微軟最近揭露了中國駭客組織 Storm-0558 的行動,他們竊取了用於簽署微軟雲端服務Token的金鑰,使他們能夠存取25家組織的Outlook電子郵件系統,其中包括政府機構。這次攻擊突顯了依賴雲端服務的風險。
在雲端系統中,用戶透過瀏覽器連接到遠端伺服器,輸入憑證後將獲取一個Token,作為臨時身份證,讓用戶在雲端環境中自由進出,僅需要偶爾再重新輸入憑證。為了防止Token被偽造,系統將使用唯一的金鑰進行密碼學簽署。然而,駭客竊取了微軟用於簽署用戶級和企業級Token的金鑰,並利用微軟Token驗證系統中的漏洞進一步存取企業級系統。微軟已封鎖使用被竊金鑰簽署的Token並替換了新的金鑰,但若駭客竊取了可用於偽造大量用戶和企業帳戶Token的金鑰,將使得受害者數量遠超過微軟公佈的25個組織。
關於金鑰的竊取方式仍不得而知,專家推測可能是駭客入侵了微軟負責生成簽署Token金鑰的憑證授權機構(Certificate Authority, CA),或是利用該機構基礎設施或配置上的漏洞,導致現有憑證被破壞或建立新的憑證。
類似由國家支持的駭客入侵攻擊已不是第一次發生。曾進行著名的 Solar Winds 供應鏈攻擊的俄羅斯駭客也從受害者的電腦中竊取了Microsoft Outlook Token,並利用這些Token擴大對網路中其他位置的機敏系統攻擊。
而此次的微軟事件也提醒我們,雖然將系統遷移到雲端有其優點及便利性,但將安全交由雲端服務供應商管理仍有其弱點和風險,需要謹慎評估。資訊技術管理員在考慮雲端遷移時應該更加警覺,並採取必要的安全措施、要求更多透明度,以確保組織的資料和系統安全,免受駭客攻擊。
本文節錄自 Wired 雜誌
雖然這種情況目前仍不多見,但它有力證明了為什麼客戶不該將所有雞蛋都放入微軟的籃子裡。一旦駭客成功竊取了可驗證身份的憑證與金鑰,可以做的事情就更沒有上限。除非企業組織建置額外的安全防護方案(ATO / CASB 等),否則幾乎無法察覺自己已受到威脅。
關於這些風險,亞利安科技建議採取以下安全防護措施,以提高雲端服務的安全性:
強化身份驗證:
使用強密碼、定期更換密碼,並執行多因子身份驗證(MFA)措施,例如結合密碼和驗證器、生物識別或硬體安全金鑰等。這能增加帳戶的安全性,即使Token被竊取,也能夠保護帳戶安全,讓駭客無法輕易存取。
監控和偵測:
建立有效的監控系統、實施即時警報和事件偵測技術,包括使用入侵檢測系統(IDS)或安全資訊和事件管理(SIEM)工具等,以利及早發現異常活動或未授權存取,迅速採取應對措施。
加強金鑰管理:
確保金鑰的安全儲存和使用,包括定期輪換金鑰、限制金鑰的存取權限,並使用安全的金鑰存儲解決方案。
定期漏洞掃描和弱點管理:
定期進行系統漏洞掃描,並及時修補發現的弱點和漏洞,以減少駭客入侵的風險。同時也建議及時更新系統,確保您的系統和軟體都是最新版本,並安裝任何可用的安全更新和補丁,這將有助於修補已知的漏洞並提高系統的安全性。
培訓和教育:
提供員工和用戶相關的資訊安全培訓,以增加他們對釣魚郵件、惡意連結和其他社交工程攻擊的識別能力,增加用戶對安全風險的警覺性,減少受到釣魚詐騙的風險,進而有效降低外部入侵的成功率。
定期備份和恢復:
定期備份重要的資料,並建立恢復計畫以應對可能的駭客攻擊或資料損失情況。
審查供應商的安全措施:
對於選擇的雲端服務供應商,確保他們具有良好的安全控制和最佳實踐,並能提供安全的環境來保護企業組織的數據。
以上建議為多數企業組織可採用的一般性防護措施,具體資安策略仍應根據組織的需求和風險評估進行制定,以確保您的系統和資料能獲得最佳的保護。如需進一步了解相關解決方案,歡迎與我們聯絡。
想了解更多產品訊息? 立即點選下方 “聯絡我們” 並訂閱最新快訊