在当今不断变化的威胁形势下,快速检测、响应和修正安全威胁的能力至关重要。 作为 安全未来计划的主要支柱之一,加速响应和修正鼓励组织尽量减少威胁检测和遏制之间的时间。
此支柱强调自动化、基于风险的响应,以减少手动干预并帮助防止安全事件升级。 以下Microsoft Entra Zero Trust 评估检查可确保组织具有必要的控制措施,以便快速识别和缓解高风险方案,通过主动安全策略保护用户标识和工作负荷标识。
零信任安全建议
根据风险策略配置工作负荷标识
在 Microsoft Entra ID 中基于风险策略为工作负荷标识设置基于风险的条件访问策略,以确保只有受信任的和已验证的工作负荷使用敏感资源。 如果没有这些策略,威胁参与者可以通过最少的检测来破坏工作负荷标识,并执行进一步的攻击。 如果没有条件控制来检测异常活动和其他风险,则不会检查恶意作,例如令牌伪造、对敏感资源的访问和工作负荷中断。 缺少自动包含机制会增加停留时间,并影响关键服务的保密性、完整性和可用性。
限制对高风险用户的访问
假设高风险用户受到威胁参与者的入侵。 如果没有调查和修正,威胁参与者可以执行脚本、部署恶意应用程序或作 API 调用,以根据可能泄露的用户权限建立持久性。 然后,威胁参与者可以利用错误配置或滥用 OAuth 令牌,在文档、SaaS 应用程序或 Azure 资源等工作负载之间横向移动。 威胁参与者可以获取对敏感文件、客户记录或专有代码的访问权限,并通过合法云服务保持隐身性,并将其外泄到外部存储库。 最后,威胁参与者可能会通过修改配置、加密赎金数据或使用被盗信息进行进一步攻击来破坏作,从而导致财务、信誉和监管后果。
使用密码的组织可以依靠密码重置来自动修正有风险的用户。
使用无密码凭据的组织已经缓解了用户风险级别累积的大多数风险事件,因此风险用户的数量应该要低得多。 在调查和修正用户风险之前,必须阻止组织中使用无密码凭据的风险用户进行访问。