Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По мере того как злоумышленники все чаще используют сложные атаки, важно защититься от хищения данных, укрепляя среду против кражи токенов и воспроизведения токенов. Хотя это и трудно, вы можете предпринять простые шаги, чтобы уменьшить поверхность атаки и увеличить затраты для злоумышленников при успешном хищении и повторном использовании токенов. Надежная стратегия защиты токенов требует применения глубокой эшелонированной защиты и должна включать:
- Развертывание учетных данных, устойчивых к фишингу
- Защита устройств от атак на основе вредоносных программ
- Использование условного доступа на основе устройств и на основе рисков
- Внедрение маркеров, привязанных к устройству, где возможно
- Реализация сетевых правил обеспечения безопасности
В этом документе изложены основные сведения о том, что такое токены, как их похищают, и представлены конкретные шаги, которые можно предпринять для снижения риска успешных атак в вашей среде. Из-за сложности и широкого спектра маркеров в Microsoft Entra некоторые разделы обобщены для простоты и могут не охватывать все пограничные случаи. Однако в этом руководстве рассматриваются большинство сценариев для общедоступных клиентов. Сценарии конфиденциального клиента не входят в рамки.
Атаки на основе паролей по-прежнему составляют более 99% атак, замеченных корпорацией Майкрософт, и являются основной причиной большинства скомпрометированных удостоверений. Организации должны развертывать фишингозащищенную многофакторную аутентификацию в качестве передней линии защиты для своих учетных записей. Это заставляет злоумышленников корректировать свою тактику, переходя к следующему логичному направлению атаки, которым, скорее всего, является кража токенов. "Хотя кража токенов приводит к гораздо меньшему числу компрометаций удостоверений, чем атаки паролей, наши данные показывают, что количество инцидентов выросло до приблизительно 39 000 в день." Кроме того, в прошлом году мы наблюдали 146% рост фишинговых атак AiTM, которые происходят, когда злоумышленники обманывают пользователей, заставляя их щелкнуть на ссылку и пройти многофакторную аутентификацию от имени злоумышленника. Хотя развертывание стойкой к фишингу многофакторной аутентификации (MFA) должно быть главным приоритетом, организациям также следует начать подготовку стратегии по предотвращению кражи токенов, поскольку векторы атак по краже токенов продолжают увеличиваться с течением времени. Защита от кражи маркеров становится более важной, так как атаки на основе паролей становятся менее жизнеспособными.
* Из Microsoft Digital Defense Report за 2024 год (страница 40)
Что такое токен?
Маркеры — это цифровые объекты, используемые в различных процессах проверки подлинности и авторизации для предоставления доступа к ресурсам. Они проверяют удостоверение пользователя или рабочей нагрузки и предоставляют доступ к ресурсам, не требуя передачи пароля или учетных данных для каждой транзакции. Маркеры инкапсулируют сведения об удостоверении пользователя и их разрешениях в безопасном формате, обеспечивая защиту конфиденциальной информации во время процесса проверки подлинности.
В цифровых средах маркеры играют важную роль в повышении безопасности, обеспечивая безопасные и эффективные механизмы проверки подлинности. Они помогают снизить риск кражи учетных данных путем минимизации воздействия учетных данных в сети. Однако они имеют характеристику, что, если устройство или сеть скомпрометировано, они могут быть изгнаны злоумышленником. Затем злоумышленник может использовать эти маркеры для получения доступа к ресурсам в качестве пользователя, выполнившего вход.
Сводка по типам маркеров
Существует множество типов маркеров, но они обычно попадают в одну из двух категорий:
- Сеансы входа — эти маркеры поддерживают состояние входа пользователя, позволяя пользователю получать доступ к ресурсам без необходимости повторной проверки подлинности. Они передаются поставщику удостоверений для запроса токенов, которые относятся к сеансу приложения. Они также называются маркерами обновления в стандарте OAuth 2.0.
- Сеансы приложений — эти маркеры разрешают доступ к определенным приложениям. Они кратковременны и играются между клиентом и приложением. Они также называются маркерами доступа в стандарте OAuth 2.0.
Маркеры также могут отличаться в зависимости от клиентского приложения. Веб-приложения, доступ к которым осуществляется через браузеры, иногда используют различные типы маркеров по сравнению с собственными приложениями, такими как Outlook и Teams.
Рекомендуется в первую очередь сосредоточиться на защите токенов сеанса входа, так как эти токены могут действовать в течение нескольких недель или месяцев, что потенциально позволяет сохранить несанкционированный доступ в случае их кражи.
Еще одно различие между двумя семействами токенов: токены сеанса входа являются отзывными по умолчанию, в то время как сеансы приложений обычно не являются. Например, маркеры доступа Entra ID могут быть аннулированы только в том случае, если приложение интегрировано с функционалом непрерывной оценки доступа.
| Тип токена | Выдано | Цель | Область действия ресурса | Продолжительность жизни | Подлежащий отмене | Возобновляемый |
|---|---|---|---|---|---|---|
| Основной маркер обновления (PRT) | Идентификатор записи | Запрос токенов доступа | Нет – Можно запросить токен доступа для любого ресурса | 90 дней* | Да | Да |
| Обновление маркера | Идентификатор записи | Запрос токенов доступа | Да | 90 дней* | Да | Да |
| Маркер доступа | Идентификатор записи | Доступ к ресурсу | Да | От 60 до 90 минут | Да, если поддерживает CAE | нет |
| cookie проверки подлинности приложения | Веб-приложение | Доступ к ресурсу | Да | Определяется программой | Зависит от приложения | нет |
*Скользящее окно — время существования перезапускается при каждом использовании токена.
Векторы атак на кражу токенов
Злоумышленники могут использовать множество атакующих векторов для кражи токенов. После кражи токена злоумышленник может представиться пользователем, получить несанкционированный доступ и даже похитить конфиденциальные данные. Ниже приведены некоторые примеры этих векторов атак:
- Злоумышленник в середине: сложная форма атаки "Человек в середине" (MitM). В этом сценарии злоумышленник позиционирует себя между двумя участниками связи, перехватывая и потенциально изменяя обмен данными без знаний любой стороны. Этот сценарий позволяет злоумышленнику записывать конфиденциальные данные, такие как учетные данные, файлы cookie сеанса и другие данные, даже обходя меры безопасности, такие как многофакторная проверка подлинности. Узнайте больше о фишинговых атаках типа "атака злоумышленника посередине".
- Вредоносное ПО: Вредоносные программы могут украсть токены с устройства, инфильтрируя систему и отслеживая сетевой трафик или получая доступ к сохраненным данным. После установки вредоносные программы могут записывать маркеры проверки подлинности, файлы cookie сеанса или другие учетные данные, перехватив обмен данными между устройством и законными службами. Она также может использовать уязвимости для извлечения токенов непосредственно из памяти или хранилища.
В этой статье основное внимание уделяется поражению атак, направленных на конечных пользователей, таких как перечисленные ранее. Векторы атак, такие как компрометация на стороне сервера или приложения, выходят за рамки этой статьи. Чтобы устранить такие атаки, организации должны следовать общим рекомендациям.
- Защита проверки подлинности приложения
- Убедитесь, что разрешения приложения являются минимальными привилегиями
- Избегайте сбора и хранения маркеров в журналах на стороне сервера
- Контроль за приложениями OAuth, имеющими разрешения на доступ к другим ресурсам, на предмет компрометации
Дальнейшие шаги
Чтобы понять, как защитить маркеры в идентификаторе Microsoft Entra, продолжайте защищать маркеры в идентификаторе Microsoft Entra.