Cele mai bune practici pentru Azure AD și ADFS: Apărarea împotriva atacurilor de tip spray asupra parolelor
Salutare, oameni buni,
Cât timp am avut parole, oamenii au încercat să le ghicească. În acest blog, vom discuta despre un atac des întâlnit care a devenit recent MULT mai frecvent și despre câteva dintre mai bune practici de apărare împotriva acestuia. Acest atac este denumit frecvent atac de tip spray asupra parolelor.
În cadrul unui atac de tip spray asupra parolelor, tipii cei răi încearcă cel mai des întâlnite parole la multeconturi și servicii diferite pentru a obține acces la orice active protejate prin parolă pe care le pot găsi. De obicei, acestea acoperă numeroase organizații diferite și furnizori de identitate. De exemplu, an atacator va folosi un set de instrumente accesibil, precum Mailsniper, pentru a enumera toți utilizatorii din mai multe organizații și apoi va încerca „P@$$w0rd” și „Password1” împotriva tuturor conturilor respective. Pentru a vă face o idee, un atac ar putea arăta astfel:
Utilizator țintă | Parolă țintă |
User1@org1.com | Password1 |
User2@org1.com | Password1 |
User1@org2.com | Password1 |
User2@org2.com | Password1 |
… | … |
User1@org1.com | P@$$w0rd |
User2@org1.com | P@$$w0rd |
User1@org2.com | P@$$w0rd |
User2@org2.com | P@$$w0rd |
Acest model de atac evită majoritatea tehnicilor de detectare, deoarece din perspectiva unui utilizator individual sau a firmei, atacul pur și simplu arată ca o conectare eșuată izolată.
Pentru atacatori, este o loterie: ei știu că există unele parole care sunt foarte frecvente. Chiar dacă aceste parole foarte frecvente reprezintă doar 0,5-1,0% din conturi, atacatorul va obține câteva succese la fiecare o mie de conturi atacate și asta este suficient ca să fie eficient.
Atacatorii folosesc conturile pentru a obține date din e-mailuri, pentru a colecta informații de contact și a trimite linkuri de phishing sau doar pentru a extinde grupul țintă al atacurilor de tip spray asupra parolelor. Pe atacatori nu îi interesează prea mult cine sunt țintele inițiale, ci doar să aibă succese pe care le pot folosi.
Vestea bună este că Microsoft are multe instrumente deja implementate și disponibile pentru a diminua aceste atacuri și va lansa multe altele în curând. Citiți în continuare pentru a vedea ce puteți face acum și în lunile următoare pentru a opri atacurile de tip spray asupra parolelor.
Patru pași ușori pentru a întrerupe atacurile de tip spray asupra parolelor
Pasul 1: Utilizați autentificarea în cloud
În cloud, vedem miliarde de conectări la sisteme Microsoft în fiecare zi. Algoritmii noștri de detectare și securitate ne permit să detectăm și să blocăm atacurile în timp ce au loc. Deoarece acestea sunt sisteme de detectare și protecție în timp real acționate din cloud, sunt disponibile doar atunci când se realizează autentificarea Azure AD în cloud (inclusiv Autentificarea directă).
Blocarea inteligentă
În cloud, folosim blocarea inteligentă pentru a diferenția între încercările de conectare care par să aparțină utilizatorului valid și conectările care par să fie ale unui atacator. Putem bloca atacatorul în timp ce-l lăsăm pe utilizatorul valid să utilizeze contul în continuare. Aceasta previne refuzul serviciului către utilizator și oprește atacurile excesive de tip spray asupra parolelor. Aceasta se aplică tuturor conectărilor Azure AD, indiferent de nivelul licenței, și tuturor conectărilor la conturi Microsoft.
Entitățile găzduite care utilizează Active Directory Federation Services (ADFS) pot folosi blocarea inteligentă în mod nativ în ADFS în Windows Server 2016 începând din martie 2018. Căutați această capacitate în Windows Update.
Blocarea IP-ului
Blocarea IP-ului funcționează prin analizarea miliardelor de conectări pentru a evalua calitatea traficului de la fiecare adresă IP care accesează sistemele Microsoft. Cu această analiză, blocarea IP-ului găsește adresele IP care se comportă răuvoitor și blochează respectivele conectări în timp real.
Simulări ale atacurilor
Disponibil acum în previzualizare publică, Simulatorul de atacuri, care face parte din Investigarea amenințărilor Office 365, le permite clienților să lanseze atacuri simulate asupra propriilor utilizatori finali, pentru a determina cum se comportă utilizatorii lor în cazul unui atac, pentru a actualiza politicile și a se asigura că sunt implementate instrumentele de securitate adecvate pentru a proteja organizația dvs. de amenințări precum atacurile de tip spray asupra parolelor.
Lucruri pe care vă recomandăm să le faceți imediat:
- Dacă folosiți autentificarea în cloud, sunteți acoperit
- Dacă folosiți ADFS sau un alt scenariu hibrid, căutați o actualizare ADFS în martie 2018 pentru Blocarea inteligentă
- Folosiți Simulatorul de atacuri pentru a evalua proactiv postura dvs. de securitate și pentru a face ajustări
Pasul 2: Folosiți Multi-factor Authentication
O parolă este cheia accesării unui cont, dar în cazul unui atac de tip spray asupra parolelor încununat cu succes, atacatorul a ghicit parola corectă. Pentru a-l opri, trebuie să folosim mai mult decât o simplă parolă ca să facem distincția între proprietarul contului și atacator. Cele trei moduri de a face acest lucru sunt prezentate mai jos.
Autentificarea multi-factor bazată pe risc
Protecția identității Azure AD folosește datele de conectare menționate mai sus și adaugă învățare programată avansată și detectarea algoritmică pentru a evalua riscul fiecărei conectări care intră în sistem. Aceasta le permite clienților să creeze politici în Protecția identității care solicită unui utilizator să se autentifice cu ajutorul unui al doilea factor dacă și numai dacă se detectează un risc pentru utilizator sau pentru sesiune. Aceasta ușurează povara asupra utilizatorilor dvs. și pune obstacole în calea tipilor răi. Aflați mai multe despre Protecția identității Azure AD aici.
Autentificarea multi-factor permanentă
Pentru și mai multă securitate, puteți utiliza Azure MFA pentru a solicita autentificare multi-factor pentru utilizatorii dvs. în permanență, atât autentificare în cloud, cât și ADFS. Deși aceasta face să fie necesar ca utilizatorii finali să aibă mereu dispozitivele și să efectueze mai frecvent autentificarea multi-factor, asigură cea mai bună securitate pentru întreprinderea dvs. Aceasta ar trebui să fie activată pentru toți administratorii din cadrul unei organizații. Aflați mai multe despre Azure Multi-Factor Authentication aici și cum să configurați Azure MFA pentru ADFS.
Azure MFA ca metodă de autentificare principală
În ADFS 2016, aveți posibilitatea de a utiliza Azure MFA ca metodă de autentificare principală pentru autentificarea fără parole. Acesta este un instrument excelent de protecție împotriva atacurilor de tip spray asupra parolelor și a atacurilor în scopul furtului de parole: dacă nu există nicio parolă, nu poate fi ghicită. Acesta funcționează foarte bine pentru toate tipurile de dispozitive cu diferiți factori de formă. În plus, acum puteți folosi parola ca factor secundar numai după ce OTP a fost validat cu Azure MFA. Aflați mai multe despre utilizarea parolei ca factor secundar aici.
Lucruri pe care vă recomandăm să le faceți imediat:
- Vă recomandăm insistent să activați autentificarea permanentă multi-factor pentru toți administratorii din cadrul organizației dvs., în special pentru proprietarii de abonamente și administratorii de entități găzduite. Serios, faceți asta chiar acum.
- Pentru cea mai bună experiență pentru restul utilizatorilor dvs., vă recomandăm autentificarea multi-factor bazată pe risc, care este disponibilă împreună cu licențele Azure AD Premium P2.
- Altfel, folosiți Azure MFA pentru autentificarea în cloud și ADFS.
- În ADFS, actualizați la ADFS pe Windows Server 2016 pentru a utiliza Azure MFA ca metodă de autentificare principală, în special pentru tot accesul la extranet.
Pasul 3: Parole mai bune pentru toată lumea
Chiar și cu toate cele de mai sus, o componentă cheie a apărării împotriva atacurilor de tip spray asupra parolelor este ca toți utilizatorii să aibă parole greu de ghicit. Este adesea dificil pentru utilizatori să știe cum să creeze parole greu de ghicit. Microsoft vă ajută la asta cu ajutorul acestor instrumente.
Parole interzise
În Azure AD, fiecare schimbare și resetare de parolă trece printr-un verificator de parole interzise. Când este trimisă o parolă nouă, aceasta este potrivită aproximativ cu o listă de cuvinte pe care nimeni nu ar trebui să le folosească niciodată în parola sa (și ortografia de tip l33t-sp3@k nu ajută). Dacă aceasta înregistrează o potrivire, este respinsă, iar utilizatorul este rugat să aleagă o parolă mai greu de ghicit. Am realizat lista celor mai frecvent atacate parole și o actualizăm frecvent.
Parole interzise particularizate
Pentru a face parolele interzise și mai bune, le vom permite entităților găzduite să își particularizeze lista lor de parole interzise. Administratorii pot alege cuvinte folosite frecvent în organizația lor (angajați și fondatori binecunoscuți, produse, locații, modele regionale etc.) și pot împiedica utilizarea lor în parolele utilizatorilor lor. Această listă va fi implementată suplimentar față de lista globală, așa că nu trebuie să alegeți între ele. Acum este în previzualizare limitată și va fi lansată anul acesta.
Parole interzise pentru modificările pe plan local
În primăvara aceasta, lansăm un instrument care le permite administratorilor de întreprinderi să interzică parolele în medii hibride Azure AD-Active Directory. Listele de parole interzise vor fi sincronizate din cloud către mediile dvs. pe plan local și vor fi implementate în fiecare controler de domeniu împreună cu agentul. Aceasta îi ajută pe administratori să se asigure că parolele utilizatorilor sunt mai greu de ghicit indiferent unde își schimbă utilizatorul parola, în cloud sau pe plan local. Instrumentul a fost lansat în previzualizare privată limitată în februarie 2018 și va ajunge în disponibilitate generală anul acesta.
Schimbați modul în care gândiți despre parole
Multe dintre concepțiile des întâlnite despre ceea ce face o parolă să fie bună sunt greșite. De obicei ceva care ar trebui să ajute din punct de vedere matematic determină de fapt un comportament previzibil al utilizatorului: de exemplu, solicitarea anumitelor tipuri de caractere și schimbările periodice ale parolei au ambele ca rezultat modele specifice de parole. Citiți Cartea noastră albă cu instrucțiuni privind parolele pentru mult mai multe detalii. Dacă utilizați Active Directory împreună cu PTA sau ADFS, actualizați-vă politicile privind parolele. Dacă folosiți conturi gestionate prin cloud, luați în considerare setarea parolelor dvs. ca să nu expire niciodată.
Lucruri pe care vă recomandăm să le faceți imediat:
- Când este lansat, instalați instrumentul Microsoft pentru parole interzise pe plan local, pentru a-i ajuta pe utilizatorii dvs. să creeze parole mai bune.
- Revizuiți-vă politicile privind parolele și luați în considerare setarea lor ca să nu expire niciodată, astfel încât utilizatorii dvs. să nu folosească modele sezoniere pentru a-și crea parolele.
Pasul 4: Mai multe caracteristici grozave în ADFS și Active Directory
Dacă folosiți autentificarea hibridă cu ADFS și Active Directory, există mai mulți pași pe care îi puteți urma pentru a vă securiza mediul împotriva atacurilor de tip spray asupra parolelor.
Primul pas: pentru organizații care rulează ADFS 2.0 sau Windows Server 2012, planificați trecerea la ADFS în Windows Server 2016 cât mai curând posibil. Cea mai recentă versiune va fi actualizată mai rapid, cu un set mai amplu de capacități, precum blocarea extranetului. Și rețineți: am simplificat foarte mult actualizarea de la Windows Server 2012R2 la 2016.
Blocarea autentificării moștenite din extranet
Protocoalele de autentificare moștenită nu au capacitatea de a implementa MFA, așa că cea mai bună abordare este de a le bloca din extranet. Aceasta va împiedica atacatorii care folosesc atacuri de tip spray asupra parolelor să exploateze absența MFS din respectivele protocoale.
Activarea ADFS Web Application Proxy Extranet Lockout
Dacă nu aveți implementată blocarea extranetului la proxy-ul ADFS Web Application, ar trebui să o activați cât mai curând posibil pentru a vă proteja utilizatorii de potențiala compromitere a parolelor prin forță brută.
Implementarea Azure AD Connect Health pentru ADFS
Azure AD Connect Health capturează adresele IP înregistrate în jurnalele ADFS pentru solicitările de nume de utilizator/parolă incorecte, vă furnizează raportări suplimentare privind o gamă de scenarii și oferă detalii suplimentare inginerilor de asistență la deschiderea cazurilor de suport asistat.
Pentru a implementa, descărcați cea mai recentă versiune de Azure AD Connect Health Agent pentru ADFS pe toate Serverele ADFS (2.6.491.0). Serverele ADFS trebuie să ruleze Windows Server 2012 R2 cu KB 3134222 instalat sau Windows Server 2016.
Utilizarea de metode de acces nebazate pe parolă
Dacă parola nu există, ea nu poate fi ghicită. Aceste metode de autentificare nebazate pe parolă sunt disponibile pentru ADFS și Web Application Proxy:
- Autentificarea bazată pe certificate permite ca punctele finale pentru nume de utilizator/parolă să fie blocate complet la firewall. Aflați mai multe despre autentificarea bazată pe certificate în ADFS
- Azure MFA, după cum am menționat mai sus, poate fi utilizată ca factor secundar în autentificarea în cloud și ADFS 2012 R2 și 2016. Dar aceasta poate fi utilizată și ca factor principal în ADFS 2016, pentru a opri complet posibilitatea unui atac de tip spray asupra parolelor. Aflați cum să configurați Azure MFA cu ADFS aici
- Windows Hello pentru business, disponibil în Windows 10 și acceptat de ADFS în Windows Server 2016, permite accesul complet lipsit de parole, inclusiv din extranet, pe baza unor puternice chei criptografice legate atât de utilizator, cât și de dispozitiv. Acesta este disponibil pentru dispozitivele gestionate la nivel de corporație care sunt conectate la Azure AD sau la Hybrid Azure AD, precum și pentru dispozitivele personale prin „Adăugarea unui cont de la locul de muncă sau de la școală” din aplicația Setări. Obțineți mai multe informații despre Hello pentru business.
Lucruri pe care vă recomandăm să le faceți imediat:
- Faceți upgrade la ADFS 2016 pentru actualizări mai rapide
- Blocați autentificarea moștenită din extranet.
- Implementați agenții Azure AD Connect Health pentru ADFS pe toate serverele dvs. ADFS.
- Considerați utilizarea unei metode de autentificare principale fără parolă, precum Azure MFA, certificate sau Windows Hello pentru business.
Bonus: Protejarea conturilor dvs. Microsoft
Dacă sunteți un utilizator de cont Microsoft:
- Vești bune, sunteți deja protejat! Conturile Microsoft au și Blocarea inteligentă, Blocarea IP-ului, verificarea în doi pași bazată pe risc, parolele interzise și multe altele.
- Totuși, rezervați-vă două minute pentru a accesa pagina de Securitate a contului Microsoft și alegeți „Actualizarea informațiilor de securitate” pentru a trece în revistă informațiile dvs. de securitate utilizate pentru verificarea în doi pași bazată pe risc
- Considerați activarea autentificării permanente prin mai multe metode aici pentru a oferi contului dvs. cea mai bună securitate posibilă.
Cea mai bună apărare este… să urmați recomandările din acest blog
Atacurile de tip spray asupra parolelor reprezintă o amenințare serioasă pentru orice serviciu de pe internet care utilizează parole, dar dacă luați măsurile din acest blog, veți beneficia de protecție maximă împotriva acestui vector de atac. Și, pentru că multe tipuri de atacuri au trăsături similare, acestea sunt sugestii de protecție eficiente în orice caz. Securitatea dvs. este întotdeauna principala noastră prioritate și depunem în continuare eforturi pentru a dezvolta măsuri de protecție noi, avansate împotriva atacurilor de tip spray asupra parolelor și a oricărui alt tip de atac existent. Folosiți-le astăzi pe cele de mai sus și reveniți frecvent pentru noi instrumente cu care să vă apărați împotriva tipilor răi de pe internet.
Sper că veți considera utile aceste informații. Ca întotdeauna, așteptăm cu nerăbdare orice feedback sau sugestii din partea dvs.
Cu stimă,
Alex Simons (Twitter: @Alex_A_Simons)
Director Management programe
Divizia Microsoft Identity