PHÁT HIỆN VÀ BẢO VỆ AZURE AD KHỎI CÁC CUỘC TẤN CÔNG RẢI MẬT KHẨU

Trước đây, các thông tin danh tính thường được bảo vệ bởi các tường lửa lớn cài trong hệ thống mạng của doanh nghiệp. Điều này làm giảm cơ hội cho những kẻ tấn công thực hiện việc đánh cắp thông tin vào môi trường on-premise. Với việc chuyển sang đám mây, nhiều tổ chức sẽ đồng bộ hóa danh tính với Azure Active Directory . Điều này làm cho công việc của kẻ tấn công trở nên dễ dàng hơn vì chúng có một điểm duy nhất mà chúng có thể cố gắng xâm phạm tài khoản.

Trong bài viết này, SOFT365 sẽ giới thiệu các cơ chế bảo vệ và phát hiện có sẵn trong Azure AD để đẩy lùi các cuộc tấn công rải mật khẩu.

Bảo vệ Azure AD của doanh nghiệp khỏi tấn công rải mật khẩu

Thuật ngữ rải mật khẩu (password spray) mô tả nỗ lực của kẻ tấn công nhằm kiểm tra nhiều mật khẩu đối với các tài khoản trong một thời gian ngắn. Đây có thể là một cuộc tấn công từ điển trong đó danh sách các mật khẩu đã biết được sử dụng hoặc có thể là một cuộc tấn công dựa trên thông tin xác thực tài khoản bị rò rỉ.

Những kẻ tấn công tung ra các cuộc tấn công rải mật khẩu liên tục. Cơ hội là mọi tổ chức đều là mục tiêu của ít nhất một trong những cuộc tấn công này hàng ngày. Khi làm việc trong SOC đám mây của mình, chúng tôi thường xuyên quan sát thấy các nỗ lực dò tìm mật khẩu trên nhiều tổ chức.

Kích hoạt xác thực nhiều lớp trong Azure AD

Azure AD cung cấp cho người dùng tính năng xác thực nhiều lớp Multifactor Authentication. Tuy nhiên, ngay cả khi một cuộc tấn công rải mật khẩu thất bại vì bị chặn bởi MFA, thì các cuộc tấn công đó vẫn là điều bạn nên giải quyết.

Tuy bị chặn bởi MFA, nhưng có thể những kẻ tấn công vẫn xác định được mật khẩu của người dùng. Đây là một tình huống xấu vì hai lý do:

• Không phải tất cả các hệ thống đều như nhau và rất có thể một tổ chức có các hệ thống không được bảo vệ bởi MFA (chẳng hạn như giải pháp VPN/Citrix). Để tránh vi phạm các hệ thống đó, mật khẩu của người dùng phải được đặt lại càng sớm càng tốt.
• Với một mật khẩu thành công, kẻ tấn công đã đặt một chân vào cửa tổ chức của bạn và có thể tiến lên phía trước một cách nhanh chóng. Tránh mật khẩu bị rò rỉ có nghĩa là tổ chức của bạn được bảo vệ tốt hơn.

Sử dụng tính năng Smart Lockout

Tính năng Smart Lockout có thể bảo vệ doanh nghiệp của bạn khỏi các cuộc tấn công rải mật khẩu. Tính năng này được bật theo mặc định trong mọi đối tượng thuê và có thể được định cấu hình để đáp ứng nhu cầu của tổ chức. Smart Lockout giám sát các lần đăng nhập không thành công và khóa tài khoản khi số lần đăng nhập không thành công vượt quá ngưỡng. Cái hay là Smart Lockout thông minh hơn tính năng Active Directory truyền thống, vì nó sẽ chỉ khóa tài khoản cho trung tâm dữ liệu mà các lần đăng nhập bắt nguồn từ đó.

Sử dụng tính năng Azure AD Identity Protection

Microsoft có thể chủ động giám sát Azure Active Directory để phát hiện mật khẩu bằng Azure AD Identity Protection. Bảo vệ danh tính là một phần của Gói Azure Active Directory Premium 2 và sẽ xác định các cuộc tấn công rải mật khẩu hiện tại trên một môi trường.

Microsoft đã đầu tư rất nhiều vào các cơ chế phát hiện và có khả năng phân tích dữ liệu mạnh mẽ để phát hiện xem một cuộc tấn công dò tìm mật khẩu có đang diễn ra hay không. Nếu phát hiện thấy tấn công rải mật khẩu , cảnh báo Bảo vệ danh tính sẽ được đưa ra. Đây là một lưu ý quan trọng; không có cơ chế phòng ngừa bổ sung; Bảo vệ danh tính cung cấp khả năng giám sát bổ sung thay vì xử lý khắc phục hậu quả.

Với cảnh báo bảo vệ danh tính, SOC có thể điều tra những gì đang xảy ra và quyết định xem có cần thêm hành động hay không.

Sử dụng Microsoft Sentinel để phát hiện

Microsoft Sentinel mang đến khả năng phát hiện tấn công linh hoạt nhất. Mặc dù Azure AD Identity Protection sẽ cảnh báo bạn về một lần có tấn công rải mật khẩu tiềm năng, nhưng không có cách nào để điều chỉnh các thuật toán cơ bản. Với Azure AD Identity Protection, không có cách nào để biết khi nào và tại sao nó phát tín hiệu phát hiện.

Bằng cách sử dụng Microsoft Sentinel, chúng tôi có thể tạo các quy tắc phân tích tùy chỉnh bằng cách sử dụng các ngưỡng chi tiết để quyết định thời điểm tạo cảnh báo. Trước khi tạo quy tắc phân tích, trước tiên chúng tôi cần gửi nhật ký đăng nhập tới Microsoft Sentinel. Khi sử dụng Azure Active Directory, điều này có thể được thực hiện bằng trình kết nối dữ liệu gốc cho Microsoft Sentinel. Tất nhiên, Sentinel không giới hạn ở Azure Active Directory và các loại phát hiện này cũng có thể được tạo cho các nguồn khác như Okta và OneLogin.

Sau khi kết nối Nhà cung cấp danh tính của bạn với Microsoft Sentinel, đã đến lúc tạo một truy vấn phù hợp. Xây dựng truy vấn luôn bắt đầu bằng việc xác định đúng bảng. Đối với Azure Active Directory, nhật ký đăng nhập được lưu trữ trong bảng SigninLogs.

Sau khi chọn đúng bảng, chúng ta cần tìm xem sử dụng bộ lọc nào để lấy thông tin mong muốn. Mỗi lần đăng nhập có một cột Loại kết quả , đây là mã trạng thái nêu chi tiết liệu đăng nhập có thành công hay không và lý do thất bại, nếu có. Xây dựng các bộ lọc chính xác rất phức tạp và có thể mất một chút thời gian, chắc chắn là khi bạn chưa quen với Microsoft Sentinel.

Hãy sử dụng Azure AD để chống lại tấn công rải mật khẩu

Số lần nhập mật khẩu đã tăng lên kể từ khi các tổ chức chuyển sang Azure AD. Có khả năng số lượng những kẻ tấn công này sẽ tiếp tục tăng. Mặc dù nhiều cuộc tấn công có thể bị chặn bằng cách tắt xác thực cũ, những kẻ tấn công đã thích nghi và đang sử dụng các đường tấn công mới. Mọi tổ chức nên cố gắng sử dụng càng nhiều biện pháp phòng ngừa càng tốt, nhưng việc giám sát là chìa khóa. Khi theo dõi các lần dò tìm mật khẩu, bạn nên xác định những hành động mà kẻ tấn công thực hiện và cách những hành động này có thể bị chặn trong tương lai.