如何使用 Azure Active Directory 防止與偵測更多針對身份進行攻擊

安全性事件通常從一個遭盜用的帳戶開始。一旦攻擊者找到突破的管道，他們就可以提升權限或收集情報，幫助他們達到攻擊帳戶的目標。這就是為什麼，我們認為身份識別是最新的安全邊界。為了降低數據洩露的風險，我們需要使用工具保護裝置，讓 IT 人員能輕鬆地偵測到已遭受資安攻擊的帳戶，讓攻擊者更難竊取身份。 

這些年來， Microsoft Security Operations Center 瞭解到身分攻擊運作方式與如何減少攻擊的資訊。我們利用這些資訊來進行流程的優化，並且與 Azure AD 產品小組合作，提升和改善 Microsoft 身分解決方案。在2020年的RSA會議中，我們提供了內部觀點( inside look)，並說明 Microsoft SOC 如何保護 Microsoft 免於身份洩露。今日，我們將分享如何在組織中實踐此願景，減少因身份辨識而導致的資安攻擊。 

增加盜取身份的成本 

為何針對身分的攻擊容易發揮作用？其中的一個原因是：對於忙碌的人來說，記住複雜的密碼很難；但是，對於攻擊者而言，太過簡易的密碼則容易成為攻擊目標。人們很難記住數百個工作上、個人使用應用程式中獨特和複雜的密碼。因此，他們常在不同的應用程式上使用相同的密碼，或者將密碼設為容易記住的東西——例如運動隊的口號： Seahawks 2020! 

惡意執行者利用釣魚網站等技術來欺騙使用者提供認證。他們還試圖猜測使用者的密碼，或直接在暗網上進行非法交易。在密碼噴濺攻擊中，攻擊者針對多個帳戶測試常被使用的密碼，他們只需要盜取一個帳戶，就能引起極大的損害。若要使惡意執行者難以獲取或使用偷來的認證，請採取以下技術： 

禁止使用過於常見的密碼 

Azure Active Directory (Azure AD)  可以自動阻止使用者使用常見的密碼組合，如密碼 1234 。您還可以自行設定禁止使用的密碼清單，其中也能包含特定地區或公司的字詞。 

強制實施多重因素驗證 

MFA 要求使用者使用兩種或多種形式的身份驗證(如密碼和 Microsoft Authenticator app )登錄。這讓已盜取密碼的攻擊者更難獲得存取權。事實上，這樣可以阻止99.9% 的帳戶遭受到洩露攻擊。 

停止使用舊式驗證 

像 POP、SMTP、IMAP和MAPI這樣的驗證通訊協定無法強制實施MFA ，這也導致它們成為惡意執行者最理想的攻擊目標。根據Azure AD的分析，超過99 % 的密碼噴濺攻擊都是針對使用舊式身份驗證的應用程式。封鎖這些應用程式可以消除攻擊者可能入侵的漏洞。如果團隊目前正在使用舊式身份驗證的應用程式，在修正上需要仔細規劃和採取階段性的過程，但透過 Azure AD中的工具就可以幫助您在應用程式轉移到採用現代身份驗證協定的同時，降低風險。 

保護您的特殊權限身分識別 

具有管理許可權的使用者常常成為網路犯罪者的目標，因為這些人具有獲取機密資源和資訊的管道。為了降低這些管理者帳戶被洩露的可能性，應該規定在需要使用管理者帳戶處理項目時，才使用這些帳戶。當使用者正在從事其他工作(如回覆電子郵件)時，應該使用權限較低的帳戶。即時存取許可權()可以進一步保護管理者的身分，要求使用者在訪問敏感資源之前先獲得批准，並限制他們存取資訊的時長。Just-in-time privileges)可以進一步保護管理者的身分，要求使用者在訪問敏感資源之前先獲得批准，並限制他們存取資訊的時長。 

通過用戶異常行為偵測威脅 

強而有力的技術能降低資料外洩的風險，但是，面對強勁的惡意執行者，就算是技術高強的控制人員也可能無法完全預防。一旦攻擊者取得存取權，他們希望盡可能長時間地隱藏蹤跡，避免被系統發現。對此，他們想盡辦法來隱藏他們的蹤跡，並且假設記錄檔在三十天或三十天以上的期間內將被刪除。若要發現組織內部的資安威脅，您需要正確的數據和工具來找到不同資料和時間範圍的模式。 

事件日誌記錄和數據保留 

擷取和保存數據相當棘手，隱私權法規對保存數據的時長和類型有所限制。因此，儲存大量資訊可能因此變得昂貴。但是，您仍需要查看登錄事件、使用者許可權和應用程式，發現並阻止異常行為。幾個月、幾年前的數據，可以幫助您發現最近使用者的行為模式是否異常。瞭解與資料相關的契約與法律義務後，請決定您的組織應儲存哪些資料，並決定留存的時間長度。 

利用使用者和與實體行為分析 (UEBA) 

人們往往會以相同的方式和管道登錄和存取資源。例如，許多員工在登錄後，馬上檢查電子郵件。另一方面，如果某人帳戶在登入後，沒有先檢查電子郵件，而是立即開始從 SharePoint 網站下載檔案，這可能意味著該帳戶已遭到入侵。為了識別異常行為， UEBA 使用人工智慧和機器學習來模擬用戶和裝置日常的行為方式。接著，它將未來行為與日常行為進行比較，以評斷風險分數評分。這允許您分析大型資料庫，並提升具最高優先順序資料的警報。 

評估您的身份識別風險 

確定您控制行動的優先順序將對瞭解當前風險極有幫助。滲透測試可以幫助您發現資安漏洞。您也可以執行密碼噴濺測試來找出容易被破解的密碼清單。或者，向您公司內部員工發送網路釣魚電子郵件，查看有多少人做出回應。 SOC可以使用這些方法來做測試。他們還幫助您準備資安培訓的材料，並建立員工對於資訊安全的意識。 Azure AD Identity Protection  可幫助您發現目前處於風險中的使用者，並監視其風險行為。 

瞭解更多 

我們所提供的技術控制資訊，是零信任安全策略中最佳的方式。零信任模型假定在公司網路背後的內容都是不安全的，並會驗證每個存取請求。點此了解零信任的詳細資料。 

減少密碼被盜可能性的一個方法，就是不使用密碼，閱讀有關無密碼身份認證的詳細資料。  

如果需要更多關於微軟安全解決方案的資訊，請造訪我們的網站。將Security blog 設為您的書籤來關注我們在資安層面上的專家報導，同時，在 @MSFTSecurity  上追蹤我們來獲得網路安全的最新消息和更新。 

更多資料: 

• Azure Security 、網路安全、安全性回應