Nhận diện và bảo mật tài khoản bị xâm phạm

Tháng 1 16, 2020


Trong trường hợp nghi ngờ một tài khoản có thể bị xâm nhập, quản trị viên có thể sử dụng danh sách kiểm tra này để đảm bảo rằng tài khoản người dùng của tổ chức được an toàn (ví dụ tài khoản bị xâm nhập hoặc bị tấn công). Làm việc với người dùng bị ảnh hưởng để hoàn thành danh sách kiểm tra bảo mật Gmail của người dùng:

Thực hiện theo các bước bảo mật sau

Bước 1. Tạm thời tạm ngưng tài khoản người dùng nghi ngờ bị xâm nhập

  1. Tạm ngưng người dùng để ngăn chặn truy cập trái phép.

Lưu ý: Chặn quyền truy cập vào G Suite bằng cách đặt lại cookie đăng nhập của người dùng.

  1. Truy vấn hoạt động tiềm ẩn trái phép và khôi phục tài khoản. Quản trị viên cũng có thể xem xét triển khai trong miền quy trình xác minh 2 bước (2SV).
  2. Yêu cầu người dùng bị ảnh hưởng xem lại địa chỉ khôi phục và hoàn tất danh sách kiểm tra bảo mật của Gmail.

Bước 2. Truy vấn tài khoản đối với hoạt động không được cấp phép

  1. Nếu người dùng bị xâm nhập là quản trị viên G Suite, hãy xem lại nhật ký kiểm tra Quản trị viên đối với bất kỳ thay đổi cấu hình nào mà người dùng đã thực hiện gần đây. Bỏ qua bước này nếu người dùng bị xâm nhập không phải là quản trị viên G Suite.
  2. Xem xét thiết bị di động được liên kết với tài khoản bị ảnh hưởng và xóa bất kỳ thiết bị đáng ngờ nào.
  3. Truy vấn các hoạt động trái phép tiềm năng:
  • Sử dụng nhật ký kiểm tra Đăng nhập trong Admin console để xem danh sách đăng nhập trên web thành công và không thành công trong thời gian tối đa là 6 tháng. Đăng nhập đáng ngờ được gắn cờ với biểu tượng cảnh báo. Quản trị viên cũng có thể truy xuất đăng nhập cho tài khoản miền thông qua G Suite Reports API.
  • Sử dụng tìm kiếm nhật ký email để xem nhật ký phân phối cho tên miền và đánh giá quá trình gửi email đến và từ các tài khoản có thể bị xâm nhập. Nếu có sử dụng Vault, quản trị viên có thể tìm kiếm nhật ký email để xem lại hoạt động của email.
  • Sử dụng báo cáo Bảo mật để đánh giá mức độ ảnh hưởng của miền đối với rủi ro bảo mật dữ liệu. Bạn nên xem lại các báo cáo này:
    1. OAuth Token audit log
    2. Groups audit log
    3. Drive audit log Tính năng này chỉ khả dụng với G Suite Enterprise hay Business.
    4. Calendar audit log
  • Xác minh xem có cài đặt độc hại hay không. Quản trị viên có thể truy xuất cài đặt tài khoản người dùng (chẳng hạn như cài đặt chuyển tiếp) thông qua API Gmail. Nếu nghi ngờ tài khoản consumer@gmail.com đã được sử dụng theo hình thức bị xâm phạm, hãy báo cáo.

Bước 3. Thu hồi quyền truy cập tài khoản bị ảnh hưởng

  1. Thực hiện theo các bước trong đặt lại mật khẩu của người dùng.
  2. Thu hồi các thẻ OAuth 2.0 đối với người dùng.
  3. Một số ứng dụng sử dụng phương pháp xác thực OAuth 2.0 sẽ ngừng truy cập dữ liệu sau khi quản trị viên đặt lại mật khẩu của người dùng. Người dùng phải đăng nhập bằng tên tài khoản và mật khẩu mới để nhận mã thông báo OAuth 2.0 mới.
  4. Xóa mật khẩu ứng dụng mà người dùng tạo.

Bước 4. Trả lại quyền truy cập cho người dùng

  1. Khôi phục tài khoản.
  2. Cho phép người dùng biết mật khẩu tạm thời và yêu cầu thiết lập mật khẩu mới (không có mật khẩu được sử dụng với bất kỳ trang web hoặc ứng dụng nào khác).
  3. Bật quy trình xác minh 2 bước cho miền và đăng ký người dùng bằng Khóa bảo mật U2F (được khuyến nghị qua mã 2 bước xác minh).
  4. Làm việc với người dùng để hoàn thành danh sách kiểm tra bảo mật Gmail của người dùng cuối. Ví dụ: đảm bảo rằng tất cả các bộ lọc người dùng cuối và tùy chọn chuyển tiếp được định cấu hình phù hợp.
  • Cập nhật tùy chọn khôi phục tài khoản của bạn.
  • Kiểm tra tài khoản về hoạt động bất thường.
  • Kiểm tra các thư bị thiếu hoặc ở tình trạng đáng ngờ.
  • Kiểm tra các địa chỉ liên hệ để tìm lỗi.
  • Kiểm tra cài đặt Gmail.

Thực hiện các bước bảo mật bổ sung

Nên thực hiện các bước bổ sung này để đảm bảo tính bảo mật cho tài khoản G Suite.

Bước 1. Thực thi xác minh 2 bước với Khóa bảo mật

Thực thi xác minh 2 bước bổ sung thêm một lớp bảo mật đối với tài khoản G Suite của người dùng. Yêu cầu người dùng nhập mã xác minh ngoài tên người dùng và mật khẩu của họ khi đăng nhập vào tài khoản. Nên sử dụng Khóa bảo mật qua mã bảo vệ 2 bước xác minh để ngăn ngừa tốt hơn các thư lừa đảo.

Bước 2. Thêm, bảo mật hoặc cập nhật các tùy chọn khôi phục

Xem Thêm tùy chọn khôi phục cho tài khoản quản trị để biết hướng dẫn về thêm địa chỉ email phụ và số điện thoại. Nên bảo mật địa chỉ email phụ bằng cách thay đổi mật khẩu hoặc cập nhật email phụ với địa chỉ email mới.

Bước 3. Bật cảnh báo hoạt động tài khoản

Quản trị viên có thể chọn để nhận cảnh báo hoạt động tài khoản khi các sự kiện quan trọng xảy ra, chẳng hạn như các đăng nhập có khả năng đáng ngờ hoặc thay đổi dịch vụ bởi các quản trị viên khác.

Nguồn: LVtech