https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

觀點

零信任的漏洞:Storm-0558 駭客事件的教訓

2023 / 08 / 20
編輯部
零信任的漏洞:Storm-0558 駭客事件的教訓
近日由中國駭客組織Storm-0558發起針對美國多個政府機構網路攻擊事件,引起各國高度重視。Storm-0558使用偽造的數位身份驗證令牌來存取 Microsoft Outlook郵件帳戶。在此事件中,攻擊者竊取了 Microsoft 的簽名密鑰,使他們能夠為 Outlook Web Access (OWA) 和 Outlook.com 頒發功能存取令牌並下載電子郵件和附件。由於可信性檢查錯誤,原本僅適用於個人用戶MSA 的數位簽章也對企業用戶的 Azure AD簽章有效,讓攻擊者有機可乘。
 
相關文章:美國政府機構之電子郵件系統遭中國支持的網路攻擊組織滲透 

根據Okta 2022 年零信任安全狀況報告,97% 的受訪者已經採取零信任策略或計劃在未來 18 個月內實施零信任策略。這使得零信任倡導者比例從 2021年的24%,2022年增加到 55%。
 
零信任安全模型是一種整體安全策略,目的在持續審核和驗證對內部和外部資源的存取。許多組織都採用這種安全策略,因為它的原則是網路設備和用戶必須不斷證明自己的身份,且不會自動受到信任。
 
零信任依賴應用程式、用戶和設備的持續監控和動態控制。它對資源的存取限制保持在最低限度,並且平台上的所有身份都使用與主機相同的標准進行評估。總體目標是僅向那些不斷證明其身份且其行為受到持續監控的人授予權限,從而增強安全性。
 
身份和存取管理(IAM)無疑在零信任中發揮基礎作用。不幸的是,當身份被盜時,對用戶身份的持續驗證被證明是無效的。此外,攻擊者可以操弄詮釋資料來繞過這些管理系統,像是假的 VPN 位址帶出假的登錄地理位置來繞過這些系統。

NDR:零信任安全的無名英雄

IDS/IPS 系統的任務是檢測可疑或未經授權的活動、病毒感染、惡意軟體和勒索軟體、零日攻擊、SQL 注入等。然而,IDS/IPS 系統通常只檢測已知的簽章,例如已識別的惡意域名或 IP 地址。如果一個域名沒有被事先標記為惡意者,傳統的安全解決方案可能會忽略它,從而允許攻擊者利用。
 
為了有效實施零信任安全策略,越來越多組織單位關注網路分析工具。根據 Forrester 報告,安全和風險專業人員應使用網路檢測和響應 (NDR) 工具來監控其網絡、搜索威脅、檢測應用程序和資產以及捕獲惡意數據包。這些行動有助於有效檢測 IT 基礎設施內的威脅。
 
NDR 解決方案對建立有彈性且有效的零信任架構至關重要。它們提供網路流量的實時可視性,監控用戶行為和設備活動,並能夠快速檢測和響應可疑的網路操作或異常活動。這種可視性擴展到所有操作系統、應用程序服務器和物聯網設備。
 
Forrester 強調,企業網路在資安攻擊的重要性常常被低估。網路犯罪分子使用虛假身份或零日漏洞滲透企業網絡,然後在網路中橫向移動搜索目標、存取特權系統、安裝勒索軟體或其他惡意軟體並竊取企業數據或資料。NDR 有助於內部偵察(攻擊者調查潛在目標)或橫向移動檢測,尤其是攻擊者已在網路中。NDR 系統從所有交換機收集數據,並且完全無需代理程式即可運行,考量到代理程式在許多環境中可能無法安裝。
 
此外,借助機器學習 (ML), NDR可以更準確檢測流量異常,而無需依賴已知IoC指標。這些機器學習模型目的在持續訓練NDR,使它們能夠檢測新的威脅和攻擊技術。這種方法顯著加快了惡意活動的檢測速度,並能夠及早緩解攻擊。此外,它還有助於識別未知的可疑行為,並最大限度地減少攻擊者在網路中不被注意地停留的時間,從而增強整體安全性。
 
機器學習算法通過分析數據和算法來了解網路中的正常行為,從而建立基線。檢測出既定基線的偏差,如可疑連接、異常數據傳輸、超出既定規範的流量模式、網路內的橫向移動、數據洩露等。

本文轉載自TheHackerNews。