מאז ומתמיד – כשהיו לנו סיסמאות, אנשים ניסו לנחש מהן. בבלוג זה נעסוק במתקפה נפוצה שלאחרונה הפכה להיות הרבה יותר תכופה ונציין כמה שיטות עבודה מומלצות להתגונן מפניה. מתקפה זו ידועה בשם Password Spray.

במתקפה מסוג Password Spray, התוקפים מנסים את הסיסמאות הנפוצות ביותר בחשבונות ושירותים רבים ושונים כדי להשיג גישה לכל הנכסים שהם יכולים למצוא, המוגנים באמצעות סיסמה. לרוב, הם פרוסים על פני ארגונים וספקי זהויות רבים ושונים. לדוגמה, תוקף ישתמש בערכת כלים זמינה בדרך כלל, כמו Mailsniper כדי לספור את כל המשתמשים בכמה ארגונים, ולאחר מכן ינסה את הסיסמה "P@$$w0rd" ו- "Password1" בכל החשבונות הללו. כדי שתקבל מושג, המתקפה עשויה להיראות כמו:

דפוס זה של מתקפה מצליח להתחמק מרוב טכניקות הזיהוי מכיוון שמעמדת היתרון של משתמש יחיד או חברה, המתקפה נראית בדיוק כמו כניסה יחידה שנכשלה.

עבור התוקפים, זה משחק של מספרים: הם יודעים שבחוץ מסתובבות כמה סיסמאות נפוצות מאוד. על אף שהסיסמאות המאוד נפוצות הללו נמצאות ב- 0.5-1.0% מהחשבונות בלבד, התוקף יזכה בכמה הצלחות מבין אלפי החשבונות שהוא תוקף, וזה מספיק כדי להיות יעיל.

הם משתמשים בחשבונות כדי לקבל נתונים מהודעות דואר אלקטרוני, לאסוף מידע על אנשי קשר ולשלוח קישורי דיוג או פשוט להרחיב את קבוצת היעד של מתקפת ה- Password Spray. לתוקפים לא ממש משנה מיהם היעדים הראשונים – רק שהם יזכו להצלחה כלשהי שתאפשר להם למנף את התקיפה.

החדשות הטובות הן שחברת Microsoft כבר מציעה הרבה כלים זמינים שיושמו כדי ליירט מתקפות אלה, ושכלים נוספים עומדים להגיע בקרוב. קרא עוד כדי לבדוק מה תוכל לעשות עכשיו ובחודשים הקרובים כדי לעצור מתקפות Password Spray.

ארבעה שלבים פשוטים ליירוט של מתקפות Password Spray

שלב 1: שימוש באימות ענן

בענן, אנו רואים מיליארדי כניסות למערכות של Microsoft מדי יום. האלגוריתמים שלנו לזיהוי אבטחה מאפשרים לנו לזהות ולחסום מתקפות בזמן שהן מתרחשות. מכיוון שמדובר במערכות לזיהוי והגנה בזמן אמת הלקוחות מהענן, הן זמינות רק במהלך אימות Azure AD בענן (כולל אימות מעבר).

נעילה חכמה

בענן, אנו משתמשים ב'נעילה חכמה' כדי להבחין בין ניסיונות כניסה שנראים כאילו הם מגיעים ממשתמש חוקי לבין כניסות ממשתמש שעלול להיות תוקף. אנו יכולים לנעול את התוקף ובמקביל לאפשר למשתמש החוקי להמשיך להשתמש בחשבון. כך נמנעת מניעת השירות מן המשתמש ומתקפות Password Spray "נלהבות" מדי נחסמות. זה חל על כל הכניסות של Azure AD ללא קשר לרמת הרשיון ולכל הכניסות לחשבונות Microsoft.

דיירים המשתמשים ב- Tenants using Active Directory Federation Services‏ (ADFS) יוכלו להשתמש ב'נעילה חכמה' באופן מקורי ב- ADFS ב-Windows Server 2016 החל במרץ 2018—חפש יכולת זו להגיע דרך Windows Update.

נעילת IP

נעילת IP פועלת על-ידי ניתוח מיליארדי הכניסות כדי להעריך את איכות התעבורה מכל כתובת IP שמגיעה למערכות של Microsoft. בעזרת ניתוח זה, נעילת ה- IP מאתרת כתובות IP הפועלות בצורה זדונית וחוסמת את הכניסות הללו בזמן אמת.

הדמיות תקיפה

מדמה התקיפות המהווה חלק מ- Office 365 Threat Intelligence, הזמין כעת בגירסת קדם-הפצה, מאפשר ללקוחות להפעיל תקיפות מדומות אצל משתמשי הקצה שלהם, לקבוע כיצד המשתמשים שלהם מתנהגים במקרה של תקיפה, לעדכן את המדיניות ולהבטיח שימוש בכלי אבטחה מתאימים כדי להגן על הארגון מפני איומים כמו מתקפות Password Spray.

דברים שמומלץ לעשות בהקדם האפשרי:

1. אם אתה משתמש באימות ענן, אתה מכוסה
2. אם אתה משתמש ב- ADFS או בתרחיש היברידי אחר, חפש שדרוג ADFS במרץ 2018 עבור 'נעילה חכמה'
3. השתמש במדמה התקיפות כדי להעריך באופן יזום את מצב האבטחה שלך ולהתאים את עצמך למצב

שלב 2: שימוש באימות רב-גורמי

סיסמה היא מפתח הגישה לחשבון, אבל במתקפה מוצלחת מסוג Password Spray, התוקף ניחש את הסיסמה הנכונה. כדי לעצור אותו, עלינו להשתמש ביותר מסיסמה כדי להבחין בין בעלי החשבון לתוקף. להלן שלוש הדרכים לעשות זאת.

אימות רב-גורמי מבוסס סיכון

Azure AD Identity Protection משתמש בנתוני הכניסה שצוינו לעיל ומוסיף למידת מכונה מתקדמת וזיהוי אלגוריתמי לדירוג הסיכון בכל כניסה שמגיעה למערכת. זה מאפשר ללקוחות ארגוניים ליצור מדיניות ב- Identity Protection המנחה את המשתמש לבצע אימות עם גורם שני אם, ורק אם, זוהה סיכון עבור המשתמש או עבור ההפעלה. כך המשתמשים אינם צריכים לטרוח כל כך וה"חבר'ה הרעים" נחסמים. קבל מידע נוסף על 'Azure AD Identity Protection' כאן.

אימות רב-גורמי הפועל תמיד

לקבלת שכבה נוספת של אבטחה, ניתן להשתמש ב- Azure MFA כדי לדרוש אימות רב-גורמי עבור המשתמשים שלך כל הזמן, הן באימות ענן והן ב- ADFS. על אף שזה מחייב את משתמשי הקצה להחזיק תמיד במכשירים שלהם ולבצע אימות רב-גורמי לעתים קרובות יותר, דרך זו מספקת את מידת האבטחה הרבה ביותר עבור הארגון. היא אמורה להיות זמינה לכל מנהל מערכת בארגון. קבל מידע נוסף על 'Azure Multi-Factor Authentication' כאן וגלה כיצד להגדיר את Azure MFA עבור ADFS.

Azure MFA כאימות ראשי

ב- ADFS 2016, יש לך אפשרות להשתמש ב- Azure MFA כאימות ראשי לאימות נטול סיסמאות. זהו כלי נהדר להגנה מפני מתקפות מסוג Password Spray וגניבת סיסמאות: אם אין סיסמה, אי אפשר לנחש אותה. זה פועל היטב בכל סוגי המכשירים עם גורמי צורה שונים. כמו כן, כעת ניתן להשתמש בסיסמה כגורם שני בלבד, לאחר אימות ה- OTP שלך בעזרת Azure MFA. קבל מידע נוסף על 'שימוש בסיסמאות כגורם שני' כאן.

דברים שמומלץ לעשות בהקדם האפשרי:

1. אנו ממליצים מאוד להפוך לזמין את האימות הרב-גורמי הפועל תמיד עבור כל מנהלי המערכת בארגון, ובעיקר עבור בעלי מנויים ומנהלי מערכת של דיירים. ברצינות, עשו זאת כבר עכשיו.
2. לחוויה הטובה ביותר עבור שאר המשתמשים שלך, אנו ממליצים על אימות רב-גורמי מבוסס סיכון, שהנו זמין עם רשיונות של Azure AD Premium P2.
3. אחרת, השתמש ב- Azure MFA לאימות ענן ול- ADFS.
4. ב- ADFS, שדרג ל- ADFS ב- Windows Server 2016 כדי להשתמש ב- Azure MFA כאימות הראשי, בעיקר עבור כל הגישה שלך לאקסטרא-נט.

שלב 3: סיסמאות טובות יותר לכולם

על אף כל האמור לעיל, רכיב מפתח של ההגנה מפני מתקפות Password Spray הוא שכל המשתמשים יחזיקו בסיסמאות שקשה לנחש. לרוב קשה למשתמשים לדעת כיצד ליצור סיסמאות קשות לניחוש. Microsoft עוזרת לך בכך בעזרת הכלים הבאים.

סיסמאות מוחרמות

ב- Azure AD, כל שינוי ואיפוס סיסמה עוברים דרך בודק סיסמאות מוחרמות. כשנשלחת סיסמה חדשה, מתבצעת התאמה חלקית שלה מול רשימת מילים שאף אחד, אף פעם, אינו צריך לכלול בסיסמה שלו (ואיות l33t-sp3@k לא עוזר). אם יש התאמה, הסיסמה נדחית, והמשתמש מתבקש לבחור סיסמה קשה יותר לניחוש. בנינו את הרשימה של הסיסמאות המותקפות לעתים תכופות ביותר ואנו מעדכנים אותה לעתים תכופות.

סיסמאות מוחרמות בהתאמה אישית

כדי לשפר את הסיסמאות המוחרמות עוד יותר, אנו עומדים לאפשר לדיירים להתאים אישית את רשימת הסיסמאות המוחרמות שלהם. מנהלי מערכת יכולים לבחור מילים נפוצות בארגון – עובדים ומייסדים מפורסמים, מוצרים, מיקומים, סמלים אזוריים וכו' – ולמנוע את השימוש בהן בסיסמאות המשתמשים שלהם. רשימה זו תיאכף בנוסף לרשימה הגלובלית, כדי שלא תצטרך לבחור אחת מהשתיים. היא זמינה כעת בתצוגה מקדימה מוגבלת ותופץ במהלך השנה.

סיסמאות מוחרמות עבור שינויים מקומיים

באביב השנה, נשיק כלי המאפשר למנהלי מערכת בארגון להחרים סיסמאות בסביבות היברידיות של Azure AD-Active Directory. רשימות של סיסמאות מוחרמות יסונכרנו מהענן עם הסביבות המקומיות שלך וייאכפו בכל בקר תחום עם הסוכן. זה עוזר למנהלי מערכת להבטיח שהסיסמאות של המשתמשים קשות יותר לניחוש, ולא משנה היכן – בענן או בסביבה מקומית – משנה המשתמש את הסיסמה שלו. אפשרות זו זמינה בתצוגה מקדימה פרטית מוגבלת בפברואר 2018 ותופץ בזמינות כללית במהלך השנה.

שינוי אופן החשיבה על סיסמאות

הרבה תפיסות נפוצות לגבי השאלה "מה הופך סיסמה לטובה", הן שגויות. לרוב, משהו שאמור לעזור מבחינה מתמטית למעשה מוביל לאופן פעולה צפוי של המשתמש: לדוגמה, הדרישה לסוגי תווים ושינויי סיסמה תקופתיים מובילים שניהם לדפוסים ספציפיים של סיסמאות. קרא את הסקירה הטכנית שלנו 'הדרכה בנושא סיסמאות' לקבלת מידע נוסף ומפורט. אם אתה משתמש ב- Active Directory עם PTA או ADFS, עדכן את מדיניות הסיסמאות שלך. אם אתה משתמש בחשבונות המנוהלים בענן, שקול להגדיר את הסיסמאות שלך לאפשרות 'התוקף לא יפוג לעולם'.

דברים שמומלץ לעשות בהקדם האפשרי:

1. כשהוא יופץ, התקן את כלי הסיסמאות המוחרמות של Microsoft באופן מקומי כדי לעזור למשתמשים שלך ליצור סיסמאות טובות יותר.
2. עיין במדיניות הסיסמאות שלך ושקול להגדיר אותן לאפשרות 'התוקף לא יפוג לעולם' כדי שהמשתמשים שלך לא ישתמשו בדפוסים עונתיים כדי ליצור את הסיסמאות שלהם.

שלב 4: תכונות נהדרות נוספות ב- ADFS וב- Active Directory

אם אתה משתמש באימות היברידי עם ADFS ו- Active Directory, תוכל לבצע עוד שלבים כדי לאבטח את הסביבה שלך מפני מתקפות Password Spray.

השלב הראשון: בארגונים שפועל בהם ADFS 2.0 או Windows Server 2012, תכנן לעבור אל ADFS ב- Windows Server 2016 בהקדם האפשרי. הגירסה העדכנית ביותר תעודכן מהר יותר עם סדרת יכולות עשירה יותר, כגון נעילת אקסטרא-נט. וזכור: אנו מאפשרים שדרוג קל ממש מ- Windows Server 2012R2 ל- 2016.

חסימת אימות מדור קודם באקסטרא-נט

לפרוטוקולי אימות מדור קודם אין אפשרות לאכוף MFA, לכן הגישה הטובה ביותר היא לחסום אותם בפני האקסטרא-נט. כך לא יוכלו תוקפי ה- Password Spray לנצל את העדר ה- MFA בפרוטוקולים אלה.

הפעלה של נעילת אקסטרא-נט בשרת ה- Proxy ‏ADFS Web Application

אם אין לך נעילת אקסטרא-נט בשרת ה- Proxy ‏ADFS Web Application, עליך להפעיל אותה בהקדם האפשרי כדי להגן על המשתמשים שלך מפני העמדת הסיסמאות שלהם בסכנה פוטנציאלית למתקפת Brute Force.

פריסה של Azure AD Connect Health עבור ADFS

Azure AD Connect Health לוכד כתובות IP המתועדות ביומני ה- ADFS בעקבות בקשות שגויות לשם משתמש/סיסמה, מספק לך דיווח נוסף לגבי מגוון תרחישים ומספק תובנות נוספות התומכות במהנדסים כשהם פותחים מקרי תמיכה נתמכים.

לצורך פריסה, הורד את הגירסה העדכנית ביותר של סוכן Azure AD Connect Health עבור ADFS בכל שרתי ה- ADFS ‏(2.6.491.0). שרתי ה- ADFS חייבים להפעיל את Windows Server 2012 R2 עם התקנה של KB 3134222 או Windows Server 2016.

שימוש בשיטות שאינן מבוססות על סיסמאות

כשאין סיסמה, אי אפשר לנחש אותה. שיטות אימות אלה, שאינן מבוססות על סיסמאות, זמינות עבור ADFS ו- Web Application Proxy:

1. אימות מבוסס אישורים מאפשר חסימה מוחלטת של נקודות הקצה שם משתמש/סיסמה בחומת האש. קבל מידע נוסף על אימות מבוסס אישורים ב- ADFS
2. ניתן להשתמש ב- Azure MFA, כפי שצוין לעיל, כגורם שני באימות ענן וב- ADFS 2012 R2 ו- 2016. אולם ניתן גם להשתמש בו כגורם ראשי ב- ADFS 2016 כדי למנוע לחלוטין את האפשרות למתקפות Password Spray. גלה כיצד 'להגדיר את Azure MFA עם ADFS' כאן
3. Windows Hello לעסקים, הזמין ב- Windows 10 ונתמך על-די ADFS ב- Windows Server 2016, מאפשר גישה לגמרי נטולת סיסמאות, כולל מתוך האקסטרא-נט, המבוססת על מפתחות הצפנה חזקים הקשורים הן למשתמש והן למכשיר. הוא זמין עבור מכשירים המנוהלים על-ידי הארגון שצורף אליהם Azure AD או Hybrid Azure AD, וכן מכשירים אישיים דרך "הוסף חשבון עבודה או לימודים " מאפליקציית ההגדרות. קבל מידע נוסף על Hello לעסקים.

דברים שמומלץ לעשות בהקדם האפשרי:

1. שדרוג ל- ADFS 2016 לקבלת עדכונים מהירים יותר
2. חסום אימות מדור קודם באקסטרא-נט.
3. פרוס סוכנים של Azure AD Connect Health עבור ADFS בכל שרתי ה- ADFS שלך.
4. שקול להשתמש בשיטת אימות ראשי נטולת סיסמאות, כגון Azure MFA, אישורים או Windows Hello לעסקים.

בונוס: הגנה על חשבונות Microsoft שלך

אם אתה משתמש בחשבון Microsoft:

• חדשות טובות, אתה כבר מוגן! חשבונות של Microsoft כוללים גם 'נעילה חכמה', 'נעילת IP', אימות דו-שלבי מבוסס סיכון, סיסמאות מוחרמות ועוד.
• בכל זאת, הקדש שתי דקות מזמנך ועבור על דף האבטחה של חשבון Microsoft ובחר "עליך לעדכן את מידע האבטחה שלך" כדי לעיין במידע האבטחה המשמש לאימות דו-שלבי מבוסס סיכון
• שקול להפעיל אימות דו-שלבי הפועל תמיד כאן כדי לספק לחשבון שלך את האבטחה הטובה ביותר שאפשר.

ההגנה הטובה ביותר היא… למלא אחר ההמלצות המופיעות בבלוג זה

מתקפות Password Spray הן איום רציני לכל שירות באינטרנט שמשתמש בסיסמאות, אך ביצוע הפעולות המופיעות בבלוג זה יספק לך את מרב ההגנה מפני וקטור המתקפה. ומשום שסוגים רבים של מתקפות חולקים תכונות דומות, מדובר בהצעות טובות להגנה, נקודה. האבטחה שלך ניצבת תמיד בראש סדרי העדיפויות שלנו ואנו עושים מאמצים רבים ומתמשכים כדי לפתח הגנות חדשות ומתקדמות מפני מתקפות Password Spray ומפני כל סוגי המתקפות האחרות האורבות לך בחוץ. השתמש בכלים שצוינו היום ובדוק לעתים תכופות אם קיימים כלים חדשים להגנה מפני תוקפים שמסתתרים באינטרנט.

אני מקווה שמידע זה הועיל לך. כמו תמיד, נשמח לשמוע כל משוב או הצעה.

בברכה,

אלכס סימונס (Twitter: ‏‎@Alex_A_Simons)

מנהל ניהול תוכניות

חטיבת הזהויות של Microsoft

The post שיטות עבודה מומלצות של Azure AD ו- ADFS: הגנה מפני מתקפות Password Spray appeared first on Microsoft 365 Blog.