Skip to content

防範多租戶 BEC:面向 Microsoft 365 身份加固的 MSP 營運框架

反制多租戶 BEC:MSP 強化 Microsoft 365 身分識別之維運框架

技術實戰劇本:在受管生態系中攔截防釣魚 MFA 繞過、OAuth 應用程式惡意利用及信箱惡意持久化行為

策略性資安簡報: 商業電子郵件詐騙(BEC)已從粗糙的郵件偽造,演變為高階的會期劫持(Session hijacking)與即時對話攔截。由於對手惡意利用的是「信任關係」而非軟體漏洞,傳統的周界防禦根本無法捕捉到登入後的橫向移動。對於需要同時保護數十個 Microsoft 365(M365)環境的託管服務供應商(MSP)而言,防禦工作必須從被動的警報管理,轉型為標準化、以身分識別為核心的偵測與應變模型。

現代攔截型 BEC 的手法剖析

標準的攻擊模式並不依賴在地的惡意軟體執行。相反地,對手透過中間人釣魚代理(AiTM)、憑證收割網頁或誘騙使用者授予惡意 OAuth 應用程式權限來取得初始存取權。一旦進入客戶的租戶內部,攻擊者便會靜默審查信箱組態配置,識別出高價值的供應商關係、付款週期和財務會計工作流。

為了避免引發即時懷疑,攻擊者利用 M365 原生的基礎設施(如隱藏的收件匣路由規則或委派權限)來建構靜默的持久化結構。當發生作用中的財務交易時,攻擊者便會攔截該對話串——通常使用極其相似的相似網域(Look-alike domains)來植入詐欺性的銀行帳戶變更資訊。由於該訊息依附於既有的溝通對話中,企業財務人員會在虛假的安全感下支付發票,往往直到數週後正牌供應商追討未付帳款時,才驚覺遭遇詐騙。


核心威脅遙測與數據發現

近期的威脅情資凸顯了在中小企業環境中,以身分識別為核心的惡意利用所帶來的巨大財務衝擊與擴張速度:

資安指標與威脅地景統計基準線資料來源歸屬
每起 SMB BEC 事件的財務損害範圍14 萬至 150 萬美元的直接損失Guardz《MSP 威脅現況報告》
全球資料外洩平均成本每次資安事件達 444 萬美元IBM《資料外洩成本報告》
身分驅動型入侵佔整體攻擊之比例佔所有記錄中資料外洩事件的 30%IBM X-Force《威脅情資指數》
身分攻擊年增攀升率全球總量呈現 32% 的擴張Microsoft《數位防禦報告》
經核實繞過 MFA 的傳統驗證登入件數114,827 次成功的惡意登入Guardz 多租戶資料集

透過條件式存取硬化租戶身分驗證

隨著對手從利用技術漏洞「強行突破」轉向單純利用受侵害憑證「合法登入」,MSP 必須在客戶導入初期,就在每個受管 M365 租戶中建立起強固、可重複套用的基準存取設定檔。僅依賴密碼更新會留下嚴重破口,唯有程式化的存取控制項才能予以封殺。

1. 佈署主動式條件式存取政策 (Conditional Access Policies)

  • 阻斷舊版傳輸渠道: 永久停用會繞過現代多因素驗證提示的舊版驗證協定(Legacy authentication)。
  • 強制執行防釣魚 MFA: 對高風險的企業設定檔要求使用 FIDO2 硬體安全金鑰或設備端生物辨識金鑰(Passkeys),特別是會計、財務與全域管理員階層。
  • 具備情境意識的裝置與地理位置圍籬: 針對來自未受管理端點、未知網路或異常地理區域的登入請求,強制執行進階驗證挑戰或實施絕對阻斷。
  • 縮短工作階段生命週期: 針對管理員與財務角色大幅縮短活躍工作階段權杖(Session tokens)的存活時限,以最小化遭竊權杖的可用時間窗口。

2. 根除惡意 OAuth 應用程式同意權之剝削

攻擊者經常透過誘騙使用者將廣泛的企業資源存取權授予惡意的 OAuth 應用程式,藉此完全繞過密碼重設與 MFA 的限制。一旦獲准,該應用程式便會在 API 層建置一個持久性的後門,持續蠶食郵件、聯絡人與檔案。

維運控制鐵律: MSP 必須關閉終端使用者自主核准應用程式的權限。將每一次第三方 OAuth 應用程式的請求,視同配置一個全新的全域管理員帳戶般嚴格審查,並強制執行定期、多租戶的權限審計。


偵測登入後繞過:權杖遭竊與舊版路徑

雖然多因素驗證能阻斷大部分的自動化密碼噴灑,但它並非萬靈丹。現代防禦者必須主動監控特定的繞過向量,這些向量允許威脅份子在客戶環境內部靜默維運。

SMTP AUTH 漏洞門禁

儘管微軟在過去幾年中已針對主要的 Exchange Online 協定停用了基本驗證(Basic authentication),但特定的例外仍維持開放。具體而言,SMTP AUTH 在許多舊版環境中頻繁維持啟用,用以支援企業內部營運應用程式與網路印表機。攻擊者正積極惡意利用此漏洞進行登入,且完全不會觸發 MFA 提示,因此在全球範圍內強制執行舊版驗證阻斷,是 MSP 最高優先級的修復任務。

會期權杖遭竊之緩解戰略

當對手透過 AiTM 釣魚連結劫持了合法的工作階段權杖時,該權杖到達時即為「已驗證」狀態,使傳統的密碼門禁形同虛設。由於此入侵行為繞過了標準的身分驗證檢查,偵測機制必須轉向登入後的行為遙測,一旦出現以下異常便需立即發出警報:

  • 不可能的移動異常 (Impossible Travel): 單一數位身分在極短的時間窗口內,顯示出跨越遙遠地理位置的多個活躍工作階段。
  • 工作階段身分漫遊: 一個作用中、經身分驗證的工作階段突然遷移至全新的 IP 位址區塊或完全不同的裝置架構設定檔。
  • 情境脈絡異常: 使用者的行為模式與資料調閱軌跡,偏離了經核實的歷史行為基準線。

監控信箱持久化與隱蔽規則

一旦攻擊者掌控了信箱,其首要目標就是對真實使用者維持隱蔽。為了達到這個目的,他們會建立內部的路由規則,用以靜默管理通訊並刪除會暴露其行蹤的通知。MSP 必須監控租戶日誌是否存在以下高風險配置:

  • 關鍵字驅動的轉寄與刪除: 掃描入站文本中是否包含 “invoice”(發票)“payment”(付款)“wire”(匯款) 等字串的規則,將其路由至外部攻擊者控制的收信箱,並立即將在地副本移至已刪除郵件資料夾。
  • 透過替代資料夾實施隱蔽: 將特定的入站供應商郵件對話移至「RSS 摘要」或「封存」資料夾的規則,使其維持未讀狀態並避開日常視線。
  • 阻斷資安維運通訊: 旨在自動刪除或阻斷來自內部 IT 團隊、資安服務供應商或自動化密碼重設監控器之郵件的規則,以隱瞞修復進度。
  • 未授權的委派權限指派: 隱密授予「代為發送」或委派權限,允許對手在不留下任何外寄郵件副本的情況下靜默讀取並傳送郵件,這比單純的轉寄更具隱蔽性。

標準化多租戶事件應變流程

一旦在受管環境中偵測到活躍的帳戶入侵事件,工程團隊必須立即執行結構化的應變劇本:

  1. 強制終止作用中工作階段: 切勿僅僅重設使用者密碼。必須在全球範圍內撤銷所有作用中的工作階段權權杖與使用者憑證,因為遭竊的權杖不論密碼是否更新,在過期前都維持完全有效的維運狀態。
  2. 徹底清理帳戶復原設定: 重設密碼並全面審計帳戶復原組態,移除攻擊者為了保留後門而新增的惡意備用信箱或未授權的 MFA 驗證因素。
  3. 清除惡意信箱組態配置: 抹除所有未經核准的收件匣規則、移除 rogue 委派權限,並撤銷整個目錄中未經授權的 OAuth 應用程式同意權。
  4. 執行全面性取證衝擊分析: 審計信箱日誌以明確查出在曝險窗口期間有哪些項目被讀取、發送或變更,識別偽造的發票是否已流向外部合作夥伴,並在必要時協調進行線下(Out-of-band)銀行通路核實。

利用 Guardz 實現多租戶身分威脅防禦之規模化

逐一在各個租戶中手動執行這些組態配置,在維運上極難擴展規模。Guardz 平台透過為 MSP 提供專為多租戶、以身分識別為核心的安全管理而建置的統一控制台,大幅精簡了此一流程。

Guardz ITDR(身分威脅偵測與應變)持續追蹤橫跨 Microsoft 365 與 Google Workspace 的行為異常,將不連貫的信號(如不可能的移動、突發性的信箱規則新增以及權杖異常)凝聚成單一且統一的事件時間軸。這種被 Guardz 稱為「以身分識別為中心之事件管理」的方法,配合篩選入站釣魚與 BEC、比對別名破綻的 API 整合型郵件防護層,以及 24/7 全天候由真人分析師支援的託管偵測與應變(MDR)服務,賦予了 MSP 儘早捕獲威脅向量並高效護衛客戶網路所需的自動化工具。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

2026 年 MSP 網路安全報告:多租戶威脅情勢與遙測分析

MSP 威脅情資現況:2026 年核心維運數據分析

針對中小型企業網路身分劫持、AI 惡意利用向量及 SaaS 基礎設施脆弱性的資料驅動審計

策略性威脅情資簡報: 現代網路安全地景已從以周界為核心的防禦模型,徹底轉向對「網路身分」的惡意利用。雖然軟體漏洞利用已攀升為首要的初始進入向量,但一旦攻擊者建立立足點,遭破解的使用者憑證在下游引發的外洩事件中仍佔了 13%。對於保護中小型企業(SMB)的託管服務供應商(MSP)而言,防禦雲端租戶必須跨越靜態門禁的思維,進而解決持續性的會期竊取(Session theft)、自動化憑證填補(Credential stuffing)以及 SaaS 對 SaaS 的特權提升問題。

 

Global Telemetry Mapping

本報告彙整了 30 項關鍵的產業指標,聚合了來自頂尖研究機構(IBM、Verizon、Gartner 及 FBI IC3)的多租戶情報,並結合了原生資料集的遙測數據。此遙測數據反映了橫跨 MSP 所管理的 Microsoft 365 與 Google Workspace 作用中企業租戶實例、歷時 180 天連續審計窗口內數十億次資安事件的分析結果。

 

Baseline Threat Metrics & Telemetry Data

資安追蹤矩陣統計結果首要資料來源
SMB 租戶憑證曝險率89% 的受監控租戶包含活躍的憑證外洩源Guardz 數據情資
每月活躍密碼噴灑(Password-Spray)來源 IP超過 14,000 個獨特的惡意基礎設施節點Guardz 數據情資
180 天會期劫持(Session Hijacking)爬算曲線會期代理伺服器(Session proxy)侵害事件增加 23%Guardz 數據情資
120 天已知惡意 IP 登入攀升率來自被標記節點的流量增加 50%Guardz 數據情資
Google Workspace OAuth 同意授權濫用飆升在 6 個月窗口內激增超過 2,000%Guardz 數據情資
經核實的惡意 Google Workspace 登入件數攔截到 125,983 起高風險身分驗證事件Guardz 數據情資
生成式 AI 滲透發生率佔已證實之企業資料外洩事件的 1/6IBM《資料外洩成本報告》
全球資料外洩平均復原成本每次資安事件達 444 萬美元IBM《資料外洩成本報告》
美國資料外洩平均復原成本每次資安事件達 1,022 萬美元IBM《資料外洩成本報告》
年度呈報之商業電子郵件詐騙(BEC)損失直接財務遭竊高達 27.7 億美元FBI IC3 網路犯罪報告
SMB 遭入侵事件中的勒索軟體盛行率88% 的小企業外洩事件涉及敲詐勒索Verizon DBIR 數據分析

 

1. AI 驅動型威脅與自動化權限提升

生成式 AI 工具消除了網路釣魚郵件中的拼字錯誤、區域性用詞破綻以及突兀的語法,使社交工程全面自動化。威脅份子現在正槓桿高度客製化、具備擴展力的 LLM 模型,來編排過去僅限於資源豐富的國家級間諜財團才能發動的極具說服力的誘餌。

  • AI 外洩放大器: 生成式 AI 模型已在約 16.6%(1/6)經證實的企業資料外洩事件中被惡意利用,主要用於產生逼真的深偽(Deepfake)身分以及全自動化的釣魚漏斗。
  • 財務尾端風險: 儘管全球的外洩成本基準線為每次 444 萬美元,但美國境內的經濟衝擊已創下 1,022 萬美元的歷史新高。這種環境意味著即使是局部的網路侵害,也足以威脅 SMB 客戶的存續。
  • 憑證填補全面加速: AI 驅動的憑證填補機器人在雲端端點上執行持續性的登入迴圈,導致在任何給定月份中,受監控環境內平均有 31% 的使用者暴露出憑證風險。
  • 工業化噴灑攻擊: 自動化密碼噴灑攻擊每月利用超過 14,000 個獨特的來源 IP,且基礎設施足跡正以 13% 的月增率持續擴張,顯示出攻擊已轉向高度協則的自動化規模。
  • 演進中的釣魚藍圖: 攻擊者在 15 個以上的不同戰術執行路徑中套用 AI 自動化。威脅獵捕框架已從識別基礎的錯字,轉向評估進階的排版異常,包括檢視字串中是否使用了正確的長破折號(em dash)語法,這反映出機器撰寫的誘餌已逼真到真假難辨。

 

2. 身分惡意利用向量與會期竊取

隨著企業強制執行基礎的周界組態配置,身分安全已取代端點監控,成為企業防禦的核心焦點。威脅份子將精力高度集中在濫用合法且已通過驗證的工作階段(Sessions),而非試圖蠻力破解複雜的密碼。

  • 曝險基準線: 存在至少一個經核實的憑證洩漏源,已成為 89% 中小型企業目錄環境的永久常態。
  • 持續性的周界壓力: 未授權或未經驗證的連線企圖約佔全球企業登入流量的 28% 至 30%,在所有佈署區域中維持著高密度的常態分佈。
  • 會期權杖劫持躍升主流: 會期劫持(Session hijacking)在 180 天窗口內增長了 23%,確立其為增長最迅速的身分風險因子。對手部署中間人(AiTM)框架來攔截合法的會期權杖,完全繞過了傳統的多因素驗證(MFA)提示令。
  • 人類因素的嚴峻挑戰: 儘管軟體漏洞利用已成為首要的初始進入向量,憑證濫用仍在下游外洩事件中佔了 13%,且高達 62% 的企業侵害事件涉及人類的操作行為。
  • 工業化連線路由: 威脅集團透過已知的惡意代管基礎設施與遭入侵的 VPN 端點來路由驗證企圖,導致這些惡意連線在 120 天監控窗口內激增了 50%。
  • 地理事件群聚對映: 從地理分佈來看,美國佔了所有記錄中 AiTM 代理釣魚事件的 75.4%。此分佈指向了高密度的目標資產,以及針對北美企業架構發展得極其成熟的網路釣魚即服務(PaaS)市場。

 

3. 郵件竄改與商業電子郵件詐騙(BEC)

電子郵件平台依然是財務詐欺的主要管道。一旦攻擊者入侵了某個身分,他們頻繁使用靜默的信箱組態變更而非執行惡意軟體,來神不知鬼不覺地轉移財務交易。

  • 敲詐損失規模: 商業電子郵件詐騙在向 FBI IC3 正式呈報的 21,442 起投訴中造成了超過 27.7 億美元的損失,成為全球總損害金額第二高的網路犯罪類別。
  • SMB 損失指標: 針對中階企業架構的經核實 BEC 事件,每起損失金額從 14 萬美元到 150 萬美元不等,此等損失規模會直接阻斷企業的償債能力。
  • 防禦性隔離飆升: 自動化郵件系統觸發了 240% 的電子郵件隔離行動以反制入站詐欺;與此同時,企圖尋求長期存取的威脅份子所實施的惡意信箱規則竄改,也呈現近 100% 的擴張。
  • 濫用信箱規則以實現持久化: 惡意收件匣修改(直接對應至 MITRE ATT&CK 技術 T1098.003)已成為維持持久存取權的首要手法。在美國,304 個獨立實例顯示惡意規則生成暴增了 13 倍,黑客藉此靜默刪除系統管理警報並攔截清除供應商的付款查詢。
  • 透過 SendAs 特權實施冒充: 遙測日誌捕獲了近 200 萬次獨特的 SendAs 執行請求,這明確預示了廣泛的郵件冒充現象——攻擊者劫持受信任的內部地址來路由詐欺性的發票更新資訊。

 

4. 勒索軟體戰術與端點曝險面

勒索軟體對業務連續性依然具備極高的破壞性,攻擊者正果斷地轉向「自攜工具(Living-off-the-Land, LotL)」戰術,將 MSP 自身所依賴的管理公用程式反過來武器化,用以對抗客戶網路。

  • 敲詐擴散分水嶺: 在最新的 Verizon 數據中,勒索軟體出現在 48% 的企業外洩事件中,高於前一年度的 44%。這一成長甚至發生在全球贖金中位數降至 139,875 美元,且僅有 31% 的受害者選擇妥協支付的背景下。
  • SMB 目標定位指標: 勒索軟體存在於 88% 的中小型企業外洩事件中,證明了 SMB 是核心的首要目標,而非連帶受損的次要附庸。
  • 維運停機時間的真正衝擊: 網路停機帶來的財務衝擊可高達勒索贖金本身的 50 倍,證實了維運天數的損失與復原摩擦力,才是推高事件成本的真正元兇。
  • 加密前特權跡象全面加速: 行為分析引擎在緊湊的 50 天觀測窗口內,攔截到加密前潛伏足跡指標增加了 190%,證實攻擊者前期的資產發現行為具有極高的可視性。
  • 將 RMM 架構武器化: 遠端監控與管理(RMM)工具的操縱構成了最大的端點威脅類別,佔所有端點安全事件的 26.2%。攻擊者將焦點高度鎖定在劫持 MSP 用以維護客戶環境的受信任工具。
  • 向無檔案攻擊轉型: 傳統依賴特徵碼的惡意軟體偵測率下降了 55%,而在同一窗口內,惡意行為異常指標則同步攀升。此消彼長證實了業界正廣泛轉向無檔案(Fileless)攻擊,輕鬆繞過標準的檔案掃描控制。
  • 假期脆弱性波動: 勒索軟體事件在 12 月份飆升至所有記錄基礎設施威脅的 8.2%,幾乎是歷史 180 天基準線的兩倍。這完全符合黑客長久以來的作戰模式:專門挑選工程與資安人力通常最為薄弱的假期發動攻勢。

 

5. 雲端多租戶環境與 SaaS 風險

共享雲端協作空間已成為資料外洩與持久性後門的核心目標,攻擊者已跨越了傳統憑證的限制,轉向惡意利用應用程式的整合權限權杖(Tokens)。

  • OAuth 同意授權濫用激增: 惡意 OAuth 同意請求在 10 月至 1 月之間增長了 45%,隨後在 1 月至 2 月之間又爬升了 24%。攻擊者槓桿這些持久性的應用程式權杖來維持全域系統管理權限,而這些權限在使用者重設密碼後依然能完全存活。
  • 跨平台基礎設施濫用: 跨平台漏洞利用驅動了 Google Workspace OAuth 權限濫用暴增 2,000%,並伴隨著 125,983 起經核實的高風險 Google Workspace 登入事件。僅保障單一雲端供應商的安全已不足以護衛多租戶環境。
  • Microsoft Teams 釣魚新向量: 協作工具已被高度轉化為首要的釣魚渠道,在 180 天窗口內有超過 310 萬條挾帶惡意連結的訊息透過 Microsoft Teams 路由。這些流量完全繞過了旨在捍衛企業郵件的 SPF、DKIM 和 DMARC 驗證層。
  • 資安預算結構性重配: 在這些雲端脆弱性的驅使下,雲端安全支出年增率已攀セン 28.8%,成為全球技術基礎設施投入中增長最迅速的次細分領域。

 

6. 2026 年下半季戰略預測

As the industry moves through the second half of the year, security budgets and risk management strategies are adjusting to counter these automated threat trends:

  • 託管資安市場趨勢: 全球資訊安全總支出預計將達到 2,442 億美元,展現 13.3% 的年增率。由於普遍的人才荒促使更多組織將專業安全職能外包,託管安全服務供應商正迎來爆發式增長。
  • MSP 供應鏈集中化風險: 遙測數據顯示,若主要的 MSP 基礎設施遭遇侵害或突然離線,高達 98% 的組織將在瞬間面臨嚴重的維運曝險。這種系統性的單點故障,解釋了為何敲詐勒索財團正加劇對託管服務供應鏈的攻勢。
  • 未完成的金鑰轉型: 儘管 68% 具備前瞻思維的組織已佈署或正積極測試無密碼 FIDO2 金鑰(Passkeys)架構,但仍有 57% 的日常業務存取依然仰賴傳統、可被釣魚竊取的驗證方法。這一佈署斷層確保了憑證收割與會期劫持在可預見的未來仍將是主流的攻擊路徑。

 

託管服務供應商(MSP)的維運現實

傳統的安全網路周界觀念已然消逝。資安維運已無法再將網路身分保護、會期監控及實時行為分析視為進階、選配的附加服務;相反地,必須將其作為所有客戶的默認核心服務層來落地。因為從會期劫持到高階 BEC,幾乎每一個主要的威脅向量都將矛頭直指身分層(Identity layer),關閉這一特定的組態配置缺口,是 MSP 能夠在瞬間降低整個客戶資產組合風險的最有效單一控制手段。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

託管服務安全架構:MSP勒索軟體預防指南

加固託管服務供應鏈

MSP 瓦解多租戶勒索軟體向量與保護下游環境的架構戰略
戰略概述: 託管服務供應商(MSP)已成為經濟利益驅動型網路犯罪分子的高槓桿轉運路徑。由於單一供應商對數十個下游環境擁有廣泛且具備特權的組態存取權,一旦 MSP 遭到入侵,將直接成為勒索軟體集團的結構性風險放大器。防禦此區塊需要將手段從孤立的單點產品,轉向多租戶身分安全、嚴格的邊界控制以及可驗證的資料韌性迴圈。

多租戶脆弱性的槓桿動態

現代勒索軟體組織之所以鎖定服務供應商,是因為他們能提供即時的管理規模。一旦成功突破 MSP 的服務自動化堆疊,對手就能同時轉向整個客戶資產組合,利用供應商自身合法的管理基礎設施來分發惡意負載。 這種維運曝險對中小型企業(SMB)造成了不成比例的衝擊,而 SMB 正是託管服務生態系統的主要客群。Verizon 的《資料外洩調查報告》強調了這一脆弱性,指出在鎖定 SMB 的所有外洩事件中,勒索軟體出現的比例高達 88%,相比之下,大型企業僅為 39%。此外,隨著供應鏈和第三方合作夥伴的侵害事件逐年翻倍,MSP 已無法再將客戶周界視為隔離環境。供應商自身的管理帳戶已構成首要的攻擊面。

以 MSP 為核心的勒索軟體生命週期剖析

現代敲詐維運是高度結構化、跨越數日的攻擊行動,會循著可預測的殺傷鏈(Kill Chain)移動。中斷這些攻擊需要在加密開始前進行介入:
  1. 憑證攝取(初始存取): 對手透過定向釣魚郵件、在地化資訊竊取軟體(Infostealer)日誌或次級憑證經紀商市場,竊取合法的管理憑證進行登入,從而繞過傳統防禦。正如 IBM《資料外洩成本報告》所強調,電子郵件釣魚依然是初始存取首要的根本原因,佔了已證實外洩事件的 16%。
  2. 租戶橫向轉向(橫向移動): 一旦滲透進根架構,攻擊者就會槓桿受信任的遠端監控與管理(RMM)以及專業服務自動化(PSA)引擎。由於這些工具在客戶網路間擁有預先核准的信任邊界,跨獨立租戶的橫向移動看起來與日常的 IT 維護毫無二致。
  3. 防禦性破壞(特權提升與持久化): 攻擊者會激進地將自身權限提升至全域管理員階層、建立持久性的惡意帳戶、停用在地的端點偵測軟體,並篡改備份保留排程。若未能徹底識別並清除每一個惡意會期權杖和排程任務,任何復原努力都將在瞬間被隱藏的後門攔截破壞。
  4. 雙重向量敲詐(外洩與加密): 在執行加密巨集之前,犯罪集團會系統性地外洩高度敏感的客戶資料集。這種雙重勒索模型為攻擊者提供了巨大的槓桿籌碼(每起事件平均損失高達 508 萬美元),使他們能夠在客戶即使能從獨立備份中復原維運的情況下,依然以「公開資料」為要挾強索贖金。

對映多租戶曝險面

MSP 必須在其分散的管理資產中,防禦各式各樣的技術進入點:
首要進入向量 對手惡意利用機制 多租戶複合風險
網路釣魚與社交工程 惡意負載收割管理工作階段,或植入隱蔽的下載器(Loaders)。 單一工程師帳戶遭到入侵,即可對多個下游客戶目錄提供即時且未受監控的存取。
身分與憑證竊取 遭竊的瀏覽器會期 Cookie 或重複使用的管理憑證,輕鬆繞過網路周界。 合法的會期能輕易繞過外部防禦控制,使攻擊者得以在雲端環境之間靜默移動。
過度配置權限的帳戶 攻擊者利用寬泛的永久存取配置和未隔離的資料共享。 過度的管理權限會將微小的局部侵害,演變成整個租戶範圍內的資料曝露。
未修補的漏洞 被武器化的面向公網應用程式,允許遠端程式碼執行或特權提升。 根據 IBM X-Force 威脅情資指出,利用公開應用程式漏洞佔了所有主動式事件回應行動的 30%。
工具鏈供應鏈潰敗 滲透核心軟體供應商,允許攻擊者透過受信任的更新機制分發惡意負載。 MSP 本身即作為受信任的第三方運作,這意味著供應鏈風險會雙向流動。

CISO 協定:實時事件回應執行

當客戶租戶內確認了勒索軟體特徵碼或異常的外洩趨勢時,服務團隊必須立即執行一項嚴格、結構化的回應劇本:
  • 隔離並切斷網路路徑: 瞬間將受感染的硬體資產從在地路由表中斷開。在全網範圍內暫停所有活躍的管理帳戶並宣告全域會期權杖無效,以控制損害範圍。
  • 保留揮發性記憶體與日誌: 在清除或重構基礎設施之前,優先捕獲實時系統記憶體(RAM)、網路日誌和磁碟映像。這些數據對於保險理賠證明與根本原因分析至關重要。
  • 強制執行法規通知: 迅速評估區域框架(如 GDPR)或特定行業/管轄權授權下的法律報告義務。與受影響的客戶建立清晰、隨附記錄的溝通,以保護關係信任並降低法律責任風險。
  • 透過經驗證的基準線重建: 從驗證乾淨、不可變的備份中重建系統。在將網路重新連接至公網之前,務必確認已絕對清除所有威脅份子的持久化機制。

多租戶硬化(Hardening)的技術控制

從被動姿態轉向主動防禦,需要在所有受管資產中實施六個核心的結構性安全層:

現代 MSP 安全防護堆疊

  • 端點偵測與回應(EDR): 在作業系統核心層(Kernel layer)持續監控行為遙測,即時阻斷無檔案(Fileless)漏洞利用、巨集執行以及零日威脅。
  • 身分威脅偵測與回應(ITDR): 追蹤核心數位環境(如 Microsoft 365 和 Google Workspace)內部的使用者行為,以偵測權權杖劫持、不可能的移動異常(Impossible travel)以及惡意帳戶竄改。
  • 零信任架構與最小特權: 透過槓桿「即時(Just-In-Time, JIT)」存取權限提升,消滅永久性的管理特權,確保遭竊的憑證僅具備最低限度的預設價值。
  • 進階電子郵件安全與反釣魚: 在惡意負載進入使用者收件匣之前進行掃描、沙箱隔離並予以丟棄,從源頭瓦解最首要的初始存取向量。
  • 雲端工作空間加固: 強制執行嚴格的條件式存取政策、阻斷未受管制的個人帳戶登入,並持續審計 SaaS 平台的配置。
  • 不可變備份驗證: 維持由保留鎖定(Retention locks)保護的隔離、實體隔離(Air-gapped)備份基礎設施,並透過自動化、定期的還原測試進行核實。

利用 Guardz 鞏固多租戶防禦

橫跨多個獨立客戶環境管理分散、單一用途的單點產品,會引入危險的可視性缺口並引發警報疲勞。Guardz 平台透過將核心安全控制整合至專為 MSP 打造的統一、多租戶工作空間中,化解了這一複雜性。

統一的多租戶控制面板

Guardz 交付了一個聚合的單一主控畫面,允許技術人員同時套用全域配置範本、管理系統性風險並追蹤所有客戶的警報。這免除了逐個租戶審計環境的必要,讓工程團隊能專注於經核實的安全事件。

相關聯的威脅情資:EDR、ITDR 與電子郵件安全

透過將企業級的 SentinelOne Singularity EDR 行為監控,與進階的 Check Point 電子郵件安全 及以身分為核心的 ITDR 進行原生結合,Guardz 能夠自動跨多個向量關聯訊號。該平台不會產生排山倒海的斷聯警報,而是將相關的異常對映到規範化的事件時間軸上,讓 MSP 能瞬間視覺化看清跨越郵件、使用者身分及在地端點的完整攻擊鏈。

代理型 AI(Agentic AI)分流與託管式偵測(MDR)

為了減輕警報疲勞,Guardz 利用專門的 AI 代理人來自動豐富、分析並排出偵測事件的優先順序——在這些資訊接觸到分析人員前就先過濾掉誤報。這種自動化分流功能由全天候運作、由資深獵捕專家組成的安全維運中心(SOC)提供後盾支援,為規模較小的 MSP 團隊賦予了在客戶群增長時維持一致、主動之勒軟體防護所需的規模實力。

持續性培訓與釣魚模擬

針對以人類為核心的脆弱性,該平台提供了預先排程的意識培訓模組和生成式 AI 釣魚模擬。員工的防禦韌性與參與率會直接在主控台中進行追蹤,為 MSP 交付量化數據,向客戶證明可衡量的安全姿態提升成果。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

威脅情報簡報:Kali365入侵後的因應機制

威脅情資簡報:Kali365 入侵後的運作機制

直擊 Microsoft 365 內部權杖劫持、橫向移動與租戶利用的架構分析

執行摘要: 現今的威脅地景已演進至超越單純的憑證收割。現代的網路釣魚即服務(PaaS)平台如 Kali365,正利用高度複雜的中間人(AiTM)代理伺服器架構,來無縫繞過多因素驗證(MFA)。透過攔截合法的會期(Session)狀態,攻擊者能瞬間從外部執行者轉化為經身分驗證的內部身分,導致傳統的周界控制措施對隨後的利用擴散階段完全失效。

 

第一階段:會期劫持與持久化防禦

Kali365 攻擊行動的真正危害,始於毫無防備的使用者完成看似合法的 Microsoft 365 登入挑戰「之後」。一旦跨越了 MFA 門檻,該犯罪框架便會執行多階段的持久化(Persistence)劇本:

  • 即時會期萃取(turnkey Session Extraction): Kali365 會即時捕獲產生的 OAuth 重新整理權杖(Refresh Tokens)與會期 Cookie。這些憑證會被直接輸送到隨附的桌面工具中,使威脅份子能夠根據需求隨時派生出活躍的瀏覽器會期,而無需觸發全新的身分驗證提示。
  • 濫用自助式密碼重設(SSPR): 憑藉著掌握的作用中會期,攻擊者經常會觸發租戶的 SSPR 工作流。由於既有的會期權杖在密碼變更後依然長期有效,當防禦系統還在因同步延遲而落後時,攻擊者仍能保有長達 24 小時的作用中租戶存取權。
  • 惡意註冊未授權設備: 攻擊者利用合法的會期狀態,直接在 Microsoft 365 租戶中註冊全新的未授權端點。藉由將他們自己的硬體註冊為受管且合規的企業資產,未來的惡意存取將能直接繼承更高基準線的政策信任。

 

第二階段:內部偵察與環境資產發現

一旦鞏固了持久化防禦,Kali365 就會轉化為靜默的資料探勘工具,用以對映目標組織的內部架構與信任關係:

日誌監控盲區: 對企業的資安維運中心(SOC)而言,這種入侵後的資產發現流量與一般員工的日常活動無異,因為它使用的是來自受信任內部網路足跡的合法權權杖。

  • 自動化目錄列舉: 該框架會系統性地搜刮全域通訊錄(GAL),以對映出管理架構、財務審批鏈、關鍵利益關係人以及外部供應鏈合作夥伴。
  • 跨平台資料挖掘: 透過自動化腳本搜刮可存取的 Exchange 信箱、Microsoft Teams 頻道、SharePoint 儲存庫和 OneDrive 分享資料夾,以定位敏感文件與內部通訊模式。
  • 惡意信箱管理: 在執行資產發現的同時,Kali365 會同步建立隱蔽的收件匣規則。凡是包含防禦性詞彙(例如:「資安警報」「未授權登入」「密碼重設」)的入站電子郵件,都會被瞬間路由至隱藏資料夾或直接清除,從而有效地遮蔽受害者,使其對正在發生的侵害毫無察覺。

 

第三階段:惡意利用與橫向特權提升

在對企業生態系統有了深入洞察後,該框架便會觸發具備高衝擊性的變現與特權提升向量:

攻擊向量運作機制維運破壞衝擊
AI 驅動的商業電子郵件詐騙 (BEC)分析歷史「寄件備份」以鏡射使用者的語氣、語法和結構風格。產生極具說服力的 BEC 誘餌,精確鎖定內部員工與供應商進行詐騙。
特權濫用掃描遭入侵身分的存取權限,尋找可觸及的管理員或委派存取路徑。協助對其他帳戶進行密碼重設、停用特定帳戶,並實施局部性的阻斷服務。
租戶配置變更部署惡意的應用程式註冊(Application Registrations)並操縱條件式存取政策。放寬企業的 MFA 強制令,並在雲端基礎設施中建立永久性的程式化後門。

 

防禦姿態轉型:跨越初始點擊的防線

防禦者必須承認,僅僅守住身分驗證邊界已不再足夠。當對手透過合法的代理權權杖進行維運時,若只依賴邊界阻斷或 URL 下架,註定會以失敗收場。資安維運必須轉向主動、激進的內部威脅獵捕,並高度聚焦於驗證後的異常遙測分析。

後續剖析框架預告

本系列技術專題將繼續深入探討以下兩個關鍵領域的威脅矩陣:

  1. 對手的基礎設施: 深入透視 Kali365 營運者如何建立、維護和擴張其基礎設施,以鎖定託管服務供應商(MSP)和企業生態系統。
  2. 偵測與緩解藍圖: 交付實用的威脅獵捕劇本、遙測查詢指令以及政策硬化步驟,旨在隔離權權杖濫用,並揪出已在租戶內部槓桿相同工具和介面進行活動的攻擊者。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

企業安全:解耦 Microsoft Entra Agent ID 的技術架構

解構 Entra Agent ID

剖析微軟針對自主型與輔助型 AI 系統打造的階層式身分識別模型
戰略簡報: 隨著自主型 AI 系統的發展跨越了簡單的文字生成,轉向在企業網路中執行業務邏輯,傳統的服務主體(Service Principals)已無力獨撐大局。保障這些工作負載的安全需要一套全新的身分識別範式。Microsoft Entra Agent ID 引入了一套階層式的委派驗證框架,專為解決企業級 AI 員工的規模化、流動性權限以及損害範圍(Blast-radius)挑戰而設計。

身分識別架構的結構性轉變

有別於過去為了可預測的指令碼(Scripts)而建置的傳統機器身分,現代 AI 代理人(Agent)的角色更加動態,具備呼叫 API、利用工具集以及冒充人類使用者的能力。Entra Agent ID 框架並非將代理人視為綁定在應用程式註冊上的單一靜態憑證,而是將「憑證維護」與「權限強制執行」徹底解耦。此結構定義了代理人的運作藍圖(Blueprint)、規範了其代表他人採取行動的方式,並確立了人類層級的管理問責制。 本篇深度解析將探討 AI 代理人的功能性組成構件,以及在企業目錄中監管這些非人類系統的專門身分識別架構。

1. AI 代理人的功能性組成構件

在代理人與 Microsoft Entra ID 進行互動之前,其內部的程式碼架構便已決定了其感知數據與執行任務的方式。此功能性迴圈依賴四個核心組件:
  • 推理引擎(模型): 底層的大型語言模型(LLM),負責處理意圖、解析指令並做出系統性的決策。
  • 編排層(Orchestration Layer): 循環式的控制迴圈,負責管理數據輸入、提示模型,並判斷多步驟的目標何時達成。
  • 情境記憶(Memory): 動態儲存陣列,提供即時狀態與歷史互動紀錄,避免模型需要頻繁地重新訓練。
  • 可擴充介面(工具): 連接點(如網頁爬蟲、在地檔案系統及外部 API),允許代理人讀取並修改其身處的維運環境。

2. 拆解 Entra Agent ID 的階層結構

由於自主型工作流會引入不可預測的存取模式,微軟採用了多層級的身分識別結構,而非獨立的服務主體定義。此模型乾淨地將主體組態設定與個別運行的實例(Instances)隔離開來。

藍圖層(範本與核心安全)

Agent Identity Blueprint(代理人身分藍圖): 作為全域的維運範本(類似於傳統的應用程式註冊 App Registration),藍圖是該代理人家族唯一的憑證金庫。它負責儲存憑證、用戶端密碼(Client Secrets)或同盟身分憑證(FIC)。個別運行的實例本身絕不管理自己的密碼,所有憑證皆專屬地存在於此根層級。藍圖同時定義了基礎組態數據,以及向下級聯到所有子實例的可繼承權限。 Agent Identity Blueprint Principal(代理人身分藍圖主體): 藍圖在特定租戶(Tenant)內執行時的執行階段(Runtime)呈現(類似於企業應用程式 Enterprise Application)。部署後,此物件會自動獲得 AgentIdentity.CreateAsManager 角色,賦予其佈建與管理在地化子代理人身分生命週期的授權。當藍圖在租戶內請求權杖(Tokens)時,審計日誌會追蹤此主體的物件 ID(Object ID)以維持問責制。

實例層(執行角色)

Agent Identity(代理人身分): 服務主體的一種特化子類型,作為個別 AI 代理人用來進行身分驗證的獨特帳戶。雖然藍圖掌控了加密金鑰,但 Agent Identity 才是實際承載權限集(Microsoft Graph 範疇、Azure RBAC 角色與 Entra 權限)的容器。它在登入日誌中註冊為執行動作的用戶端,將每項自動化操作對映到特定實例。在應用程式專屬權限模型下,非微軟平台在每個租戶中最多只能衍生 250 個代理人身分。 Agent User Account(代理人使用者帳戶): 一個選配的、與特定代理人身分保持一對一精確綁定的次級 Entra 使用者帳戶。這項配置專門用於代理人必須與高度依賴人類互動的協作工具(嚴格要求使用者物件結構,如 Microsoft Teams 頻道、Exchange 信箱或共享行事曆)進行互動的情境。這些物件會返回 idtyp=user 的權權杖宣告,但完全繞過人類的身分驗證路徑(如 MFA 或密碼),轉而依賴其父級代理人身分進行身分同盟。
關鍵安全邊界: 由於子代理人身分不維護個別密碼,一旦 Agent Identity Blueprint 的根憑證遭到破解,將立即危及整個企業租戶中所部署的所有關聯子代理人身分。

3. 權杖交換與身分驗證機制

在此架構中,身分驗證手段已從傳統的密碼金鑰驗證,轉向由業界標準協定(如 OpenID Connect (OIDC) 與 OAuth 2.0)完全驅動的、嚴格的多步驟權杖交換模型(Token-exchange model)。 當一個作用中的代理人身分需要查詢資源時,其運作流程將透過委派的冒充流(Delegated impersonation flow)展開:
  1. 父級代理人身分藍圖利用其根憑證(如 FIC 或憑證)直接向 Microsoft Entra ID 進行身分驗證。
  2. Entra ID 驗證藍圖後,核發一個針對特定子代理人身分的臨時交換權杖(Exchange token)
  3. 代理人身分將此交換權杖作為其用戶端聲明(Client assertion),用以提取查詢目標 API 所需的最終存取權權杖(Access token)。
得益於此交換機制,最終的存取權權杖會將特定的代理人身分實例列為主要執行用戶端,確保在企業 SIEM 平台中具備深度的歷史可追溯性。

維運身分驗證流

根據業務目標的不同,代理人會採用三種專門的 OAuth 設定檔之一來進行身分驗證:
身分驗證設定檔 技術流觸發機制 授權邊界
互動式 / 輔助型 因應即時、已登入之人類使用者的提示詞,透過「代理執行(On-Behalf-Of, OBO)」流觸發。 利用委派範疇(Delegated scopes);代理人的權限絕不能超過與其互動之人類使用者的權限。
自主型背景維運 在沒有人類操作的情境下,透過預期排程或系統事件點(Hooks)獨立執行。 利用用戶端憑證(Client Credentials)流;嚴格在直接分配給該代理人身分的應用程式權限內採取行動。
代理人使用者設定檔 當與 Exchange 或 Teams 頻道等要求使用者物件的孤島直接互動時觸發。 繞過標準的人類互動式提示,純粹透過與父級身分的同盟關係進行驗證。

4. 治理、授權與影子存取向量

為了防止失去控制的「代理人野蠻生長(Agent sprawl)」,微軟建立了嚴格的管理機制,將結構化的技術組態與業務生命週期擁有權清晰分離:
  • Sponsors(保證人): 必須由特定人類使用者或群組擔任,對代理人的生命週期承擔絕對的業務問責。保證人負責批准權限展延、審查使用指標,並在資安事件發生時授權立即隔離。若缺乏指定的保證人,該身分在系統中將變得「治理隱形」,並在例行性存取審查中被阻斷。
  • Owners(擁有者): 負責藍圖或代理人實例的技術調整、整合配置及即時事件回應的人類技術維運人員。
  • Managers(管理者): 專門指定用於處理次級「代理人使用者帳戶」維運組態設定的技術人員。

威脅模型:可繼承權限與允許的危險範疇

為了簡化大型環境的管理成本,Entra ID 允許管理員直接在根級的 Agent Identity Blueprint 上配置可繼承權限(Inheritable permissions)。一旦在藍圖主體(Blueprint Principal)上獲得同意,這些權限便會自動級聯到所有衍生出的子代理人身分。 儘管維運效率極高,此架構卻引入了嚴重的影子存取風險(Shadow Access Risk)。由於繼承的權限是在核發權權杖時動態注入的,如果資安團隊直接檢查個別的代理人身分物件,只會看到一個完全乾淨、看似零權限的設定檔。審計單一實例的團隊將完全漏掉這些作用中的高權限範疇,除非他們回頭評估根藍圖的組態設定矩陣。
「雖然微軟明確禁止代理人持有諸如全域管理員(Global Administrator)等高階目錄角色,以及 RoleManagement.ReadWrite.All 等高風險 API 權限,但仍有數個等同於 Tier-0 的功能維持可分配狀態。例如,持有允許的 Application.ReadUpdate.All 範疇的代理人一旦被攻擊者控制,即可被用來向現有的企業應用程式中植入惡意的憑證。」

5. 世代差異與登錄表的演進

隨著企業在其目錄中執行資產發現審計,資安團隊必須區分目前在 Entra ID 中共存的兩個不同架構世代的代理人:
  • 傳統代理人(Classic Agents): 在 Agent ID 框架推出之前建置的舊版自動化物件(例如在早期版本的 Copilot Studio 中佈建的物件),它們運行在傳統的應用程式服務主體上。這些物件在目錄中會被標記為 Has Agent ID: No。它們與現代專屬 AI 的安全層(如代理人條件式存取或代理人身分保護)完全不相容。
  • 現代代理人(Modern Agents): 完全原生於新框架的非人類身分。它們由主藍圖提供技術支撐、擁有獨特的 Agent ID、支援權權杖交換冒充引擎,並完全相容於風險驅動的條件式存取。
為了精簡這項管理負擔,微軟正在推出 Agent 365(2026 年 5 月正式上市)。這個統一的控制平面將取代 Entra 系統管理中心舊有的「代理人登錄表(Agent registry)」介面,作為追蹤、審計與管理企業內部傳統與現代代理人模型的單一事實來源。

非人類工作負載的範式轉變

非人類目錄物件的演進標誌著資安防禦優先順序的顯著位移:
  • 標準服務主體: 為可預測的指令碼而設計。核心防禦焦點在於防止憑證金鑰外洩。
  • 受控身分(Managed Identities): 為雲端資源而設計,徹底移除了可見的憑證。核心防禦焦點在於緩解因過度配置 RBAC 角色而導致的權限蔓延。
  • 代理人身分(Agent Identities): 為非確定性、自主化的 LLM 工作流而設計。核心防禦焦點轉向管理繼承的存取權限與藍圖的損害範圍。防禦者不僅必須審計該身分在第一天被配置了什麼,更必須審計當該代理人橫跨連接的工具、使用者與企業應用程式採取行動時,它能動態轉化為什麼樣的角色。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

×

Hello!

Click one of our contacts below to chat on WhatsApp

×