防御AzureAD攻擊：采用身份保護(hù)替代防火墻

不久以前，保護(hù)網(wǎng)絡(luò)訪問是企業(yè)安全團(tuán)隊防御的重點。強(qiáng)大的防火墻可以確保在外部阻止網(wǎng)絡(luò)攻擊者，從而允許用戶在內(nèi)部控制。這些防火墻通常是企業(yè)的終極防御措施，沒有得到許可的任何人都不能進(jìn)入。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了錫林郭勒盟免費建站歡迎大家使用！

隨著云計算的出現(xiàn)，網(wǎng)絡(luò)的邊緣不再受到防火墻的保護(hù)。事實上，網(wǎng)絡(luò)不再具有優(yōu)勢：在人們的“隨時隨地”的工作環(huán)境中，如今任何數(shù)據(jù)中心都是邊界，人們不能再依賴傳統(tǒng)的安全保護(hù)機(jī)制。網(wǎng)絡(luò)安全已經(jīng)變得更注重保護(hù)身份，而不是網(wǎng)絡(luò)本身。

微軟公司在最近發(fā)表的一篇博客文章中討論了保護(hù)Azure Active Directory(Azure AD)身份安全的一些趨勢。這篇文章指出，現(xiàn)在許多網(wǎng)絡(luò)攻擊序列都是從個人開始的，目的是在企業(yè)內(nèi)部獲得立足點，然后發(fā)起勒索軟件攻擊或其他網(wǎng)絡(luò)攻擊。

密碼仍然是安全的致命弱點

正如微軟公司主管身份安全的副總裁Alex Weinert在這篇文章中指出的那樣，密碼仍然是網(wǎng)絡(luò)安全的致命弱點，主要有三種類型的攻擊序列:

• 密碼噴灑：針對多個賬戶猜測通用密碼。
• 網(wǎng)絡(luò)釣魚：誘使某人在虛假網(wǎng)站上或在回復(fù)短信或電子郵件時輸入他們的憑據(jù)。
• 重用泄露密碼：依靠普遍的密碼重復(fù)使用，將在一個網(wǎng)站上泄露的密碼用于其他網(wǎng)站。

網(wǎng)絡(luò)攻擊者在過去通常攻擊網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，現(xiàn)在他們會攻擊身份驗證和保護(hù)方面的薄弱環(huán)節(jié)。人們經(jīng)常重復(fù)使用密碼，網(wǎng)絡(luò)攻擊者也知道這一點，所以他們會從以前被黑客攻擊的數(shù)據(jù)庫中獲取密碼，并試圖在其他地方使用它。雖然大多數(shù)密碼攻擊都是針對那些沒有多因素身份驗證(MFA)的帳戶，但更復(fù)雜的網(wǎng)絡(luò)攻擊是針對多因素身份驗證(MFA)進(jìn)行攻擊。當(dāng)他們這樣做時，網(wǎng)絡(luò)攻擊者會采取以下行動:

• SIM卡劫持和利用其他電話漏洞。
• MFA疲勞攻擊或網(wǎng)格攻擊。
• 中間對手攻擊，誘使用戶進(jìn)行多因素身份驗證(MFA)交互。

微軟：放棄多因素身份驗證(MFA)，增加密碼保護(hù)方式

為了防御這三種攻擊，微軟公司建議用戶放棄多因素身份驗證(MFA)，增加密碼保護(hù)方式。網(wǎng)絡(luò)攻擊者知道人們經(jīng)常因為身份驗證疲勞而導(dǎo)致密碼泄露，他們會模仿人們正常身份驗證平臺的網(wǎng)站，在上面輸入密碼。密碼疲勞是微軟公司將其身份驗證應(yīng)用程序的默認(rèn)值更改為數(shù)字匹配而不僅僅是用戶必須批準(zhǔn)的身份驗證的原因之一。

最近發(fā)布的一篇博客文章討論了不同類型攻擊的優(yōu)秀資源，以及補救技術(shù)。正如微軟所指出的，其中一種“傳遞cookie”攻擊類似于在Azure AD中傳遞哈?；騻鬟f票證攻擊。通過瀏覽器對Azure AD進(jìn)行身份驗證之后，將為該會話創(chuàng)建并存儲一個cookie。如果網(wǎng)絡(luò)攻擊者能夠侵入設(shè)備并提取瀏覽器cookie，他們就可以將該cookie傳遞到另一個系統(tǒng)上的單獨Web瀏覽器中，從而繞過安全檢查點。在個人設(shè)備上訪問企業(yè)資源的用戶尤其面臨風(fēng)險，因為這些設(shè)備的安全控制通常比企業(yè)管理的設(shè)備還要弱，而且IT人員缺乏對這些設(shè)備的可見性，無法確定是否會泄露。

審查可以訪問系統(tǒng)的人員

企業(yè)在設(shè)計多因素身份驗證(MFA)保護(hù)審查時，重要的是要考慮誰可以訪問哪些系統(tǒng)，并對用戶的帳戶進(jìn)行分級審查。首先審查用戶，并根據(jù)風(fēng)險和他們可以訪問的內(nèi)容對他們進(jìn)行細(xì)分;網(wǎng)絡(luò)攻擊者通常會將目標(biāo)鎖定在其工作區(qū)域中的特定用戶或某人。例如，LinkedIn通常用于識別企業(yè)員工之間的關(guān)系，因此應(yīng)該意識到這些關(guān)系，并確定采用適當(dāng)?shù)馁Y源來保護(hù)關(guān)鍵人員。

企業(yè)通常部署計算機(jī)來滿足工作的需要，而不是基于角色固有的風(fēng)險根據(jù)預(yù)算部署工作站。但是，如果企業(yè)根據(jù)網(wǎng)絡(luò)攻擊者的看法返回并檢查自己的網(wǎng)絡(luò)呢?眾所周知，Windows 11現(xiàn)在要求采用額外的硬件以更好地保護(hù)基于云的登錄?？尚牌脚_模塊用于更好地保護(hù)和加強(qiáng)機(jī)器上使用的憑據(jù)。但是，如果企業(yè)沒有部署支持Windows 11的硬件，或者同樣重要的是，沒有確保獲得了適當(dāng)?shù)脑S可以獲得這些關(guān)鍵角色的Windows 11好處，那么可能沒有適當(dāng)?shù)乇Ｗo(hù)好其網(wǎng)絡(luò)。

如何保護(hù)Azure AD免受攻擊

保護(hù)企業(yè)的網(wǎng)絡(luò)免受Azure AD類型的攻擊，首先要確保已經(jīng)正確設(shè)置。最近一篇文章列出了一份詳細(xì)的配置列表，從許多人長期以來一直在努力解決的一個問題開始：停止部署具有本地管理員權(quán)限的工作站。人們通常首先為構(gòu)建分配一個本地管理員工作站，然后使用本地管理員密碼工具包為每個本地管理員分配一個隨機(jī)密碼。企業(yè)應(yīng)該考慮根本不分配本地管理員，而是直接加入Azure AD。

正如研究人員Sami Lamppu和Thomas Naunheim所指出的那樣，大多數(shù)已知的網(wǎng)絡(luò)攻擊都是從工作站具有本地管理員訪問權(quán)限開始的。其應(yīng)對方法是，應(yīng)該不斷審查和分析保護(hù)身份所需的額外步驟，因為它是進(jìn)入企業(yè)現(xiàn)代網(wǎng)絡(luò)的新入口。

以下是這篇博客文章的作者推薦的一些緩解措施：

• 在Microsoft Intune中創(chuàng)建攻擊面減少(ASR)規(guī)則，以保護(hù)LSAAS進(jìn)程。
• 為端點部署Microsoft Defender，以便在檢測到可疑活動或工具時獲得自動警報。
• 啟用篡改保護(hù)功能，以保護(hù)客戶端的安全設(shè)置(例如威脅保護(hù)和實時反病毒)。
• 創(chuàng)建設(shè)備合規(guī)性策略，要求Microsoft Defender反惡意軟件和Defender實時保護(hù)，并立即執(zhí)行合規(guī)性檢查。
• 在設(shè)備合規(guī)政策中要求最低的機(jī)器風(fēng)險評分，而沒有很長的寬限期。
• 在設(shè)備對象上使用唯一屬性，一旦端點打開或關(guān)閉，該屬性將立即更新。這可以用作動態(tài)組篩選器，以建立設(shè)備符合性策略的分配，以要求機(jī)器進(jìn)行風(fēng)險評分。否則，設(shè)備合規(guī)性將失敗。
• 特權(quán)訪問設(shè)備場景中的考慮事項，如安全管理工作站(SAW)或特權(quán)訪問工作站(PAW)：要求設(shè)備處于“明確”的機(jī)器風(fēng)險評分之下。如果立即執(zhí)行合規(guī)政策的更改，則更改在5分鐘內(nèi)有效(基于測試)。
• 積極監(jiān)控端點，以檢測惡意憑據(jù)竊取工具(如Mimikatz和AAD Internals)。
• 如果檢測到可疑活動，運行Microsoft Sentinel行動手冊“隔離設(shè)備”。
• 通過調(diào)用Microsoft 365 Defender API，可以接收受影響設(shè)備上已登錄用戶的列表。這應(yīng)該作為Microsoft Sentinel行動手冊的一部分執(zhí)行，以在端點上檢測到攻擊性身份盜竊工具時初始化SOAR操作。

網(wǎng)站題目：防御AzureAD攻擊：采用身份保護(hù)替代防火墻
瀏覽地址：http://www.jiaotiyi.com/article/cooojeo.html