Praktik terbaik Azure AD dan ADFS: Bertahan dari serangan password spray
Apa kabar semua,
Selama kita memiliki kata sandi, pasti ada orang lain yang pernah mencoba menebaknya. Dalam blog ini, kita akan membahas tentang serangan umum yang JAUH lebih sering terjadi akhir-akhir ini dan beberapa praktik terbaik untuk melindungi diri darinya. Serangan ini biasa disebut dengan password spray.
Dalam serangan password spray, pelaku mencoba semua kata sandi yang paling umum pada berbagai akun dan layanan untuk mendapatkan akses ke aset apa pun yang mereka temukan tetapi dilindungi kata sandi. Biasanya, tindakan ini dilakukan pada beberapa organisasi dan penyedia identitas. Misalnya, penyerang akan menggunakan toolkit yang umum tersedia seperti Mailsniper untuk menghitung semua pengguna yang ada di beberapa organisasi, lalu mencoba “P@$$w0rd” dan “Password1” untuk semua akun tersebut. Untuk memberikan gambaran, serangan mungkin terlihat seperti berikut:
Pengguna Target | Kata Sandi Target |
[email protected] | Password1 |
[email protected] | Password1 |
[email protected] | Password1 |
[email protected] | Password1 |
… | … |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
Pola serangan ini menghindari sebagian besar teknik deteksi, karena dari sudut pandang pengguna individu atau perusahaan, serangan tersebut hanya terlihat seperti akses masuk gagal yang terisolasi.
Bagi penyerang, ini adalah permainan angka: mereka tahu bahwa ada beberapa kata sandi di luar sana yang sangat umum. Meskipun kata sandi yang paling umum ini hanya meliputi sekitar 0,5-1,0% dari semua akun, penyerang akan berhasil membobol beberapa akun untuk seribu akun yang diserang, dan hal ini sudah dapat dikatakan efektif.
Mereka menggunakan akun tersebut untuk mendapatkan data dari email, mengambil info kontak, dan mengirimkan tautan pengelabuan atau hanya memperluas grup target password spray. Penyerang tidak peduli siapa target awal mereka, cukup beberapa upaya sukses yang dapat mereka manfaatkan.
Berita baiknya, Microsoft memiliki banyak alat yang sudah diterapkan dan tersedia untuk melemahkan serangan ini, dan banyak lagi yang akan segera hadir. Lanjutkan membaca untuk mengetahui apa yang dapat Anda lakukan sekarang dan beberapa bulan mendatang untuk menghentikan serangan ini.
Empat langkah mudah untuk mengacaukan serangan password spray
Langkah 1: Gunakan autentikasi cloud
Di cloud, kami melihat miliaran proses masuk ke sistem Microsoft setiap harinya. Algoritme deteksi keamanan kami memungkinkan kami mendeteksi dan memblokir serangan secara langsung saat terjadi. Karena merupakan sistem perlindungan dan deteksi real-time yang dijalankan dari cloud, sistem ini hanya tersedia saat melakukan autentikasi Azure AD di cloud (termasuk Pass-Through Authentication).
Smart Lockout
Di cloud, kami menggunakan Smart Lockout untuk membedakan upaya masuk yang terlihat berasal dari pengguna valid dengan proses masuk yang mungkin berasal dari penyerang. Kami dapat mengunci penyerang tersebut, sementara pengguna yang valid menggunakan akunnya. Fitur ini mencegah penolakan layanan pada pengguna dan menghentikan serangan password spray yang agresif. Fitur ini juga berlaku untuk semua akses masuk Azure AD terlepas dari tingkat lisensinya, serta untuk semua akses masuk akun Microsoft.
Penyewa yang menggunakan Active Directory Federation Services (ADFS) akan dapat menggunakan Smart Lockout sebagai fitur bawaan ADFS di Windows Server 2016 mulai Maret 2018, silakan nantikan kehadiran kemampuan ini melalui Windows Update.
IP Lockout
IP lockout berfungsi dengan menganalisis miliaran akses masuk untuk menilai kualitas lalu lintas dari setiap alamat IP yang menjangkau sistem Microsoft. Dengan analisis tersebut, IP lockout menemukan alamat IP yang bertindak mencurigakan lalu memblokir akses masuk tersebut secara real-time.
Simulasi Serangan
Kini tersedia dalam pratinjau publik, Simulator Serangan sebagai bagian dari Office 365 Threat Intelligence memungkinkan pelanggan meluncurkan simulasi serangan kepada pengguna akhir mereka sendiri, menentukan bagaimana pengguna menanggapi serangan yang terjadi, lalu memperbarui kebijakan dan memastikan bahwa alat keamanan yang sesuai sudah disediakan untuk melindungi organisasi Anda dari ancaman seperti serangan password spray.
Hal-hal yang sebaiknya segera Anda lakukan:
- Jika menggunakan autentikasi cloud, Anda sudah terlindungi
- Jika menggunakan ADFS atau skenario hibrid lainnya, cari pemutakhiran ADFS bulan Maret 2018 untuk Smart Lockout
- Gunakan Simulator Serangan untuk mengevaluasi kondisi keamanan Anda dan melakukan penyesuaian secara proaktif
Langkah 2: Gunakan autentikasi multifaktor
Kata sandi adalah kunci untuk mengakses akun, tetapi dalam serangan password spray yang berhasil, penyerang menebak kata sandi dengan benar. Untuk menghentikannya, kita perlu menggunakan lebih dari sekadar kata sandi untuk membedakan pemilik akun dan penyerang. Tiga cara untuk melakukannya dijelaskan di bawah ini.
Autentikasi multifaktor berbasis risiko
Azure AD Identity Protection menggunakan data akses masuk seperti yang disebutkan di atas, lalu mengembangkan pembelajaran mesin dan deteksi algoritmis tingkat lanjut untuk menilai risiko setiap akses masuk yang terdeteksi di sistem. Hal ini memungkinkan pelanggan perusahaan membuat kebijakan dalam Identity Protection yang meminta pengguna untuk melakukan autentikasi dengan faktor kedua jika dan hanya jika ada risiko yang terdeteksi untuk pengguna atau sesi tersebut. Langkah ini mengurangi beban pada pengguna Anda dan akan menghalangi pelaku kejahatan. Pelajari selengkapnya tentang Azure AD Identity Protection di sini.
Autentikasi multifaktor yang selalu aktif
Untuk keamanan yang lebih tinggi, Anda dapat menggunakan Azure MFA untuk meminta autentikasi multifaktor sepanjang waktu bagi pengguna, baik dalam autentikasi cloud maupun ADFS. Meskipun mengharuskan pengguna akhir untuk selalu membawa perangkatnya dan melakukan autentikasi multifaktor secara lebih sering, fitur ini akan memberikan keamanan yang paling baik bagi perusahaan Anda. Fitur ini harus diaktifkan untuk setiap admin di organisasi. Pelajari selengkapnya tentang Azure Multi-Factor Authentication di sini serta cara mengonfigurasi Azure MFA untuk ADFS.
Azure MFA sebagai autentikasi utama
Di ADFS 2016, Anda memiliki kemampuan untuk menggunakan Azure MFA sebagai autentikasi utama bagi autentikasi tanpa kata sandi. Alat ini sangat tepat untuk melindungi dari serangan password spray dan serangan pencurian kata sandi: jika kata sandi tidak ada, orang lain tidak akan dapat menebaknya. Alat ini cocok untuk semua jenis perangkat dengan berbagai faktor bentuk. Selain itu, Anda sekarang juga dapat menggunakan kata sandi sebagai faktor kedua hanya setelah OTP divalidasi dengan Azure MFA. Pelajari selengkapnya tentang menggunakan kata sandi sebagai faktor kedua di sini.
Hal-hal yang sebaiknya segera Anda lakukan:
- Kami sangat menyarankan Anda untuk selalu mengaktifkan autentikasi multifaktor bagi semua admin di organisasi, terutama pemilik langganan dan admin penyewa. Ini serius, lakukan hal ini sekarang juga.
- Untuk pengalaman terbaik bagi pengguna lainnya, kami menyarankan autentikasi multifaktor berbasis risiko, yang tersedia dengan lisensi Azure AD Premium P2.
- Jika tidak, gunakan Azure MFA untuk autentikasi cloud dan ADFS.
- Di ADFS, mutakhirkan ke ADFS di Windows Server 2016 untuk menggunakan Azure MFA sebagai autentikasi utama, khususnya untuk semua akses ekstranet Anda.
Langkah 3: Kata sandi yang lebih baik untuk semua orang
Bahkan dengan semua hal di atas, komponen utama untuk bertahan dari password spray adalah semua pengguna harus memiliki kata sandi yang sulit ditebak. Pengguna sering kali kesulitan untuk mengetahui cara membuat kata sandi yang sulit ditebak. Microsoft membantu Anda melakukannya dengan alat-alat ini.
Kata sandi terlarang
Di Azure AD, setiap perubahan dan pengaturan ulang kata sandi dijalankan melalui pemeriksa kata sandi terlarang. Ketika kata sandi baru dimasukkan, kata sandi akan dicocokkan dengan daftar kata-kata yang tidak boleh disertakan di dalamnya (dan ejaan seperti l33t-sp3@k juga tidak akan lolos). Jika cocok, kata sandi akan ditolak, dan pengguna diminta untuk memilih kata sandi yang lebih sulit ditebak. Kami membuat daftar kata sandi yang paling sering diserang dan memperbaruinya sesering mungkin.
Kata sandi terlarang kustom
Untuk lebih menyempurnakan kata sandi terlarang, kami akan mengizinkan penyewa untuk menyesuaikan daftar kata sandi terlarang mereka. Admin dapat memilih kata-kata yang umum di organisasinya, seperti karyawan dan pendiri ternama, produk, lokasi, ikon regional, dll., dan melarang kata tersebut digunakan dalam kata sandi pengguna. Daftar ini akan diberlakukan sebagai tambahan bagi daftar global, jadi Anda tidak harus memilih salah satunya. Fitur ini kini dalam pratinjau terbatas dan akan diluncurkan tahun ini.
Kata sandi terlarang untuk perubahan lokal
Musim semi ini, kami meluncurkan alat untuk memungkinkan admin perusahaan melarang kata sandi di lingkungan Azure AD-Active Directory hibrid. Daftar kata sandi terlarang akan disinkronkan dari cloud ke lingkungan lokal Anda dan diberlakukan pada setiap pengontrol domain dengan agen. Hal ini membantu admin memastikan kata sandi pengguna lebih sulit ditebak di mana pun pengguna mengubah kata sandi, baik di cloud maupun lokal. Fitur ini diluncurkan ke pratinjau pribadi terbatas pada Februari 2018 dan akan diluncurkan pada ketersediaan umum tahun ini.
Ubah pandangan Anda tentang kata sandi
Banyak konsepsi umum yang salah tentang kata sandi yang baik. Biasanya, sesuatu yang akan membantu secara matematis justru berujung pada perilaku pengguna yang mudah diprediksi: misalnya meminta jenis karakter khusus dan perubahan kata sandi berkala akan menghasilkan pola kata sandi tertentu. Baca laporan resmi panduan kata sandi kami untuk detail selengkapnya. Jika menggunakan Direktori Aktif dengan PTA atau ADFS, perbarui kebijakan kata sandi Anda. Jika menggunakan akun yang dikelola cloud, pertimbangkan untuk mengatur kata sandi Anda agar tidak pernah kedaluwarsa.
Hal-hal yang sebaiknya segera Anda lakukan:
- Ketika dirilis, instal alat kata sandi terlarang Microsoft secara lokal untuk membantu pengguna membuat kata sandi yang lebih baik.
- Tinjau kebijakan kata sandi Anda dan pertimbangkan untuk mengaturnya agar tidak pernah kedaluwarsa sehingga pengguna tidak menggunakan pola musiman untuk membuat kata sandi mereka.
Langkah 4: Fitur yang lebih canggih di ADFS dan Direktori Aktif
Jika menggunakan autentikasi hibrid dengan ADFS dan Direktori Aktif, ada lebih banyak langkah yang dapat Anda ambil untuk mengamankan lingkungan dari serangan password spray.
Langkah pertama: untuk organisasi yang menjalankan ADFS 2.0 atau Windows Server 2012, rencanakan untuk beralih ke ADFS di Windows Server 2016 sesegera mungkin. Versi terbaru akan diperbarui lebih cepat dengan rangkaian kemampuan yang lebih kaya, seperti penguncian ekstranet. Dan ingat: kami telah memudahkan proses pemutakhiran dari Windows Server 2012 R2 ke 2016.
Blokir autentikasi warisan dari Ekstranet
Protokol autentikasi warisan tidak memiliki kemampuan untuk menerapkan MFA, jadi, pendekatan yang paling baik adalah memblokirnya dari ekstranet. Tindakan ini akan mencegah penyerang password spray mengeksploitasi ketiadaan MFA pada protokol-protokol tersebut.
Aktifkan Penguncian Ekstranet Proksi Aplikasi Web ADFS
Jika tidak memiliki penguncian ekstranet pada Proksi Aplikasi Web ADFS, Anda harus mengaktifkannya sesegera mungkin untuk melindungi pengguna dari kemungkinan serangan brute force kata sandi.
Sebarkan Azure AD Connect Health untuk ADFS
Azure AD Connect Health menangkap alamat IP yang terekam dalam log ADFS untuk permintaan nama pengguna/kata sandi yang buruk, memberi Anda pelaporan tambahan tentang berbagai skenario, dan memberikan wawasan tambahan untuk membantu teknisi saat membuka kasus dukungan yang dibantu.
Untuk menyebarkannya, unduh versi terbaru Agen Azure AD Connect Health untuk ADFS di semua Server ADFS (2.6.491.0). Server ADFS harus menjalankan Windows Server 2012 R2 dengan KB 3134222 yang terinstal atau Windows Server 2016.
Gunakan metode akses berbasis non-kata sandi
Jika kata sandi tidak ada, orang lain tidak akan dapat menebaknya. Metode autentikasi berbasis non-kata sandi ini tersedia untuk ADFS dan Proksi Aplikasi Web:
- Autentikasi berbasis sertifikat memungkinkan titik akhir nama pengguna/kata sandi diblokir sepenuhnya di firewall. Pelajari selengkapnya tentang autentikasi berbasis sertifikat di ADFS
- Azure MFA, sebagaimana disebutkan di atas, dapat digunakan sebagai faktor kedua dalam autentikasi cloud dan ADFS 2012 R2 serta 2016. Namun, fitur tersebut juga dapat digunakan sebagai faktor utama dalam ADFS 2016 untuk menghentikan kemungkinan password spray sepenuhnya. Pelajari cara mengonfigurasi Azure MFA dengan ADFS di sini
- Windows Hello untuk Bisnis, tersedia di Windows 10 dan didukung oleh ADFS di Windows Server 2016, memungkinkan akses yang sepenuhnya bebas kata sandi, termasuk dari ekstranet, berdasarkan kunci kriptografi kuat yang dikaitkan ke pengguna dan perangkat. Fitur ini tersedia untuk perangkat yang dikelola perusahaan yang tergabung dengan Azure AD atau Azure AD Hibrid, serta perangkat pribadi melalui “Tambahkan Akun Kerja atau Sekolah” dari aplikasi Pengaturan. Dapatkan informasi selengkapnya tentang Hello untuk Bisnis.
Hal-hal yang sebaiknya segera Anda lakukan:
- Mutakhirkan ke ADFS 2016 untuk pembaruan yang lebih cepat
- Blokir autentikasi warisan dari ekstranet.
- Sebarkan agen Azure AD Connect Health untuk ADFS di seluruh server ADFS Anda.
- Pertimbangkan untuk menggunakan metode autentikasi utama tanpa kata sandi seperti Azure MFA, sertifikat, atau Windows Hello untuk Bisnis.
Bonus: Melindungi akun Microsoft Anda
Jika Anda adalah pengguna akun Microsoft:
- Kabar baik, Anda sudah terlindungi! Akun Microsoft juga memiliki Smart Lockout, IP lockout, verifikasi dua langkah berbasis risiko, kata sandi terlarang, dan banyak lagi.
- Akan tetapi, mohon luangkan waktu dua menit untuk mengunjungi halaman Keamanan akun Microsoft lalu pilih “Perbarui info keamanan Anda” untuk meninjau informasi keamanan yang digunakan untuk verifikasi dua langkah berbasis risiko
- Pertimbangkan untuk mengaktifkan verifikasi dua langkah yang selalu aktif di sini untuk memberikan keamanan yang paling baik bagi akun Anda.
Pertahanan terbaik adalah… mengikuti rekomendasi di blog ini
Password spray adalah ancaman yang serius bagi setiap layanan di Internet yang menggunakan kata sandi, dan melakukan langkah-langkah di blog ini akan memberikan perlindungan maksimum terhadap vektor serangan ini. Selain itu, karena banyak jenis serangan yang memiliki kemiripan perilaku, saran perlindungan ini adalah hal yang harus diterapkan, titik. Keamanan Anda selalu menjadi prioritas utama kami dan kami terus bekerja keras untuk mengembangkan perlindungan yang baru dan canggih terhadap password spray serta semua jenis serangan lainnya di luar sana. Gunakan langkah-langkah di atas sekarang juga dan kembalilah ke blog ini secara berkala untuk mencari tahu tentang alat-alat baru yang akan melindungi Anda dari pelaku kejahatan di Internet.
Semoga informasi ini bermanfaat untuk Anda. Seperti biasa, kami sangat menantikan saran atau umpan balik dari Anda.
Salam Hangat,
Alex Simons (Twitter: @Alex_A_Simons)
Direktur Manajemen Program
Divisi Identitas Microsoft