雲端服務安全設定強化措施

• 發布日期：110-01-25
• 發布單位：刑事警察大隊

雲端服務安全設定強化措施
https://www.twcert.org.tw/tw/cp-104-4314-602a3-1.html

近期雲端服務的攻擊事件頻傳，攻擊者透過釣魚郵件及受害者雲端服務之不安全設定進行攻擊，TWCERT/CC分享相關資安防護與設定手法，以強化雲端服務防護能量。
攻擊手法一：釣魚郵件
透過釣魚郵件之惡意連結，竊取使用者雲端服務帳戶密碼。攻擊者透過寄送貌似安全的信件，或是提供假冒雲端服務登入之頁面連結，誘導受害者提供其帳戶密碼，再由竊取之帳戶密碼登入雲端服務，使用受害者帳戶向機構內其他使用者發送釣魚郵件，進一步擴大受害範圍。
甚至透過更改受害者電子郵件自動轉發規則，將所有信件或搜尋特定信件(如金融相關信件)轉發，藉以竊取所有信件與機敏資訊。且攻擊者為規避釣魚郵件被受害者察覺之狀況，進一步設定轉發規則，將釣魚郵件、已寄出之釣魚郵件副本及其他受害者之回覆信件移至受害者Really Simple Syndication(RSS) Feeds或是RSS subscription郵件夾。因RSS feeds與RSS subscription資料夾未被廣泛使用，故可降低被察覺之風險。
攻擊手法二：瀏覽器cookie
攻擊者可能以瀏覽器cookie成功繞過多因子認證(MFA)登入受害者雲端服務帳戶。此外也有觀察到某些帳戶曾遭受到暴力破解攻擊，嘗試登入雲端服務，但並未成功。
建議防護措施：
1.依據公司使用需求，擬定與落實條件式存取政策 conditional access (CA)。
2.透過落實CA政策，封鎖舊式驗證機制。
3.定期審查系統的Active Directory登入紀錄是否有異常登入狀況。
4.所有帳戶應啟用多因子認證機制(MFA)。
5.定期檢視使用者自訂郵件轉發規則，告警等。
6.進行應變規劃，明定什麼狀況及原因下須重設密碼及取消session token等。
7.考慮規範員工不可使用個人移動設備，或是至少採用安全的Mobile device management (MDM)軟體，以監管、強化員工使用移動設備之安全性。
8.考量限制員工將信件轉至公司外部信箱。
9.只允准員工使用被管理員允許的APP。
10.透過工具稽核郵件發送規則，如偵測異常，產生告警通知管理者。
11.啟用登入紀錄機制，並遞送至安全資訊活動管理系統進行監控與告警。
12.確認所有有公共IP之雲端虛擬系統無開啟遠端桌面(RDP) port。任何有開啟遠端桌面Port之系統需置放於防火牆後，並要求使用者須透過VPN與防火牆進行存取。
13.進行員工資安教育訓練，了解資安威脅、漏洞與攻擊途徑。
14.建立員工通報不究責之機制及異常通報窗口。