防御企业安全新边界 Uber黑客入侵引发思考

网约车巨头Uber再次成为攻击受害者成为圈内热议话题，据悉，攻击者利用一名员工的Slack账户，入侵了该公司的多个内部系统，并公开了电子邮件、云存储和代码存储库的截图。此外，攻击者还可以访问公司的HackerOne漏洞赏金计划，这意味着他可以查看研究人员提交的每个漏洞报告。

有外媒报道攻击黑客仅18岁，且其攻击目的仅仅是为了好玩。进一步的报道称，此次黑客攻击事件可能与Lapsus$黑客组织有关，Lapsus$曾对微软、思科、英伟达、三星和Okta等其他知名科技公司进行过网络攻击。

无论如何，事实就是Uber再次成为攻击受害者，这让这家市值超过600亿美元的上市公司再度成为嘲讽对象和典型案例，因为他们掌握着大量的用户数据，人们当然并不希望这些数据常因黑客攻击事件而受到威胁。

攻击者曝出Uber在aws云平台的登录页面

其实早在2016年Uber就曾发生过重大网络事件，黑客入侵Uber且获取了数百万乘客的个人隐私，包括姓名、电子邮箱、电话号码，网约车司机的牌照等信息也同时被盗。事件发生后，Uber对社会采取隐瞒措施，一直到一年后才公开。一系列的攻击事件加之安全管控不完善，且后续处理不当对公司造成巨大损失及不利影响，导致Uber相关高管被刑事指控。

无独有偶，16年事件与近期攻击都涉及到“HackerOne”，Uber在HackerOne的官方账号被黑意味着攻击者可以看到其他黑客们向平台提交的所有关于Uber公司的安全漏洞细节。

Uber在社交平台对此次攻击事件的声明

对于此次事件我们大致梳理了相应攻击流程：

• Uber员工感染恶意软件，导致员工凭据被泄漏；

• 涵盖Uber员工凭据的文件被放在暗网进行售卖；
  

• 黑客从暗网购买该文件；
  

• 黑客从文件中挑选合适的员工进行下手，使用该员工凭据为自己的设备注册MFA提醒；
  

• 当DUO持续不断地向目标员工发送MFA新设备绑定的提醒时，黑客在Whatsapp上伪装成Uber的IT，表示如果不想一直接受MFA的该条提醒，只需要点击Accept；
  

• 当Uber员工点击Accept后，成功为黑客的设备注册了MFA的提醒；
  

• 黑客使用该方式顺利通过VPN的MFA二次认证登录进Uber公司内网；
  

• 黑客进入内网后，通过内网扫描发现一个内部的网络共享，其中包含一个具有PAM管理员账户凭据的脚本文件。

  
  

不难发现，每次网络攻击都始于利用攻击面中的薄弱点进入受多重安全设备保护的内部网络、域、敏感系统等。为了阻止攻击者跨越网络边界，每个企业都会部署大量的安全设备，包括防火墙、邮件网关、VPN等。

基于边界网络控制的这种策略，可以阻断大量的网络攻击，但一旦攻击者突破边界，薄弱的内部网络及大量的基础设施、业务系统将完全暴露在攻击者的视野中。

在Uber事件中，一个员工凭据的泄漏，意味着为攻击者打开了通往Uber网络世界的大门。PAM凭据的泄漏，意味着攻击者将成为Uber大量系统的控制者。

随着攻击导致传统网络边界防护的崩解，攻击者在内网的攻击思路将由单点突破变为利用特权身份批量横向移动，而这种攻击往往是使用特权账号的正常登录行为，这种攻击在行为特征上来看也是非恶意的。部署在内网的NDR以及在业务系统边界的WAF等均难以识别此类行为，传统的终端安全更无法对此类身份向的恶意利用做出有效检测。

一个亟需关注的防御面在我们面前徐徐展开——“身份威胁检测和响应”（ITDR）。

中安网星——身份威胁检测和响应（ITDR）

随着近期身份威胁检测与响应概念的广受关注，作为国内首家以AD安全防护问题切入身份安全治理的安全厂商，中安网星身份安全研究团队认为：“过去以终端和网络维度为核心的威胁检测产品非常多，但现阶段随着网络架构逐渐云化及去边界化，身份正快速成为企业的新边界，以身份威胁检测和响应为核心的防护会成为网络安全市场不可或缺的一部分；身份安全不仅仅是身份认证与管理（IAM）这一件事，更包括有检测、保护、响应一整套方案；“AD”作为企业常用的身份认证源，有大量的认证对象接入认证使用，具有极大的保护价值，因而以AD安全防护问题切入身份安全治理的路径也是切实可行的。”

中安网星凭借自主创新研发的AD域安全防护产品——智域，为身份安全检测与响应（ITDR）解决方案的落地打下了坚实的基础。未来中安网星身份安全检测与响应（ITDR）解决方案，将为更多的企业用户提供领先的身份安全防护能力。

END