防御Azure AD攻击 取用身份保护替代防火墙

从前不久开始，确保互联网连接的安全成为了公司安全部门首要的工作。强大的防火墙可以确保在外部阻止网络攻击者，从而允许用户在内部控制。这些防火墙通常是企业的终极防御措施，没有得到许可的任何人都不能进入。

随着云计算的出现，网络的边缘不再受到防火墙的保护。事实上，网络不再具有优势：在人们的“随时随地”的工作环境中，如今任何数据中心都是边界，人们不能再依赖传统的安全保护机制。网络安全已经变得更注重保护身份，而不是网络本身。

为了防御这三种攻击，微软公司建议用户放弃多因素身份验证(MFA)，增加密码保护方式。网络攻击者知道，人们经常因为身份验证疲劳而导致密码泄露，他们会模仿人们正常身份验证平台的网站，在上面输入密码。密码疲劳是微软公司将其身份验证应用程序的默认值更改为数字匹配而不仅仅是用户必须批准的身份验证的原因之一。

最近发布的一篇博客文章讨论了不同类型攻击的优秀资源，以及补救技术。正如微软所指出的，其中一种“传递cookie”攻击类似于在Azure AD中传递哈希或传递票证攻击。通过浏览器对Azure AD进行身份验证之后，将为该会话创建并存储一个cookie。如果网络攻击者能够侵入设备并提取浏览器cookie，他们就可以将该cookie成功地传递到另一个安全的系统上的单独安全系统的Web浏览器中，从而绕过网络安全检查点。

企业在设计多因素身份验证(MFA)保护审查时，重要的是要考虑谁可以访问哪些系统，并对用户的帐户进行分级审查。首先审查用户，并根据风险和他们可以访问的内容对他们进行细分;网络攻击者通常会将目标锁定在其工作区域中的特定用户或某人。例如，LinkedIn通常用于识别企业员工之间的关系，因此应该意识到这些关系，并确定采用适当的资源来保护关键人员。这些人可能是公司的高层管理人员，也可能是一些普通员工。如果他们的工作职责不同，那么他们之间的关系就会变得复杂。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!