文章提供:圖文資通組
文章來源:https://www.bnext.com.tw/article/62773/m365
發佈日期:2021.05.12   消息來源:數位時代 #資訊安全

微軟資安專家張士龍指出,身份認證機制、最小使用權限、危機處理機制,是企業在實踐「零信任」思維的3個重要關鍵。
隨著網路使用程度增加,企業所面臨的資安風險也越來越大。不久前,台灣有製造業者遭遇勒索軟體Revil攻擊,駭客不僅竊走大量機密資料,更要求支付天價贖金買回被竊走的資料。另外,比利時多個公部門單位,亦於5月初遭到大規模DDoS攻擊,被攻擊的單位包括國會、多個行政部門、教育機構等。
從這些層出不窮的資安事件來看,企業在資安防禦上慣用的邊界防禦思維,正面臨很大的挑戰。過往,企業習慣築起一道高高的防禦城牆,將資料、伺服器等放在城牆內,並在出入閘道進行管控、阻絕駭客入侵。由於閘道管控嚴密,駭客要突破閘道管控並不容易,因此近年來駭客改將目標放在員工的端點裝置(如:電腦),先設法取得儲存在端點裝置內的Hash值,以此在內部進行橫向移動、取得最高權限,進而竊取重要資料或會員個資,圖謀不法利益。
這種內網使用者未必個個安全可靠的風險,促使「零信任」思維模式再度崛起,成為近兩年資安防禦上的新顯學。微軟資安專家張士龍指出,不只如此,COVID-19疫情帶動遠距工作浪潮,員工可能在各種不同場域,使用桌機、筆電或平板等不同裝置連到公司系統,不只加深存取行為的複雜度,更彰顯出採用「零信任」思維的重要性。
簡單地說,「零信任」就是不相信任何人,無論是誰,只要想存取系統或進入內網,就一定得通過身份認證程序,根據使用者身份並給予相對應的權限,微軟更進一步提出3個企業在實踐「零信任」思維的重要關鍵。

《關鍵1》根據風險高低調整身份認證機制:
身份認證絕對是打造零信任防禦架構的基礎,而目前最傳統也最常見的身份認證機制就是帳號密碼,然而無論是要求使用者設置高強度密碼,或搭配多因素驗證機制 (Multi-Factor Authentication, MFA),都有被駭客攻破的風險。
因此,微軟建議,企業應該改用生物辨識技術來確認使用者身份,避免使用者不是本人的風險。其次,還可結合Conditional Access(條件式存取)概念,根據使用者身份或IP位址、目前所在地理區域、存取Apps重要性以及該 IP 是否帶有高風險…等,都可以依據不同條件調整身份認證機制,確保只有安全的端點裝置可以存取系統,同時還能兼顧作業便利性與安全性。

舉例來說:如果是高風險IP發來的存取要求,一律禁止登入系統。又如使用者若在公司存取系統,只要輸入帳密或進行生物辨識就可以,但在公司以外的場域,就一定得結合多因素認證機制。

《關鍵2》只給予最小使用權限:
根據使用者的職務別與職階,給予相對應系統權限,這是授權的基本原則,但很多企業經常會陷入給予過多權限的盲點,尤其資訊部門更容易如此,例如:只負責管理辦公設備的IT人員,卻擁有系統Administrator最高權限。微軟強調,給予過多權限只會增加資安風險,企業應該把Administrator權限做進一步區隔細分,改變 IT 管理者用 Administrator 權限進行系統維護或管理的習慣,讓IT人員擁有符合其職務內容的最小權限,甚至還可改變預設帳號名稱,讓駭客不知道哪一個才是擁有最高權限的帳號,才能降低資安風險。

《關鍵3》事前擬定及反覆演練危機處理機制:
最後,則是事前定好並反覆演練遭遇資安攻擊時的因應之道。企業應該根據系統和資料的重要程度,擬定可以承受的停機時間,據此規劃相應的備份和還原機制,並在日常進行反覆的模擬演練,確保員工瞭解該如何處理及對此機制的熟稔程度,日後一旦遇到真正的事件時,才能快速做出因應。

從檔案、端點、郵件到雲端 微軟打造全方位資安防禦機制
在3大關鍵重點外,微軟也提供完整的資安解決方案,不只可以協助企業導入生物辨識、條件式存取等機制,強化身份認證的安全性,同時還能防範惡意攻擊與資料外洩的風險。
在防範惡意攻擊上,企業可以在終端裝置導入微軟端點偵測和回應(Endpoint Detection and Response; EDR) 解決方案,更深層地分析惡意程式,進而做出相對應的回應。尤其在防範近年來盛行的勒索軟體攻擊上,微軟更有不同的防禦思維,讓企業可以設定哪些應用程式能夠或不能存取檔案,如:Microsoft Word 才可以存取 .doc/.docx 檔案,其他未知程式 (也許是勒索軟體) 則無法讀取,避免勒索軟體有機會加密 .doc/docx 檔案。有別於市場上普遍從惡意程式本身去分析是否為勒索軟體的作法,更能降低未知勒索軟體的入侵風險。
至於防範資料外洩上,Microsoft Information Protection資料保護解決方案,可以針對檔案進行加密、設置標籤和分類,一來藉由檔案標籤來決定使用原則,例如:貼上極機密標籤的檔案,就不能寄送出去,二來藉由加密讓駭客即便竊走檔案也看不到內容,降低資料外洩對企業可能造成的衝擊。
張士龍認為,與其他資安解決方案相比,微軟解決方案具備三大特色,第一、最清楚底層Windows的操作和架構,且為原生型防護機制,企業不必在端點安裝Agent,更不必擔心端點裝置安裝太多Agent而拖累運算速度與相容性問題。第二、擁有豐富的攻擊防禦經驗,至今已分析過數十億個針對身份認證機制、Office 365檔案或Windows的攻擊行為,可以從過往經驗中更快地發現未知的惡意程式。第三、擁有從檔案、端點、郵件到雲端的完整防護機制,可以發揮最佳聯防效果。
迎向數位轉型年代,資安防禦能力對企業競爭力的影響越來越大,而微軟不只具有完整資安防禦機制,也有豐富的經驗與人才認證制度,可以協助企業強化資安防禦機制,以嚴密的資安防禦網做為推動轉型的基礎,進而打造企業經營與競爭所需的數位競爭力。

前往頁首