
反制多租戶 BEC:MSP 強化 Microsoft 365 身分識別之維運框架
技術實戰劇本:在受管生態系中攔截防釣魚 MFA 繞過、OAuth 應用程式惡意利用及信箱惡意持久化行為
現代攔截型 BEC 的手法剖析
標準的攻擊模式並不依賴在地的惡意軟體執行。相反地,對手透過中間人釣魚代理(AiTM)、憑證收割網頁或誘騙使用者授予惡意 OAuth 應用程式權限來取得初始存取權。一旦進入客戶的租戶內部,攻擊者便會靜默審查信箱組態配置,識別出高價值的供應商關係、付款週期和財務會計工作流。
為了避免引發即時懷疑,攻擊者利用 M365 原生的基礎設施(如隱藏的收件匣路由規則或委派權限)來建構靜默的持久化結構。當發生作用中的財務交易時,攻擊者便會攔截該對話串——通常使用極其相似的相似網域(Look-alike domains)來植入詐欺性的銀行帳戶變更資訊。由於該訊息依附於既有的溝通對話中,企業財務人員會在虛假的安全感下支付發票,往往直到數週後正牌供應商追討未付帳款時,才驚覺遭遇詐騙。
核心威脅遙測與數據發現
近期的威脅情資凸顯了在中小企業環境中,以身分識別為核心的惡意利用所帶來的巨大財務衝擊與擴張速度:
| 資安指標與威脅地景 | 統計基準線 | 資料來源歸屬 |
|---|---|---|
| 每起 SMB BEC 事件的財務損害範圍 | 14 萬至 150 萬美元的直接損失 | Guardz《MSP 威脅現況報告》 |
| 全球資料外洩平均成本 | 每次資安事件達 444 萬美元 | IBM《資料外洩成本報告》 |
| 身分驅動型入侵佔整體攻擊之比例 | 佔所有記錄中資料外洩事件的 30% | IBM X-Force《威脅情資指數》 |
| 身分攻擊年增攀升率 | 全球總量呈現 32% 的擴張 | Microsoft《數位防禦報告》 |
| 經核實繞過 MFA 的傳統驗證登入件數 | 114,827 次成功的惡意登入 | Guardz 多租戶資料集 |
透過條件式存取硬化租戶身分驗證
隨著對手從利用技術漏洞「強行突破」轉向單純利用受侵害憑證「合法登入」,MSP 必須在客戶導入初期,就在每個受管 M365 租戶中建立起強固、可重複套用的基準存取設定檔。僅依賴密碼更新會留下嚴重破口,唯有程式化的存取控制項才能予以封殺。
1. 佈署主動式條件式存取政策 (Conditional Access Policies)
- 阻斷舊版傳輸渠道: 永久停用會繞過現代多因素驗證提示的舊版驗證協定(Legacy authentication)。
- 強制執行防釣魚 MFA: 對高風險的企業設定檔要求使用 FIDO2 硬體安全金鑰或設備端生物辨識金鑰(Passkeys),特別是會計、財務與全域管理員階層。
- 具備情境意識的裝置與地理位置圍籬: 針對來自未受管理端點、未知網路或異常地理區域的登入請求,強制執行進階驗證挑戰或實施絕對阻斷。
- 縮短工作階段生命週期: 針對管理員與財務角色大幅縮短活躍工作階段權杖(Session tokens)的存活時限,以最小化遭竊權杖的可用時間窗口。
2. 根除惡意 OAuth 應用程式同意權之剝削
攻擊者經常透過誘騙使用者將廣泛的企業資源存取權授予惡意的 OAuth 應用程式,藉此完全繞過密碼重設與 MFA 的限制。一旦獲准,該應用程式便會在 API 層建置一個持久性的後門,持續蠶食郵件、聯絡人與檔案。
維運控制鐵律: MSP 必須關閉終端使用者自主核准應用程式的權限。將每一次第三方 OAuth 應用程式的請求,視同配置一個全新的全域管理員帳戶般嚴格審查,並強制執行定期、多租戶的權限審計。
偵測登入後繞過:權杖遭竊與舊版路徑
雖然多因素驗證能阻斷大部分的自動化密碼噴灑,但它並非萬靈丹。現代防禦者必須主動監控特定的繞過向量,這些向量允許威脅份子在客戶環境內部靜默維運。
SMTP AUTH 漏洞門禁
儘管微軟在過去幾年中已針對主要的 Exchange Online 協定停用了基本驗證(Basic authentication),但特定的例外仍維持開放。具體而言,SMTP AUTH 在許多舊版環境中頻繁維持啟用,用以支援企業內部營運應用程式與網路印表機。攻擊者正積極惡意利用此漏洞進行登入,且完全不會觸發 MFA 提示,因此在全球範圍內強制執行舊版驗證阻斷,是 MSP 最高優先級的修復任務。
會期權杖遭竊之緩解戰略
當對手透過 AiTM 釣魚連結劫持了合法的工作階段權杖時,該權杖到達時即為「已驗證」狀態,使傳統的密碼門禁形同虛設。由於此入侵行為繞過了標準的身分驗證檢查,偵測機制必須轉向登入後的行為遙測,一旦出現以下異常便需立即發出警報:
- 不可能的移動異常 (Impossible Travel): 單一數位身分在極短的時間窗口內,顯示出跨越遙遠地理位置的多個活躍工作階段。
- 工作階段身分漫遊: 一個作用中、經身分驗證的工作階段突然遷移至全新的 IP 位址區塊或完全不同的裝置架構設定檔。
- 情境脈絡異常: 使用者的行為模式與資料調閱軌跡,偏離了經核實的歷史行為基準線。
監控信箱持久化與隱蔽規則
一旦攻擊者掌控了信箱,其首要目標就是對真實使用者維持隱蔽。為了達到這個目的,他們會建立內部的路由規則,用以靜默管理通訊並刪除會暴露其行蹤的通知。MSP 必須監控租戶日誌是否存在以下高風險配置:
- 關鍵字驅動的轉寄與刪除: 掃描入站文本中是否包含 “invoice”(發票)、“payment”(付款) 或 “wire”(匯款) 等字串的規則,將其路由至外部攻擊者控制的收信箱,並立即將在地副本移至已刪除郵件資料夾。
- 透過替代資料夾實施隱蔽: 將特定的入站供應商郵件對話移至「RSS 摘要」或「封存」資料夾的規則,使其維持未讀狀態並避開日常視線。
- 阻斷資安維運通訊: 旨在自動刪除或阻斷來自內部 IT 團隊、資安服務供應商或自動化密碼重設監控器之郵件的規則,以隱瞞修復進度。
- 未授權的委派權限指派: 隱密授予「代為發送」或委派權限,允許對手在不留下任何外寄郵件副本的情況下靜默讀取並傳送郵件,這比單純的轉寄更具隱蔽性。
標準化多租戶事件應變流程
一旦在受管環境中偵測到活躍的帳戶入侵事件,工程團隊必須立即執行結構化的應變劇本:
- 強制終止作用中工作階段: 切勿僅僅重設使用者密碼。必須在全球範圍內撤銷所有作用中的工作階段權權杖與使用者憑證,因為遭竊的權杖不論密碼是否更新,在過期前都維持完全有效的維運狀態。
- 徹底清理帳戶復原設定: 重設密碼並全面審計帳戶復原組態,移除攻擊者為了保留後門而新增的惡意備用信箱或未授權的 MFA 驗證因素。
- 清除惡意信箱組態配置: 抹除所有未經核准的收件匣規則、移除 rogue 委派權限,並撤銷整個目錄中未經授權的 OAuth 應用程式同意權。
- 執行全面性取證衝擊分析: 審計信箱日誌以明確查出在曝險窗口期間有哪些項目被讀取、發送或變更,識別偽造的發票是否已流向外部合作夥伴,並在必要時協調進行線下(Out-of-band)銀行通路核實。
利用 Guardz 實現多租戶身分威脅防禦之規模化
逐一在各個租戶中手動執行這些組態配置,在維運上極難擴展規模。Guardz 平台透過為 MSP 提供專為多租戶、以身分識別為核心的安全管理而建置的統一控制台,大幅精簡了此一流程。
Guardz ITDR(身分威脅偵測與應變)持續追蹤橫跨 Microsoft 365 與 Google Workspace 的行為異常,將不連貫的信號(如不可能的移動、突發性的信箱規則新增以及權杖異常)凝聚成單一且統一的事件時間軸。這種被 Guardz 稱為「以身分識別為中心之事件管理」的方法,配合篩選入站釣魚與 BEC、比對別名破綻的 API 整合型郵件防護層,以及 24/7 全天候由真人分析師支援的託管偵測與應變(MDR)服務,賦予了 MSP 儘早捕獲威脅向量並高效護衛客戶網路所需的自動化工具。
關於 Guardz
Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

