不久以前，保護(hù)網(wǎng)絡(luò)訪問是企業(yè)安全團(tuán)隊(duì)防御的重點(diǎn)。強(qiáng)大的防火墻可以確保在外部阻止網(wǎng)絡(luò)攻擊者，從而允許用戶在內(nèi)部控制。這些防火墻通常是企業(yè)的終極防御措施，沒有得到許可的任何人都不能進(jìn)入。

　　隨著云計(jì)算的出現(xiàn)，網(wǎng)絡(luò)的邊緣不再受到防火墻的保護(hù)。事實(shí)上，網(wǎng)絡(luò)不再具有優(yōu)勢(shì)：在人們的“隨時(shí)隨地”的工作環(huán)境中，如今任何數(shù)據(jù)中心都是邊界，人們不能再依賴傳統(tǒng)的安全保護(hù)機(jī)制。網(wǎng)絡(luò)安全已經(jīng)變得更注重保護(hù)身份，而不是網(wǎng)絡(luò)本身。

　　微軟公司在最近發(fā)表的一篇博客文章中討論了保護(hù)AzureActiveDirectory(AzureAD)身份安全的一些趨勢(shì)。這篇文章指出，現(xiàn)在許多網(wǎng)絡(luò)攻擊序列都是從個(gè)人開始的，目的是在企業(yè)內(nèi)部獲得立足點(diǎn)，然后發(fā)起勒索軟件攻擊或其他網(wǎng)絡(luò)攻擊。

　　密碼仍然是安全的致命弱點(diǎn)

　　正如微軟公司主管身份安全的副總裁AlexWeinert在這篇文章中指出的那樣，密碼仍然是網(wǎng)絡(luò)安全的致命弱點(diǎn)，主要有三種類型的攻擊序列:

　　•密碼噴灑：針對(duì)多個(gè)賬戶猜測(cè)通用密碼。

　　•網(wǎng)絡(luò)釣魚：誘使某人在虛假網(wǎng)站上或在回復(fù)短信或電子郵件時(shí)輸入他們的憑據(jù)。

　　•重用泄露密碼：依靠普遍的密碼重復(fù)使用，將在一個(gè)網(wǎng)站上泄露的密碼用于其他網(wǎng)站。

　　網(wǎng)絡(luò)攻擊者在過(guò)去通常攻擊網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，現(xiàn)在他們會(huì)攻擊身份驗(yàn)證和保護(hù)方面的薄弱環(huán)節(jié)。人們經(jīng)常重復(fù)使用密碼，網(wǎng)絡(luò)攻擊者也知道這一點(diǎn)，所以他們會(huì)從以前被黑客攻擊的數(shù)據(jù)庫(kù)中獲取密碼，并試圖在其他地方使用它。雖然大多數(shù)密碼攻擊都是針對(duì)那些沒有多因素身份驗(yàn)證(MFA)的帳戶，但更復(fù)雜的網(wǎng)絡(luò)攻擊是針對(duì)多因素身份驗(yàn)證(MFA)進(jìn)行攻擊。當(dāng)他們這樣做時(shí)，網(wǎng)絡(luò)攻擊者會(huì)采取以下行動(dòng):

　　•SIM卡劫持和利用其他電話漏洞。

　　•MFA疲勞攻擊或網(wǎng)格攻擊。

　　•中間對(duì)手攻擊，誘使用戶進(jìn)行多因素身份驗(yàn)證(MFA)交互。

　　微軟：放棄多因素身份驗(yàn)證(MFA)，增加密碼保護(hù)方式

　　為了防御這三種攻擊，微軟公司建議用戶放棄多因素身份驗(yàn)證(MFA)，增加密碼保護(hù)方式。網(wǎng)絡(luò)攻擊者知道人們經(jīng)常因?yàn)樯矸蒡?yàn)證疲勞而導(dǎo)致密碼泄露，他們會(huì)模仿人們正常身份驗(yàn)證平臺(tái)的網(wǎng)站，在上面輸入密碼。密碼疲勞是微軟公司將其身份驗(yàn)證應(yīng)用程序的默認(rèn)值更改為數(shù)字匹配而不僅僅是用戶必須批準(zhǔn)的身份驗(yàn)證的原因之一。

　　最近發(fā)布的一篇博客文章討論了不同類型攻擊的優(yōu)秀資源，以及補(bǔ)救技術(shù)。正如微軟所指出的，其中一種“傳遞cookie”攻擊類似于在AzureAD中傳遞哈希或傳遞票證攻擊。通過(guò)瀏覽器對(duì)AzureAD進(jìn)行身份驗(yàn)證之后，將為該會(huì)話創(chuàng)建并存儲(chǔ)一個(gè)cookie。如果網(wǎng)絡(luò)攻擊者能夠侵入設(shè)備并提取瀏覽器cookie，他們就可以將該cookie傳遞到另一個(gè)系統(tǒng)上的單獨(dú)Web瀏覽器中，從而繞過(guò)安全檢查點(diǎn)。在個(gè)人設(shè)備上訪問企業(yè)資源的用戶尤其面臨風(fēng)險(xiǎn)，因?yàn)檫@些設(shè)備的安全控制通常比企業(yè)管理的設(shè)備還要弱，而且IT人員缺乏對(duì)這些設(shè)備的可見性，無(wú)法確定是否會(huì)泄露。

　　審查可以訪問系統(tǒng)的人員

　　企業(yè)在設(shè)計(jì)多因素身份驗(yàn)證(MFA)保護(hù)審查時(shí)，重要的是要考慮誰(shuí)可以訪問哪些系統(tǒng)，并對(duì)用戶的帳戶進(jìn)行分級(jí)審查。首先審查用戶，并根據(jù)風(fēng)險(xiǎn)和他們可以訪問的內(nèi)容對(duì)他們進(jìn)行細(xì)分;網(wǎng)絡(luò)攻擊者通常會(huì)將目標(biāo)鎖定在其工作區(qū)域中的特定用戶或某人。例如，LinkedIn通常用于識(shí)別企業(yè)員工之間的關(guān)系，因此應(yīng)該意識(shí)到這些關(guān)系，并確定采用適當(dāng)?shù)馁Y源來(lái)保護(hù)關(guān)鍵人員。

　　企業(yè)通常部署計(jì)算機(jī)來(lái)滿足工作的需要，而不是基于角色固有的風(fēng)險(xiǎn)根據(jù)預(yù)算部署工作站。但是，如果企業(yè)根據(jù)網(wǎng)絡(luò)攻擊者的看法返回并檢查自己的網(wǎng)絡(luò)呢?眾所周知，Windows11現(xiàn)在要求采用額外的硬件以更好地保護(hù)基于云的登錄。可信平臺(tái)模塊用于更好地保護(hù)和加強(qiáng)機(jī)器上使用的憑據(jù)。但是，如果企業(yè)沒有部署支持Windows11的硬件，或者同樣重要的是，沒有確保獲得了適當(dāng)?shù)脑S可以獲得這些關(guān)鍵角色的Windows11好處，那么可能沒有適當(dāng)?shù)乇Ｗo(hù)好其網(wǎng)絡(luò)。

　　如何保護(hù)AzureAD免受攻擊

　　保護(hù)企業(yè)的網(wǎng)絡(luò)免受AzureAD類型的攻擊，首先要確保已經(jīng)正確設(shè)置。最近一篇文章列出了一份詳細(xì)的配置列表，從許多人長(zhǎng)期以來(lái)一直在努力解決的一個(gè)問題開始：停止部署具有本地管理員權(quán)限的工作站。人們通常首先為構(gòu)建分配一個(gè)本地管理員工作站，然后使用本地管理員密碼工具包為每個(gè)本地管理員分配一個(gè)隨機(jī)密碼。企業(yè)應(yīng)該考慮根本不分配本地管理員，而是直接加入AzureAD。

　　正如研究人員SamiLamppu和ThomasNaunheim所指出的那樣，大多數(shù)已知的網(wǎng)絡(luò)攻擊都是從工作站具有本地管理員訪問權(quán)限開始的。其應(yīng)對(duì)方法是，應(yīng)該不斷審查和分析保護(hù)身份所需的額外步驟，因?yàn)樗沁M(jìn)入企業(yè)現(xiàn)代網(wǎng)絡(luò)的新入口。

　　以下是這篇博客文章的作者推薦的一些緩解措施:

　　•在MicrosoftIntune中創(chuàng)建攻擊面減少(ASR)規(guī)則，以保護(hù)LSAAS進(jìn)程。

　　•為端點(diǎn)部署MicrosoftDefender，以便在檢測(cè)到可疑活動(dòng)或工具時(shí)獲得自動(dòng)警報(bào)。

　　•啟用篡改保護(hù)功能，以保護(hù)客戶端的安全設(shè)置(例如威脅保護(hù)和實(shí)時(shí)反病毒)。

　　•創(chuàng)建設(shè)備合規(guī)性策略，要求MicrosoftDefender反惡意軟件和Defender實(shí)時(shí)保護(hù)，并立即執(zhí)行合規(guī)性檢查。

　　•在設(shè)備合規(guī)政策中要求最低的機(jī)器風(fēng)險(xiǎn)評(píng)分，而沒有很長(zhǎng)的寬限期。

　　•在設(shè)備對(duì)象上使用唯一屬性，一旦端點(diǎn)打開或關(guān)閉，該屬性將立即更新。這可以用作動(dòng)態(tài)組篩選器，以建立設(shè)備符合性策略的分配，以要求機(jī)器進(jìn)行風(fēng)險(xiǎn)評(píng)分。否則，設(shè)備合規(guī)性將失敗。

　　•特權(quán)訪問設(shè)備場(chǎng)景中的考慮事項(xiàng)，如安全管理工作站(SAW)或特權(quán)訪問工作站(PAW)：要求設(shè)備處于“明確”的機(jī)器風(fēng)險(xiǎn)評(píng)分之下。如果立即執(zhí)行合規(guī)政策的更改，則更改在5分鐘內(nèi)有效(基于測(cè)試)。

　　•積極監(jiān)控端點(diǎn)，以檢測(cè)惡意憑據(jù)竊取工具(如Mimikatz和AADInternals)。

　　•如果檢測(cè)到可疑活動(dòng)，運(yùn)行MicrosoftSentinel行動(dòng)手冊(cè)“隔離設(shè)備”。

　　•通過(guò)調(diào)用Microsoft365DefenderAPI，可以接收受影響設(shè)備上已登錄用戶的列表。這應(yīng)該作為MicrosoftSentinel行動(dòng)手冊(cè)的一部分執(zhí)行，以在端點(diǎn)上檢測(cè)到攻擊性身份盜竊工具時(shí)初始化SOAR操作。