Ngày 22 tháng 3 năm 2023Tin tức về hacker Bảo mật mật khẩu / Active Directory
Active Directory (AD) là một dịch vụ thư mục và xác thực mạnh mẽ được các tổ chức trên toàn thế giới sử dụng. Với sự phổ biến và sức mạnh này có khả năng lạm dụng. Các mối đe dọa nội bộ cung cấp một số tiềm năng phá hủy nhất. Nhiều người dùng nội bộ có quyền truy cập và khả năng hiển thị được cung cấp quá mức vào mạng nội bộ.
Mức độ truy cập và tin tưởng của người trong cuộc vào mạng dẫn đến các lỗ hổng duy nhất. An ninh mạng thường tập trung vào việc ngăn chặn tác nhân đe dọa, chứ không tập trung vào các lỗ hổng bảo mật và tiềm ẩn của người dùng hiện tại. Luôn cập nhật các mối đe dọa tiềm ẩn có nghĩa là bảo vệ chống lại các mối đe dọa từ bên trong và bên ngoài.
Lỗ hổng Active Directory
Từ bên ngoài, miền AD được định cấu hình đúng sẽ cung cấp giải pháp xác thực và ủy quyền an toàn. Nhưng với các cuộc tấn công email lừa đảo và kỹ thuật xã hội phức tạp, người dùng AD hiện tại có thể bị xâm phạm. Khi đã vào bên trong, các tác nhân đe dọa có nhiều tùy chọn để tấn công Active Directory.
Thiết bị không an toàn
Với sự phát triển của “Mang theo thiết bị của riêng bạn” (BYOD), sự hỗ trợ thiết bị và độ phức tạp về bảo mật cũng tăng lên. Nếu người dùng kết nối một thiết bị đã bị xâm phạm hoặc có các biện pháp bảo mật không đầy đủ, thì những kẻ tấn công có một cách đơn giản để giành quyền truy cập vào mạng nội bộ.
Trước đây, kẻ tấn công sẽ phải lẻn vào để cài đặt một thiết bị độc hại. Tuy nhiên, giờ đây, người dùng có thiết bị bị xâm phạm sẽ thực hiện công việc khó khăn đó cho họ. Hơn nữa, nhiều công nhân cũng có thể kết nối điện thoại thông minh hoặc máy tính bảng của họ với mạng. Điều này có nghĩa là, thay vì một máy tính xách tay duy nhất dành cho công việc, bạn có thể có hai hoặc ba thiết bị người dùng không tuân theo các biện pháp bảo mật giống nhau.
Quyền truy cập được cung cấp quá mức
Tăng độ phức tạp cho bảo mật nội bộ là vấn đề phổ biến của quyền truy cập được cung cấp quá mức. Các tổ chức thường có xu hướng mở rộng quyền truy cập thay vì hạn chế nó. Một hành động thuận tiện để giải quyết vấn đề có thể dẫn đến hậu quả không mong muốn là tạo ra một véc tơ tấn công tiềm năng, sau đó thường bị lãng quên.
Đối với những người dùng đồng thời là quản trị viên, không phải lúc nào cũng có tài khoản “Quản trị” có độ bảo mật cao được tạo để phân tách các cấp truy cập khác nhau. Theo cách này, sự tiện lợi của việc cho phép các tác vụ Quản trị thông qua tài khoản người dùng chuẩn sẽ mở ra cơ hội cho việc lạm dụng tràn lan do tài khoản bị xâm nhập và có đặc quyền cao.
Chính sách mật khẩu yếu
Nhiều tổ chức, đặc biệt là những tổ chức lớn hơn, có thể có chính sách mật khẩu yếu hơn do các ứng dụng khác nhau mà họ hỗ trợ. Không phải tất cả các ứng dụng đều giống nhau và một số ứng dụng không hỗ trợ các tiêu chuẩn bảo mật mới nhất. Ví dụ về điều này bao gồm những ví dụ không hỗ trợ ký LDAP hoặc TLS qua LDAP với LDAPS.
Chính sách mật khẩu yếu cùng với việc thiếu xác thực đa yếu tố giúp dễ dàng bẻ khóa hàm băm đã truy xuất thông qua một kỹ thuật như keberoasting thông qua tài khoản nội bộ đặc quyền. Điều này hoàn toàn trái ngược với chính sách mật khẩu mạnh và xác thực đa yếu tố, khiến việc truy cập vào hệ thống hoặc mạng bằng cách bẻ khóa hàm băm trở nên khó khăn hơn nhiều.
Thực tiễn tốt nhất để bảo mật Active Directory
Để bảo mật Active Directory, có nhiều cách thực hành tốt nhất để làm theo. Dựa trên các chủ đề bảo mật đã nêu trước đó, đây là một số chủ đề:
Đào tạo người dùng để xác định các email lừa đảo tiềm ẩn và các cuộc tấn công kỹ thuật xã hội là điều cần thiết. Ngoài ra, người dùng không nên nhấp vào bất kỳ tệp đính kèm nào và các tổ chức nên sử dụng các hệ thống quét nội dung độc hại. Những biện pháp này có thể giúp giảm nguy cơ tấn công thành công.
Tuy nhiên, giả sử rằng AD đã bị xâm phạm. Một tổ chức có thể và nên xem xét kỹ các quyền được gán cho người dùng và hệ thống đang hoạt động và không hoạt động hoặc đã ngừng hoạt động. Có cách nào để tách quyền khỏi tài khoản người dùng thông thường và gán chúng cho tài khoản quản trị đặc biệt có mức độ bảo mật cao hơn không?
Kích hoạt xác thực đa yếu tố với chính sách mật khẩu mạnh là điều cần thiết để tạo ra một số biện pháp bảo vệ mạnh nhất hiện có. Vì nhiều cuộc tấn công kỹ thuật xã hội dựa vào việc tìm hiểu và xâm phạm các trang web bên ngoài của người dùng nơi mật khẩu được sử dụng lại có thể tạo chỗ đứng, nên một tổ chức phải bắt buộc sử dụng mật khẩu mạnh.
Giữ Active Directory an toàn với chính sách mật khẩu Specops
Nền tảng của nhiều khuyến nghị bảo mật là chính sách mật khẩu mạnh. Các cấu hình Active Directory mặc định và các công cụ người dùng không đầy đủ. Để đảm bảo người dùng tuân thủ các chính sách mật khẩu như NIST, CJIS và PCI, đồng thời chặn các mật khẩu yếu, các tổ chức có thể sử dụng Chính sách mật khẩu của Specops. Nó cung cấp cho tổ chức của bạn khả năng tạo danh sách từ điển tùy chỉnh và chặn tên người dùng, tên hiển thị, từ cụ thể, ký tự liên tiếp, mật khẩu gia tăng và sử dụng lại một phần mật khẩu hiện tại; đồng thời cung cấp phản hồi thời gian thực cho người dùng.
Tiện ích bổ sung Bảo vệ mật khẩu bị vi phạm tăng cường bảo mật hơn nữa bằng cách cảnh báo người dùng trong thời gian thực nếu mật khẩu họ chọn nằm trong danh sách mật khẩu bị vi phạm. Nó cũng cung cấp tính năng quét chuyên sâu để phát hiện hơn 3 tỷ mật khẩu bị xâm phạm trên các tài khoản trên khắp một miền AD.
Bảo vệ Active Directory khỏi các mối đe dọa nội bộ
Mặc dù có thể không thể bảo vệ chống lại mọi mối đe dọa, nhưng bằng cách xem xét kỹ cấu trúc quyền hiện có, người dùng đang hoạt động và triển khai kỹ thuật của Active Directory, một tổ chức có thể đi một chặng đường dài để bảo vệ môi trường của mình. Với Chính sách mật khẩu của Specops, đưa chính sách mật khẩu của bạn lên cấp độ tiếp theo thông qua Bảo vệ mật khẩu bị vi phạm và bắt buộc các mật khẩu duy nhất và an toàn trên bảng.
