2023 年身分驗證趨勢和 Microsoft 解決方案

2023 年已揭開序幕！隨著新的一年到來，我想藉此機會很快探討一下身分識別安全性領域的多項趨勢，以及您可採取的應對方式，以及 Microsoft 可提供哪些協助。我們團隊經常提到一個現象，叫做「新奇事物症候群」(Shiny object syndrome)，這個現象的核心在於，世界上必定存在許多創新又令人害怕的攻擊和研究。遺憾的是，每次發生上述情況，都會讓我們陷入「但如果……」的想法，而各方也會不斷詢問我們，要如何因應這類報章雜誌上常見的資訊安全事件。此一做法可能會導致團隊蒙受重大損失，並阻礙我們完成防禦專案，繼而讓我們遭受新舊威脅夾擊。

攻擊者將致力創新，而身為防禦社群成員的我們，便有責任運用謹慎且策略化的方式做出回擊。不過，我們不需陷入恐慌。以勒索軟體攻擊為例，這些事件之所以令人害怕且會登上頭條，就在於它們會導致工作大幅停擺，或組織需支付鉅額贖金。然而，Expert Insights 的近期研究結果確認我們早已得知的事實：通常，勒索軟體等攻擊多為整體行動的第二階段，而第一階段便是身分識別盜用事件。事實上，若您讀完所有引人注意的頭條消息，勢必不難發現：多數新興攻擊技巧都會以身分識別盜用打頭陣。由此可見，採取正確的基本身分識別做法並謹慎做出回應，確實相當重要。

Pamela Dingle 在 2022 年驗證大會 (Authenticate 2022) 進行了一場主題演講，探討身分識別攻擊的每一波行動 (她也在 LinkedIn 上概要重述了相關理念，如果您尚未閱讀這篇內容，請務必立即閱讀)。很榮幸有機會與她一同討論這個議題，而我將借用此一典範來建構我們的相關指引。Pam 在這場主題演講中提到：日益嚴重的身分識別攻擊，就好比航海過程中會面臨的威脅。隨著縝密和新穎程度不斷提高，威脅的數量也會持續下滑。

這個優異的架構很適合用來進行攻擊領域的全盤考量，因此我們將沿用這個概念，並推出具體的功能和指引來呼應她的部落格內容。此外，我要在這個架構中加入另一項威脅：可因應下一波「攻擊浪潮」的身分識別態勢靈活度，所展現的關鍵重要性。希望在未來一年中，這個架構能協助各位擬定策略性方法，繼而解決眼前的重大問題、協助您謹慎投資防範新興威脅，並著手打造防禦靈活度。讓我們一起深入了解。

密碼攻擊

簡單的密碼攻擊幾乎無所不在，且如同我們游泳時，水就在身體周圍一樣。我曾在「您的密碼根本不重要」(Your Password Doesn’t Matter) 一文詳述這個概念。而密碼攻擊的三大主要來源，則包括：

• 密碼噴灑：猜測眾多帳戶的常用密碼。
• 網路釣魚：說服當事人在假的網站中輸入其認證，或藉此回應簡訊或電子郵件。
• 漏洞重送：透過普遍的密碼重複使用來盜用單一網站的密碼，並試圖將其運用在其他網站上。

攻擊者無需負擔任何成本，就能大規模執行這些攻擊。正因如此，Microsoft 系統每秒需要抵禦超過 1,000 次的密碼攻擊，而在遭到盜用的帳戶中，未啟用多重要素驗證者竟高達 99.9% 以上。多重要素驗證為抵禦現行身分識別攻擊的基本手段之一，儘管過去六年來，我們持續呼籲各方使用多重要素驗證、將這項驗證納入各個版本的 Microsoft Azure Active Directory (Azure AD) 中，並在 Microsoft Authenticator 到 FIDO 等領域持續創新，然而截至上個月為止，採用多重要素驗證工作階段的使用者比例，卻僅佔整體的 28%。在這麼低的使用率下，攻擊者自然會提高其攻擊頻率，以取得想要的內容。此一採用率也驗證了我在本部落格內一再提到的重要問題：多數組織都因預算和資源緊繃、安全性員工不堪負荷，以及新奇事物症候群之故而顧此失彼，這也導致問題難以獲得解決。

我們最重要的任務，在於提高生態系統的多重要素驗證使用率，如果您尚未要求所有使用者使用多重要素驗證，請務必採取行動。傳統附加式多重要素驗證會要求使用者，將手機上的代碼輸入電腦並取得多項提示，但這早已跟不上時代的腳步。使用應用程式、權杖或裝置本身來進行的現代化多重要素驗證，不僅運作順暢，甚至完全不會被使用者察覺。傳統多重要素驗證必須另行購置和部署，並造成額外的成本。現代化多重要素驗證則已包含在所有 SKU 內、深入整合至 Azure AD 中，而且無需另行管理。

我們強烈建議所有使用者階段都應受多重要素驗證保護，也透過各種努力來達成此一目標。基於上述原因，自 2019 年起建立的所有新租用戶，都會依預設啟用多重要素驗證；也正因如此，租用戶若未表達進行安全性設定的意願，我們也會為他們啟用多重要素驗證。

多重要素驗證攻擊

如果您已啟用多重要素驗證，不妨為自己拍拍手，因為您已有效抵禦多項主要身分識別攻擊。雖然目前僅 28% 的使用者受多重要素驗證保護，遠遠落後我們致力達成的 100% 目標，但這些受到保護的使用者也包含了攻擊者鎖定的部分目標。若要鎖定這些目標，攻擊者勢必要對多重要素驗證本身發動攻擊。

其相關範例包括：

• SIM 卡劫持和其他電話弱點攻擊 (正因如此，我們才會要求各位停止採用電話多重要素驗證)。
• 多重要素驗證推敲或惡意破壞攻擊 (正因如此，我們才會要求各位淘汰簡單的審核作業)。
• 引誘使用者進行多重要素驗證互動的中間人攻擊 (Adversary-in-the-middle attack)，而這也是抵禦網路釣魚的驗證如此重要的原因 (對幾個重要資產而言尤其重要)。

請注意，攻擊者必須投資更多的心力與成本來進行這些攻擊，因此，發生頻率約為每月數萬件 (而非每秒數千件)。不過，此處提及的所有攻擊都有不斷增加的趨勢，根據我們預估，隨著基本多重要素驗證的使用率逐漸提高，該現象將延續下去。

抵禦這些攻擊的重點，在於不僅要使用多重要素驗證，還要使用正確的多重要素驗證。在此建議您使用 Authenticator、Windows Hello 和 FIDO。組織若具有現有的個人身分識別驗證卡和通用存取卡 (PIV and CAC) 基礎架構，憑證式驗證 (CBA) 可提供良好的網路釣魚抵禦 (以及符合行政命令規範的) 解決方案。更棒的是，上述所有方法都比密碼或電話式多重要素驗證更容易使用。

後續驗證攻擊

許多攻擊者仍努力不懈，嘗試使用惡意程式碼竊取裝置權杖，藉此讓有效的使用者在有效的機器上執行有效的多重要素驗證，再以認證竊取工具取得 Cookie 和權杖，並用於其他用途。這個攻擊方法有不斷增加的趨勢，並廣為運用在近期的知名攻擊事件中。權杖若未正確登入，或由遭到入侵的路由基礎架構所攔截，也有可能遭到竊取，不過目前最常見的竊取手法，就是在機器上植入惡意程式碼。如果使用者以管理員的身分在機器上執行作業，那麼距離權杖遭竊就只有一步之遙了。採用核心的零信任原則，例如執行有效的端點保護、管理裝置，以及使用最低權限存取 (也就是以使用者的身分在機器上執行，而非以管理員的身分執行)，可望提供良好的防禦機制。請留意顯示正在發生權杖竊取事件的跡象，並在機器註冊等重要情境中要求重新驗證。

另一種迂迴攻擊的手法，則為 OAuth 同意網路釣魚。此手法會透過誘騙現有使用者提供應用程式權限的方式，代表對方進行存取。攻擊者將傳送連結來要求同意 (也就是「同意網路釣魚」)，如果使用者落入攻擊陷阱，應用程式就能在使用者不在場的情況下，存取使用者的資料。就和本類別的其他攻擊一樣，此一手法雖不多見，卻與日俱增。在此強烈建議您檢查使用者授予同意的應用程式，並僅限同意來自已驗證發行者的應用程式。

基礎架構入侵

在您使用身分識別保護組織和建立零信任原則的成效逐漸提升後，進階攻擊者就會攻擊身分識別基礎架構本身：主要會透過過時、未經修補，或其他不安全的地端網路弱點，著手竊取機密資料、入侵同盟伺服器，或破壞我們仰賴的基礎架構。這個做法相當狡猾，畢竟攻擊者經常利用存取權限來隱藏自身蹤跡，一旦失去存取控制平台，組織勢必難以有效抵禦不法人士。

我們正努力強化混合式雲端和多雲端偵測，並為特定指標建立自動化防禦機制，藉此顯示攻擊者對身分識別基礎架構採取的行動。最重要的是，由於協助地端基礎架構抵禦惡意程式碼、橫向移動和新興威脅的難度極高，請務必降低您對地端基礎架構的依賴度，並盡可能將授權單位移至雲端。您應該具體隔離雲端基礎架構和地端環境。此外，請務必與您安全性作業中心 (SOC) 密切合作，以確保具備權限的管理員和地端伺服器會受到特殊監督。由於現行的縝密惡意行為，會特別鎖定您在安全性方面的任何落差並加以攻擊，保護使用者身分識別就代表保護非自然人身分識別，以及負責儲存和管理身分識別的基礎架構。

攻擊浪潮：攻擊速度和強度

每年，我們的團隊都會向數百個重大案例中的受害單位伸出援手，而我們觀察到的最大問題之一，莫過於難以跟上與日俱增的攻擊數量和強度。無論是要協助執行 Windows Server 2008 網域控制器的客戶，還是協助對推行多重要素驗證方面有困難的客戶，在龐大的預算、資源、招募和政治壓力下，組織往往難以跟上攻擊者的快速創新步調，而唯有先行解決上述壓力，組織才能專心應付安全性。本公司旗下消費者帳戶 (例如用來存取 Outlook.com 或 Xbox 的帳戶) 遭駭的機率，僅為企業帳戶的一半不到，原因在於，我們可以管理這些消費者帳戶的多重要素驗證原則、風險減輕措施，以及其他重要安全性層面。上述所有 (以及其他更多) 功能皆已開放組織使用，但對許多客戶而言，身分識別態勢的管理成本仍舊過於昂貴。

我們的團隊不僅致力壓低身分識別攻擊的相關防護成本，也力圖大舉降低取得和保有安全性的所需投資成本。本公司旗下的許多投資 (包括條件式存取落差分析、調整 Authenticator 以因應不斷進化的多重要素驗證疲勞攻擊、持續增進和擴充我們的威脅偵測功能，或是我們的安全性預設值程式)，皆依循著上述共通理念，我們致力保護仰賴身分識別機制，以抵禦未經授權存取和詐騙的使用者、組織和系統，顯而易見的是，當中也應納入相關機制，以協助組織從一開始便享有安全保護措施 (或取得安全保護措施) 且安全無虞，進而以簡馭繁。

投資強化身分識別安全性時，建議您導入各項機制來提高組織的靈活性，包括自動回應常見威脅 (例如自動封鎖或要求變更密碼)、使用 Authenticator 等可隨同新威脅進化和調整的機制、將授權單位移至雲端 (以享有靈活的偵測和緩解功能)，以及留意擷取我們機器學習系統提出的風險指標。

如何安然度過 2023 年

無論您是在大型公司擔任管理員一職，還是在自家車庫籌備新創公司，保護使用者身分識別都有著極高的重要性。了解哪些對象可存取您的資源並將資源用於哪些用途，便可提供安全性基礎，並為其他所有作業打下良好根基。基於上述原因，請務必盡您所能，立即強化您的身分識別態勢。儘管眼前的挑戰不容小覷，各項防禦性策略和技術將可助您一臂之力。

在加強身分識別安全性的心力上，請讓我大膽提出幾項新年新希望：

1. 一律使用 Authenticator、Fast Identity Online (FIDO)、Windows Hello 或 CBA，以透過多重要素驗證保護您的所有使用者。
2. 為您的應用程式套用條件式存取規則，以防範應用程式攻擊。
3. 使用行動裝置管理和端點保護原則 (尤其避免以管理員的身分在裝置上執行作業)，以抵禦權杖竊取攻擊。
4. 限制地端架構的使用，並整合您的 SOC 和身分識別心力，以確保您的身分識別基礎架構受到完善保護。
5. 使用雲端優先方法、可調整的驗證方式，以及透過自動化方式回應常見問題的堅定承諾，藉此大舉提高靈活性，繼而釋出重要資源來因應真正的危機。

上述每個建議都需挹注相當的成本推行，且可發揮應有的價值，只要權衡兩者，就能打造出深度防護機制。深度防護機制的概念是鼓勵我們假設攻擊者能克服任何單一控管機制，好讓我們採用多層防禦措施。在本部落格的建議清單中，儘管具有完美驗證的使用者應該永遠不會遭到盜用，我們卻會施加端點保護、SOC 監控、自動化回應，以及身分識別態勢靈活性，因為我們認為任何一項控管機制皆無法達到堅不可摧的境界。

若要深入了解如何保護您的組織，請務必閱讀 Joy Chik 的部落格文章：「Microsoft Entra：2023 年的 5 大身分識別優先要務」(Microsoft Entra: 5 identity priorities for 2023)。如有興趣了解集結身分識別和存取管理、延伸偵測與回應，以及安全性資訊和事件管理等功能的全方位安全性解決方案，請造訪 Microsoft Entra 頁面，以及適用於身分識別的 Microsoft Defender 和 Microsoft Sentinel 頁面，以了解這個多雲端身分識別和安全性產品系列將如何保護您的組織。

如需深入了解 Microsoft 安全性解決方案，請前往我們的網站。歡迎將安全性部落格加入書籤中，一手掌握 Microsoft 專家所提供的安全性建議。此外，也請透過 @MSFTSecurity 關注我們，以獲得網路安全的最新消息和更新資訊。

文章所屬類別：

網路安全性、身分識別和存取管理