什麼是憑證攻擊？

憑證竊取是基於憑證的攻擊的第一階段，是竊取憑證的過程。攻擊者通常使用網路釣魚來竊取憑證，因為這是一種相當便宜且效率極高的策略。憑證網路釣魚的成效有賴於人與人之間的互動，試圖欺騙員工，這與惡意軟體和攻擊不同，惡意軟體和攻擊有賴於安全防禦的弱點。

企業憑證竊取通常是有針對性的行為。攻擊者在 LinkedIn 等社交媒體網站搜尋特定使用者，這些使用者的憑證可讓攻擊者存取關鍵資料和資訊。企業憑證竊取所使用的網路釣魚電子郵件和網站比消費者憑證竊取所使用的要複雜得多。攻擊者花了很大的心思，讓這些電子郵件和網站看起來與合法的企業應用程式和通訊幾乎完全相同。

在這個以憑證為基礎的攻擊階段，安全意識訓練扮演了第一道防線的角色。不幸的是，無法保證員工能百分之百識別網路釣魚企圖。為了減少憑證被盜用的情況，公司憑證應限用於已核准的應用程式，並應封鎖不可能或未知應用程式和網站的使用。安全性產品必須能夠阻止企業憑證離開組織的網路，並防止提交到惡意網站。

什麼是濫用憑證？

憑證濫用是基於憑證的攻擊的最終結果，是實際使用被洩露的密碼來驗證應用程式和竊取資料。

攻擊者一旦取得使用者憑證和密碼，就可以在地下網路犯罪集團中販售這些憑證，或是利用這些憑證入侵組織的網路，繞過所有防止敵人入侵的安全性措施，在網路中橫向移動並竊取資料。

在未分割的環境中，攻擊者可以在組織的網路中自由移動。如果將環境隔離，並提供使用者和應用程式的可視性，就能建立安全措施，防止攻擊者橫向移動，存取關鍵資料。

一旦攻擊者擁有像有效使用者一樣操作的憑證，就幾乎無法識別入侵者，也無法驗證該使用者是否真的是其憑證聲稱的使用者。組織通常會在應用程式中實作多因素驗證，要求使用者驗證身份一次以上。但是，對組織內使用的每個應用程式都這樣做是無法擴充的。在網路層（即防火牆）實作政策式多因素驗證，將可提供所需的大規模和終端使用者的易用性。

Palo Alto Networks Next-Generation Security Platform 可在多處阻止基於憑證的攻擊生命週期，從竊取憑證到濫用盜取的憑證。下一代防火牆、威脅防護、WildFire 和 URL 過濾的結合防護功能可阻止用於竊取和濫用憑證的已知和未知攻擊，而 GlobalProtect 則可將防護功能從平台延伸至行動使用者，並提供額外措施以識別存取應用程式的使用者和裝置。