谷歌称 Scattered Spider 零售攻击蔓延到美国

快速阅读: 据《计算机周刊》最新报道，身份验证是网络安全的第一道防线。强化身份验证流程，培训帮助台工作人员，禁用或增强自助密码重置功能，实施多因素认证，避免使用公开信息验证。组织需像威胁行为者一样思考，嵌入威胁逻辑，分配权限给了解对手的运维人员，而非依赖合规性。

身份验证是第一道防线

Mandiant 表示，在防御“Scattered Spider”时，强化身份验证和认证流程至关重要。该组织已经证明非常擅长利用社会工程技巧冒充用户联系受害者的 IT 帮助台。因此，第一步，帮助台工作人员需要接受额外培训，以便正面识别入站联系人，例如通过摄像头或面对面的方式进行验证、政府身份证件验证，或挑战与响应问题等方法。

安全团队可以考虑暂时禁用或增强自助密码重置功能，并在当前阶段通过人工帮助台工作流处理这些请求，同时辅以多因素身份验证重置。员工在更改身份验证方式（如添加新手机号码）之前也需要完成身份验证。

此外，安全团队还可以实施其他保障措施，例如要求从可信办公地点进行更改，或在处理敏感请求之前采用回拨至员工注册的手机号码等异地验证方式。最终，Mandiant 表示，如果可能的话，目标应该是过渡到无密码身份验证。

更广泛而言，非 IT 人员应避免依赖公开信息作为验证手段，例如出生日期或美国社会保障号码的后四位数字。

鉴于威胁链已实现商品化，受害者的具体身份其实并不重要。安全自动化平台“Orbus”的联合创始人兼首席执行官尼科·亚当斯表示：“无论是‘DragonForce’、‘Scattered Spider’还是共享的附属团伙执行了入侵，这并不重要。谁会在乎呢？战术、技术和程序（TTP）的重叠表明，妥协过程已被工业化。威胁行为者无需高级漏洞。简单来说，组织对异常行为的盲目、松散的身份工作流程，将社会工程视为客户服务时刻的 IT 帮助台——我称之为漏洞点。继续专注于恶意软件或勒索软件只会进一步验证信任流管理的不当。”

“网络钓鱼、凭据滥用、Cobalt Strike、LOTL 移动、SystemBC 隧道、Mimikatz 提取、数据暂存到 MEGA 现在已成为商品级攻击链。接下来是协调：全面访问、横向扩展、数据外泄、选择性加密、勒索杠杆。攻击载荷只是一个新闻稿，因为活动在那个二进制文件爆炸之前就已经成功了。”

亚当斯呼吁组织开始像威胁行为者一样思考。“下一个漏洞将遵循同样的路径。一次点击，凭据，防御层缺失。又一个十亿美元的市值蒸发了。”他说。

“能够生存下来的企业将是那些在协议级别嵌入威胁逻辑、将根权限分配给了解对手构建方式的操作员，并停止通过断言合规等于控制来误导所有人的人。你无法外包这个任务。你也无法完全自动化它。要么与黑客合作构建，要么成为明白这一点之人的攻击目标。”

(以上内容均由Ai生成)