Dropbox, Inc. 是一家總部位于加利福尼亞州舊金山的美國(guó)公司。它提供云存儲(chǔ)、文件同步、個(gè)人云和客戶端軟件服務(wù)。Dropbox 通過(guò)生成專用文件夾將文件組織到用戶計(jì)算機(jī)上的一個(gè)位置。這些文件夾的內(nèi)容與 Dropbox 的服務(wù)器以及用戶安裝了 Dropbox 的其他計(jì)算機(jī)和設(shè)備同步,確保所有設(shè)備都擁有相同的文件。
企業(yè)中的許多數(shù)據(jù)泄露和安全問(wèn)題始于基本設(shè)備或低權(quán)限用戶帳戶的泄露。隨著攻擊者的成功,他們通過(guò)超越最初的入口點(diǎn)進(jìn)入其他工作站和管理員級(jí)別的用戶帳戶,從而獲得對(duì)日益重要的系統(tǒng)和資源的訪問(wèn)權(quán)。這被稱為“橫向移動(dòng)”,它是即將到來(lái)的安全災(zāi)難的警告信號(hào)。
很難區(qū)分典型的用戶活動(dòng)和惡意的橫向移動(dòng)。檢測(cè)過(guò)去的變化需要建立精確的網(wǎng)絡(luò)活動(dòng)規(guī)則或使用異常檢測(cè)方法。研究人員解釋說(shuō):“不幸的是,現(xiàn)代企業(yè)的規(guī)模天生就會(huì)產(chǎn)生大量異常但良性的登錄,導(dǎo)致傳統(tǒng)的異常檢測(cè)產(chǎn)生過(guò)多的誤報(bào)。”
Hopper 是在理解橫向移動(dòng)攻擊有兩個(gè)不同特征的基礎(chǔ)上創(chuàng)建的——攻擊者希望獲得對(duì)原始受害者沒(méi)有的服務(wù)器的訪問(wèn)權(quán)限,并且他們需要攻擊像系統(tǒng)管理員這樣的特權(quán)帳戶來(lái)實(shí)現(xiàn)這一目標(biāo)。Hooper 可以通過(guò)基于這兩個(gè)向量過(guò)濾和審查登錄路徑來(lái)識(shí)別哪些行為需要額外查詢。
Hopper 使用來(lái)自 Dropbox 企業(yè)網(wǎng)絡(luò)的 15 個(gè)月數(shù)據(jù)進(jìn)行評(píng)估,其中包括超過(guò) 7.8 億次登錄事件和 326 次模擬紅隊(duì)攻擊。其他橫向移動(dòng)檢測(cè)技術(shù)產(chǎn)生的誤報(bào)是該工具的 8 倍,該工具能夠檢測(cè) 94.5% 的攻擊。
消息來(lái)源:
https://www.ehackingnews.com/2021/08/hopper-tool-developed-at-dropbox-to.html
