ramin61092/digital_agency_security_hardening

# JEMSU 广告公司安全服务：事件响应与 IAM 加固 **作者：** Ramin **日期：** 2026 年 1 月 **状态：** 事件后修复与策略生成 ### 咨询免责声明 本仓库包含独立的咨询文档、方法论以及用于缓解账户入侵和恶意广告事件的推荐最佳实践。它不是 JEMSU 的官方文档，也不一定反映 JEMSU 的内部政策、现有安全态势或标准操作程序。所有结构，包括基于角色的访问控制 (RBAC) 矩阵，均是基于外部发现设计的理论模型，旨在阐述 Zero Trust 原则。 ### 执行摘要 本仓库记录了 JEMSU 数字广告部门发生重大数据泄露后的事件响应、根本原因分析以及后续的安全加固策略。 一场复杂的中间人攻击 鱼叉式网络钓鱼活动针对数字广告总监，成功绕过了标准的 Multi-Factor Authentication (MFA) 并窃取了有效的会话 token。威胁行为者利用其在 Google Ads Manager Account (MCC) 中被入侵的“Global Admin”访问权限，向 200 个客户账户部署了恶意广告载荷，导致在遏制措施实施前造成了约超过 100,000 美元的未授权广告支出。 ### 项目目标 此次安全服务的主要目标是： * **分析攻击向量：** 详细说明 AiTM 攻击如何绕过现有的 MFA 协议。 * **遏制与修复：** 提供即时 playbook 以停止财务损失并驱逐威胁行为者。 * **重构 Identity & Access Management (IAM)：** 通过实施 Zero Trust 和 Principle of Least Privilege (PoLP) 架构，消除长期的行政权限。 * **加强人员防御：** 向 Ad-Ops 团队部署专项培训，以识别针对高层管理员的社交工程诱饵。 ### 关键发现与核心建议 * **关键漏洞：** 受可钓鱼 MFA（验证器应用/SMS）保护的过度特权管理员账户。 * **即时修复：** 强制要求所有拥有 MCC 访问权限的人员部署 FIDO2 硬件安全密钥（例如 YubiKey 或 Google Titan），以物理方式阻断会话劫持。 * **结构性修复：** 将“Global Admin”角色拆分为分段的、隔离的客户访问层级，并对全面的预算或用户访问修改执行“双人规则”。 ### 仓库结构与文档 本仓库包含为 JEMSU 高管和技术团队生成的以下工件： #### 文件 * **Root Cause Analysis** - 详细分解 AiTM 攻击机制、财务影响范围，以及确立 IAM 失败原因的“5 Whys”分析。 * **Incident Response Playbook** - 在 MCC 遭到入侵期间的会话失效和恢复指南。 * **Fire Drill Checklist** - 用于立即遏制的简短事件响应清单。 * **IAM and RBAC_Matrix** - 定义新访问级别的结构指南，在 Ad-Ops 部门强制执行 Principle of Least Privilege。 * **Security_Awareness_Training.md** - 针对数字广告团队的专项课程，重点关注域名欺诈、虚假 MCC 邀请以及安全资产处理。

标签：AiTM, ESC8, IAM加固, JSONLines, Malvertising, MFA绕过, PoLP, RBAC, 事件溯源, 会话劫持, 基于角色的访问控制, 多重因素认证绕过, 安全基线, 安全策略, 广告运营安全, 库, 应急响应, 恶意广告, 损失遏制, 提示词设计, 教学环境, 数字广告安全, 最小权限原则, 根因分析, 渗透测试后期修复, 特权账号管理, 社会工程学, 网络安全, 谷歌广告安全, 账户安全, 身份与访问管理, 防御中间人攻击, 防御加固, 隐私保护, 零信任