文章提供:图文资通组
文章来源:https://www.bnext.com.tw/article/62773/m365
发佈日期:2021.05.12   消息来源:数位时代 #资讯安全

微软资安专家张士龙指出,身份认证机制、最小使用权限、危机处理机制,是企业在实践「零信任」思维的3个重要关键。
随着网路使用程度增加,企业所面临的资安风险也越来越大。不久前,台湾有制造业者遭遇勒索软体Revil攻击,骇客不仅窃走大量机密资料,更要求支付天价赎金买回被窃走的资料。另外,比利时多个公部门单位,亦于5月初遭到大规模DDoS攻击,被攻击的单位包括国会、多个行政部门、教育机构等。
从这些层出不穷的资安事件来看,企业在资安防御上惯用的边界防御思维,正面临很大的挑战。过往,企业习惯筑起一道高高的防御城墙,将资料、伺服器等放在城墙内,并在出入闸道进行管控、阻绝骇客入侵。由于闸道管控严密,骇客要突破闸道管控并不容易,因此近年来骇客改将目标放在员工的端点装置(如:电脑),先设法取得储存在端点装置内的Hash值,以此在内部进行横向移动、取得最高权限,进而窃取重要资料或会员个资,图谋不法利益。
这种内网使用者未必个个安全可靠的风险,促使「零信任」思维模式再度崛起,成为近两年资安防御上的新显学。微软资安专家张士龙指出,不只如此,COVID-19疫情带动远距工作浪潮,员工可能在各种不同场域,使用桌机、笔电或平板等不同装置连到公司系统,不只加深存取行为的复杂度,更彰显出採用「零信任」思维的重要性。
简单地说,「零信任」就是不相信任何人,无论是谁,只要想存取系统或进入内网,就一定得通过身份认证程序,根据使用者身份并给予相对应的权限,微软更进一步提出3个企业在实践「零信任」思维的重要关键。

《关键1》根据风险高低调整身份认证机制:
身份认证绝对是打造零信任防御架构的基础,而目前最传统也最常见的身份认证机制就是帐号密码,然而无论是要求使用者设置高强度密码,或搭配多因素验证机制 (Multi-Factor Authentication, MFA),都有被骇客攻破的风险。
因此,微软建议,企业应该改用生物辨识技术来确认使用者身份,避免使用者不是本人的风险。其次,还可结合Conditional Access(条件式存取)概念,根据使用者身份或IP位址、目前所在地理区域、存取Apps重要性以及该 IP 是否带有高风险…等,都可以依据不同条件调整身份认证机制,确保只有安全的端点装置可以存取系统,同时还能兼顾作业便利性与安全性。

举例来说:如果是高风险IP发来的存取要求,一律禁止登入系统。又如使用者若在公司存取系统,只要输入帐密或进行生物辨识就可以,但在公司以外的场域,就一定得结合多因素认证机制。

《关键2》只给予最小使用权限:
根据使用者的职务别与职阶,给予相对应系统权限,这是授权的基本原则,但很多企业经常会陷入给予过多权限的盲点,尤其资讯部门更容易如此,例如:只负责管理办公设备的IT人员,却拥有系统Administrator最高权限。微软强调,给予过多权限只会增加资安风险,企业应该把Administrator权限做进一步区隔细分,改变 IT 管理者用 Administrator 权限进行系统维护或管理的习惯,让IT人员拥有符合其职务内容的最小权限,甚至还可改变预设帐号名称,让骇客不知道哪一个才是拥有最高权限的帐号,才能降低资安风险。

《关键3》事前拟定及反覆演练危机处理机制:
最后,则是事前定好并反覆演练遭遇资安攻击时的因应之道。企业应该根据系统和资料的重要程度,拟定可以承受的停机时间,据此规划相应的备份和还原机制,并在日常进行反覆的模拟演练,确保员工瞭解该如何处理及对此机制的熟稔程度,日后一旦遇到真正的事件时,才能快速做出因应。

从档案、端点、邮件到云端 微软打造全方位资安防御机制
在3大关键重点外,微软也提供完整的资安解决方案,不只可以协助企业导入生物辨识、条件式存取等机制,强化身份认证的安全性,同时还能防范恶意攻击与资料外洩的风险。
在防范恶意攻击上,企业可以在终端装置导入微软端点侦测和回应(Endpoint Detection and Response; EDR) 解决方案,更深层地分析恶意程式,进而做出相对应的回应。尤其在防范近年来盛行的勒索软体攻击上,微软更有不同的防御思维,让企业可以设定哪些应用程式能够或不能存取档案,如:Microsoft Word 才可以存取 .doc/.docx 档案,其他未知程式 (也许是勒索软体) 则无法读取,避免勒索软体有机会加密 .doc/docx 档案。有别于市场上普遍从恶意程式本身去分析是否为勒索软体的作法,更能降低未知勒索软体的入侵风险。
至于防范资料外洩上,Microsoft Information Protection资料保护解决方案,可以针对档案进行加密、设置标籤和分类,一来藉由档案标籤来决定使用原则,例如:贴上极机密标籤的档案,就不能寄送出去,二来藉由加密让骇客即便窃走档案也看不到内容,降低资料外洩对企业可能造成的冲击。
张士龙认为,与其他资安解决方案相比,微软解决方案具备三大特色,第一、最清楚底层Windows的操作和架构,且为原生型防护机制,企业不必在端点安装Agent,更不必担心端点装置安装太多Agent而拖累运算速度与相容性问题。第二、拥有丰富的攻击防御经验,至今已分析过数十亿个针对身份认证机制、Office 365档案或Windows的攻击行为,可以从过往经验中更快地发现未知的恶意程式。第三、拥有从档案、端点、邮件到云端的完整防护机制,可以发挥最佳联防效果。
迎向数位转型年代,资安防御能力对企业竞争力的影响越来越大,而微软不只具有完整资安防御机制,也有丰富的经验与人才认证制度,可以协助企业强化资安防御机制,以严密的资安防御网做为推动转型的基础,进而打造企业经营与竞争所需的数位竞争力。

前往页首