很多信息安全專家認(rèn)為，如果老練的攻擊者瞄準(zhǔn)企業(yè)內(nèi)一個高價值的人作為魚叉式網(wǎng)絡(luò)釣魚攻擊的一部分，鑒于當(dāng)今的安全控制、流程以及對于攻擊如何發(fā)生的安全意識，這名攻擊者應(yīng)該會成功。

CloudFlare公司的首席執(zhí)行官證明了這一點。讓我們簡單地回顧一下，CloudFlare公司使用谷歌的Gmail賬戶來登錄Google Apps，用以管理CloudFlare產(chǎn)品中的客戶數(shù)據(jù)。通過一系列預(yù)先計劃的活動，攻擊者獲取了對這名首席執(zhí)行官賬戶的控制，并發(fā)起攻擊，最終成功獲取了CloudFlare的一名客戶的信息。毫無疑問，這對于任何企業(yè)而言，都是最糟糕的情況。

用戶賬戶安全：錯誤和最佳做法

攻擊者的第一步是獲取該CEO的Gmail賬戶信息，這不僅讓他或她可以控制該CEO的電子郵件，而且還可以通過簡單的登錄，獲得對其Google Apps工具的控制。很顯然，這名CEO使用了簡單的電子郵件地址，用于外部通信以及訪問Google Apps賬戶。大多數(shù)企業(yè)在其企業(yè)網(wǎng)站中公布了其高管的名字，并且大多數(shù)企業(yè)使用與名字相關(guān)的簡單的電子郵件地址（例如jsmith@gmail.com或者john.smith@gmail.com），攻擊者只需要向這些名字變體地址發(fā)送一些釣魚電子郵件，就可以確定他或她的電子郵件地址。這也是獲取該賬戶控制權(quán)的第一步。

我們可以通過兩種方法來阻止這種用于確定電子郵件賬戶名稱的魚叉式網(wǎng)絡(luò)釣魚攻擊。由于所有企業(yè)郵件系統(tǒng)都有“白頁”或者某種形式的目錄，企業(yè)不需要內(nèi)部員工知道互相的電子郵件地址。因此，企業(yè)應(yīng)該采取的更好安全控制是：使用與實際用戶名字不太相關(guān)的電子郵件地址。例如，使用員工名字的縮寫，并在后面添加四個或五個隨機數(shù)字（例如jps29581@gmail.com），這樣的話，魚叉式釣魚攻擊幾乎不可能成功。對于使用電子郵件地址作為訪問企業(yè)數(shù)據(jù)（例如Google Apps）的憑證的系統(tǒng)，確保攻擊者無法獲取訪問權(quán)的第二種方法是：使用一個電子郵件賬戶用于外部通信，使用另一個單獨的電子郵件賬戶（或更多賬戶）僅用于訪問重要應(yīng)用和數(shù)據(jù)。即使在云環(huán)境中，使用與個人不相關(guān)的電子郵件賬戶名稱都能夠阻止外部人員發(fā)現(xiàn)（并可能破壞）該賬戶。在CloudFlare的案例中，如果使用jps2958@gmail.com作為電子郵件賬戶，并使用單獨的賬戶（例如torbox3953@gmail.com）用于Google Apps訪問將讓攻擊者無法找出CEO的電子郵件賬戶。

密碼恢復(fù)是如何出錯的

在攻擊者獲取CloudFlare公司CEO的Gmail賬戶名稱后，他聯(lián)系谷歌的客戶服務(wù)來進行密碼重設(shè)。在數(shù)星期的嘗試后，攻擊者說服谷歌的賬戶恢復(fù)系統(tǒng)來添加一個虛假的恢復(fù)電子郵件地址，這讓攻擊者可以更改CEO的Gmail密碼以及獲取該賬戶的訪問權(quán)。

無論企業(yè)使用多么強大的密碼（在這個案例中，使用的是20+字符長的高度隨機的密碼），只要企業(yè)的密碼重置程序很薄弱，攻擊者都能夠通過獲取用戶的個人詳細(xì)信息，繞過破解高強度密碼，直接更改密碼。例如，在用戶注冊賬戶時，都會要求用戶設(shè)置一個簡單的易于猜測的問題來重置賬戶密碼。而在Facebook、LinkedIn和其他休閑和專業(yè)社交媒體網(wǎng)站存儲了大量個人資料，因此，員工必須假設(shè)其生活的主要因素現(xiàn)在都已經(jīng)公之于眾了。大部分網(wǎng)民的很多信息都可以很容易地在網(wǎng)上找到，例如最喜愛的寵物、高中名稱、母親的婚前姓氏等。這意味著隨著企業(yè)開始向互聯(lián)網(wǎng)暴露更多后端業(yè)務(wù)系統(tǒng)或者使用云服務(wù)（CloudFlare的案例中），企業(yè)需要采用更強大的身份驗證方法（例如雙因素身份驗證或者生物識別技術(shù)），來保護面向瞬息萬變的互聯(lián)網(wǎng)的賬戶，

對于大多數(shù)面向互聯(lián)網(wǎng)的攻擊，遵循這些簡單的步驟都能夠阻止攻擊。但在CloudFlare的案例中，CEO的賬戶受到雙因素身份驗證保護，卻仍然受到攻擊。這只能表明這名攻擊者非常嫻熟、聰明且堅定。為了重置該CEO的Gmail賬戶，這名攻擊者必須提供被發(fā)送到該CEO的AT&T移動賬戶的PIN碼。

攻擊者甚至找到了一種方法來克服這一挑戰(zhàn)。根據(jù)事故調(diào)查員表示，這名攻擊者呼叫了AT&T，并假冒這名CEO。雖然攻擊者無法回答CEO的賬戶驗證安全問題，但他能夠向客服人員提供該CEO社會安全號碼的最后四位數(shù)字。但由于該賬戶是企業(yè)賬戶，不應(yīng)該被鏈接到CEO的社會安全號碼。這讓該攻擊者將CEO的語音郵件重定向到受攻擊者控制的電話號碼。攻擊者再次使用受害者的個人信息獲取了對賬戶（這個案例中是CEO的移動運營商）的控制，恰恰利用了密碼重置過程的最薄弱的環(huán)節(jié)。這表明這名攻擊者非常熟悉谷歌的密碼重置過程。在此事件后，AT&T和谷歌已經(jīng)更改了他們的身份驗證過程以加強保護。

結(jié)論

這些事件讓我們意識到，為了獲取高價值賬戶，攻擊者可能會走向極端。16歲網(wǎng)絡(luò)奇才坐在他父母的地下室執(zhí)行這種攻擊的普遍看法已經(jīng)過時了。從這個事件和其他最近網(wǎng)絡(luò)欺詐事件來看，很顯然，這些攻擊是反文化組織針對美國企業(yè)的深思熟慮的有計劃的攻擊。

當(dāng)企業(yè)架構(gòu)其互聯(lián)網(wǎng)身份驗證系統(tǒng)時，他們必須意識到身份驗證過程可能超出他們的控制范圍，而延伸到業(yè)務(wù)合作伙伴和供應(yīng)商。企業(yè)必須充分理解云合作伙伴、互聯(lián)網(wǎng)服務(wù)提供商、移動ISP和其他供應(yīng)商是如何管理和維護密碼重置、賬戶管理和財務(wù)支付流程的，并及時發(fā)現(xiàn)和糾正錯誤。

從這次事件得到的好消息是，在CloudFlare調(diào)查此次攻擊時，谷歌和AT&T充分與其合作，但在CloudFlare事件發(fā)生前，即使是這些大公司也沒有意識到其程序缺陷。只有將身份和訪問控制看作是完整的生態(tài)系統(tǒng)（從用戶到互聯(lián)網(wǎng)到云環(huán)境），才能夠發(fā)現(xiàn)缺陷。CloudFlare現(xiàn)在明白了攻擊者將會不惜一切代價來獲取目標(biāo)賬戶的控制權(quán)，問題是，你的企業(yè)知道攻擊者會采取何種手段來獲取你的數(shù)據(jù)嗎？