什么是基于凭证的攻击？

凭证窃取是基于凭证的攻击的第一阶段，是窃取凭证的过程。攻击者通常使用网络钓鱼来窃取凭证，因为这是一种相当廉价且极其有效的策略。网络钓鱼的有效性依赖于人与人之间的互动，试图欺骗员工，这与恶意软件和漏洞不同，后者依赖于安全防御的弱点。

企业凭证盗窃通常是一种有针对性的行为。攻击者在 LinkedIn 等社交媒体网站上搜索特定用户，这些用户的凭据将允许访问关键数据和信息。企业凭证盗窃所使用的网络钓鱼电子邮件和网站比消费者凭证盗窃所使用的要复杂得多。为了让这些电子邮件和网站看起来与合法的企业应用程序和通信几乎一模一样，攻击者付出了巨大的努力。

正是在这个基于凭证的攻击阶段，安全意识培训起到了第一道防线的作用。遗憾的是，我们无法保证员工百分之百地识别出网络钓鱼企图。为最大限度地减少凭证被盗，企业凭证应仅限于经批准的应用程序，并应阻止使用不可能或未知的应用程序和网站。安全产品应能阻止企业凭证离开组织网络，并防止被提交到恶意网站。

什么是证书滥用？

凭证滥用是基于凭证的攻击的最终目的，是实际使用被泄露的密码来验证应用程序和窃取数据。

一旦攻击者掌握了用户凭据和密码，他们就可以在地下网络犯罪中出售这些凭据，或利用这些凭据入侵组织的网络，绕过所有防止对手进入的安全措施，在网络内横向移动并窃取数据。

在无分块的环境中，攻击者可以在组织的网络中自由移动。如果对环境进行隔离，并提供跨用户和应用程序的可见性，就可采取安全措施，防止攻击者横向移动并获取关键数据。

一旦攻击者掌握了像有效用户一样操作的凭证，就很难识别入侵者并验证该用户是否真的是其凭证所声称的用户。组织通常在应用程序中实施多因素身份验证，要求用户多次验证身份。然而，对组织内使用的每个应用程序都这样做是无法扩展的。在网络层，即在防火墙中实施基于策略的多因素身份验证，将提供所需的大规模和终端用户的易用性。

Palo Alto Networks Next-Generation Security Platform（Palo Alto 网络下一代安全平台）可在多个地方阻止基于凭证的攻击生命周期，从盗窃凭证到滥用被盗凭证。新一代防火墙、威胁预防、WildFire 和 URL 过滤的综合预防功能可阻止用于窃取和滥用凭证的已知和未知攻击，而 GlobalProtect 则将保护功能从平台扩展到移动用户，并提供更多措施来识别访问应用程序的用户和设备。