21年12月以來(lái)，黑客組織Lapsus$完成了多次高調(diào)的網(wǎng)絡(luò)入侵行動(dòng)，對(duì)全球多家知名企業(yè)進(jìn)行了網(wǎng)絡(luò)攻擊，竊取了重要數(shù)據(jù)并脅迫受害目標(biāo)索取贖金。其中，竊取了某芯片制造商1TB數(shù)據(jù)，并導(dǎo)致其內(nèi)部電子郵件系統(tǒng)癱瘓;盜取了某電子公司190GB的數(shù)據(jù)，其中可能包含其核心技術(shù)。本文將對(duì)此案例進(jìn)行分析，并利用UEBA技術(shù)提出安全防范建議。

　　1. 威脅分析

　　（1）勒索組織分析

　　Lapsus$是一個(gè)非傳統(tǒng)的數(shù)據(jù)勒索黑客組織，他們不會(huì)在受害者的設(shè)備上安裝勒索軟件，但會(huì)通過(guò)破壞公司系統(tǒng)，竊取源代碼、客戶(hù)名單、數(shù)據(jù)庫(kù)和其他有價(jià)值的數(shù)據(jù)，以贖金勒索受害者，否則便公開(kāi)竊取的數(shù)據(jù)。

　　該組織主要通過(guò)社會(huì)工程實(shí)現(xiàn)非法入侵。具體來(lái)講，Lapsus$會(huì)對(duì)目標(biāo)組織及其合作伙伴(例如客服中心和服務(wù)臺(tái))的員工展開(kāi)賄賂或欺詐，借此獲取內(nèi)部訪(fǎng)問(wèn)權(quán)限。有消息稱(chēng)，至少自2021年11月以來(lái)，Lapsus$就一直通過(guò)各個(gè)社交媒體平臺(tái)招募企業(yè)內(nèi)部員工。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護(hù)法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商

　　（2）攻擊策略分析

　　Lapsus$的攻擊策略包括呼叫形式的社會(huì)工程、換手機(jī)卡以實(shí)現(xiàn)賬戶(hù)接管、訪(fǎng)問(wèn)個(gè)人郵箱賬戶(hù)、獲取訪(fǎng)問(wèn)憑證等。

　　呼叫形式的社會(huì)工程：致電目標(biāo)組織的客服臺(tái)，用話(huà)術(shù)誘導(dǎo)技術(shù)支持人員重置高權(quán)限賬戶(hù)的憑證。

　　換手機(jī)卡以實(shí)現(xiàn)賬戶(hù)接管：以賄賂或誘導(dǎo)的方式讓移動(dòng)運(yùn)營(yíng)商的員工將目標(biāo)手機(jī)號(hào)碼轉(zhuǎn)移到他們指定的設(shè)備中。以此為基礎(chǔ)，攻擊者就能獲得短信或電話(huà)發(fā)送給受害者的一次性密碼，并借此重置以短信形式進(jìn)行驗(yàn)證的在線(xiàn)賬戶(hù)密碼。

　　訪(fǎng)問(wèn)個(gè)人郵箱賬戶(hù)：目前大部分員工都會(huì)配合VPN來(lái)遠(yuǎn)程訪(fǎng)問(wèn)雇主網(wǎng)絡(luò)，因此可通過(guò)目標(biāo)組織員工的個(gè)人電子郵箱賬戶(hù)下手，從而訪(fǎng)問(wèn)目標(biāo)組織的關(guān)鍵賬戶(hù)。

　　獲取訪(fǎng)問(wèn)憑證：收買(mǎi)目標(biāo)組織的員工/供應(yīng)商/業(yè)務(wù)合作伙伴以獲取訪(fǎng)問(wèn)憑證。奪取私人(非工作相關(guān))賬戶(hù)，靜待對(duì)方完成訪(fǎng)問(wèn)后再搜尋可用于訪(fǎng)問(wèn)企業(yè)系統(tǒng)的其他憑證。通常員工經(jīng)常會(huì)使用個(gè)人賬戶(hù)或號(hào)碼作為雙因素驗(yàn)證或密碼恢復(fù)方法，所以攻擊者也可以借此實(shí)現(xiàn)密碼重置和賬戶(hù)恢復(fù)操作。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護(hù)法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商

　　2. 安全建議

　　（1）提高人員安全意識(shí)

　　人是安全鏈中最薄弱的一環(huán)，很多內(nèi)部風(fēng)險(xiǎn)的起因往往是由于人的安全意識(shí)匱乏導(dǎo)致。人員網(wǎng)絡(luò)安全意識(shí)培養(yǎng)至關(guān)重要，包括定期進(jìn)行安全意識(shí)的宣傳、制定員工規(guī)范操作計(jì)算機(jī)的相關(guān)規(guī)定、制定安全制度考核、制定應(yīng)急處置方案和做好應(yīng)急演練等。

　　（2）采用用戶(hù)實(shí)體行為分析UEBA技術(shù)

　　用戶(hù)實(shí)體行為分析(UEBA，user entity behavior analytics)技術(shù)作為目前異常發(fā)現(xiàn)的重要分析技術(shù)，主要圍繞用戶(hù)、賬號(hào)、敏感數(shù)據(jù)、關(guān)鍵應(yīng)用、訪(fǎng)問(wèn)方式、時(shí)間、地點(diǎn)、頻度等信息，基于統(tǒng)計(jì)和機(jī)器學(xué)習(xí)構(gòu)建用戶(hù)關(guān)聯(lián)實(shí)體的畫(huà)像和行為基線(xiàn)，偏離了這些基線(xiàn)的可疑活動(dòng)視為異常，識(shí)別違規(guī)訪(fǎng)問(wèn)、數(shù)據(jù)泄露、賬號(hào)濫用等異常行為，并發(fā)現(xiàn)未知的安全威脅。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護(hù)法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商

　　圖 1 UEBA主要功能圖

　　網(wǎng)御星云UEBA分析技術(shù)主要包含數(shù)據(jù)采集、數(shù)據(jù)治理、檢測(cè)分析、事件調(diào)查四部分。

　　數(shù)據(jù)采集：基于大數(shù)據(jù)計(jì)算和存儲(chǔ)技術(shù)，支持網(wǎng)絡(luò)流數(shù)據(jù)、設(shè)備日志、應(yīng)用服務(wù)器日志等數(shù)據(jù)的采集，以及漏洞掃描數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)的接入。

　　數(shù)據(jù)治理：基于安全分析需要進(jìn)行數(shù)據(jù)范式化、清洗、解析、豐富化和標(biāo)簽等加工處理，對(duì)部分安全設(shè)備告警數(shù)據(jù)提供語(yǔ)義自動(dòng)理解識(shí)別能力，使數(shù)據(jù)“干凈可用”，保證數(shù)據(jù)質(zhì)量。

　　檢測(cè)分析：基于5W1H(Who人員、When時(shí)間、What對(duì)象、Where地點(diǎn)、Why原因、How方法)分析法發(fā)現(xiàn)高級(jí)威脅關(guān)鍵環(huán)節(jié)的異常行為。提供預(yù)置分析算法模型，可以發(fā)現(xiàn)賬號(hào)濫用、可疑域名、暴力破解、數(shù)據(jù)泄露等內(nèi)部安全威脅。

　　事件調(diào)查：從廣泛的數(shù)據(jù)中提取指紋數(shù)據(jù)和畫(huà)像數(shù)據(jù)，通過(guò)智能分析引擎，自動(dòng)識(shí)別、關(guān)聯(lián)用戶(hù)和實(shí)體，理解其行為。實(shí)現(xiàn)用戶(hù)畫(huà)像、實(shí)體畫(huà)像，一目了然地呈現(xiàn)高危人員、高危設(shè)備的概況、異常行為，以及上下文信息。

　　網(wǎng)御星云UEBA解決方案將人工智能、機(jī)器學(xué)習(xí)、用戶(hù)/實(shí)體畫(huà)像、行為分析、上下文關(guān)聯(lián)等功能集于一身，具備對(duì)惡意、粗心用戶(hù)的及時(shí)發(fā)現(xiàn)，以及異常系統(tǒng)、高危設(shè)備的洞察力，助力客戶(hù)發(fā)現(xiàn)數(shù)據(jù)泄露、違規(guī)操作、非法接入等安全風(fēng)險(xiǎn)。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護(hù)法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商