Ochrona przed atakami opartymi na tożsamości dzięki Azure Active Directory

18 lutego 2021

Exanet Microsoft

Ochrona kont użytkowników w firmie

Hakerzy zaczynają atak od uzyskania dostępu do pojedynczego konta

Incydenty związane z bezpieczeństwem IT często zaczynają się od pojedynczego konta użytkownika w organizacji, które zostaje przejęte przez hakerów (atak typu identity-based). W momencie przejęcia jednego konta, atakujący są w stanie zebrać więcej informacji, które ułatwiają im osiągnięcie obranych celów.

W celu zmniejszenia szansy na utratę cennych danych, należy utrudnić przestępcom możliwości kradzieży tożsamości. Istnieją procedury, których wdrożenie w firmie pozwoli na zmniejszenie potencjalnej liczby udanych ataków opartych na przejęciu tożsamości użytkowników, jak również narzędzia ułatwiające wykrywanie zagrożonych kont.

Hasło to łatwy cel dla atakujących

Jednym z powodów wysokiej skuteczności ataków opartych na przejęciu tożsamości użytkownika jest problematyka haseł do kont użytkowników. W dużym uproszczeniu, hasła generują dyskomfort dla pracowników firmy, którzy muszą z haseł korzystać, a jednocześnie hasła są relatywnie łatwym celem dla cyberprzestępców.

Większość użytkowników ma problem z zapamiętywaniem wielu złożonych haseł do różnych systemów lub aplikacji. Często w celu ułatwienia sobie funkcjonowania, użytkownicy wykorzystują takie samo lub podobne hasła do wielu różnych usług lub tworzą hasła łatwe do zapamiętania (np. nazwy miast, miesiące, imiona, itp.).

Hakerzy wykorzystują potencjalne słabości w obszarze bezpieczeństwa IT związanym z hasłami, stosując akcje phishingowe nakierowane na pozyskanie zestawu poświadczeń użytkowników. Stosowane są również techniki polegające na wielokrotnych próbach logowania się do usług za pomocą statystycznie najczęściej stosowanych haseł lub korzystanie z gotowych zbiorów haseł, które można zakupić w sieci.

Atakujący próbują dostać się do wielu kont, w dużej organizacji najczęściej wystarczy im pozyskanie jednego konta użytkownika, by skokowo zwiększyć ilość informacji dotyczących zabezpieczeń IT w firmie i przejść do kolejnej fazy ataku.

Exanet working together blog

Azure AD Identity Protection

Zespół inżynierów Azure AD Identity Protection w sposób ciągły analizuje pozyskiwaną telemetrię bezpieczeństwa w zakresie Azure AD, w celu identyfikacji powszechnie wykorzystywanych i słabych haseł, które zostały w przeszłości złamane.

Analiza skupia się w szczególności na członach haseł, które są składowymi haseł uznanych za oferujące niski poziom zabezpieczenia. Jeśli takie składowe haseł są wykrywane, wówczas zostają dodane do globalnej listy zakazanych haseł (global banned password list). Zawartość globalnej listy zakazanych haseł nie jest oparta na zewnętrznych źródłach danych, lecz na wynikach analiz oraz telemetrii bezpieczeństwa Azure AD.

W przypadku zmiany hasła przez dowolnego z użytkowników tenanta Azure AD, aktualna wersja listy haseł zbanowanych wykorzystywana jest do oceny siły nowego hasła. Globalna lista haseł zbanowanych jest automatycznie stosowana wobec wszystkich użytkowników w organizacji. Nie jest potrzebne włączenie funkcjonalności lub konfiguracja. Nie ma również możliwości deaktywacji globalnej listy haseł zbanowanych.

Co ciekawe, ze względu na bezpieczeństwo użytkowników, Microsoft nie udostępnia publicznie zawartości globalnej listy haseł zbanowanych, głównie z powodu dążenia do nieułatwiania życia cyberprzestępcom.

Własna lista haseł zbanowanych

Niektóre organizacje potrzebują wzmocnić ochronę w zakresie haseł, dodając do globalnej listy haseł zbanowanych dodatkowe pozycje. Dodatkowe wpisy można dodawać za pomocą własnej listy haseł zbanowanych (custom banned password list), która może liczyć do 1000 nowych pozycji.

Rekomenduje się, by wpisy we własnej liście zakazanych haseł były oparte na charakterystycznych dla organizacji zagadnieniach, jak np.: nazwy marek, nazwy produktów, lokalizacje firmy, słowa lub określenia kojarzone z firmą, skróty i neologizmy związane z firmą i znane pracownikom.

Gdy nowe pozycje są dodane do własnej listy zakazanych haseł, wówczas zostają włączone do globalnej listy haseł zbanowanych.

Azure Active Directory logotype

Ataki typu password spraying

Azure AD Password Protection pomaga w ochronie przeciwko atakom typu password spray. Taki atak polega na wykorzystaniu jednego, konkretnego hasła do prób zalogowania się na kontach różnych użytkowników w organizacji.

Ataki typu password spray są generalnie trudne do wykrycia, ponieważ liczba prób zalogowania na to samo konto podczas ataku nie jest wysoka, więc zwykle nie zostaną uruchomione mechanizmy ostrzegające przed atakiem, tak jak może to mieć miejsce w przypadku ataków brute force (bardzo wiele prób zalogowania na jedno konto). Lista użytkowników do wykorzystania w ataku password spray może być zebrana za pomocą różnych metod w fazie przygotowawczej ataku.

Technika ataku password spray pozwala atakującym szybko i praktycznie niewykrywalnie dla mechanizmów bezpieczeństwa wyszukać to konto w organizacji, które jest łatwe do zdobycia ze względu na proste hasło.

Azure AD Password Protection wydajnie blokuje użycie wszystkich tych haseł do kont, które mogą zostać złamane podczas ataków password spray. Co ważne, globalna lista haseł zakazanych nie jest oparta o źródła danych pozyskane od firm trzecich (w Internecie znajdują się strony z ofertami uwzględniającymi zbiory złamanych haseł z ataków na różne serwisy w przeszłości), ale na rzeczywistej telemetrii kierunkowanej na ataki typu password spray. W rezultacie, mechanizm Azure AD Password Protection wykrywa i blokuje możliwość stosowania milionów najczęściej pojawiających się słabych haseł w organizacji.

Najlepsze praktyki ochrony kont użytkowników

Blokada popularnych haseł w Azure AD

Jednym ze sposobów na to, by utrudnić przestępcom zdobycie dostępu do kont użytkowników w organizacji jest zablokowanie możliwości stosowania popularnych haseł do usług lub aplikacji dostępnych w ramach rozwiązań informatycznych w firmie. Azure Active Directory (Azure AD) jest w stanie automatycznie ograniczyć możliwość tworzenia prostych i popularnych haseł przez użytkowników.

Azure Active Directory Password Protection wykrywa i blokuje znane, proste hasła oraz ich warianty, jak również łatwe modyfikacje haseł charakterystyczne dla danej organizacji. Domyślna, globalna lista haseł zbanowanych jest stosowana w odniesieniu do wszystkich użytkowników widocznych w tenancie Azure AD (Azure AD tenant). W zależności od potrzeb bezpieczeństwa, administrator w organizacji jest w stanie zdefiniować wpisy we własnej liście niepożądanych haseł. Gdy użytkownicy zmieniają lub resetują hasło, nowe propozycje haseł są sprawdzane względem listy haseł zbanowanych w organizacji.

Wdrożenie autoryzacji wieloskładnikowej

Autoryzacja wieloskładnikowa (MFA, multi factor authentication) to mechanizm bezpieczeństwa, który wymaga od użytkowników korzystania z przynajmniej dwóch form autoryzacji podczas logowania się na konto. Przykładem narzędzia w zakresie autoryzacji wieloskładnikowej jest aplikacja Microsoft Authenticator.

Skuteczność rozwiązania polega przede wszystkim na tym, że atakujący potrzebuje mieć również dostęp do urządzenia z zainstalowaną aplikacją Authenticator (np. służbowy smartfon użytkownika), by być w stanie zalogować się na konto w przypadku posiadania hasła.

Wzrost bezpieczeństwa dzięki wdrożeniu MFA jest bezsprzeczny. Szacuje się, że MFA udaremnia nawet 99,9% ataków, w których cyberprzestępca wszedł już w posiadanie hasła do konta użytkownika.

Exanet desk computer blog

Blokowanie starszych protokołów uwierzytelniania

Starsze protokoły autoryzacji (jak np.: POP, SMTP, IMAP, MAPI) nie obsługują uwierzytelniania wieloskładnikowego (MFA), co sprawia, że stają się częstym celem dla cyberprzestępców. Obserwacje potwierdzają, że ponad 99% ataków typu password spray skierowanych jest w infrastrukturę wykorzystującą starsze protokoły uwierzytelniania (tzw. legacy authentication).

Starsza wersja uwierzytelniania to zatem termin odwołujący się do żądania uwierzytelniania wykonanego przez klientów korzystających ze starszych protokołów poczty.

Azure AD pozwala na minimalizację szansy na wystąpienie ataków typu password spray, między innymi dzięki możliwości zablokowania starszych protokołów uwierzytelniania w usłudze.

Odpowiednia ochrona dla użytkowników z większymi uprawnieniami

Konta użytkowników posiadających uprawnienia administratora są często celem hakerów, ponieważ pozwalają na większy dostęp do ważnych zasobów oraz informacji w organizacji. Jedną z zasad pozwalających na minimalizację szansy przejęcia kontroli nad kontem administratora przez niepożądane osoby jest korzystanie z kont posiadających wyższy poziom uprawnień tylko wtedy, gdy jest to konieczne (np. w celu realizacji konkretnych zadań przez administratora).

Zaleca się, by podczas wykonywania innych zadań (np. komunikacja mailowa), osoby takie jak administrator IT w firmie korzystały z konta charakteryzującego się niższym poziomem uprawnień.

Usługa PIM (privileged identity management) w Azure AD pozwala zarządzać, kontrolować oraz monitorować dostęp do ważnych zasobów w organizacji (zasoby w Azure AD, Azure, Microsoft 365, Microsoft Intune). PIM zapewnia zależne od czasu oraz zależne od akceptacji włączenie roli administratora (lub użytkownika z wyższymi uprawnieniami). PIM charakteryzuje się kilkoma funkcjonalnościami, które zabezpieczają konta z wyższymi uprawnieniami.

  •  Zapewnienie dostępu dla użytkownika uprzywilejowanego w konkretnym, określonym momencie do zasobów Azure lub Azure AD.
  •  Określenie granic czasowych dostępu do zasobów (termin startu oraz termin zakończenia).
  •  Możliwość wymagania potwierdzenia od innego użytkownika do aktywacji uprzywilejowanej roli użytkownika.
  •  Konieczność korzystania z MFA dla administratora.
  •  Możliwość wymagania podania uzasadnienia aktywacji roli uprzywilejowanej.
  •  Otrzymywanie powiadomień o aktywacji roli użytkowników uprzywilejowanych.
  •  Możliwość przeprowadzania przeglądu dostępów dla upewnienia się, czy użytkownicy potrzebują uprzywilejowanych ról.
  •  Możliwość pobrania historii dotyczącej użytkowników uprzywilejowanych dla potrzeb audytu bezpieczeństwa.

Usługa PIM wymaga licencji Azure AD Premium P2.

Logi dotyczące zdarzeń oraz retencja danych

Zbieranie i przechowywanie danych dotyczących zdarzeń logowania, uprawnień użytkowników oraz aplikacji pozwala uzyskać cenne informacje związane z bezpieczeństwem m.in. dzięki analizie zebranych logów pod kątem niestandardowych zachowań. Dane dotyczące miesięcy lub lat wstecz mogą być pomocne w wychwyceniu wzorców oraz identyfikacji odchyleń w ostatnim czasie.

Dzienniki aktywności Azure AD możemy kierować do różnych punktów końcowych w celu przechowywania i wglądu na dłuższy czas. Logi Azure AD (dzienniki inspekcji oraz dzienniki logowania) można przechowywać na koncie usługi Azure Storage. Dzienniki aktywności mogą zostać przesłane do centrum zdarzeń platformy Azure w celu analizy z wykorzystaniem narzędzi SIEM, takich jak np.: Splunk, IBM QRadar, Sumo Logic, ArcSight, LogRhythm.

Dzienniki aktywności usługi Azure AD integrują się z autorskimi rozwiązaniami w zakresie logów, za pomocą przesyłania strumieniowego do centrum zdarzeń. Logi Azure Active Directory mogą być przesyłane do usługi Azure Monitor w celu uzyskania rozbudowanych wizualizacji, monitorowania oraz zgłaszania alertów dotyczących połączonych danych.

Raport działań dotyczący dzienników inspekcji usługi Azure AD zapewnia dostęp do historii wszystkich zadań wykonanych w dzierżawie. Raport działań dotyczący logowania pozwala określić, kto wykonał zadania zgłoszone w dziennikach inspekcji.

UEBA na platformie Azure

Użytkownik ma tendencję do tego, by po zalogowaniu się na swoje konto realizować określony zestaw typowych dla siebie zachowań, np. pobranie poczty e-mail moment po zalogowaniu. Prowadzenie obserwacji zachowań i wykorzystanie zebranych informacji może przysłużyć się zwiększeniu bezpieczeństwa informatycznego organizacji.

UEBA (user and entities behavioral analitics) to funkcjonalność pozwalająca na identyfikowanie zagrożeń w organizacji oraz badanie wpływu zagrożeń na funkcjonowanie organizacji. Analiza zachowań użytkowników i jednostek wykorzystuje uczenie maszynowe oraz rozwiązania sztucznej inteligencji do tworzenia modeli typowych zachowań użytkowników oraz urządzeń w organizacji.

Bieżące zachowanie użytkowników oraz urządzeń jest porównywane do bazowego poziomu zdefiniowanego na podstawie dotychczasowych obserwacji w celu określania poziomu ryzyka. W efekcie, możemy otrzymać alerty zgodnie z założonymi priorytetami w oparciu o analizę ogromnych ilości danych.

Funkcjonalność UEBA w Azure Sentinel zbiera logi oraz alerty z podłączonych źródeł danych (security events, Azure AD Audit logs, Azure AD Signing logs, Azure Activity logs), analizuje dane i określa poziomy bazowe profili zachowań jednostek występujących w organizacji (użytkownicy, hosty, adresy IP, używane aplikacje, itd.) w czasie.

Sentinel potrafi identyfikować zachowania niezgodne z poziomem uznanym za normalny oraz pozwala określić, czy jednostka została zagrożona. Oprócz tego, UEBA w Azure Sentinel jest w stanie określić wrażliwość poszczególnych zasobów na zagrożenie, zidentyfikować powiązane zbiory zasobów oraz oszacować potencjalny wpływ zagrożenia na otoczenie. Wszystko to oszczędza czas poświęcany na analizę bezpieczeństwa przez administratora infrastruktury IT w firmie lub inżyniera SecOps.

Azure-AD