當前位置：云計算 → 云安全 → 正文

防御Azure AD攻擊：采用身份保護替代防火墻

責任編輯：cres 作者：Susan Bradley |來源：企業網D1Net 2023-02-17 14:14:53 原創文章企業網D1Net

不久以前，保護網絡訪問是企業安全團隊防御的重點。強大的防火墻可以確保在外部阻止網絡攻擊者，從而允許用戶在內部控制。這些防火墻通常是企業的終極防御措施，沒有得到許可的任何人都不能進入。

隨著云計算的出現，網絡的邊緣不再受到防火墻的保護。事實上，網絡不再具有優勢：在人們的“隨時隨地”的工作環境中，如今任何數據中心都是邊界，人們不能再依賴傳統的安全保護機制。網絡安全已經變得更注重保護身份，而不是網絡本身。

微軟公司在最近發表的一篇博客文章中討論了保護Azure Active Directory(Azure AD)身份安全的一些趨勢。這篇文章指出，現在許多網絡攻擊序列都是從個人開始的，目的是在企業內部獲得立足點，然后發起勒索軟件攻擊或其他網絡攻擊。

密碼仍然是安全的致命弱點

正如微軟公司主管身份安全的副總裁Alex Weinert在這篇文章中指出的那樣，密碼仍然是網絡安全的致命弱點，主要有三種類型的攻擊序列:

•密碼噴灑：針對多個賬戶猜測通用密碼。

•網絡釣魚：誘使某人在虛假網站上或在回復短信或電子郵件時輸入他們的憑據。

•重用泄露密碼：依靠普遍的密碼重復使用，將在一個網站上泄露的密碼用于其他網站。

網絡攻擊者在過去通常攻擊網絡中的薄弱環節，現在他們會攻擊身份驗證和保護方面的薄弱環節。人們經常重復使用密碼，網絡攻擊者也知道這一點，所以他們會從以前被黑客攻擊的數據庫中獲取密碼，并試圖在其他地方使用它。雖然大多數密碼攻擊都是針對那些沒有多因素身份驗證(MFA)的帳戶，但更復雜的網絡攻擊是針對多因素身份驗證(MFA)進行攻擊。當他們這樣做時，網絡攻擊者會采取以下行動:

•SIM卡劫持和利用其他電話漏洞。

•MFA疲勞攻擊或網格攻擊。

•中間對手攻擊，誘使用戶進行多因素身份驗證(MFA)交互。

微軟：放棄多因素身份驗證(MFA)，增加密碼保護方式

為了防御這三種攻擊，微軟公司建議用戶放棄多因素身份驗證(MFA)，增加密碼保護方式。網絡攻擊者知道人們經常因為身份驗證疲勞而導致密碼泄露，他們會模仿人們正常身份驗證平臺的網站，在上面輸入密碼。密碼疲勞是微軟公司將其身份驗證應用程序的默認值更改為數字匹配而不僅僅是用戶必須批準的身份驗證的原因之一。

最近發布的一篇博客文章討論了不同類型攻擊的優秀資源，以及補救技術。正如微軟所指出的，其中一種“傳遞cookie”攻擊類似于在Azure AD中傳遞哈希或傳遞票證攻擊。通過瀏覽器對Azure AD進行身份驗證之后，將為該會話創建并存儲一個cookie。如果網絡攻擊者能夠侵入設備并提取瀏覽器cookie，他們就可以將該cookie傳遞到另一個系統上的單獨Web瀏覽器中，從而繞過安全檢查點。在個人設備上訪問企業資源的用戶尤其面臨風險，因為這些設備的安全控制通常比企業管理的設備還要弱，而且IT人員缺乏對這些設備的可見性，無法確定是否會泄露。

審查可以訪問系統的人員

企業在設計多因素身份驗證(MFA)保護審查時，重要的是要考慮誰可以訪問哪些系統，并對用戶的帳戶進行分級審查。首先審查用戶，并根據風險和他們可以訪問的內容對他們進行細分;網絡攻擊者通常會將目標鎖定在其工作區域中的特定用戶或某人。例如，LinkedIn通常用于識別企業員工之間的關系，因此應該意識到這些關系，并確定采用適當的資源來保護關鍵人員。

企業通常部署計算機來滿足工作的需要，而不是基于角色固有的風險根據預算部署工作站。但是，如果企業根據網絡攻擊者的看法返回并檢查自己的網絡呢?眾所周知，Windows 11現在要求采用額外的硬件以更好地保護基于云的登錄。可信平臺模塊用于更好地保護和加強機器上使用的憑據。但是，如果企業沒有部署支持Windows 11的硬件，或者同樣重要的是，沒有確保獲得了適當的許可以獲得這些關鍵角色的Windows 11好處，那么可能沒有適當地保護好其網絡。

如何保護Azure AD免受攻擊

保護企業的網絡免受Azure AD類型的攻擊，首先要確保已經正確設置。最近一篇文章列出了一份詳細的配置列表，從許多人長期以來一直在努力解決的一個問題開始：停止部署具有本地管理員權限的工作站。人們通常首先為構建分配一個本地管理員工作站，然后使用本地管理員密碼工具包為每個本地管理員分配一個隨機密碼。企業應該考慮根本不分配本地管理員，而是直接加入Azure AD。

正如研究人員Sami Lamppu和Thomas Naunheim所指出的那樣，大多數已知的網絡攻擊都是從工作站具有本地管理員訪問權限開始的。其應對方法是，應該不斷審查和分析保護身份所需的額外步驟，因為它是進入企業現代網絡的新入口。

以下是這篇博客文章的作者推薦的一些緩解措施:

•在Microsoft Intune中創建攻擊面減少(ASR)規則，以保護LSAAS進程。

•為端點部署Microsoft Defender，以便在檢測到可疑活動或工具時獲得自動警報。

•啟用篡改保護功能，以保護客戶端的安全設置(例如威脅保護和實時反病毒)。

•創建設備合規性策略，要求Microsoft Defender反惡意軟件和Defender實時保護，并立即執行合規性檢查。

•在設備合規政策中要求最低的機器風險評分，而沒有很長的寬限期。

•在設備對象上使用唯一屬性，一旦端點打開或關閉，該屬性將立即更新。這可以用作動態組篩選器，以建立設備符合性策略的分配，以要求機器進行風險評分。否則，設備合規性將失敗。

•特權訪問設備場景中的考慮事項，如安全管理工作站(SAW)或特權訪問工作站(PAW)：要求設備處于“明確”的機器風險評分之下。如果立即執行合規政策的更改，則更改在5分鐘內有效(基于測試)。

•積極監控端點，以檢測惡意憑據竊取工具(如Mimikatz和AAD Internals)。

•如果檢測到可疑活動，運行Microsoft Sentinel行動手冊“隔離設備”。

•通過調用Microsoft 365 Defender API，可以接收受影響設備上已登錄用戶的列表。這應該作為Microsoft Sentinel行動手冊的一部分執行，以在端點上檢測到攻擊性身份盜竊工具時初始化SOAR操作。