眾所周知，發生在系統內部的賬號劫持，一直以來，都備受安全管理員與系統管理員的關注。如今，隨著云服務的廣泛使用，發生在云端應用程序中的云賬號劫持現象，也同樣引起了各種類型與規模組織的重視和警惕。

由于云服務脫離了人們傳統意義上的本地管理邊界，因此信息安全團隊很難對其進行實時檢測與防御，這也是黑客屢屢容易得手云賬號劫持的原因之一。他們可以輕松地通過賬號劫持，快速地訪問到更多的賬號和業務數據。可見，賬號劫持對于企業信息系統的危害性是不言而喻的。

不過，對于許多快速采用了云端業務的組織來說，他們不但在碰到安全事件時反應速度不夠敏捷，而且對于云計算安全性的相關概念存在著一定程度的誤解。首先，網絡管理員會習慣性地誤以為他們現有的、基于網絡的安全基礎架構足以保護新增的云端應用。其次，他們也會傾向性地認為，云服務提供商理應該負責保護云端應用、及其客戶數據。

什么是云賬號劫持？

云賬號劫持的基本原理，與前文提的發生在系統內部的賬號劫持相同。黑客通過獲得對于某個賬號的訪問權，進而根據自己的目的，利用該賬號去訪問其他更多的賬號、以及業務信息。

顯然，監控并了解云端應用的各種異常行為，是防止與發現賬號劫持的首要步驟。為此，我們將詳細討論如下五項監控要點，以檢測出對于云端賬號的劫持（哪怕只是些嘗試），并及時采取適當的補救措施。

1. 登錄位置

通過登錄位置（https://dzone.com/articles/sso-login-key-benefits-and-implementation）來檢測可能存在的云賬號劫持，是一種非常簡單易行，且效果明顯的方法。借助針對登錄位置的分析，您可以查看到是否存在著一些已被列入已知黑名單的危險IP源的登錄嘗試。據此，您可以通過調整云端安全策略的設置，來禁止此類地址所發起的登錄、以及其他嘗試性的活動。

例如：學生與員工們對于某國內大學官網的訪問與登錄，都應當源自在境內。如果您監控到突然有源于美國的IP地址，使用某個賬號進行大量的登錄嘗試，那么很可能該賬號已經遭到了劫持，并正在發起攻擊。

當然，有時候也會存在著一個學生團體正好在國外游學，他們需要遠程登錄進來的情況。因此，我們需要制定好細粒度的策略，只允許特定的用戶群體從境外訪問到學校的云服務環境中，并能夠在登錄時及時通知安全與運維人員相關的信息。在此，我推薦的實踐方式是：本著謹慎的態度，默認阻止此類位置的登錄，直至合法用戶提出合理的請求，方可逐個“解鎖”開啟。

2. 屢次嘗試登錄失敗

根據Signal Sciences的一項研究表明，任何外部應用程序在上線之后，都可能會出現大約30%的登錄失敗率，其中不乏有用戶忘記了自己的密碼，或是鍵盤輸入錯誤，以及應用服務器本身的出錯可能。但是，如果在較短的時間內，大量出現失敗的登錄嘗試，則表明云賬號正在受到異常攻擊。黑客很可能正在使用爆破或撞庫的方式，來嘗試所有最常見的密碼、以及已知的密碼變體，以獲得針對目標應用的授權訪問。

同樣，我們可以通過設置相應的策略，來限制某個賬號在被鎖定之前，所允許的嘗試登錄失敗次數。通常，管理員會設置該限制為三到五次。當觸及該閥值之后，用戶需要主動聯系負責該應用的管理員，以解鎖自己的賬號，或重置登錄密碼。與此同時，我們可以通過設置警報的方式，以便在出現多次嘗試登錄失敗時，應用程序能夠及時地發送通知給相應的安全與運維管理員。據此，管理員則能夠通過采取主動的措施，來驗證此類嘗試的合法性。

3. 橫向網絡釣魚（Lateral Phishing）郵件

前面介紹的兩種方法主要檢測是否有人正在嘗試劫持賬號。下面我們討論的方法則是關注如何發現已經得手的云賬號劫持攻擊。

通常，那些橫向網絡釣魚郵件都源自某個已被劫持的賬號。由于此類電子郵件是從內部合法賬號所發出，因此我們使用傳統的網絡釣魚過濾程序，很難檢測到橫向網絡釣魚的行為。而且由于具有合法性與隱蔽性，因此它在繞過大多數安全防護機制的同事，還會蔓延到應用內部的其他賬號上。

最近有研究發現：在過去的七個月時間里，有七分之一的受訪組織至少遭受過一次橫向網絡釣魚攻擊。其中有154個被劫持的賬號，曾經向100，000多名指定接收者發送過橫向網絡釣魚郵件。該報告還指出：在這些接收者中，大約40%是同組織的同事，而其余的是各種私人、客戶、合作伙伴、以及供應商類型的賬號。

通常，我們會采用傳統的郵件傳輸代理（MTA，mail transfer agents）和網絡釣魚過濾程序，防范來自組織外部的釣魚攻擊。但是，由于被劫持的賬號發生在內網，因此這些安全工具缺乏從內部檢測到釣魚攻擊的能力。而新興的云安全解決方案，則能夠實現掃描入向與出向的郵件、郵件中包含的附件、以及共享盤上的釣魚鏈接和惡意軟件等。

4. 惡意的OAuth連接

如今，通過OAuth將SaaS應用程序連接到云端環境之中，已經變得稀松平常。但是，您可能無法簡單地分辨出那些惡意的OAuth連接，它們會直接導致云端應用的賬號被劫持。

那么此類連接是如何產生的呢？黑客通常會創建一個需要對用戶的Gmail或Outlook 365賬號具有讀取、寫入和獲取權限的應用程序。該應用通過合法的OAuth連接，被授予了相應的權限。黑客們據此可以直接通過用戶的賬號，發送帶有網絡釣魚鏈接的電子郵件，而無需真正登錄到他們所劫持賬號上。而且更狡猾的是，此類電子郵件完全不會被企業內既有的傳統網絡釣魚過濾程序和MTA所檢測到。

因此，如果您在云端環境中檢測到了某個危險或惡意的OAuth連接，那么第一步就是要直接阻斷該連接。接著，您應該聯系該連接賬號的持有人，詢問其是否允許了不明的應用程序。在建議用戶立即重置其賬號登錄密碼的同時，您還應該協助審查是否有文件或其他關聯賬號遭到了破壞。

5. 異常的文件共享和下載

眾所周知，賬號劫持只是途徑，并非目的。攻擊者真正想要的是諸如：用戶社會安全號碼、姓名、地址、電話號碼、健康信息、財務信息、以及知識產權內容等敏感且專有的數據。因此，如果您的云安全平臺檢測到某個賬號正在（或嘗試著）向本組織以外的某個目標共享敏感信息、或者提供下載的話，那么該賬號顯然已被劫持了。您需要立即關停該賬號，強制重設密碼，審查現有應用環境中的其余部分，并確認其他賬號是否也受到了此類攻擊。

綜上所述，如果您的組織正在通過云端應用來提供或使用電子郵件、文件共享、以及存儲等服務的話，請通過針對云服務設計的安全平臺，來監控、檢測和自動化與賬號劫持相關的攻擊行為，以提高現有云端數據和業務的安全態勢。