微軟公司在2024年1月發現自己遭到俄羅斯黑客集團Midnight Blizzard入侵,這起事件警示了企業對於密碼安全的重要性。令人驚訝的是,黑客僅使用了一種相當簡單的密碼噴灑攻擊(password spraying)就能輕易入侵這家軟體巨頭公司。他們透過不斷嘗試已知的弱密碼對多個帳戶進行暴力破解,最終獲得了一個舊的測試帳戶的存取權,進而在系統內部取得立足點。
這起攻擊持續了長達7週的時間,黑客在此期間竊取了大量電子郵件和附件文件,包括部分高階主管和網路安全、法律部門人員的機密資訊。雖然微軟最終在1月12日發現入侵並立即採取行動,但這起事件凸顯了即使只是入侵看似不重要的帳戶,也有可能造成嚴重的數據外洩。
企業為了保護系統,往往會優先強化高權限的管理員帳戶,卻常忽視一般使用者或非作用中的帳戶。但這樣做其實是錯誤的,因為即使是低權限帳戶一旦遭到入侵,駭客也有機會利用權限提升手法來擴大攻擊範圍。非作用中的帳戶反而更容易成為駭客的目標,因為這類帳戶通常沒有受到嚴格的密碼政策管理,密碼也較為陳舊易破解。
因此,對於每一個使用者帳戶都應該同等重視,制定嚴格的密碼規範,例如要求密碼長度夠長、足夠複雜性。同時強制執行多重factor身份驗證,能有效阻擋駭客的入侵企圖。此外,企業也應該定期稽核Active Directory,偵測是否有非使用中的帳戶存在、或是密碼被外洩入駭客資料庫等風險。
除了嚴密的密碼政策外,也應持續掃描內部系統中是否有使用已知的被盜用密碼。即使密碼設置得很強,只要使用者在其他服務被駭客盜取過密碼並重複使用,黑客就能蒐集這些帳密組合後對公司系統發動攻擊。因此必須時常檢查內部使用的密碼是否曾在大規模外洩事件中遭到compromised。
這起駭客入侵微軟的案例以及後續應對措施,對企業資安營運提供了寶貴的經驗參考。不應該對任何一個使用者帳戶疏於防護,不定期更新密碼並加強密碼複雜性也是刻不容緩的課題。企業應運用一切可用的技術和程序來確保系統的完整性,杜絕駭客有任何可乘之機,否則犧牲的將是公司的商譽和客戶的信任。維護優質的資訊安全防護應是公司永無止盡的作為。
詳情請看:
Key Lesson from Microsoft's Password Spray Hack: Secure Every Account