不久前,保护网络访问是企业安全团队防御的重点。强大的防火墙确保网络攻击者在外部被阻止,允许用户在内部进行控制。这些防火墙通常是企业的终极防御,未经许可可将任何人拒之门外。随着云计算的出现,网络边缘不再受防火墙保护。事实上,网络不再是优势:在人们“随时随地”的工作环境中,任何一个数据中心现在都是一个防线,人们已经不能再依赖传统的安全防护机制。网络安全更多地是关于保护身份而不是网络本身。Microsoft在最近的一篇博文中讨论了保护AzureActiveDirectory(AzureAD)身份的一些趋势。文章指出,当今的许多网络攻击序列都是从个人开始在企业内部站稳脚跟,然后发起勒索软件攻击或其他网络攻击。密码仍然是安全的致命弱点正如微软身份安全副总裁AlexWeinert在本文中指出的那样,密码仍然是网络安全的致命弱点,攻击序列主要分为三种类型:密码喷洒:针对多个账户猜测常见的密码。网络钓鱼:诱骗某人在虚假网站或回复短信或电子邮件时输入其凭据。泄露密码的重复使用:依靠广泛的密码重复使用,在一个站点上泄露的密码会在其他站点上使用。网络攻击者用来攻击网络中的薄弱环节;现在他们攻击身份验证和保护方面的弱点。人们经常重复使用密码,网络攻击者知道这一点,因此他们从先前被黑的数据库中获取密码并尝试在其他地方使用它。虽然大多数密码攻击都以没有多重身份验证(MFA)的帐户为目标,但更复杂的网络攻击以多重身份验证(MFA)为目标。当他们这样做时,网络攻击者会采取以下行动:SIM卡劫持和利用其他电话漏洞。MFA疲劳攻击或网格攻击。中间攻击中的对手诱使用户进行多因素身份验证(MFA)交互。微软:放弃多重身份验证(MFA)并增加密码保护为了抵御这三种攻击,微软建议用户放弃多重身份验证(MFA)并增加密码保护。网络攻击者知道人们经常会因为认证疲劳而导致密码泄露,他们会在模仿人们正常认证平台的网站上输入自己的密码。密码疲劳是Microsoft更改其身份验证应用程序的默认设置以匹配数字而不仅仅是用户必须批准的身份验证的原因之一。最近发布的一篇博客文章讨论了针对不同类型攻击的优秀资源以及补救技术。正如微软指出的那样,一种这样的“传递cookie”攻击类似于AzureAD中的传递哈希或传递票证攻击。通过浏览器向AzureAD进行身份验证后,将为会话创建并存储一个cookie。如果网络攻击者能够侵入设备并提取浏览器cookie,他们就可以将该cookie传递到另一个系统上的单独Web浏览器中,从而绕过安全检查点。在个人设备上访问公司资源的用户面临的风险尤其大,因为这些设备的安全控制通常比公司管理的设备更弱,而且IT无法了解这些设备以确定它们是否已受到损害。审查谁有权访问系统在设计多因素身份验证(MFA)保护审核时,重要的是要考虑谁有权访问哪些系统,并提供用户帐户的分层审核。首先审查用户并根据风险和他们可以访问的内容对他们进行细分;网络攻击者通常会针对特定用户或他们工作领域内的某个人。例如,LinkedIn通常用于识别企业中员工之间的关系,因此应该了解这些关系并确定适当的资源来保护关键人员。企业通常会根据工作需要部署计算机,而不是根据角色固有的风险根据预算部署工作站。但是,如果企业根据网络攻击者的想法回过头来检查自己的网络呢?现在已知Windows11需要额外的硬件才能更好地保护基于云的登录。可信平台模块用于更好地保护和加强机器上使用的凭据。但是,如果企业没有部署支持Windows11的硬件,或者同样重要的是,如果企业没有确保获得适当的许可以从Windows11的这些关键角色中获益,则它可能无法正确保护其网络。如何保护AzureAD免受攻击保护您的网络免受AzureAD类型的攻击首先要确保其设置正确。最近的一篇文章列出了详细的配置列表,首先是许多人长期以来一直在努力解决的问题:停止部署具有本地管理员权限的工作站。人们通常先为构建分配一个本地管理员工作站,然后使用本地管理员密码工具包为每个本地管理员分配一个随机密码。组织应该考虑根本不分配本地管理员,而是直接加入AzureAD。正如研究人员SamiLamppu和ThomasNaunheim所指出的,大多数已知的网络攻击都是从具有本地管理员访问权限的工作站开始的。答案是保护身份所需的额外步骤应不断审查和分析,因为它是进入企业现代网络的新入口点。以下是这篇博文的作者推荐的一些缓解措施:在MicrosoftIntune中创建攻击面减少(ASR)规则以保护LSAAS进程。为终结点部署MicrosoftDefender,以便在检测到可疑活动或工具时获得自动警报。启用防篡改功能以保护客户端安全设置(例如威胁防护和实时防病毒)。创建需要MicrosoftDefender反恶意软件和Defender实时保护的设备合规性策略并立即执行合规性检查。在没有长宽限期的设备合规性政策中要求最低机器风险评分。在设备对象上使用唯一属性,该属性将在端点打开或关闭时立即更新。这可以用作动态组过滤器来建立设备合规性策略的分配,以要求机器进行风险评分。否则,设备合规性将失败。特权访问设备方案(例如安全管理工作站(SAW)或特权访问工作站(PAW))中的注意事项:要求设备处于“显式”机器风险评分之下。如果立即实施合规策略更改,更改将在5分钟内生效(基于测试)。主动监控端点以检测Mimikatz和AADInternals等恶意凭证窃取程序。如果检测到可疑活动,请运行MicrosoftSentinel剧本“隔离设备”。通过调用Microsoft365DefenderAPI,可以接收受影响设备上的登录用户列表。这应该作为MicrosoftSentinel剧本的一部分执行,以在端点上检测到攻击性身份盗窃工具时启动SOAR操作。
