帳號密碼外洩了嗎?駭客利用合法盜取憑證，輕鬆登入企業SSL VPN進行內網橫向感染與入侵

                                 

帳號密碼外洩了嗎?駭客利用合法盜取憑證，輕鬆登入企業SSL VPN進行內網橫向感染與入侵

一、摘要

                 IBM X-Force 資安調查報告「Threat Intelligence Index 2024」顯示，企業面連的資安問題日益嚴峻。與去年相比，駭客使用已洩漏或被盜的憑證進行網路攻擊的比例增加了71％，而資料竊取和洩漏事件則成為企業最常見的攻擊影響，占比達到32％。

         值得關注的是，近期發生的一宗資安事件也引起了廣泛關注。在2024年1月，全球知名的服飾業者VF公司（VF Corp.）曾遭受駭客入侵，造成近3,550萬筆用戶資料被竊取，同時導致了系統中斷補貨不及、客戶取消訂單等一系列影響。VF公司旗下擁有VANS、NorthFace、Timberland等知名品牌，是全球最大的服飾業者之一。這起事件再次凸顯了企業資安防護的重要性，以及適時更新和強化安全措施的迫切需求。

         

                 在過去，駭客經常使用的手段之一是透過惡意的郵件誘使企業內部人員點擊，再利用勒索病毒加密企業內部重要文件，並要求企業給付龐大的贖金。然而，駭客的新手法打破了這種想法。他們利用盜取的合法憑證，輕易地穿透了企業的防禦，進入了內部網路。這一次，駭客不再透過傳統的方式，而是直接攻擊企業最弱的環節，進而實施惡意行為。

二、駭客如何輕鬆入侵內網？

老舊的測試帳號

         在企業環境中，經常被忽略的就是服務帳號或老舊的測試帳號。這些帳號多半不受監管且保護機制薄弱，因此成為駭客攻擊的首要目標。組織應該減少對這些帳號建立連接的憑證依賴，並定期盤點帳號的數量、權限以及身分驗證機制。值得注意的是，因為這些帳號通常不可互動，組織對用戶的多重身份驗證(MFA)機制並不適用。但仍應該實施不同強度的身份驗證，以防止未授權的存取發生。建議建立相關的監控機制確保安全團隊記錄並回應任何來自服務帳戶的登錄紀錄。

SSL VPN

         安全資料傳輸層VPN（SSL VPN，Secure Socket Layer Virtual Private Network）是一種遠端存取技術，透過在公共網路上使用安全資料傳輸層（SSL）協議，讓使用者無需使用專門的軟體，即可安全地連接到組織的網路或客戶端的伺服器應用程式，並透過加密和認證技術來確保數據的機密性和完整性。SSL VPN提供了便利的遠端存取服務，使員工能夠從任何地點存取企業資源，這在現代企業中越來越受歡迎。

         近年來，SSL VPN提供方便的遠端存取服務，使員工能夠從任何地方存取企業資源，多數企業普遍採用SSL VPN技術來實現遠端連線至企業內部主機的需求。但在SSL VPN提供了便利遠端存取的同時，也需要適當的管理和安全措施以防止潛在的風險和安全漏洞，這些風險可能涉及身份驗證、資料隱私、網路攻擊等方面，需要企業採取有效措施以應對和降低風險。

三、解決方案

        因應上述討論，企業需要建立帳號相關的監控機制，並對此提供適當的監控，以有效防犯企業內部潛在風險。特別是對於那些常被忽略的服務帳號或老舊測試帳號，應實施更加嚴格的監控應實施更加嚴格的監控措施，以防止被濫用或受到未經授權的存取。

        「雲智維資訊顧問代管代維方案」透過收集資安設備syslog、網路設備syslog、Flow及SNMP等各式數據，從多數據源syslog搭配人工智慧即時分析，從中查找出重要的關鍵數據，發現潛在的安全風險。這項方案能夠幫助企業有效且及時地幫助企業識別並解決可能存在的安全問題，從而維護其資訊安全，確保企業營運的持續順利。

        在企業網路環境中，儘管表面上可能風平浪靜，但駭客可能正在暗處活動著。雲智維團隊透過從各種設備所導出的syslog紀錄中快速查找到環境中的異常行為，並憑藉自有的監控機制，主動出擊，及時通知客戶以防範未然。使得企業不再被動，不再只能在事件發生後才進行相關的補救，同時也讓企業中的MIS單位免於成天收到一堆系統相關的告警信件而疲於奔命。

        客戶可以透過相關的監控機制，例如監控SSL VPN合法登入卻進行內網非法行為，一旦發現此類登入行為，即會觸發雲智維的監控機制，有效發現帳號密碼外洩（合法憑證外洩）衍生內網資安事件。雲智維團隊憑藉其豐富的經驗和專業判斷能力，將立即展開調查並統整相關資訊。，調查完畢後第一時間發送通報信件，同時提供相應的改善措施，以協助客戶應對潛在的安全威脅。

設備發生外部來源異常連線SSL VPN事件

主動通知客戶有發生外部來源異常連線SSL VPN事件並提供相關改善措施

        監控報表可以針對特定的國家進行過濾，意味著客戶可以要求對與某些國家的連線行為（包括內對外和外對內連線）進行監控。當客戶有此需求時，可以與雲智維團隊討論並共同制定相應的監控計劃。這有助於客戶更精準地了解環境中網路上的活動，並及時發現可能存在的安全威脅或風險行為。

可以針對客戶端特定來源國家進行監控

       除了即時通知客戶所發現的異常紀錄，以確保客戶能夠及時採取必要的措施外，雲智維團隊也會將異常紀錄製作成日、週、月報表提供給客戶，以利客戶進行更全面的安全監控和分析。

        此外，客戶還可以針對其他設備進行客製化報表設定，以滿足其特定的監控需求和要求。這樣的做法有助於客戶更好地了解其網路環境的狀況，並及時應對可能存在的安全風險。

針對客戶端SSL VPN進行客製化的報表設定

四、結論

       透過導入「雲智維資訊顧問代管代維方案」建立相關的監控機制，從中查找出重要的關鍵數據，達到安全事件的通報及應變，不僅能夠主動幫企業找出問題點所在，並給予企業相關建議，協助企業提升其網路環境、網路維運和資安安全等級。除此之外，「雲智維資訊顧問代管代維方案」的即時通報，使企業能夠迅速收斂問題，預防內部資安事件進一步擴大，從而保障企業的資訊安全。

參考連結：

• IBM X-Force Threat Intelligence Index 2024:
  https://www.ibm.com/reports/threat-intelligence

• Jansport、North Face母公司去年被駭，3500萬筆用戶資料被竊走、訂單延遲交付: 
  https://www.ithome.com.tw/news/160921