竟,我们只是人类,容易犯错误,会有被诱惑、错误的记忆和分散注意力。没有内部人员培训计划可预测员工可能犯的每一个潜在错误,也不能保证员工总是选择最适合的方法,而不是非法获得个人利益的方法。
利用正确的情报来捕获内部人员:具有欺骗性的Microsoft Office信标文件
尽管如此,恶意内部人员通常需要潜入网络,因为外部攻击者会找到凭据和与他们未经授权访问的系统和应用程序的连接,以窃取关键数据。欺骗性Microsoft Office信标文件是攻击检测系统解决方案的一项功能,可以对Word和Excel文档进行信标,以便组织可以立即收集取证,了解何时有人尝试从组织中的哪个计算机上未经授权访问Office文档,正在尝试访问Office文档以及公开了哪些数据。在这种情况下,Office文檔的“信息化”意味着您的组织可以对其进行跟踪,如果有人试图在您的网络上复制或者打开这些文件,则可以发送事件报告。
一旦在组织的网络上访问了信标办公室文件,就会将Web请求发送到由我们预配置的陷阱IP地址,从而触发有关事件的通知。在内部人员可以利用其企图进行盗窃之前,及时进行识别和捕获内部人员威胁特别有用。具有欺骗性的Microsoft Office信标文件可以轻松地大规模增强内部威胁的检测,并且可以与组织的其他事件响应功能结合使用,以在检测到恶意事件后隔离或隔离恶意内部人。
欺骗恶意内部人员揭露自己
欺骗性的Microsoft Office信标文件还使组织能够创建伪造的Microsoft Word docx文件和Excel电子表格,这些文件可以自定义为看起来像组织端点上的任何其他Word或Excel文档。使用专有的技术,可以自动创建带有页眉、页脚和组织典型图标的欺骗性文件,并将其分布在数千个端点的战略位置,几乎不会增加IT开销。这些文件将以某种方式隐藏在端点上,以便只有正在寻找不应该在哪里的人才能找到它们。这可以防止欺骗性文件破坏正常业务,并提供高保真警告信号,因为只有恶意用户才会尝试查找和访问这些文件。
Microsoft Word和Excel文档通常包含凭据和其他机密信息,它们为内部和外部攻击者提供了包含关键数据的机器,系统和应用程序横向移动的密钥。在许多情况下,攻击者将使用恶意软件自动执行此过程,该恶意软件在网络中抓取具有这些确切数据参数的文档。为响应这种常见的攻击趋势,欺骗性Microsoft Office信标文件可以自动创建并包含攻击者希望在此类文件的真实版本中发现的欺骗性数据,例如伪造的密码列表。这进一步欺骗并浪费了攻击者的时间,因为他们试图利用此信息进行横向移动。
欺骗性Microsoft Office信标文件将欺骗性攻击面扩展到Microsoft Office文档,几乎每个组织都利用它来进行文字处理和表格数据存储,以外科方式识别内部威胁,还迫使入侵者暴露自己。