防御Azure AD攻击 采用身份保护替代防火墙
发布时间:2023-02-18 10:32:16 所属栏目:安全 来源:互联网
导读:随着云计算的出现,网络的边缘不再受到防火墙的保护。事实上,网络不再具有优势:在人们的随时随地的工作环境中,如今任何数据中心都是边界,人们不能再依赖传统的安全保护机制。网络安全已经变得更注重保护身份,而不是网络本身。 不久以前,保护网络访问是
|
随着云计算的出现,网络的边缘不再受到防火墙的保护。事实上,网络不再具有优势:在人们的“随时随地”的工作环境中,如今任何数据中心都是边界,人们不能再依赖传统的安全保护机制。网络安全已经变得更注重保护身份,而不是网络本身。 不久以前,保护网络访问是企业安全团队防御的重点。强大的防火墙可以确保在外部阻止网络攻击者,从而允许用户在内部控制。这些防火墙通常是企业的终极防御措施,没有得到许可的任何人都不能进入。 微软公司在最近发表的一篇博客文章中讨论了保护Azure Active Directory(Azure AD)身份安全的一些趋势。这篇文章指出,现在许多网络攻击序列都是从个人开始的,目的是在企业内部获得立足点,然后发起勒索软件攻击或其他网络攻击。 密码喷洒:针对多个账户猜测通用密码。 网络钓鱼:诱使某人在虚假网站上或在回复短信或电子邮件时输入他们的凭据。 重用泄露密码:依靠普遍的密码重复使用,将在一个网站上泄露的密码用于其他网站。 网络攻击者在过去通常攻击网络中的薄弱环节,现在他们会攻击身份验证和保护方面的薄弱环节。人们经常重复使用密码,网络攻击者也知道这一点,所以他们会从以前被黑客攻击的数据库中获取密码,并试图在其他地方使用它。虽然大多数密码攻击都是针对那些没有多因素身份验证(MFA)的帐户,但更复杂的网络攻击是针对多因素身份验证(MFA)进行攻击。当他们这样做时,网络攻击者会采取以下行动: SIM卡劫持和利用其他电话漏洞。 MFA疲劳攻击或网格攻击。 中间对手攻击,诱使用户进行多因素身份验证(MFA)交互。 微软:放弃多因素身份验证(MFA),增加密码保护方式 为了防御这三种攻击,微软公司建议用户放弃多因素身份验证(MFA),增加密码保护方式。网络攻击者知道人们经常因为身份验证疲劳而导致密码泄露,他们会模仿人们正常身份验证平台的网站,在上面输入密码。密码疲劳是微软公司将其身份验证应用程序的默认值更改为数字匹配而不仅仅是用户必须批准的身份验证的原因之一。 如何保护Azure AD免受攻击 保护企业的网络免受Azure AD类型的攻击,首先要确保已经正确设置。最近一篇文章列出了一份详细的配置列表,从许多人长期以来一直在努力解决的一个问题开始:停止部署具有本地管理员权限的工作站。人们通常首先为构建分配一个本地管理员工作站,然后使用本地管理员密码工具包为每个本地管理员分配一个随机密码。企业应该考虑根本不分配本地管理员,而是直接加入Azure AD。 正如研究人员Sami Lamppu和Thomas Naunheim所指出的那样,大多数已知的网络攻击都是从工作站具有本地管理员访问权限开始的。其应对方法是,应该不断审查和分析保护身份所需的额外步骤,因为它是进入企业现代网络的新入口。 以下是这篇博客文章的作者推荐的一些缓解措施: 在Microsoft Intune中创建攻击面减少(ASR)规则,以保护LSAAS进程。 为端点部署Microsoft Defender,以便在检测到可疑活动或工具时获得自动警报。 启用篡改保护功能,以保护客户端的安全设置(例如威胁保护和实时反病毒)。 创建设备合规性策略,要求Microsoft Defender反恶意软件和Defender实时保护,并立即执行合规性检查。 积极监控端点,以检测恶意凭据窃取工具(如Mimikatz和AAD Internals)。 如果检测到可疑活动,运行Microsoft Sentinel行动手册“隔离设备”。 通过调用Microsoft 365 Defender API,可以接收受影响设备上已登录用户的列表。这应该作为Microsoft Sentinel行动手册的一部分执行,以在端点上检测到攻击性身份盗窃工具时初始化SOAR操作。 (编辑:娄底站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
