網路身分認證安全機制翻轉過去的思維

網路安全攻擊的案例從沒停息，除了我們過往所熟知的社交工程攻擊手法中的釣魚信件或是透過暴力式破解密碼進入用戶端的系統，上週發生一起網路安全攻擊事件是由美國國土安全部旗下「網路安全和基礎設施安全局」（Cybersecurity and Infrastructure Security Agency，CISA）所發佈出來，他們初步判斷這起攻擊事件的攻擊者，可能是透過竊取用戶端的身份來連線cookie 進行認證且登入到網路應用與服務層，因為連線身份已經通過認證，讓攻擊者可以輕易的進一步繞過部份多因素驗證（Multi-Factor Authentication, MFA）協定的保護機制，駭入用戶端的雲端系統內。這類手法，我們稱為:「Pass the cookie」。

這意味著什麼呢？

Pass the cookie 的攻擊是在身份認證通過後，攻擊者利用暴力或非暴力方式竊取受害用戶的帳密連線cookie 來認證，進而登入到網路應用層或服務層。這攻擊手法過程中，有一個關鍵環節我們需要留意，攻擊者事先通過身分認證進入系統內，才進行網路攻擊並且還跳過某些MFA 保護協定。

這意味著什麼呢? 攻擊者的入侵與攻擊有時間先後順序的進行，而非一步到位直接竊取到Client 的帳密連線Cookies 來認證。

攻擊時間先後順序產生的可能性因素可能是因為企業網路系統上安全管理措施的不嚴謹、網路監控的未實施，或者是使用者的電腦早已經被植入不法的程式而不自覺，例如透過社交工程的釣魚信件連結、下載不明來源的檔案、圖片，或是收到的郵件已經是夾帶病毒，因此這些諸多漏洞疏忽的環節，有可能讓攻擊者有機可乘且早已經進入用戶者的系統內進而複製coolie 繞過認證。

告訴了我們什麼?

這次CISA 所發布的網路攻擊事件中，「攻擊者可能是透過竊取用戶端的身份來連線cookie 進行認證且登入到網路應用與服務層…」這訊息，告訴了我們什麼?

每當資安事件發生時，經常是事件發生後逐一展開檢視問題的發生，但是當我們看問題的時侯，往往只從單一方向或是從發生結果來確立問題的原因，通常這方式的誤判率偏高，尤其在這繁複的網路世界與駭客多元的手法上。期待受害單位可以冷靜處理或是仔細思考，事件發生問題的來源，通常也不容易，因為敵人看準的就是經常被我們「忽視」或是「自認」安全完備的關鍵處來攻擊我們。舉例，系統的帳密安全機制是否設定、網路設備是否具備可以被認證的規則或是檔案(例如，cookie)，已經被盜取或是被植入不法的程式且已經隨時被監控而不知道，或許這些均是受害單位首要基本檢查與確認的第一步，而非一味認為是雲端上的身份認證安全機制是被質疑的。

從這次事件中我們也看到了「身份認證」安全的機制再度被提出來，以及網路應用層(Web Application) 跨平台、跨載具的身份認證的機制。雲端應用與服務普及性已經打開且無論各中大型企業單位接受雲服務愈來愈高，去年疫情的因素，遠距工作、分流工作也成為一種被接受的工作模式，但是當彈性愈大，安全的疑慮則相對提高。同時，我們都知道「身份認證」是啟動網路運作的開關，一道重要的門鎖，因此如何當我們透過雲端進行營運服務面同時也提升雲端上的資安防護，這成為我們可以進一步了解與落實應用在自身的企業上。

可以怎麼預防?

當多因素身分認證機制的產生時，系統安全機制上的雙管道認證則是不可或缺，雙管道認證可以讓我們多了一層安全保護，對於Session Hijacking 的攻擊亦可以避免，目前市面上所提供身份認證機制的業者當中，有的業者其認證機制方法除了軟體式的認證機制外，還包含硬體設備認證、設備綁定認證、近場認證、風險管理引擎、地理位置、PKI 分拆機制、以及生物辨識(人臉/指紋/聲音/瞳孔)，同時可跨平台用於電腦、行動裝置、以及瀏覽器間進行身份認證，且在認證過程中不需要依賴放置於任何網絡程序或Bowser Cookie中的憑證或私密檔案。

這次事件的攻擊手法，對於應用層上的認證方式，或許採用持續性以時間或事件的方式來進行，透過應用程式介面的認證Authenticate API 持續不斷於後端定時、不定時、或是觸發事件的情況下認證使用者當下所使用的設備，進行確認是否為原本所註冊之設備，來確保身分認證安全機制。

企業資安防禦與預防的具體有效性，往往決定於負責企業資安人員的資安規劃與維運和企業使用者對資安觀念的落實遵循，彼此的齊力合作。資安人員定期檢視設備軟硬體的版本更新、檢測系統內是否有惡意程式，監測平日系統運作中是否有異常行為的狀況發生等等，企業內使用者除了接受資安觀念宣導外，更要落實於平日使用電腦的習慣與有安全意識的警覺性，例如開啟郵件進行回覆或是點選連結時，要先確認其安全性；網頁的瀏覽也經常是陷阱，也需警覺性的留意，讓企業資安的危機風險降到最低點，也讓攻擊者無法輕易入侵。