“劫后余生”：全球最大航運公司遭勒索病毒攻擊后的事

Maersk（馬士基）是全球最大的航運和集裝箱物流綜合公司。我非常榮幸地成為了他們的身份控制和訪問管理（IAM）主題專家（SME），以及后來的 IAM 服務(wù)負(fù)責(zé)人。2017 年，我和公司其他幾十人一起應(yīng)對了廣為人知的 notPetya 惡意軟件攻擊事件。

這篇文章的目的是分享一些我們的經(jīng)驗和教訓(xùn)，以便給后來者參考。攻擊是遲早會發(fā)生的，誠然我們有很多先進(jìn)的裝備，但很多組織從一開始就做錯了。

這個故事涉及 2015 年到 2019 年我在 Maersk 的經(jīng)歷，其中包括 notPetya 事件和恢復(fù)工作，以及我最后離開前加入控制和保護(hù)措施的事情。

我從 2015 年初開始在 Maersk 工作。Maersk 歷史悠久，他們的 IT 部門有一點很有趣，就是他們在整個集團(tuán)中交付 IT 服務(wù)的方式。當(dāng)時，這個組織分散為服務(wù)于不同部門（物流、能源、運輸）的多個業(yè)務(wù)部門。以前，每個業(yè)務(wù)部門都有自己的 IT。但由于 Maersk 航運公司（運輸業(yè)務(wù)）是其中最大的，其 IT 部門自然也最為強大，并已開始向其他業(yè)務(wù)部門提供一些共享的 IT 服務(wù)。

在經(jīng)過數(shù)年的政治和權(quán)力斗爭后，Maersk 的能源業(yè)務(wù)被出售，公司將資源集中在運輸和物流上。與此同時，IT 也逐漸集中化，組織的最高層建立了數(shù)字和云優(yōu)先戰(zhàn)略。

一開始，我參與了一個項目。公司彼時在通過一個著名的身份和訪問管理（IAM）產(chǎn)品將共享的 HR 系統(tǒng)插入 Active Directory，這款產(chǎn)品有一些向?qū)阶远x Web 服務(wù)和數(shù)據(jù)庫后端服務(wù)來方便集成。項目的參與者包括英國和丹麥的同事，橫跨 IT、HR 等業(yè)務(wù)部門，IAM 技術(shù)要素則由微軟提供支持。這個項目持續(xù)到 2015 年底，走過了一場艱辛的旅程。我們的資源有限，但在所有人的努力下解決方案的進(jìn)展很快。

Maersk 有著令人自豪的歷史，它成績斐然，是很好的工作場所，而這個項目讓我感受到了家的溫暖。上線任務(wù)是在幾個周末內(nèi)完成的，我們花了幾個小時進(jìn)行了一些真正的冒險，包括在凌晨 3 點以物理方式“闖入”存在問題的舊服務(wù)器！最終，解決方案成功上線，在大約六萬活躍用戶中，我們只錯誤地刪除了一個帳戶。好樣的！

IAM 項目的成功幫我在第一年的績效評估中獲得了最高分，我還參加了微軟 Ignite 大會，給履歷表又添了漂亮的一筆。

我在 Maersk 的工作主要是（現(xiàn)在稱為）身份驗證和安全項目：身份管理、特權(quán)訪問管理、智能卡登錄系統(tǒng)等。IAM 系統(tǒng)現(xiàn)在可以處理典型的就職、調(diào)職和離職流程，那么我的下一個任務(wù)就是特權(quán)訪問管理。在上一個項目中，我發(fā)現(xiàn)舊架構(gòu)普遍不遵循最小特權(quán)原則。航運是一項龐大的業(yè)務(wù)，但利潤相對較低。那時，IT 一直被視作成本中心而非業(yè)務(wù)推動者。安全控制的優(yōu)先權(quán)被高層排在了后面。我們的舊架構(gòu)有多種安全部門，沒有明確的主管，并且資金有限。

那時，我們本可以并且應(yīng)該一直在應(yīng)用一致的安全策略來控制帳戶和訪問的。你可以逐步推進(jìn)變革。你也可以應(yīng)用新標(biāo)準(zhǔn)并為它構(gòu)建服務(wù)，然后隨著時間的推移升級更多服務(wù)，最后你的舊系統(tǒng)要么煥然一新，要么死掉。你獲得的預(yù)算越多，流程就越快。一些控制策略的典型例子包括：

• 服務(wù)帳戶不應(yīng)在多個應(yīng)用程序中使用；

• 最終用戶生產(chǎn)力帳戶不應(yīng)在任何位置具有管理員權(quán)限；

• 服務(wù)器管理員帳戶在工作站上不應(yīng)具有管理員權(quán)限。

列表很長，但這只是基本的 Microsoft 安全基準(zhǔn)或分層訪問模型的內(nèi)容。在此期間，我們的 MSP 試圖推銷一款特權(quán)訪問管理（PAM）產(chǎn)品，以對用于訪問我們 MSP 托管系統(tǒng)的 MSP 憑據(jù)進(jìn)行憑據(jù)循環(huán)控制；一直以來，我們都在所有 Maersk MSP 托管的服務(wù)器上，將一個充滿所有 Maersk 和 MSP 成員的活動目錄（AD）組放入本地管理員組。這還不夠。除了訪問風(fēng)險（不考慮憑據(jù)），那些非 MSP 托管包該怎么辦？因此，我也在同時推動 IAM 解決方案的 PAM 組件作為替代方案。

我一廂情愿地認(rèn)為公司應(yīng)該用上一些行業(yè)水平的東西，但敗在了成本管理政策下，畢竟我的后兜里沒有幾百萬美元！

當(dāng)我在特權(quán)訪問項目上四處碰壁時，我們也在同時做其他事情。我們將運營團(tuán)隊移交給新的供應(yīng)商；Maersk 收購 Hamburg Sud 時，我們參與了一些有趣的合并活動；郵件自動化正在進(jìn)行中……生活很美好。

在遙遠(yuǎn)的土地上，俄羅斯黑客一直在攻擊烏克蘭。在烏克蘭運營的所有企業(yè)通常都使用某款財務(wù)應(yīng)用程序。攻擊者已經(jīng)黑掉了應(yīng)用程序的供應(yīng)商，并將 notPetya 惡意軟件注入到它的軟件更新中。盡職盡責(zé)的財務(wù)人員在不知不覺中開門放進(jìn)了一款破壞力極大的惡意軟件。

在 2017 年 6 月 27 日，問題突然爆發(fā)！

大約上午 10 點，我們正在一個玻璃墻會議室開會。外面的人開始躁動起來，可能發(fā)生了一些小故障。然后，一些憤怒的人走進(jìn)來把我們揪出去做事，我們才意識到：辦公室里的一些工作站似乎掛掉了。不，不僅僅是我們的辦公室。在全球范圍內(nèi)，所有設(shè)備正在逐漸完蛋。服務(wù)器呢？域控制器不見了？天哪……幾個小時內(nèi)，我們就損失慘重。這影響了地球上每臺加入域的 Windows 筆記本電腦、臺式機、虛擬機和物理服務(wù)器。

這家組織剛剛被送回黑暗時代！

Maersk 全球所有設(shè)備屏幕上的畫面，2017 年 6 月 27 日

災(zāi)難臨頭，你會怎么做？對許多人來說，這會是一次滅頂事件。對我們來說，幸運的是，Maersk 有很多資源可用。

讓我大開眼界的是，我們甚至都不是目標(biāo)。至少對我來說，這是一個巨大的驚喜。我一直認(rèn)為網(wǎng)絡(luò)攻擊在某種程度上是針對性的。但是現(xiàn)代網(wǎng)絡(luò)戰(zhàn)極為殘酷，沒有俘虜。因此不要心存幻想，你可能不相信自己正面臨很大的風(fēng)險，但你遭受的災(zāi)難甚至可能與你無關(guān)。如果你從互聯(lián)網(wǎng)接收數(shù)據(jù)（當(dāng)然是對的），那么最好密切注意所有這些信息。網(wǎng)絡(luò)攻擊以前并不罕見，但是在 COVID-19 時代，私人和國家贊助的網(wǎng)絡(luò)攻擊已大大增加。這是做一些基本的防御行動的最佳時機。也許你很幸運，從未經(jīng)歷過嚴(yán)重的惡意軟件攻擊，但它們隨時都可能來到你面前。攻擊者不在乎范圍，不在乎容量規(guī)劃或預(yù)算，當(dāng)然也不在乎你。你需要做好準(zhǔn)備！

notPetya 惡意軟件很罕見。通常情況下，被惡意軟件入侵時，你會看到設(shè)備被加密，并帶有一條消息要求你支付贖金。很多組織（約 50％）會屈服，讓這類攻擊更為猖獗。但 notPetya 并非如此，沒有人需要付費，它的設(shè)計純粹是要搞破壞，也的確達(dá)成了目標(biāo)。

在 Maersk，之前沒有一致的安全基準(zhǔn)。有一些模糊的書面政策，但基本上被忽略了。使用普通生產(chǎn)力帳戶在工作站甚至服務(wù)器上執(zhí)行管理任務(wù)的行為很常見。服務(wù)器管理員擁有對大量系統(tǒng)的長期管理訪問權(quán)限，即使在我們開始采用云 IaaS 的業(yè)務(wù)里面管理得更好的部分中也是如此。域管理員不是很多，但它們會被用來在各種設(shè)備上執(zhí)行管理任務(wù)。服務(wù)帳戶通常會被授予本地管理員組成員資格，而不是適當(dāng)?shù)匚蓹?quán)限。服務(wù)帳戶也會由多個應(yīng)用程序共享。這些行為并非 Maersk 所獨有，在你自己的組織中也很可能很普遍。這些現(xiàn)象是許多（即使不是大多數(shù)）組織仍在承擔(dān)的風(fēng)險。

由于 notPetya 已通過財務(wù)軟件包更新找到了立足點，因此 notPetya 使用常見的憑據(jù)傳遞技術(shù)在整個組織中水平擴(kuò)散，并垂直傳播到服務(wù)器和域控制器中。由于組織缺乏標(biāo)準(zhǔn)化和一致的特權(quán)訪問控制機制，使 notPetya 得以輕松擊潰 Maersk。

是的，網(wǎng)絡(luò)分段之類的方法將有助于減緩傳播速度。SOC 之類的事情將幫助我們在審判日到來之前看到活動。補丁絕對是有幫助的。但是最終，我們未能解決的基本風(fēng)險是特權(quán)訪問的管理機制。

那是不得不咽下的苦藥。我一直在組織內(nèi)宣傳的控制機制本可以讓 Maersk 免受沖擊。但是我敢打賭，并不是只有我對這件事上心了，而且絕對沒人對我指手畫腳。接下來的幾個月，我加入公司以來就一直希望采取的措施都被開了綠燈。真是令人感慨，嚴(yán)重的網(wǎng)絡(luò)攻擊竟然能推動那么多事情。

在事件發(fā)生后的前幾周，一切工作都圍繞著恢復(fù) Active Directory 展開。問題是 Active Directory 已在全球范圍內(nèi)跨數(shù)百個域控制器部署，可是災(zāi)難恢復(fù)流程只應(yīng)對過一個站點或一個數(shù)據(jù)中心的丟失情況。應(yīng)急計劃中沒有任何內(nèi)容寫的是“我們一夜之間就在所有位置失去了一切”。

經(jīng)過 Maersk、微軟和我們合作伙伴的艱苦努力后，我們恢復(fù)了目錄服務(wù)。這涉及一些源代碼級別的操作，人們帶著各種各樣的數(shù)據(jù)和設(shè)備在世界各地飛來飛去。這段經(jīng)歷讓我想起了美劇《24 小時》，只是沒有緊張的配樂罷了，而且用時顯然不止 24 小時！

事件發(fā)生后的幾個月間，加班已是司空見慣

當(dāng)?shù)谝粋€域控制器恢復(fù)時，它是跑在一部 Surface Pro4 上的。當(dāng)一切恢復(fù)到某種程度的常態(tài)時，我們基本上是就把它留在了底座上。

身份驗證服務(wù)團(tuán)隊齊心協(xié)力。來自運營、工程、架構(gòu)師和經(jīng)理、合作伙伴和供應(yīng)商……所有人都在緊密合作。然后，我們分成了幾個戰(zhàn)術(shù)小隊，在辦公室拐角處用一塊巨大的白板隔開來。為了完成任務(wù)，我們讓人輪班坐在白板旁，對來自業(yè)務(wù)或其他應(yīng)用團(tuán)隊的問題或需求進(jìn)行分類，而讓其余團(tuán)隊成員著手處理當(dāng)前任務(wù)。

目錄本來應(yīng)該消失了。我敢肯定，大多數(shù)組織都會建立一個全新的目錄，但是我們非常幸運，不必一切從頭來過。可是所有這些都是要付出代價的。人們在辦公室吃飯和睡覺，公司預(yù)訂了附近每一個酒店房間。人們因為太累而只能打車上班。對于某些人來說，這種情況持續(xù)了數(shù)周甚至數(shù)月。事件不僅影響了一線人員，還影響了職業(yè)生涯、家庭、生活。

你們不會想經(jīng)歷同樣的災(zāi)難的。

在我們恢復(fù)服務(wù)期間，公司四巨頭之一也下來了。高層人員四處奔波，做筆記，參與會議，影響決策。

微軟還提供了出色的領(lǐng)導(dǎo)力，幫助我們快速部署了 Privileged Access Workstation（PAW）——特權(quán)訪問工作站和 Tiered Access Model（TAM）——分層訪問模型。這些技術(shù)是微軟網(wǎng)絡(luò)安全參考架構(gòu)（CSRA）的重要功能，組織應(yīng)對此予以密切關(guān)注。而且其成本確實并不是很高。TAM（以及擴(kuò)展的 PAW）更主要是要建立你缺失的流程，提供清晰度、確定界限和設(shè)定期望。你可能還需要少量額外設(shè)備來處理訪問權(quán)限。

這里的投資收益是不可小覷的。你花的那些錢都會有回報，它們可能阻止了類似攻擊的發(fā)生。

重點在于快速行動。找到正確的人授權(quán)他們?nèi)プ鍪拢鲥e也可以快速修正。不要浪費漫長的時間討論快要過時的主題，那樣效率太低了。

當(dāng)時，一項積極的決策是加速 Windows 10 的部署。在遭受攻擊時，組織已經(jīng)完成了創(chuàng)建新的 Windows 10 版本的流程。由于所有工作站都需要重建，自然就用不著回退到 Windows 7 了。所有設(shè)備都被仔細(xì)檢查過，而且所有本地管理員特權(quán)實例都消失了。

非常好的是我們在客戶端上建立了安全基準(zhǔn)。實際上，不再有人會獲得永久管理權(quán)限，壓根就不會拿到這種權(quán)限。TAM 正在融入系統(tǒng)。

還好我們之前遷移到了帶有密碼哈希同步（PHS）的 Azure AD 單點登錄（SSO）上。這意味著人們?nèi)匀荒軌虻卿?Azure AD 并訪問 Office365 等基于云的 SaaS 應(yīng)用程序！

使用帶有 PHS 的 Azure AD SSO，你可以獲得：

• 對你的身份狀態(tài)有更多的保證；

• 配置條件訪問規(guī)則時的更多選項；

• 更好的性能；

• 更高的可用性。

你可能會擔(dān)心這一階段的“密碼哈希同步”。其實，哈希在任何意義上都是不可逆的，并且你不是將密碼存儲在云中，不是在同步密碼。

我們很快就構(gòu)建了 PAW 和 TAM 的基本骨架。這樣一來，當(dāng)應(yīng)用程序開始重新進(jìn)入環(huán)境時，我們就可以發(fā)出權(quán)威的聲音了：你需要一級管理員 ID；不，你不應(yīng)該使用舊的共享服務(wù)帳戶，等等。麻煩的是這些要求必須是領(lǐng)導(dǎo)層給出的，而有時領(lǐng)導(dǎo)層并不那么重視安全性，他們更想快點恢復(fù)業(yè)務(wù)。這是一場漫長的拉鋸戰(zhàn)。

下圖是我們討論事情進(jìn)展時常用的一張圖：

香腸工廠，改正錯誤

香腸工廠圖顯示了我們是如何部署 TAM 的，其中包括工作站、服務(wù)器和域控制器的典型三層架構(gòu)。我們將域控制器和 Windows 10 資產(chǎn)內(nèi)置到 TAM 中，并嵌入所有關(guān)聯(lián)帳戶。但是，所有要還原的服務(wù)器，以及一些虛擬化 Windows 7 系統(tǒng)仍處于不良狀態(tài)。

顯然，我不會討論解決方案的細(xì)節(jié)，也不會討論其部署方式。但是我確實需要談一些使我措手不及，并最終導(dǎo)致我離開組織的因素。

notPetya 事件發(fā)生時，我是 IAM 平臺的服務(wù)負(fù)責(zé)人。事件后，高層意識到了“PAM”問題并將其提到了很高的優(yōu)先級上。組織引入了外部影響力，不幸的是它們還能影響最頂層領(lǐng)導(dǎo)的決策。

任何安全控制都不是孤立存在的。為了解決給定的威脅，需要一種分層的方法。美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）列出了以下五項原則：

識別?保護(hù)?檢測?響應(yīng)?恢復(fù)。

顯然，此次攻擊對 Active Directory 和加入域的系統(tǒng)影響最大。缺乏一致應(yīng)用的安全基準(zhǔn)和流程是一個很大的漏洞。公平地說，一旦選擇并部署了 PAM 產(chǎn)品，我們就會盡快保護(hù)域管理員、企業(yè)管理員等憑據(jù)的密鑰。但是就控制而言，光是有工具是不夠的，還要知道它們已經(jīng)用在了哪些地方，知道哪些地方?jīng)]有用上，并能夠?qū)@些情況做出回應(yīng)，必須確保你已涵蓋了這五條原則。

我們要建立良好的狀態(tài)，然后將系統(tǒng)過渡進(jìn)來。我們大力發(fā)展安全信息和事件管理（SIEM）功能，因此“檢測和響應(yīng)”原則沒什么問題。我們在 AD 中配置各種工件（帳戶、組、組織單位、組策略），然后將系統(tǒng)移入其中并執(zhí)行應(yīng)用程序級配置。最后，支持流程將處理其余的工作。

舊的管理員帳戶還是可以訪問未遷移到 TAM 中的內(nèi)容，保留它們純粹是為了訪問尚未修復(fù)的“陳舊”系統(tǒng)，然后在不再需要訪問時將其刪除。

我們四大咨詢公司的朋友被催著快點交付。他們有一個在紙面上令人印象深刻的想法——將所有管理帳戶都放到 PAM 解決方案中。這是有問題的：

• 就算將管理帳戶注冊到 PAM 解決方案中，它們也仍然可以使用大量資產(chǎn)，它們造成重大損害的能力不會消失。另外，由于舊賬戶數(shù)量龐大，這一過程會非常耗時耗力，而且不會有明顯的收益。

• 管理帳戶有許多用例。例如，Maersk（Maersk）是一個啟用云的組織，其中許多帳戶是在本地創(chuàng)建的，但直到它們同步到云后才會供外部開發(fā)人員或第三方供應(yīng)商使用。如果這些人無法訪問 PAM 控制臺，就沒法干活了。

可是這個主意得到了高層認(rèn)可，反對無濟(jì)于事。到 2018 年底，我已經(jīng)無能為力。2019 年初，我妻子想要來一場旅行，我請假沒成，最后決定辭職。我設(shè)法在離開前向高層傳達(dá)我的擔(dān)憂，想要最后糾正一些事情，只是這些努力最后都失敗了。于是，我和家人開始了歐洲之旅。

你和你的組織可能也有類的經(jīng)歷。所有類似的攻擊事件背后的原因都差不多。任何組織都不應(yīng)以自己不會成為下一個目標(biāo)為前提假設(shè)。攻擊者明天就可能上門，不要讓他們輕松得手。管理和保護(hù)你的身份和訪問權(quán)限。

對于領(lǐng)導(dǎo)層來說，不要只看同行或中層管理人員的那些美好的故事。坐下與一線員工交流，傾聽他們真實的想法。這將在組織上下建立信任。你需要相信專業(yè)人士，而人們則需要相信領(lǐng)導(dǎo)者能夠理解并代表他們。

組織對 IT 的重視程度越低，相關(guān)人員的話語權(quán)就越少。IT 安全措施是培養(yǎng)員工過程的一部分。聽取員工的意見來幫助和保護(hù)他們，保持公開對話。

關(guān)鍵在于做出決定并采取行動。決策不必一成不變，事情不一定是完美的。這就是行業(yè)現(xiàn)在的運作方式。

無論你處于組織的哪個級別，都可以做一些事情來為最壞的情況作準(zhǔn)備。

這可能是全文最重要的部分……

基礎(chǔ)工作很簡單。設(shè)置規(guī)則，按照這些規(guī)則構(gòu)建系統(tǒng)，并逐步遷移或淘汰舊系統(tǒng)。但是不要光說不練，見到火星就應(yīng)該撲滅它。

為所有人啟用 MFA 并強制執(zhí)行，不要亡羊補牢。在 2020 年，它是抵御當(dāng)今威脅的基本保護(hù)措施。那些已有 20 年歷史的 Active Directory 密碼策略都是自欺欺人。

Azure AD 密碼保護(hù)是一種簡單的、維護(hù)成本較低的方法。它將檢測出用戶使用公用密碼的企圖并阻止他們。

強制執(zhí)行 MFA 并設(shè)置了密碼保護(hù)后，NCSC 和微軟現(xiàn)在建議我們不用再要求密碼復(fù)雜度了。我們可以移除密碼過期限制并將密碼長度縮短到 8 個字符。

• 啟用密碼哈希同步。

• 啟用 Azure AD SSO，這比使 AD FS 的速度更快。如果 AD 掛掉，云資源將仍然可以訪問。

• 啟用 Azure AD 設(shè)備注冊，這不會影響你管理設(shè)備的方式，但你會知道設(shè)備肯定是加入域的。在啟用 Azure AD SSO 之前，請勿執(zhí)行此操作，否則你將陷入對 AD FS 的依賴。

• 確保擁有一些 Windows Server 2016 或更高版本的域控制器，并將域控制器證書更新為啟用了替代舊域證書的域控制器身份驗證（Kerberos）模板。如果有系統(tǒng)加入了 Windows 2003 SP2 甚至 XP SP3 之前的域，則需要先刪除這些內(nèi)容，然后再繼續(xù)操作。對于你的共享設(shè)備人員（例如前線工作人員），你會遇到受信任保護(hù)模塊（TPM）芯片容量限制，所以需要 FIDO2 密鑰。對于高級主管和 AD 域管理員或 Azure AD 全局管理員，請考慮將 FIDO2 密鑰與生物特征選項結(jié)合使用。

• 安排好你的臨時帳戶流程。

如果你有預(yù)算，請申請 AAD P2 或 M365 E5 許可證。如果登錄看起來很奇怪，即使在通常不需要 MFA 的情況下它也會強制執(zhí)行 MFA。如果憑據(jù)被泄漏到了暗網(wǎng)，那么它就會強制重置密碼。如果你預(yù)算不夠，至少要有 compromised creds report，讓人每天看一遍報告。但這里的前提是需要啟用 Azure AD 密碼哈希同步（PHS）。

如果你的管理員習(xí)慣于隨時訪問所有內(nèi)容，那么現(xiàn)在正是他們改掉壞習(xí)慣的時候了。

Windows 的所有版本都有一套稱為用戶帳戶控制的基本策略。你需要在整個組織中一致地使用這些控制策略。至少你應(yīng)該：

• 確保管理員、服務(wù)和應(yīng)用程序帳戶專用于工作站、服務(wù)器或域控制器。

• 如果可能，請為這三個類別提供特定類別的管理工作站。至少要有“管理工作站”的概念。

• 確保刪除了這些策略中的某些默認(rèn)條目。

• 確保管理員一次都不具有對所有工作站或所有服務(wù)器的管理員訪問權(quán)限。不要讓你的組織機構(gòu)對任何一個帳戶開放。將權(quán)限分成較小的組，按需開放。

• 限制對應(yīng)用程序級別組的訪問。不能有“ALL DATACENTRE X”類型組或“ALL SQL SERVER”類型組。

• 限制服務(wù) / 應(yīng)用程序帳戶。拒絕它們交互式登錄。禁止它們進(jìn)入本地管理員組。使用你的報告系統(tǒng)捕獲那些本地管理員組更改事件。

• 通過策略強制本地管理員組。如果你不這樣做，并且沒有設(shè)置規(guī)則，你將面臨巨大風(fēng)險。

• 使用 LAPS！你的環(huán)境中不需要過時的本地管理員密碼，LAPS 可以為你料理這些事情。而且，你能輕松控制誰可以訪問這些密碼。人們使用管理員賬戶登錄時應(yīng)該有記錄，不應(yīng)該是匿名的。

• 不要同步你最重要的帳戶。域管理員沒有業(yè)務(wù)登錄到 Azure?？刂颇愕摹氨▍^(qū)域”。

• 高特權(quán)的組要盡量精簡。在 Domain 或 Global Admin 級別組中，你只需要少數(shù)幾個帳戶。對于那些 Global Admin 和具有類似功能的 Azure AD 組，我強烈建議 Azure AD Privileged Identity Management 限制對這些角色的訪問。是的，它需要 AAD P2 或 M365 E5 許可證，但只有添加這些功能強大的角色的帳戶才需要。

要做的工作總是很多的，但我建議你將上述策略作為一個不錯的起點。是的，這些聽起來很困難，很昂貴，需要很長時間。是的，我們隨時都需要訪問這訪問那。

但失去一切的后果更為嚴(yán)重，將付出更多代價，并且將花費更長時間，讓人們的工作和人際關(guān)系變得更糟。這些是基礎(chǔ)工作，就像鎖上前門，或在銀行卡上輸入 PIN 碼一樣。不管怎樣，更新這些規(guī)則，安排好你的流程。在幾十年的權(quán)限濫用之后，人們已經(jīng)習(xí)慣了無限制地不斷訪問所有內(nèi)容。在 2017 年 6 月，Maersk 為此付出了慘痛代價。很多組織依舊在重蹈覆轍，但改變其實是很簡單的，只要開始行動就夠了。擁有的權(quán)限越多，承擔(dān)的責(zé)任也就越重，遲早令人無法承受。

我敢打賭，你的組織并沒有什么不同。濫用權(quán)限為用戶帶來了不錯的體驗，但也對壞人敞開了大門。你的用戶和管理員需要了解他們的帳戶對組織構(gòu)成了明顯的威脅，并且每個人都需要介入以幫助限制這些威脅。

這篇文章專注于身份和訪問控制主題。但是安全環(huán)境的其他方面也是同樣重要的：

• 維護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用程序列表。當(dāng)涉及到連續(xù)性計劃和安全措施時，請優(yōu)先考慮表上的內(nèi)容。這并不是說只對關(guān)鍵系統(tǒng)采取措施，對其他系統(tǒng)不聞不問。這里說的是建立一致的基準(zhǔn)。關(guān)鍵的東西一旦經(jīng)過測試，就應(yīng)該先獲得“更好的措施”。

• IT 組織應(yīng)該把淘汰過時的操作系統(tǒng)當(dāng)作自己的優(yōu)先任務(wù)，尤其是那些服務(wù)于核心業(yè)務(wù)的系統(tǒng)。這些系統(tǒng)不僅會有嚴(yán)重漏洞，而且很可能使你無法采用其他更現(xiàn)代的功能。

• 不要延遲補丁和更新。安全補丁、AV 定義等——請勿等待，快速部署它們。設(shè)置最大增量。任何未打補丁的系統(tǒng)都應(yīng)考慮采用自動隔離程序。讓應(yīng)用程序負(fù)責(zé)人負(fù)起自己的責(zé)任。

• 使用數(shù)據(jù)。沒有數(shù)據(jù)，就不可能證明問題的嚴(yán)重性，沒法做計劃。一種糟糕的方法是使用中心化工具來收集數(shù)據(jù)。應(yīng)該用去中心化的方法，單獨管理各個系統(tǒng)的報告。通過這種方式，你可以將整個環(huán)境對特定帳戶的影響最小化。

原文鏈接：

https://gvnshtn.com/maersk-me-notpetya/