Назад |
Перейти на главную страницу
Как я могу заранее обнаружить взломанные учетные записи Exchange 2010?
У нас были проблемы со скомпрометированными учетными записями Exchange, отправляющими вредоносные электронные письма через SMTP и OWA.
Похоже, что многие из этих учетных записей были взломаны в результате попыток фишинга. В настоящее время мы развертываем что-то, чтобы усилить нашу защиту от них.
Теперь мы хотим изучить более активные способы обнаружения взломанных учетных записей. Возникли некоторые необработанные мысли:
- мониторинг очереди исходящей почты на предмет подозрительной активности
- проверка логинов с внешних IP-адресов в журналах IIS
- ограничение скорости входа в систему (автоматическая блокировка учетной записи?)
- электронная почта с ограничением скорости (автоматическая блокировка аккаунта?)
Если кто-то реализовал что-то подобное, какие советы или продукты вы использовали? Как еще вы пытались проактивно обнаруживать взломанные учетные записи Exchange (или AD)?
Обычно это лучше решить с помощью централизованного решения для ведения журнала. Таким образом, вы можете использовать функции обнаружения и анализа, не влияя на почтовые службы. То, как именно они будут реализованы, будет существенно различаться в зависимости от вашего решения для ведения журналов, но любой современный сборщик журналов должен позволять оповещения. Наиболее успешные методы, которые я видел, это:
- Логины от Икс страны в Y часов. Значения, которые вы используете для Икс и Y могут отличаться, но здравый смысл возобладает. Например, 2 страны в течение 4 часов, вероятно, будут довольно безопасными для организации в центральной части США, но могут быть более шумными для компании, расположенной недалеко от границы в Европе.
- Логины от Икс IP-адреса внутри Y минут. У большинства людей в наши дни будет 2-4 устройства с настроенной электронной почтой; настольный компьютер, ноутбук, телефон, планшет. Некоторые больше, некоторые меньше. Оба значения будут сильно зависеть от вашей пользовательской базы. Хорошей отправной точкой могут быть 3 устройства и 10 минут.
- Логины для Икс пользователей с 1 IP-адреса. Обычно здесь очень хорошо использовать соотношение 1: 1. Имейте в виду это воля огонь, если у вас есть общие почтовые ящики, которые настроены как отдельные учетные записи, и они настроены так как отдельные пользователи. Если у вас есть VPN или прокси, вы также часто будете видеть этот флаг. Так что будьте готовы занести системы в белый список.
Имейте в виду, что лучший способ предотвратить доступ злоумышленников к взломанным учетным записям - это вообще запретить доступ к вашей почтовой системе. Если вы можете ограничить доступ к OWA или EWS для своей организации, используя VPN для внешних сотрудников, то вы находитесь в много лучшая позиция с самого начала.