21年12月以來，黑客組織Lapsus$完成了多次高調(diào)的網(wǎng)絡入侵行動，對全球多家知名企業(yè)進行了網(wǎng)絡攻擊，竊取了重要數(shù)據(jù)并脅迫受害目標索取贖金。其中，竊取了某芯片制造商1TB數(shù)據(jù)，并導致其內(nèi)部電子郵件系統(tǒng)癱瘓;盜取了某電子公司190GB的數(shù)據(jù)，其中可能包含其核心技術(shù)。本文將對此案例進行分析，并利用UEBA技術(shù)提出安全防范建議。

　　1. 威脅分析

　　（1）勒索組織分析

　　Lapsus$是一個非傳統(tǒng)的數(shù)據(jù)勒索黑客組織，他們不會在受害者的設(shè)備上安裝勒索軟件，但會通過破壞公司系統(tǒng)，竊取源代碼、客戶名單、數(shù)據(jù)庫和其他有價值的數(shù)據(jù)，以贖金勒索受害者，否則便公開竊取的數(shù)據(jù)。

　　該組織主要通過社會工程實現(xiàn)非法入侵。具體來講，Lapsus$會對目標組織及其合作伙伴(例如客服中心和服務臺)的員工展開賄賂或欺詐，借此獲取內(nèi)部訪問權(quán)限。有消息稱，至少自2021年11月以來，Lapsus$就一直通過各個社交媒體平臺招募企業(yè)內(nèi)部員工。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商

　　（2）攻擊策略分析

　　Lapsus$的攻擊策略包括呼叫形式的社會工程、換手機卡以實現(xiàn)賬戶接管、訪問個人郵箱賬戶、獲取訪問憑證等。

　　呼叫形式的社會工程：致電目標組織的客服臺，用話術(shù)誘導技術(shù)支持人員重置高權(quán)限賬戶的憑證。

　　換手機卡以實現(xiàn)賬戶接管：以賄賂或誘導的方式讓移動運營商的員工將目標手機號碼轉(zhuǎn)移到他們指定的設(shè)備中。以此為基礎(chǔ)，攻擊者就能獲得短信或電話發(fā)送給受害者的一次性密碼，并借此重置以短信形式進行驗證的在線賬戶密碼。

　　訪問個人郵箱賬戶：目前大部分員工都會配合VPN來遠程訪問雇主網(wǎng)絡，因此可通過目標組織員工的個人電子郵箱賬戶下手，從而訪問目標組織的關(guān)鍵賬戶。

　　獲取訪問憑證：收買目標組織的員工/供應商/業(yè)務合作伙伴以獲取訪問憑證。奪取私人(非工作相關(guān))賬戶，靜待對方完成訪問后再搜尋可用于訪問企業(yè)系統(tǒng)的其他憑證。通常員工經(jīng)常會使用個人賬戶或號碼作為雙因素驗證或密碼恢復方法，所以攻擊者也可以借此實現(xiàn)密碼重置和賬戶恢復操作。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商

　　2. 安全建議

　　（1）提高人員安全意識

　　人是安全鏈中最薄弱的一環(huán)，很多內(nèi)部風險的起因往往是由于人的安全意識匱乏導致。人員網(wǎng)絡安全意識培養(yǎng)至關(guān)重要，包括定期進行安全意識的宣傳、制定員工規(guī)范操作計算機的相關(guān)規(guī)定、制定安全制度考核、制定應急處置方案和做好應急演練等。

　　（2）采用用戶實體行為分析UEBA技術(shù)

　　用戶實體行為分析(UEBA，user entity behavior analytics)技術(shù)作為目前異常發(fā)現(xiàn)的重要分析技術(shù)，主要圍繞用戶、賬號、敏感數(shù)據(jù)、關(guān)鍵應用、訪問方式、時間、地點、頻度等信息，基于統(tǒng)計和機器學習構(gòu)建用戶關(guān)聯(lián)實體的畫像和行為基線，偏離了這些基線的可疑活動視為異常，識別違規(guī)訪問、數(shù)據(jù)泄露、賬號濫用等異常行為，并發(fā)現(xiàn)未知的安全威脅。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商

　　圖 1 UEBA主要功能圖

　　網(wǎng)御星云UEBA分析技術(shù)主要包含數(shù)據(jù)采集、數(shù)據(jù)治理、檢測分析、事件調(diào)查四部分。

　　數(shù)據(jù)采集：基于大數(shù)據(jù)計算和存儲技術(shù)，支持網(wǎng)絡流數(shù)據(jù)、設(shè)備日志、應用服務器日志等數(shù)據(jù)的采集，以及漏洞掃描數(shù)據(jù)、威脅情報數(shù)據(jù)的接入。

　　數(shù)據(jù)治理：基于安全分析需要進行數(shù)據(jù)范式化、清洗、解析、豐富化和標簽等加工處理，對部分安全設(shè)備告警數(shù)據(jù)提供語義自動理解識別能力，使數(shù)據(jù)“干凈可用”，保證數(shù)據(jù)質(zhì)量。

　　檢測分析：基于5W1H(Who人員、When時間、What對象、Where地點、Why原因、How方法)分析法發(fā)現(xiàn)高級威脅關(guān)鍵環(huán)節(jié)的異常行為。提供預置分析算法模型，可以發(fā)現(xiàn)賬號濫用、可疑域名、暴力破解、數(shù)據(jù)泄露等內(nèi)部安全威脅。

　　事件調(diào)查：從廣泛的數(shù)據(jù)中提取指紋數(shù)據(jù)和畫像數(shù)據(jù)，通過智能分析引擎，自動識別、關(guān)聯(lián)用戶和實體，理解其行為。實現(xiàn)用戶畫像、實體畫像，一目了然地呈現(xiàn)高危人員、高危設(shè)備的概況、異常行為，以及上下文信息。

　　網(wǎng)御星云UEBA解決方案將人工智能、機器學習、用戶/實體畫像、行為分析、上下文關(guān)聯(lián)等功能集于一身，具備對惡意、粗心用戶的及時發(fā)現(xiàn)，以及異常系統(tǒng)、高危設(shè)備的洞察力，助力客戶發(fā)現(xiàn)數(shù)據(jù)泄露、違規(guī)操作、非法接入等安全風險。

　　關(guān)鍵詞：數(shù)據(jù)安全、數(shù)據(jù)安全解決方案、數(shù)據(jù)安全保護法、數(shù)據(jù)安全公司、數(shù)據(jù)安全廠商、數(shù)據(jù)要素安全、北京數(shù)據(jù)安全公司、北京數(shù)據(jù)安全廠商