Protegendo contas do Active Directory contra ataques baseados em senha

A segurança tradicional baseada em senha pode estar caminhando para a extinção, mas esse momento ainda está longe.

Nesse ínterim, a maioria de nós precisa de algo para prevenir nossos piores instintos quando se trata de escolher senhas: usando informações pessoais, padrões de pressionamento de tecla previsíveis (por exemplo, sequenciais), variações de senha, substituições conhecidas, palavras únicas de um dicionário e – acima todos – reutilizando a mesma senha para muitas contas privadas e empresariais diferentes.

Qual é a aparência de uma política de senha moderna?

Embora o uso de senhas exclusivas para cada conta seja um conselho que resistiu ao teste do tempo (embora não ao teste de conformidade generalizada), as pessoas também costumavam ser informadas de que deveriam usar uma combinação de letras, números e símbolos e mudar a cada 90 dias – recomendações que o cenário de ameaças em evolução tornou obsoleto e até mesmo um tanto prejudicial.

Na última década, pesquisas acadêmicas sobre o tópico de práticas de senha e percepções coletadas de senhas comprometidas em violações revelaram o que as pessoas estavam realmente fazendo quando estavam criando senhas. Isso ajudou a derrubar algumas das políticas de senha vigentes que estavam em vigor por tanto tempo, disse Josh Horwitz, diretor de operações da Enzoic, à Help Net Security.

O conselho mais recente sancionado pelo NIST com relação às políticas de senha corporativa (conforme delineado na Publicação Especial NIST 800-63B ) inclui, entre outras coisas, a remoção do requisito para regras de composição de caracteres e para mudanças de senha periódicas obrigatórias. Essas são recomendações que também estão sendo promulgadas pela Microsoft.

Como agora as violações de dados acontecem todos os dias e os invasores estão testando as senhas reveladas em contas diferentes na esperança de que o usuário as reutilize, o NIST também aconselha as empresas a verificar se as senhas não foram comprometidas antes de serem ativadas e verificar seu status em um de forma contínua, em um banco de dados dinâmico composto de credenciais comprometidas conhecidas.

A necessidade de ferramentas modernas

Mas a questão é que a maioria das ferramentas de política de senha mais antigas não fornece um método para verificar se uma senha é forte e não comprometida depois que ela é escolhida / definida.

Na verdade, há apenas um que verifica as senhas na criação e monitora continuamente sua resiliência a ataques de preenchimento de credenciais, verificando-os em um banco de dados massivo (mais de 7 bilhões) de credenciais comprometidas que é atualizado todos os dias.

DESCRIÇÃO

“Algumas organizações coletam essas informações na dark web e em outros lugares onde você pode obter listas de senhas comprometidas, mas a maioria das ferramentas não foi projetada para incorporá-las e ainda é um processo muito manual tentar manter essas informações atualizadas. É realmente muito difícil manter a amplitude e a frequência das atualizações de dados necessárias para que essa abordagem funcione como deveria ”, observou Horwitz.

Mas para o Enzoic, esta é praticamente uma de suas missões principais.

“Temos pessoas cujo trabalho em tempo integral é sair e reunir inteligência sobre ameaças, bancos de dados de senhas comprometidas e dicionários de cracking. Também investimos substancialmente em tecnologia proprietária para automatizar o processo de coleta, limpeza e indexação dessas informações ”, explicou.

“Nosso banco de dados é atualizado várias vezes por dia, e estamos realmente obtendo a amplitude dos dados, integrando bancos de dados comprometidos grandes e pequenos em nossa lista – porque os hackers usarão qualquer banco de dados em que possam colocar as mãos, não apenas aqueles roubados em violações de dados bem divulgadas. ”

Enzoic para Active Directory

Essa lista / banco de dados constantemente atualizado é o que capacita o Enzoic para Active Directory , uma ferramenta (plug-in) que se integra ao Active Directory e impõe regras de senha adicionais para evitar que os usuários usem credenciais comprometidas.

A solução verifica a senha quando ela é criada e quando é redefinida e a verifica diariamente em relação a esse banco de dados de senha comprometida em tempo real. Além disso, ele faz isso automaticamente, sem que a equipe de TI precise fazer nada, exceto configurá-lo uma vez.

DESCRIÇÃO

Enzoico para AD é capaz de detectar e prevenir o uso de:

  • Variações difusas de senhas comprometidas
  • Senhas inseguras consistindo em uma palavra raiz frequentemente usada e alguns símbolos e números à direita
  • Novas senhas que são muito semelhantes à que o usuário usou anteriormente
  • Senhas que os funcionários de organizações específicas devem escolher (isso é feito usando um dicionário personalizado que pode ser adaptado para cada organização)

A ferramenta usa um objeto de filtro de senha padrão para criar uma nova política de senha que funciona em qualquer lugar que seja transferida para o Active Directory, incluindo o Azure AD e ferramentas de redefinição de senha de terceiros.

A autenticação multifator pode nos salvar?

Muitos se perguntarão se essa ferramenta é realmente crucial para manter seguras as contas do AD. “E se também usarmos autenticação multifator? Isso não resolve nossos problemas de autenticação e nos mantém protegidos contra ataques? ”

Na realidade, a senha permanece em todos os ambientes e nem todos os eventos de autenticação incluem autenticação multifator (MFA).

“Você pode oferecer MFA, mas até que você realmente exija seu uso e se livre da senha, sempre haverá portas que os invasores podem usar”, pontuou Horwitz.

“O NIST também deixa muito claro que a segurança de autenticação deve incluir várias camadas e que cada uma dessas camadas – incluindo a camada de senha – precisa ser reforçada.”

Você realmente precisa do Enzoic para Active Directory?

O Enzoic tornou mais fácil para as empresas verificarem se algumas das senhas AD usadas por seus funcionários são fracas ou foram comprometidas: eles podem implantar uma ferramenta gratuita de auditoria de senha ( Enzoic para Active Directory Lite ) para obter um instantâneo rápido da senha de seu domínio estado de segurança.

DESCRIÇÃO

“Algumas ferramentas de auditoria de senha demoram muito para tentar usar senhas de força bruta, mas é muito mais provável que os invasores iniciem seus esforços com senhas comprometidas”, acrescentou Horwitz.

“Nossa ferramenta leva apenas alguns minutos para realizar a auditoria, é simples de executar e permite que os líderes e profissionais de segurança de TI percebam a extensão do problema e comuniquem facilmente o problema para o lado da empresa.”

O Enzoic para Active Directory é igualmente simples de instalar e usar e foi desenvolvido para fácil implementação e manutenção automática da política de senha moderna.

“É uma ferramenta de baixa complexidade, mas é aqui que realmente brilha: permite que você rastreie as senhas em um enorme banco de dados de senhas comprometidas que são atualizadas todos os dias – e permite que você faça isso na velocidade da luz, para que possa ser feito no momento em que a senha está sendo criada sem qualquer atrito ou interrupção para o usuário – e verifica novamente essa senha todos os dias, para detectar quando uma senha não é mais segura e acionar / exigir uma alteração de senha. “

Além de verificar as senhas nesta lista constantemente atualizada, também impede que os usuários usem:

  • Palavras comuns do dicionário ou palavras que são frequentemente usadas para senhas (por exemplo, nomes de times esportivos)
  • Senhas esperadas e muito semelhantes às senhas antigas dos usuários
  • Senhas e variações específicas do contexto (por exemplo, palavras que são específicas do negócio em que a empresa está inserida ou palavras que os funcionários que vivem em uma cidade ou região específica podem usar)
  • Senhas e variações específicas do usuário (por exemplo, seu nome, sobrenome, nome de usuário, endereço de e-mail – com base nesses valores de campo no Active Directory)

Conclusão

Repetidamente, ficou provado que, se deixados por conta própria, os usuários empregarão padrões previsíveis ao escolher uma senha e reutilizarão uma senha em várias contas.

Quando a conta comprometida não mantém informações confidenciais ou permite acesso a ativos confidenciais, essas práticas podem não levar a resultados catastróficos para o usuário. Mas as apostas são muito maiores quando se trata de contas corporativas, e especialmente contas do Active Directory, já que AD é a solução primária da maioria das empresas para acesso a recursos de rede.

Fonte: https://www.helpnetsecurity.com/2020/09/08/securing-active-directory-accounts-against-password-based-attacks/