不久以前，保護網(wǎng)絡(luò)訪問是企業(yè)安全團隊防御的重點。強大的防火墻可以確保在外部阻止網(wǎng)絡(luò)攻擊者，從而允許用戶在內(nèi)部控制。這些防火墻通常是企業(yè)的終極防御措施，沒有得到許可的任何人都不能進入。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了錫林郭勒盟免費建站歡迎大家使用！

隨著云計算的出現(xiàn)，網(wǎng)絡(luò)的邊緣不再受到防火墻的保護。事實上，網(wǎng)絡(luò)不再具有優(yōu)勢：在人們的“隨時隨地”的工作環(huán)境中，如今任何數(shù)據(jù)中心都是邊界，人們不能再依賴傳統(tǒng)的安全保護機制。網(wǎng)絡(luò)安全已經(jīng)變得更注重保護身份，而不是網(wǎng)絡(luò)本身。

微軟公司在最近發(fā)表的一篇博客文章中討論了保護Azure Active Directory(Azure AD)身份安全的一些趨勢。這篇文章指出，現(xiàn)在許多網(wǎng)絡(luò)攻擊序列都是從個人開始的，目的是在企業(yè)內(nèi)部獲得立足點，然后發(fā)起勒索軟件攻擊或其他網(wǎng)絡(luò)攻擊。

密碼仍然是安全的致命弱點

正如微軟公司主管身份安全的副總裁Alex Weinert在這篇文章中指出的那樣，密碼仍然是網(wǎng)絡(luò)安全的致命弱點，主要有三種類型的攻擊序列:

• 密碼噴灑：針對多個賬戶猜測通用密碼。
• 網(wǎng)絡(luò)釣魚：誘使某人在虛假網(wǎng)站上或在回復(fù)短信或電子郵件時輸入他們的憑據(jù)。
• 重用泄露密碼：依靠普遍的密碼重復(fù)使用，將在一個網(wǎng)站上泄露的密碼用于其他網(wǎng)站。

網(wǎng)絡(luò)攻擊者在過去通常攻擊網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，現(xiàn)在他們會攻擊身份驗證和保護方面的薄弱環(huán)節(jié)。人們經(jīng)常重復(fù)使用密碼，網(wǎng)絡(luò)攻擊者也知道這一點，所以他們會從以前被黑客攻擊的數(shù)據(jù)庫中獲取密碼，并試圖在其他地方使用它。雖然大多數(shù)密碼攻擊都是針對那些沒有多因素身份驗證(MFA)的帳戶，但更復(fù)雜的網(wǎng)絡(luò)攻擊是針對多因素身份驗證(MFA)進行攻擊。當(dāng)他們這樣做時，網(wǎng)絡(luò)攻擊者會采取以下行動:

• SIM卡劫持和利用其他電話漏洞。
• MFA疲勞攻擊或網(wǎng)格攻擊。
• 中間對手攻擊，誘使用戶進行多因素身份驗證(MFA)交互。

微軟：放棄多因素身份驗證(MFA)，增加密碼保護方式

為了防御這三種攻擊，微軟公司建議用戶放棄多因素身份驗證(MFA)，增加密碼保護方式。網(wǎng)絡(luò)攻擊者知道人們經(jīng)常因為身份驗證疲勞而導(dǎo)致密碼泄露，他們會模仿人們正常身份驗證平臺的網(wǎng)站，在上面輸入密碼。密碼疲勞是微軟公司將其身份驗證應(yīng)用程序的默認(rèn)值更改為數(shù)字匹配而不僅僅是用戶必須批準(zhǔn)的身份驗證的原因之一。

最近發(fā)布的一篇博客文章討論了不同類型攻擊的優(yōu)秀資源，以及補救技術(shù)。正如微軟所指出的，其中一種“傳遞cookie”攻擊類似于在Azure AD中傳遞哈?；騻鬟f票證攻擊。通過瀏覽器對Azure AD進行身份驗證之后，將為該會話創(chuàng)建并存儲一個cookie。如果網(wǎng)絡(luò)攻擊者能夠侵入設(shè)備并提取瀏覽器cookie，他們就可以將該cookie傳遞到另一個系統(tǒng)上的單獨Web瀏覽器中，從而繞過安全檢查點。在個人設(shè)備上訪問企業(yè)資源的用戶尤其面臨風(fēng)險，因為這些設(shè)備的安全控制通常比企業(yè)管理的設(shè)備還要弱，而且IT人員缺乏對這些設(shè)備的可見性，無法確定是否會泄露。

審查可以訪問系統(tǒng)的人員

企業(yè)在設(shè)計多因素身份驗證(MFA)保護審查時，重要的是要考慮誰可以訪問哪些系統(tǒng)，并對用戶的帳戶進行分級審查。首先審查用戶，并根據(jù)風(fēng)險和他們可以訪問的內(nèi)容對他們進行細(xì)分;網(wǎng)絡(luò)攻擊者通常會將目標(biāo)鎖定在其工作區(qū)域中的特定用戶或某人。例如，LinkedIn通常用于識別企業(yè)員工之間的關(guān)系，因此應(yīng)該意識到這些關(guān)系，并確定采用適當(dāng)?shù)馁Y源來保護關(guān)鍵人員。

企業(yè)通常部署計算機來滿足工作的需要，而不是基于角色固有的風(fēng)險根據(jù)預(yù)算部署工作站。但是，如果企業(yè)根據(jù)網(wǎng)絡(luò)攻擊者的看法返回并檢查自己的網(wǎng)絡(luò)呢?眾所周知，Windows 11現(xiàn)在要求采用額外的硬件以更好地保護基于云的登錄?？尚牌脚_模塊用于更好地保護和加強機器上使用的憑據(jù)。但是，如果企業(yè)沒有部署支持Windows 11的硬件，或者同樣重要的是，沒有確保獲得了適當(dāng)?shù)脑S可以獲得這些關(guān)鍵角色的Windows 11好處，那么可能沒有適當(dāng)?shù)乇Ｗo好其網(wǎng)絡(luò)。

如何保護Azure AD免受攻擊

保護企業(yè)的網(wǎng)絡(luò)免受Azure AD類型的攻擊，首先要確保已經(jīng)正確設(shè)置。最近一篇文章列出了一份詳細(xì)的配置列表，從許多人長期以來一直在努力解決的一個問題開始：停止部署具有本地管理員權(quán)限的工作站。人們通常首先為構(gòu)建分配一個本地管理員工作站，然后使用本地管理員密碼工具包為每個本地管理員分配一個隨機密碼。企業(yè)應(yīng)該考慮根本不分配本地管理員，而是直接加入Azure AD。

正如研究人員Sami Lamppu和Thomas Naunheim所指出的那樣，大多數(shù)已知的網(wǎng)絡(luò)攻擊都是從工作站具有本地管理員訪問權(quán)限開始的。其應(yīng)對方法是，應(yīng)該不斷審查和分析保護身份所需的額外步驟，因為它是進入企業(yè)現(xiàn)代網(wǎng)絡(luò)的新入口。

以下是這篇博客文章的作者推薦的一些緩解措施：

• 在Microsoft Intune中創(chuàng)建攻擊面減少(ASR)規(guī)則，以保護LSAAS進程。
• 為端點部署Microsoft Defender，以便在檢測到可疑活動或工具時獲得自動警報。
• 啟用篡改保護功能，以保護客戶端的安全設(shè)置(例如威脅保護和實時反病毒)。
• 創(chuàng)建設(shè)備合規(guī)性策略，要求Microsoft Defender反惡意軟件和Defender實時保護，并立即執(zhí)行合規(guī)性檢查。
• 在設(shè)備合規(guī)政策中要求最低的機器風(fēng)險評分，而沒有很長的寬限期。
• 在設(shè)備對象上使用唯一屬性，一旦端點打開或關(guān)閉，該屬性將立即更新。這可以用作動態(tài)組篩選器，以建立設(shè)備符合性策略的分配，以要求機器進行風(fēng)險評分。否則，設(shè)備合規(guī)性將失敗。
• 特權(quán)訪問設(shè)備場景中的考慮事項，如安全管理工作站(SAW)或特權(quán)訪問工作站(PAW)：要求設(shè)備處于“明確”的機器風(fēng)險評分之下。如果立即執(zhí)行合規(guī)政策的更改，則更改在5分鐘內(nèi)有效(基于測試)。
• 積極監(jiān)控端點，以檢測惡意憑據(jù)竊取工具(如Mimikatz和AAD Internals)。
• 如果檢測到可疑活動，運行Microsoft Sentinel行動手冊“隔離設(shè)備”。
• 通過調(diào)用Microsoft 365 Defender API，可以接收受影響設(shè)備上已登錄用戶的列表。這應(yīng)該作為Microsoft Sentinel行動手冊的一部分執(zhí)行，以在端點上檢測到攻擊性身份盜竊工具時初始化SOAR操作。

網(wǎng)頁名稱：防御AzureAD攻擊：采用身份保護替代防火墻
本文鏈接：http://uogjgqi.cn/article/cooojeo.html