香港企業多重認證實施指南
商業電郵詐騙及憑證盜竊每年令香港企業損失數以百萬計。多重認證是現有最有效的技術管控措施——而且不需要企業級預算。
商業電郵詐騙及憑證盜竊每年令香港企業損失數以百萬計。多重認證是現有最有效的技術管控措施——而且不需要企業級預算。
商業電郵詐騙(BEC)是影響香港企業的最具財務破壞性的網絡攻擊之一。攻擊者入侵員工的電郵帳戶——通常透過利用其他服務數據洩露中的密碼進行憑證填充攻擊——並利用其欺詐性地轉移付款、要求電匯或訪問敏感業務資料。香港金融管理局及香港警察均就針對本地企業的BEC事件的頻率和嚴重性發出警告。一次成功的BEC事件的中位財務損失高達數萬港元,部分案例涉及數百萬元的損失。
微軟的研究一致顯示,多重認證 ↗可阻止超過99.9%的自動化憑證填充攻擊,並大大增加基於釣魚的帳戶入侵的難度。對於企業而言,這個計算非常直接:在整個機構部署多重認證的成本,只是一次成功BEC事件損失的一小部分。對於使用Microsoft 365或Google Workspace的機構——香港中小企業的主流平台——多重認證可以在身份提供商層面強制執行,要求所有員工無論在何處或如何訪問公司資源,均須使用第二重驗證因素。
法規及保險方面的考量也在推動香港企業採用多重認證。網絡保險政策越來越多地要求多重認證作為電郵和雲端帳戶的承保條件。未部署多重認證而遭受BEC事件的企業,可能會發現保險公司以未採取充分預防措施為由拒絕理賠。個人資料私隱專員公署(PCPD)期望機構實施適當的安全措施,而多重認證被廣泛認為是保護儲存在雲端系統中個人資料的基本要求。
對於Microsoft 365,在整個機構強制執行多重認證的最簡單途徑是透過安全預設值——微軟免費提供給所有租戶的一組預配置安全政策。安全預設值可由管理員在Azure Active Directory門戶中啟用,一旦啟用,所有用戶將在14天內被要求登記並使用多重認證。Microsoft Authenticator推送通知是推薦的多重認證方式。如需更精細的控制——豁免特定服務帳戶、為管理員強制使用硬件金鑰,或配置基於風險的條件式訪問——Azure AD條件式訪問(適用於Microsoft 365商業高級版及以上)提供企業級政策控制。
對於Google Workspace,多重認證的執行在管理員控制台的安全性 → 驗證 → 兩步驟驗證下進行管理。管理員可以為域中的所有用戶強制執行兩步驟驗證,設置用戶必須在其成為強制性之前登記的寬限期,以及配置允許使用哪些雙重認證方式(允許管理員禁止短訊並要求使用驗證應用程式或硬件金鑰)。Google Workspace管理員SDK亦提供雙重認證合規報告,顯示哪些用戶已登記、哪些尚未登記。Google Workspace企業版支持硬件金鑰強制執行,建議用於管理員帳戶。
對於兩個平台,推薦的部署流程是:向所有員工宣佈即將發生的變化,提供培訓資源和服務台升級途徑,先在試點群組中啟用執行,然後在全機構推廣。執行後兩週內運行合規報告,識別未登記的用戶並提供親身協助。規劃邊緣情況,例如共享帳戶(實施共享帳戶解決方案,而非共享雙重認證驗證碼)、服務帳戶(使用應用程式密碼或服務帳戶特定的驗證流程),以及抗拒變化的員工(提供一對一支援,而非允許豁免)。
對於高管帳戶、IT管理員帳戶、擁有付款審批權限的財務團隊成員,以及任何能訪問高度敏感數據的員工,硬件安全金鑰提供了超越驗證應用程式的保護。FIDO2硬件金鑰的域名綁定特性使其完全免疫釣魚攻擊——即使是最複雜的針對性釣魚攻擊也無法從硬件金鑰竊取驗證,因為金鑰在簽名前會以加密方式驗證確切的網站域名。
對於企業部署,推薦的方式是批量購買YubiKey 5C NFC金鑰(Yubico提供批量定價),並為每位高風險員工分配兩把金鑰——一把用於日常使用,另一把登記為備用。培訓員工針對每項相關服務(Microsoft 365、Google Workspace、VPN、特權管理員門戶)的設置流程。建立金鑰管理程序:金鑰登記在員工名下,列入資產登記冊,遺失時必須立即上報以便從所有系統中移除。遺失金鑰的移除是一個關鍵流程,必須在部署前明確定義。
對於典型香港中小企業的大多數員工而言,硬件金鑰並非必要——Microsoft Authenticator或Google Authenticator配合機構強制執行的多重認證已提供出色的保護。硬件金鑰最適合帳戶被入侵將對企業造成災難性後果的員工:C級高管、IT管理員、財務主管以及任何能訪問客戶個人資料的人員。分層方式——高風險職位使用硬件金鑰,普通員工使用驗證應用程式——在安全性、實用性與成本之間取得平衡。
從技術層面強制執行多重認證是必要的,但並不充分——員工需要了解多重認證的重要性,以及如何正確使用它。一個常見的失敗模式是員工在未閱讀請求詳情的情況下自動批准推送通知,這使多重認證疲勞攻擊得以實現。培訓應涵蓋:如何驗證推送批准請求的合法性(與您實際登入嘗試的地點和時間吻合)、收到意外批准請求時應採取的行動(拒絕並向IT部門報告),以及如何高效使用您選擇的多重認證方式而不使其成為負擔。
您的多重認證政策文件應明確規定:哪些帳戶需要多重認證(至少包括所有雲端電郵、VPN、遠程訪問及管理帳戶)、允許使用哪些多重認證方式(驗證應用程式為基礎,特權訪問使用硬件金鑰)、多重認證設備不可用時的應對措施(向IT服務台的升級途徑),以及員工離職流程(多重認證憑證撤銷作為帳戶取消配置的一部分)。該政策應每年審查,並隨新驗證技術的出現而更新。
持續管理包括監控多重認證繞過嘗試(僅憑密碼成功的登入——表明某帳戶可能被錯誤地豁免於多重認證)、追蹤多重認證登記合規性、審查和更新受信任設備列表,以及測試恢復程序。許多機構每年進行「釣魚模擬」,測試員工是否會批准偽造的推送通知——這類演習能識別需要額外培訓的員工,並強化在批准請求前先核實的習慣。請詳細記錄您的多重認證程序,因為此類文件可能被審計人員、網絡保險公司或監管機構要求提供。
