Najlepsze rozwiązania dla usług Azure AD i ADFS: obrona przed atakami rozproszonymi dotyczącymi haseł
Witajcie!
Od kiedy zaczęliśmy korzystać z haseł hakerzy próbują je odgadywać. W tym wpisie omówię często spotykany typ ataku, który ostatnio jest przeprowadzany ZNACZNIE częściej, a także pewne najlepsze rozwiązania pozwalające się przed nim bronić. Atak ten jest nazywany atakiem rozproszonym dotyczącym hasła.
W ataku rozproszonym dotyczącym hasła hakerzy próbują użyć najbardziej typowych haseł dla wielu różnych kont i usług, aby uzyskać dostęp do jakichkolwiek zasobów chronionych hasłem, które uda im się znaleźć. Zwykle te konta i usługi znajdują się w wielu różnych organizacjach i u różnych dostawców tożsamości. Haker może na przykład użyć szeroko dostępnego zestawu narzędzi, takiego jak Mailsniper, aby wyliczyć wszystkich użytkowników w kilku organizacjach, a następnie spróbować użyć haseł „H@$ło” i „Hasło1” dla tych wszystkich kont. Przykładowo atak taki może wyglądać tak:
Użytkownik będący celem ataku | Hasło użyte w ataku |
Uzytkownik_1@organizacja_1.pl | Hasło1 |
Uzytkownik_2@organizacja_1.pl | Hasło1 |
Uzytkownik_1@organizacja_2.pl | Hasło1 |
Uzytkownik_2@organizacja_2.pl | Hasło1 |
… | … |
Uzytkownik_1@organizacja_1.pl | H@$ło |
Uzytkownik_2@organizacja_1.pl | H@$ło |
Uzytkownik_1@organizacja_2.pl | H@$ło |
Uzytkownik_2@organizacja_2.pl | H@$ło |
Takiego ataku nie można wykryć za pomocą większości technik wykrywania, ponieważ z perspektywy pojedynczego użytkownika lub firmy atak wygląda po prostu jako odosobniona nieudana próba zalogowania się.
Dla hakerów jest to gra liczb: wiedzą, że niektóre używane hasła są bardzo łatwe do odgadnięcia. Mimo że takie najprostsze hasła są używane tylko dla od 0,5 do 1,0% kont, hakerowi uda się odgadnąć kilka haseł na każdy tysiąc zaatakowanych kont i to wystarcza do skutecznego ataku.
Haker używa tych kont do uzyskania danych z wiadomości e-mail i informacji kontaktowych, a także do wysyłania linków wyłudzających informacje lub po prostu poszerzenia grupy docelowej ataków rozproszonych dotyczących haseł. Dla hakera nie ma znaczenia, do kogo należą pierwsze konta, których hasła uda się odgadnąć — wystarcza mu, że odniesie pewien sukces, który może wykorzystać do kolejnych ataków.
Na szczęście firma Microsoft posiada wiele już wdrożonych narzędzi, które pozwalają łagodzić skutki takich ataków. Kolejne narzędzia zostaną wprowadzone wkrótce. Kontynuuj czytanie tego wpisu i sprawdź, co możesz zrobić już teraz oraz w najbliższych miesiącach, aby zapobiegać atakom rozproszonym dotyczącym haseł.
Cztery proste kroki pozwalające zwalczać ataki rozproszone dotyczące haseł
Krok 1 Korzystaj z uwierzytelniania w chmurze
W środowisku chmury obserwujemy miliardy logowań do systemów firmy Microsoft każdego dnia. Nasze algorytmy zabezpieczeń do wykrywania ataków pozwalają nam wykrywać i blokować ataki w czasie rzeczywistym. Ponieważ te systemy wykrywania i ochrony są obsługiwane w chmurze, są dostępne tylko podczas uwierzytelniania w usłudze Azure AD w chmurze (w tym uwierzytelniania przekazującego).
Blokada inteligenta
W chmurze używamy blokady inteligentnej do odróżniania prób logowania wyglądających jako przeprowadzane przez prawidłowych użytkowników od logowań, które mogą być dokonywane przez hakerów. Możemy zablokować hakera, pozwalając jednocześnie prawidłowemu użytkownikowi nadal korzystać z konta. Dzięki temu nie następuje odmowa dostępu do usługi względem użytkownika i można zablokować większość ataków rozproszonych dotyczących haseł. Dotyczy to wszystkich logowań w usłudze Azure AD niezależnie od poziomu licencji, a także wszystkich logowań na konta Microsoft.
Dzierżawy używające usługi Active Directory Federation Services (ADFS) będą mogły natywnie korzystać z blokady inteligentnej w usłudze ADFS w systemie Windows Server 2016 od marca 2018 r. — funkcja ta zostanie udostępniona za pośrednictwem usługi Windows Update.
Blokada adresów IP
Blokada adresów IP działa na podstawie analizy miliardów logowań, w ramach której jest oceniana jakość ruchu z każdego adresu IP podejmującego próbę zalogowania się do systemów firmy Microsoft. Podczas tej analizy funkcja blokady adresów IP znajduje adresy IP, z których pochodzą złośliwe działania, i blokuje te logowania w czasie rzeczywistym.
Symulacje ataków
Symulator ataków, teraz dostępny w publicznej wersji zapoznawczej w ramach zestawu narzędzi Analiza zagrożeń w usłudze Office 365, umożliwia klientom uruchamianie symulowanych ataków na swoich własnych użytkowników końcowych, ustalanie zachowania użytkowników w przypadku ataku, a także aktualizowanie zasad i zagwarantowanie, że są wdrożone odpowiednie narzędzia zabezpieczeń do ochrony organizacji przed zagrożeniami, takimi jak ataki rozproszone dotyczące haseł.
Zalecenia, które należy wdrożyć jak najszybciej:
- Jeśli Twoja organizacja korzysta z uwierzytelniania w chmurze, jest chroniona
- Jeśli Twoja organizacja korzysta z usług ADFS lub działa według innego scenariusza z wdrożeniem hybrydowym, czekaj na uaktualnienie usług ADFS w marcu 2018 r., w ramach którego zostanie wprowadzona blokada inteligenta
- Skorzystaj z symulatora ataków, aby aktywnie ocenić poziom bezpieczeństwa w Twojej organizacji i wprowadzić odpowiednie dostosowania
Krok 2 Korzystaj z uwierzytelniania wieloskładnikowego
Hasło to klucz dostępu do konta. Jednak w udanym ataku rozproszonym dotyczącym haseł haker odgadł prawidłowe hasło. Aby go zatrzymać, musimy używać czegoś więcej niż samego hasła w celu odróżnienia właściciela konta od hakera. Poniżej podałem trzy rozwiązania tej kwestii.
Uwierzytelnianie wieloskładnikowe oparte na ryzyku
Usługa Azure AD Identity Protection używa podanych powyżej danych logowania i podnosi poziom zabezpieczeń dzięki zaawansowanym funkcjom uczenia maszynowego i wykrywania opartego na algorytmach, oceniając ryzyko każdego logowania trafiającego do systemu. Dzięki temu klienci będący przedsiębiorstwami mogą tworzyć zasady w usłudze Identity Protection, które monitują użytkownika o uwierzytelnienie się za pomocą drugiego składnika tylko wtedy, gdy wykryto ryzyko dotyczące użytkownika lub sesji logowania. Takie rozwiązanie pozwala ograniczyć obciążenie użytkowników i zablokować działania hakerów. Dowiedz się więcej o usłudze Azure AD Identity Protection tutaj.
Zawsze włączone uwierzytelnianie wieloskładnikowe
Aby uzyskać jeszcze wyższy poziom bezpieczeństwa, możesz używać usługi Azure MFA do wymagania uwierzytelniania wieloskładnikowego od użytkowników zawsze — zarówno podczas uwierzytelniania w chmurze, jak i w usłudze ADFS. Takie rozwiązanie wymusza na użytkownikach końcowych stały dostęp do swoich urządzeń oraz częstsze przeprowadzanie uwierzytelniania wieloskładnikowego, zapewnia jednak Twojemu przedsiębiorstwu najwyższy poziom bezpieczeństwa. Powinno być stosowane dla wszystkich administratorów w organizacji. Dowiedz się więcej o usłudze Azure Multi-Factor Authentication tutaj oraz o tym, jak skonfigurować usługę Azure MFA dla usługi ADFS.
Usługa Azure MFA jak podstawowa metoda uwierzytelniania
W usłudze ADFS 2016 możesz używać usługi Azure MFA jako podstawowej metody uwierzytelniania bez użycia haseł. Jest to dobre narzędzie ochrony przed atakami rozproszonymi dotyczącymi haseł i atakami w celu wykradzenia haseł: gdy nie istnieje hasło, nie można go odgadnąć. Sprawdza się doskonale dla wszystkich typów urządzeń o różnych rozmiarach. Co więcej, teraz można użyć hasła jako drugiego składnika dopiero po zweryfikowaniu hasła jednorazowego w usłudze Azure MFA. Dowiedz się więcej na temat używania hasła jako drugiego składnika tutaj.
Zalecenia, które należy wdrożyć jak najszybciej:
- Stanowczo zalecamy stosowanie zawsze włączonego uwierzytelniania wieloskładnikowego dla wszystkich administratorów w organizacji, w szczególności dla właścicieli subskrypcji i administratorów dzierżawy. Naprawdę warto o to zadbać już teraz.
- Aby zapewnić najlepsze środowisko pracy pozostałym użytkownikom, zalecamy stosowanie uwierzytelniania wieloskładnikowego opartego na ryzyku, które jest dostępne w ramach licencji Azure AD Premium P2.
- W przypadku nie skorzystania z tej opcji, używaj usługi Azure MFA w celu uwierzytelniania w chmurze oraz usługi ADFS.
- W przypadku korzystania z usługi ADFS uaktualnij ją w systemie Windows Server 2016 do używania usługi Azure MFA jako podstawowego uwierzytelniania, w szczególności w celu pełnej obsługi dostępu do ekstranetu.
Krok 3 Bezpieczniejsze hasła dla wszystkich
Nawet po wypełnieniu wszystkich powyższych zaleceń najważniejszym elementem obrony przed atakami rozproszonymi dotyczącymi haseł jest stosowanie przez wszystkich użytkowników haseł trudnych do odgadnięcia. Często użytkownicy nie wiedzą do końca, jak tworzyć hasła trudne do odgadnięcia. Firma Microsoft ułatwia ten proces dzięki poniższym narzędziom.
Zakazane hasła
W usłudze Azure AD każda zmiana i zresetowanie hasła przechodzą przez narzędzie do sprawdzania zakazanych haseł. Gdy zostaje przesłane nowe hasło, jest ono porównywane z listą wyrazów, które nie powinny być zawarte w czyichkolwiek hasłach (zmiana poszczególnych liter na cyfry lub symbole nie umożliwia zatwierdzenia takiego hasła). Jeśli hasło zostanie dopasowane, zostaje odrzucone i użytkownik jest proszony o wybranie hasła, które będzie trudniejsze do odgadnięcia. Tworzymy listę haseł najczęściej odgadywanych podczas ataków i często ją aktualizujemy.
Zakazane hasła niestandardowe
Aby jeszcze bardziej ulepszyć narzędzie do sprawdzania zakazanych haseł, zamierzamy umożliwić dzierżawom dostosowywanie list zakazanych haseł. Administratorzy będą mogli wybierać wyrazy popularne w organizacji — np. nazwiska sławnych założycieli i pracowników, nazwy produktów, lokalizacje, symbole regionalne — i uniemożliwiać używanie tych wyrazów w hasłach użytkowników. Lista ta będzie wymuszana oprócz listy globalnej, nie trzeba będzie więc wybierać między jedną a drugą listą. Obecnie jest dostępna w ramach ograniczonej wersji zapoznawczej i zostanie powszechnie udostępniona w tym roku.
Zmiany w narzędziu do sprawdzania zakazanych haseł w środowiskach lokalnych
Tej wiosny wprowadzamy narzędzie pozwalające administratorom przedsiębiorstw na blokowanie haseł w środowiskach hybrydowych usługi Active Directory w usłudze Azure AD. Listy zakazanych haseł będą synchronizowane między chmurą i środowiskami lokalnymi oraz wymuszane na każdym kontrolerze domeny z tym agentem. Ułatwi to administratorom zagwarantowanie, że hasła użytkowników są trudniejsze do odgadnięcia niezależnie od tego w którym środowisku — w chmurze bądź w środowisku lokalnym — użytkownik zmienia hasło. To narzędzie zostało udostępnione w ramach ograniczonej prywatnej wersji zapoznawczej w lutym 2018 r. i zostanie powszechnie udostępnione w tym roku.
Zmień swoje podejście do haseł
Wiele popularnych koncepcji dotyczących tego, jak tworzyć bezpieczne hasła, jest błędnych. Zwykle rozwiązania, które z matematycznego punktu widzenia powinny pomagać, w rzeczywistości prowadzą do przewidywalnych zachowań użytkowników: na przykład wymaganie określonych typów znaków i okresowych zmian haseł powoduje pojawianie się określonych wzorców haseł. Przeczytaj nasz oficjalny dokument ze wskazówkami dotyczącymi haseł, aby uzyskać więcej szczegółowych informacji. Jeśli korzystasz z usługi Active Directory w połączeniu z uwierzytelnianiem przekazywanym lub usługą ADFS, zaktualizuj zasady dotyczące haseł. Jeśli korzystasz z kont zarządzanych w chmurze, rozważ ustawienie haseł tak, aby nigdy nie wygasały.
Zalecenia, które należy wdrożyć jak najszybciej:
- Zainstaluj lokalnie narzędzie do sprawdzania zakazanych haseł firmy Microsoft, gdy zostanie udostępnione, aby ułatwić użytkownikom tworzenie bezpieczniejszych haseł.
- Przejrzyj zasady dotyczące haseł i rozważ ustawienie haseł tak, aby nigdy nie wygasały, dzięki czemu użytkownicy nie będą tworzyć haseł według okresowych wzorców.
Krok 4 Więcej przydatnych funkcji w usługach ADFS i Active Directory
Jeśli korzystasz z uwierzytelniania hybrydowego w usługach ADFS i Active Directory, możesz wykonać dodatkowe kroki, aby zabezpieczyć środowisko przed atakami rozproszonymi dotyczącymi haseł.
Krok pierwszy: w przypadku organizacji korzystających z usług ADFS 2.0 lub systemu Windows Server 2012 należy zaplanować przejście do usług ADFS w systemie Windows Server 2016 najszybciej, jak to możliwe. Najnowsza wersja zostanie szybciej zaktualizowana o bardziej rozbudowany zestaw funkcji, takich jak blokada ekstranetu. Uaktualnienie systemu Windows Server 2012 R2 do wersji 2016 jest naprawdę proste.
Zablokuj starsze protokoły uwierzytelniania w ekstranecie
Starsze protokoły uwierzytelniania nie umożliwiają wymuszania uwierzytelniania wieloskładnikowego, dlatego najlepszym rozwiązaniem jest zablokowanie ich w ekstranecie. Uniemożliwi to hakerom przeprowadzającym ataki rozproszone dotyczące haseł wykorzystanie braku uwierzytelniania wieloskładnikowego w tych protokołach.
Włącz blokadę ekstranetu na serwerze proxy aplikacji sieci Web usługi ADFS
Jeśli nie korzystasz z blokady ekstranetu na serwerze proxy aplikacji sieci Web usługi ADFS, włącz ją najszybciej, jak to możliwe, aby chronić użytkowników przed potencjalnymi atakami siłowymi dotyczącymi haseł.
Wdróż usługę Azure AD Connect Health dla usługi ADFS
Usługa Azure AD Connect Health zapisuje adresy IP zarejestrowane w dziennikach usługi ADFS jako błędne żądania nazwy użytkownika/hasła, zapewnia dodatkowe funkcje raportowania przydatne w rożnych scenariuszach oraz udostępnia dodatkowe analizy ułatwiające pracę inżynierom podczas otwierania asystowanych zgłoszeń pomocy technicznej.
Aby ją wdrożyć, pobierz najnowszą wersję agenta programu Azure AD Connect Health dla usługi ADFS na wszystkich serwerach usługi ADFS (2.6.491.0). Na serwerach usługi ADFS musi być zainstalowany system Windows Server 2012 R2 z aktualizacją KB 3134222 bądź system Windows Server 2016.
Korzystaj z metod dostępu innych niż oparte na hasłach
Gdy nie istnieje hasło, nie można go odgadnąć. Dla usługi ADFS i serwera proxy aplikacji sieci Web są dostępne następujące metody dostępu inne niż oparte na hasłach:
- Uwierzytelnianie oparte na certyfikatach umożliwia całkowite blokowanie punktów końcowych przesyłających nazwę użytownika/hasło na zaporze. Dowiedz się więcej o uwierzytelnianiu opartym na certyfikatach w usłudze ADFS
- Jak wspomniano wcześniej, usługa Azure MFA może być używana jako drugi składnik uwierzytelniania w chmurze oraz w usłudze ADFS 2012 R2 i 2016. Może jednak być także używana jako podstawowy składnik w usłudze ADFS 2016, aby całkowicie zablokować możliwość ataków rozproszonych dotyczących haseł. Dowiedz się, jak skonfigurować usługę Azure MFA w usłudze ADFS tutaj
- Funkcja Windows Hello dla firm, dostępna w systemie Windows 10 i obsługiwana przez usługę ADFS w systemie Windows Server 2016, umożliwia skonfigurowanie dostępu całkowicie bez użycia haseł, w tym dostępu z ekstranetu, udzielanego na podstawie silnych kluczy kryptograficznych powiązanych zarówno z użytkownikiem, jak i urządzeniem. Jest dostępna dla urządzeń zarządzanych przez przedsiębiorstwo dołączonych do usługi Azure AD lub hybrydowej usługi Azure AD, a także dla urządzeń osobistych za pośrednictwem opcji „Dodaj konto służbowe” w aplikacji Ustawienia. Dowiedz się więcej o funkcji Hello dla firm.
Zalecenia, które należy wdrożyć jak najszybciej:
- Uaktualnij usługę ADFS do wersji 2016, aby otrzymywać szybsze aktualizacje
- Zablokuj starsze protokoły uwierzytelniania w ekstranecie.
- Wdróż agentów programu Azure AD Connect Health dla usługi ADFS na wszystkich serwerach ADFS.
- Rozważ korzystanie z podstawowej metody uwierzytelniania nieużywającej haseł, takiej jak usługa Azure MFA, certyfikaty bądź funkcja Windows Hello dla firm.
Dodatkowe korzyści: Ochrona kont Microsoft
Jeśli jesteś użytkownikiem konta Microsoft:
- Twoje konto jest już chronione! Dla kont Microsoft jest także włączona blokada inteligenta, blokada adresów IP, weryfikacja dwuetapowa oparta na ryzyku, narzędzie do sprawdzania zakazanych haseł i nie tylko.
- Poświeć jednak dwie minuty, aby przejść na stronę Zabezpieczenia konta Microsoft i wybrać pozycję „Zaktualizuj moje informacje zabezpieczające” w celu przejrzenia swoich informacji zabezpieczających używanych na potrzeby weryfikacji dwuetapowej opartej na ryzyku.
- Rozważ skonfigurowanie zawsze włączonej weryfikacji dwuetapowej tutaj, aby zapewnić swojemu kontu maksymalne bezpieczeństwo.
Najlepszą obroną jest zastosowanie się do zaleceń podanych w tym wpisie
Ataki rozproszone dotyczące haseł to poważne zagrożenie dla każdej usługi w Internecie używającej haseł. Wykonanie czynności podanych w tym wpisie zapewni Ci jednak maksymalną ochronę przed atakami tego typu. Ponieważ wiele rodzajów ataków jest zbliżonych do ataków rozproszonych dotyczących haseł, powyższe zalecenia naprawdę warto wdrożyć jak najszybciej. Twoje bezpieczeństwo jest dla nas najwyższym priorytetem i stale ciężko pracujemy nad tworzeniem nowych, zaawansowanych metod ochrony przed atakami rozproszonymi dotyczącymi haseł oraz innymi typami ataków. Skorzystaj z powyższych metod już dziś i bądź na bieżąco z nowymi narzędziami do obrony przed hakerami działającymi w Internecie.
Mam nadzieję, że te informacje okażą się dla Ciebie przydatne. Jak zawsze prosimy o przesyłanie opinii i propozycji.
Pozdrawiam,
Alex Simons (Twitter: @Alex_A_Simons)
Dyrektor działu zarządzania programami
Microsoft Identity Division