Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Если вы представляете малый бизнес и хотите быть уверены, что знаете, когда происходит утечка данных ваших сотрудников, HaveIBeenPwned — это простая в использовании и чрезвычайно дешевая альтернатива, которую вы можете использовать для себя или своего бизнеса. В настоящее время HIPB обслуживает почти 8 миллиардов запросов в месяц от частных лиц, организаций, правительств и правоохранительных органов. Несколько дней назад HIPB загрузил 16,5 миллионов скомпрометированных адресов электронной почты непосредственно из Operation Endgame, которая была крупной многонациональной кибероперацией под руководством ФБР. Этот ботнет был настолько успешным из-за вредоносных программ-дропперов, а также функции аренды сайтов криминальной инфраструктуры для развертывания программ-вымогателей или вредоносных программ для кражи данных (включая электронные письма и пароли для веб-сайтов и приложений). Ознакомьтесь с пресс-релизом ФБР здесь.
На основании моих исследований, HIBP является одним из самых быстрых поставщиков взломов даркнета, а их план «Pwned 1» чрезвычайно дешев. Я считаю важным включать в запросы на взлом как личные, так и корпоративные адреса электронной почты. Вполне вероятно, что сотрудники используют одинаковые или похожие пароли как для корпоративных, так и для личных онлайн-сервисов, поэтому следует отслеживать и то, и другое, если это возможно (с прозрачностью для сотрудников), чтобы снизить вероятность компрометации корпоративных активов. Для этого вам нужно будет заплатить всего $3,95/месяц.
Модели уровней для HIPB
Leakcheck.io, альтернатива HIPB, которая предоставляет меньше данных, но бесплатно
Я также использую leakcheck.io (выше), который имеет публичный API, который дает нам источники и даты утечек для перекрестной проверки с HIBP. В общем, всегда хорошо иметь больше одного источника данных. Создайте бесплатную учетную запись здесь и получите свой API.
Leakcheck Публичные предложения API
Вот скрипт, который мы собираемся использовать.
клиентские_электронные_письма.xlsx
Запуск программы и ввод ключей API
В рамках подписки «Pwned 1» вы можете удалить все записи о нарушениях домена для доменов, право собственности на которые вы подтверждаете, если у вас менее 25 записей о нарушениях сотрудников (о которых вы не обязательно узнаете, пока не попробуете и не будете вынуждены обновиться), но вы не можете этого сделать для личных писем, таких как gmail, yahoo или outlook, по очевидным причинам. К счастью, нам не нужно подтверждать право собственности на домен, поскольку мы запрашиваем отдельные письма, и вам тоже не обязательно это делать. Вы всегда должны знать, кто из ваших сотрудников все еще работает в компании, а кто уже нет. Отслеживание этой информации также отлично подходит для проверки легитимности событий входа в систему, проверки и обеспечения соблюдения программного обеспечения/приложений безопасности конечных точек и создания эффективной архитектуры сети с нулевым доверием (ZTNA) с надлежащей реализацией разделения обязанностей и принципа наименьших привилегий. Это также снижает вероятность ложных срабатываний, исходящих от непроверенных данных о нарушениях, например, утечки электронного письма несуществующего сотрудника из какого-то непроверенного источника, который, вероятно, был создан для быстрого заработка в Dark Web. Многие решения по обнаружению и реагированию на конечные точки или порталы управления o365 и Azure имеют панели мониторинга для получения активных сообщений электронной почты, необходимых для мониторинга ваших клиентов или сотрудников.
Вывод скрипта имеет две вкладки. Первая вкладка «Утечка данных» содержит записи о любых нарушениях для электронных писем, а «Самые последние» позволяют отслеживать новые нарушения. Вторая вкладка «Подробности нарушения» содержит описание каждого нарушения, обнаруженного на первой вкладке, от самого нового к самому старому со ссылками, а также датой нарушения и датой его добавления в базу данных HIBP.
Вкладка «Утечка данных»
Вкладка «Подробности нарушения»
И там мы видим, что данные «OperationEndgame» с взломанных правоохранительными органами вредоносных серверов ссылаются на одно из моих писем. Это когда я бы уведомил их о необходимости сменить пароль на всех учетных записях, которые могли использовать тот же пароль для включения этого письма, включить 2FA для всего и отслеживать странные попытки входа или письма. Это простой скрипт, который вы можете запустить, чтобы быть впереди киберпреступников, которые могут попытаться использовать украденную конфиденциальную информацию (не ограничиваясь только паролями) для:
Надеюсь, вам понравился этот пост!
Источник
На основании моих исследований, HIBP является одним из самых быстрых поставщиков взломов даркнета, а их план «Pwned 1» чрезвычайно дешев. Я считаю важным включать в запросы на взлом как личные, так и корпоративные адреса электронной почты. Вполне вероятно, что сотрудники используют одинаковые или похожие пароли как для корпоративных, так и для личных онлайн-сервисов, поэтому следует отслеживать и то, и другое, если это возможно (с прозрачностью для сотрудников), чтобы снизить вероятность компрометации корпоративных активов. Для этого вам нужно будет заплатить всего $3,95/месяц.
Модели уровней для HIPB
Leakcheck.io, альтернатива HIPB, которая предоставляет меньше данных, но бесплатно
Я также использую leakcheck.io (выше), который имеет публичный API, который дает нам источники и даты утечек для перекрестной проверки с HIBP. В общем, всегда хорошо иметь больше одного источника данных. Создайте бесплатную учетную запись здесь и получите свой API.
Leakcheck Публичные предложения API
Вот скрипт, который мы собираемся использовать.
Вход
Я создал скрипт Python, который вводит таблицу Excel под названием «client_emails» со столбцами «client», «personal_emails» и «corporate_emails». Если вы единственный «клиент», вы введете туда название своей компании. Два других столбца предназначены для всех писем, разделенных запятой для каждого письма. Я большой поклонник Google Colab — он очень прост в использовании, устанавливает все зависимости, и он бесплатный. Вы просто запускаете программу и вводите ключи API из панелей мониторинга HIBP и Leakcheck.
клиентские_электронные_письма.xlsx
Запуск программы и ввод ключей API
В рамках подписки «Pwned 1» вы можете удалить все записи о нарушениях домена для доменов, право собственности на которые вы подтверждаете, если у вас менее 25 записей о нарушениях сотрудников (о которых вы не обязательно узнаете, пока не попробуете и не будете вынуждены обновиться), но вы не можете этого сделать для личных писем, таких как gmail, yahoo или outlook, по очевидным причинам. К счастью, нам не нужно подтверждать право собственности на домен, поскольку мы запрашиваем отдельные письма, и вам тоже не обязательно это делать. Вы всегда должны знать, кто из ваших сотрудников все еще работает в компании, а кто уже нет. Отслеживание этой информации также отлично подходит для проверки легитимности событий входа в систему, проверки и обеспечения соблюдения программного обеспечения/приложений безопасности конечных точек и создания эффективной архитектуры сети с нулевым доверием (ZTNA) с надлежащей реализацией разделения обязанностей и принципа наименьших привилегий. Это также снижает вероятность ложных срабатываний, исходящих от непроверенных данных о нарушениях, например, утечки электронного письма несуществующего сотрудника из какого-то непроверенного источника, который, вероятно, был создан для быстрого заработка в Dark Web. Многие решения по обнаружению и реагированию на конечные точки или порталы управления o365 и Azure имеют панели мониторинга для получения активных сообщений электронной почты, необходимых для мониторинга ваших клиентов или сотрудников.
Выход
Скрипт проходит по каждой базе данных сервисов с ключами API, запрашивает электронную почту пользователя, получает информацию о взломе и типах утекших данных, объединяет данные из двух источников, а затем экспортирует все в Excel. Пользователь считается «Высоким риском», если в течение последнего года был скомпрометирован пароль. Если его пароль был скомпрометирован вообще, это Средний риск. В противном случае это низкий риск.
Вывод скрипта имеет две вкладки. Первая вкладка «Утечка данных» содержит записи о любых нарушениях для электронных писем, а «Самые последние» позволяют отслеживать новые нарушения. Вторая вкладка «Подробности нарушения» содержит описание каждого нарушения, обнаруженного на первой вкладке, от самого нового к самому старому со ссылками, а также датой нарушения и датой его добавления в базу данных HIBP.
Вкладка «Утечка данных»
Вкладка «Подробности нарушения»
И там мы видим, что данные «OperationEndgame» с взломанных правоохранительными органами вредоносных серверов ссылаются на одно из моих писем. Это когда я бы уведомил их о необходимости сменить пароль на всех учетных записях, которые могли использовать тот же пароль для включения этого письма, включить 2FA для всего и отслеживать странные попытки входа или письма. Это простой скрипт, который вы можете запустить, чтобы быть впереди киберпреступников, которые могут попытаться использовать украденную конфиденциальную информацию (не ограничиваясь только паролями) для:
- Проведение успешных фишинговых/вейлинговых кампаний
- Взлом внешних служб компании с действительными адресами электронной почты
- Выдавать себя за других людей на других онлайн-сервисах
- Создание ботнетов с использованием украденных учетных данных
- Шантажировать сотрудников на основе содержания утечек (которые киберпреступник может назвать хуже, чем есть на самом деле)
Надеюсь, вам понравился этот пост!
Источник
