Skip to content

防範多租戶 BEC:面向 Microsoft 365 身份加固的 MSP 營運框架

反制多租戶 BEC:MSP 強化 Microsoft 365 身分識別之維運框架

技術實戰劇本:在受管生態系中攔截防釣魚 MFA 繞過、OAuth 應用程式惡意利用及信箱惡意持久化行為

策略性資安簡報: 商業電子郵件詐騙(BEC)已從粗糙的郵件偽造,演變為高階的會期劫持(Session hijacking)與即時對話攔截。由於對手惡意利用的是「信任關係」而非軟體漏洞,傳統的周界防禦根本無法捕捉到登入後的橫向移動。對於需要同時保護數十個 Microsoft 365(M365)環境的託管服務供應商(MSP)而言,防禦工作必須從被動的警報管理,轉型為標準化、以身分識別為核心的偵測與應變模型。

現代攔截型 BEC 的手法剖析

標準的攻擊模式並不依賴在地的惡意軟體執行。相反地,對手透過中間人釣魚代理(AiTM)、憑證收割網頁或誘騙使用者授予惡意 OAuth 應用程式權限來取得初始存取權。一旦進入客戶的租戶內部,攻擊者便會靜默審查信箱組態配置,識別出高價值的供應商關係、付款週期和財務會計工作流。

為了避免引發即時懷疑,攻擊者利用 M365 原生的基礎設施(如隱藏的收件匣路由規則或委派權限)來建構靜默的持久化結構。當發生作用中的財務交易時,攻擊者便會攔截該對話串——通常使用極其相似的相似網域(Look-alike domains)來植入詐欺性的銀行帳戶變更資訊。由於該訊息依附於既有的溝通對話中,企業財務人員會在虛假的安全感下支付發票,往往直到數週後正牌供應商追討未付帳款時,才驚覺遭遇詐騙。


核心威脅遙測與數據發現

近期的威脅情資凸顯了在中小企業環境中,以身分識別為核心的惡意利用所帶來的巨大財務衝擊與擴張速度:

資安指標與威脅地景統計基準線資料來源歸屬
每起 SMB BEC 事件的財務損害範圍14 萬至 150 萬美元的直接損失Guardz《MSP 威脅現況報告》
全球資料外洩平均成本每次資安事件達 444 萬美元IBM《資料外洩成本報告》
身分驅動型入侵佔整體攻擊之比例佔所有記錄中資料外洩事件的 30%IBM X-Force《威脅情資指數》
身分攻擊年增攀升率全球總量呈現 32% 的擴張Microsoft《數位防禦報告》
經核實繞過 MFA 的傳統驗證登入件數114,827 次成功的惡意登入Guardz 多租戶資料集

透過條件式存取硬化租戶身分驗證

隨著對手從利用技術漏洞「強行突破」轉向單純利用受侵害憑證「合法登入」,MSP 必須在客戶導入初期,就在每個受管 M365 租戶中建立起強固、可重複套用的基準存取設定檔。僅依賴密碼更新會留下嚴重破口,唯有程式化的存取控制項才能予以封殺。

1. 佈署主動式條件式存取政策 (Conditional Access Policies)

  • 阻斷舊版傳輸渠道: 永久停用會繞過現代多因素驗證提示的舊版驗證協定(Legacy authentication)。
  • 強制執行防釣魚 MFA: 對高風險的企業設定檔要求使用 FIDO2 硬體安全金鑰或設備端生物辨識金鑰(Passkeys),特別是會計、財務與全域管理員階層。
  • 具備情境意識的裝置與地理位置圍籬: 針對來自未受管理端點、未知網路或異常地理區域的登入請求,強制執行進階驗證挑戰或實施絕對阻斷。
  • 縮短工作階段生命週期: 針對管理員與財務角色大幅縮短活躍工作階段權杖(Session tokens)的存活時限,以最小化遭竊權杖的可用時間窗口。

2. 根除惡意 OAuth 應用程式同意權之剝削

攻擊者經常透過誘騙使用者將廣泛的企業資源存取權授予惡意的 OAuth 應用程式,藉此完全繞過密碼重設與 MFA 的限制。一旦獲准,該應用程式便會在 API 層建置一個持久性的後門,持續蠶食郵件、聯絡人與檔案。

維運控制鐵律: MSP 必須關閉終端使用者自主核准應用程式的權限。將每一次第三方 OAuth 應用程式的請求,視同配置一個全新的全域管理員帳戶般嚴格審查,並強制執行定期、多租戶的權限審計。


偵測登入後繞過:權杖遭竊與舊版路徑

雖然多因素驗證能阻斷大部分的自動化密碼噴灑,但它並非萬靈丹。現代防禦者必須主動監控特定的繞過向量,這些向量允許威脅份子在客戶環境內部靜默維運。

SMTP AUTH 漏洞門禁

儘管微軟在過去幾年中已針對主要的 Exchange Online 協定停用了基本驗證(Basic authentication),但特定的例外仍維持開放。具體而言,SMTP AUTH 在許多舊版環境中頻繁維持啟用,用以支援企業內部營運應用程式與網路印表機。攻擊者正積極惡意利用此漏洞進行登入,且完全不會觸發 MFA 提示,因此在全球範圍內強制執行舊版驗證阻斷,是 MSP 最高優先級的修復任務。

會期權杖遭竊之緩解戰略

當對手透過 AiTM 釣魚連結劫持了合法的工作階段權杖時,該權杖到達時即為「已驗證」狀態,使傳統的密碼門禁形同虛設。由於此入侵行為繞過了標準的身分驗證檢查,偵測機制必須轉向登入後的行為遙測,一旦出現以下異常便需立即發出警報:

  • 不可能的移動異常 (Impossible Travel): 單一數位身分在極短的時間窗口內,顯示出跨越遙遠地理位置的多個活躍工作階段。
  • 工作階段身分漫遊: 一個作用中、經身分驗證的工作階段突然遷移至全新的 IP 位址區塊或完全不同的裝置架構設定檔。
  • 情境脈絡異常: 使用者的行為模式與資料調閱軌跡,偏離了經核實的歷史行為基準線。

監控信箱持久化與隱蔽規則

一旦攻擊者掌控了信箱,其首要目標就是對真實使用者維持隱蔽。為了達到這個目的,他們會建立內部的路由規則,用以靜默管理通訊並刪除會暴露其行蹤的通知。MSP 必須監控租戶日誌是否存在以下高風險配置:

  • 關鍵字驅動的轉寄與刪除: 掃描入站文本中是否包含 “invoice”(發票)“payment”(付款)“wire”(匯款) 等字串的規則,將其路由至外部攻擊者控制的收信箱,並立即將在地副本移至已刪除郵件資料夾。
  • 透過替代資料夾實施隱蔽: 將特定的入站供應商郵件對話移至「RSS 摘要」或「封存」資料夾的規則,使其維持未讀狀態並避開日常視線。
  • 阻斷資安維運通訊: 旨在自動刪除或阻斷來自內部 IT 團隊、資安服務供應商或自動化密碼重設監控器之郵件的規則,以隱瞞修復進度。
  • 未授權的委派權限指派: 隱密授予「代為發送」或委派權限,允許對手在不留下任何外寄郵件副本的情況下靜默讀取並傳送郵件,這比單純的轉寄更具隱蔽性。

標準化多租戶事件應變流程

一旦在受管環境中偵測到活躍的帳戶入侵事件,工程團隊必須立即執行結構化的應變劇本:

  1. 強制終止作用中工作階段: 切勿僅僅重設使用者密碼。必須在全球範圍內撤銷所有作用中的工作階段權權杖與使用者憑證,因為遭竊的權杖不論密碼是否更新,在過期前都維持完全有效的維運狀態。
  2. 徹底清理帳戶復原設定: 重設密碼並全面審計帳戶復原組態,移除攻擊者為了保留後門而新增的惡意備用信箱或未授權的 MFA 驗證因素。
  3. 清除惡意信箱組態配置: 抹除所有未經核准的收件匣規則、移除 rogue 委派權限,並撤銷整個目錄中未經授權的 OAuth 應用程式同意權。
  4. 執行全面性取證衝擊分析: 審計信箱日誌以明確查出在曝險窗口期間有哪些項目被讀取、發送或變更,識別偽造的發票是否已流向外部合作夥伴,並在必要時協調進行線下(Out-of-band)銀行通路核實。

利用 Guardz 實現多租戶身分威脅防禦之規模化

逐一在各個租戶中手動執行這些組態配置,在維運上極難擴展規模。Guardz 平台透過為 MSP 提供專為多租戶、以身分識別為核心的安全管理而建置的統一控制台,大幅精簡了此一流程。

Guardz ITDR(身分威脅偵測與應變)持續追蹤橫跨 Microsoft 365 與 Google Workspace 的行為異常,將不連貫的信號(如不可能的移動、突發性的信箱規則新增以及權杖異常)凝聚成單一且統一的事件時間軸。這種被 Guardz 稱為「以身分識別為中心之事件管理」的方法,配合篩選入站釣魚與 BEC、比對別名破綻的 API 整合型郵件防護層,以及 24/7 全天候由真人分析師支援的託管偵測與應變(MDR)服務,賦予了 MSP 儘早捕獲威脅向量並高效護衛客戶網路所需的自動化工具。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

×

Hello!

Click one of our contacts below to chat on WhatsApp

×