Các biện pháp tối ưu của Azure AD và ADFS: Bảo vệ trước các cuộc tấn công lần dò mật khẩu chọn lọc
Xin chào các bạn,
Chừng nào chúng ta còn dùng mật khẩu thì còn có người tìm cách đoán ra chúng. Trong blog này, chúng ta sẽ thảo luận về một dạng tấn công phổ biến, gần đây đã xảy ra NHIỀU hơn và một số biện pháp tối ưu để đề phòng. Dạng tấn công này thường được gọi là lần dò mật khẩu chọn lọc.
Trong cuộc tấn công lần dò mật khẩu chọn lọc, kẻ xấu sẽ thử những mật khẩu phổ biến nhất trên nhiều tài khoản và dịch vụ khác nhau để lấy được quyền truy nhập vào bất kỳ tài nguyên được bảo vệ bằng mật khẩu nào mà chúng có thể tìm được. Thông thường, những cuộc tấn công kiểu này diễn ra ở nhiều tổ chức và nhà cung cấp định danh khác nhau. Ví dụ: kẻ tấn công sẽ sử dụng một bộ công cụ phổ biến như Mailsniper để đánh số tất cả người dùng trong một vài tổ chức, rồi thử dùng “P@$$w0rd” và “Password1” với tất cả những tài khoản đó. Cụ thể hơn, cuộc tấn công sẽ có dạng như sau:
Người dùng mục tiêu | Mật khẩu mục tiêu |
[email protected] | Password1 |
[email protected] | Password1 |
[email protected] | Password1 |
[email protected] | Password1 |
… | … |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
Kiểu tấn công này tránh được hầu hết các kỹ thuật phát hiện vì từ quan điểm của người dùng cá nhân hoặc công ty, cuộc tấn công chỉ giống như một lần đăng nhập không thành công riêng lẻ.
Với những kẻ tấn công, đây là trò chơi với những con số: chúng biết rằng luôn tồn tại những mật khẩu rất phổ biến. Dù những mật khẩu phổ biến nhất này chỉ chiếm 0,5-1,0% số tài khoản nhưng cứ mỗi một nghìn cuộc tấn công tài khoản, kẻ tấn công sẽ thành công được vài lần và thế là đủ.
Chúng sử dụng các tài khoản này để lấy dữ liệu từ email, trộm thông tin liên hệ và gửi liên kết lừa đảo qua mạng hoặc đơn giản là mở rộng nhóm mục tiêu lần dò mật khẩu chọn lọc. Kẻ tấn công không quan tâm nhiều đến mục tiêu ban đầu là ai—chúng chỉ để ý đến khả năng thành công mà chúng có thể lợi dụng.
Tin tốt là Microsoft đã triển khai và cung cấp rất nhiều công cụ để chặn đứng những cuộc tấn công này, cũng như tiếp tục đưa ra các công cụ khác trong tương lai. Đọc tiếp để biết bạn có thể làm gì trong hiện tại và những tháng sắp tới nhằm ngăn chặn các cuộc tấn công lần dò mật khẩu chọn lọc.
Bốn bước đơn giản để phá vỡ các cuộc tấn công lần dò mật khẩu chọn lọc
Bước 1: Sử dụng xác thực đám mây
Trên đám mây, chúng tôi thấy có hàng tỷ lượt đăng nhập vào hệ thống Microsoft mỗi ngày. Các thuật toán phát hiện bảo mật của chúng tôi cho phép phát hiện và chặn đứng các cuộc tấn công ngay khi chúng diễn ra. Vì đây là những hệ thống bảo vệ và phát hiện trong thời gian thực, được điều khiển từ đám mây nên chúng chỉ sẵn dùng khi thực hiện xác thực Azure AD trên đám mây (bao gồm Xác thực truyền qua).
Khóa thông minh
Trên đám mây, chúng tôi sử dụng Khóa thông minh để phân biệt những hoạt động đăng nhập có vẻ đến từ người dùng hợp lệ và những hoạt động đăng nhập có thể đến từ kẻ tấn công. Chúng tôi có thể ngăn chặn kẻ tấn công trong khi vẫn cho phép người dùng hợp lệ tiếp tục sử dụng tài khoản. Điều này giúp ngăn chặn tình huống từ chối dịch vụ với người dùng và chặn đứng các cuộc tấn công lần dò mật khẩu chọn lọc thái quá. Khóa thông minh này được áp dụng cho tất cả hoạt động đăng nhập Azure AD, bất kể mức giấy phép và cho tất cả hoạt động đăng nhập tài khoản Microsoft.
Các đối tượng thuê sử dụng Active Directory Federation Services (ADFS) sẽ có thể sử dụng Khóa thông minh ngay ở ADFS trong Windows Server 2016 kể từ Tháng Ba 2018—hãy đón chờ khả năng này qua Windows Update.
Khóa IP
Khóa IP hoạt động bằng cách phân tích hàng tỷ lượt đăng nhập để đánh giá chất lượng lưu lượng truy nhập từ từng địa chỉ IP đến hệ thống của Microsoft. Với khả năng phân tích đó, tính năng khóa IP sẽ tìm được những địa chỉ IP tỏ ra có hại và chặn những lượt đăng nhập đó trong thời gian thực.
Mô phỏng vụ tấn công
Hiện sẵn dùng dưới dạng bản xem trước công khai, Trình mô phỏng Vụ tấn công trong Thông tin về Mối đe dọa Office 365 cho phép khách hàng cho chạy các cuộc tấn công mô phỏng trên người dùng cuối của họ, xác định hành vi của người dùng trong trường hợp bị tấn công và cập nhật chính sách, cũng như đảm bảo có sẵn công cụ bảo mật thích hợp để bảo vệ tổ chức trước các mối đe dọa như cuộc tấn công lần dò mật khẩu chọn lọc.
Chúng tôi khuyên bạn nên thực hiện những việc sau càng sớm càng tốt:
- Nếu đang sử dụng xác thực đám mây, bạn đã được bảo vệ
- Nếu bạn đang sử dụng ADFS hoặc một kịch bản kết hợp khác, hãy đón chờ bản nâng cấp ADFS vào Tháng Ba 2018 để có Khóa thông minh
- Sử dụng Trình mô phỏng Vụ tấn công để chủ động đánh giá vị thế bảo mật của bạn, rồi điều chỉnh
Bước 2: Sử dụng xác thực đa yếu tố
Mật khẩu là chìa khóa để truy nhập tài khoản nhưng trong một cuộc tấn công lần dò mật khẩu chọn lọc thành công, kẻ tấn công đã đoán được đúng mật khẩu. Để ngăn chặn kẻ tấn công, chúng tôi cần sử dụng nhiều thứ, chứ không chỉ mật khẩu để phân biệt giữa chủ tài khoản và kẻ tấn công. Sau đây là ba cách để phân biệt.
Xác thực đa yếu tố dựa trên rủi ro
Bảo vệ danh tính Azure AD sử dụng dữ liệu đăng nhập được đề cập ở trên và bổ sung khả năng phát hiện bằng thuật toán cũng như máy học tiên tiến để chấm điểm rủi ro cho mỗi hoạt động đăng nhập vào hệ thống. Điều này cho phép khách hàng doanh nghiệp tạo chính sách trong Bảo vệ danh tính, nhắc người dùng xác thực bằng yếu tố thứ hai khi và chỉ khi phát hiện rủi ro với người dùng hoặc với phiên. Điều này giảm bớt gánh nặng cho người dùng của bạn và chặn đứng kẻ xấu. Tìm hiểu thêm về Bảo vệ danh tính Azure AD ở đây.
Xác thực đa yếu tố luôn bật
Để bảo mật tốt hơn, bạn có thể sử dụng Azure MFA để yêu cầu xác thực đa yếu tố cho người dùng của mình, tại mọi thời điểm, cả trong xác thực đám mây và ADFS. Việc này yêu cầu người dùng cuối luôn mang theo thiết bị và thực hiện xác thực đa yếu tố thường xuyên hơn nhưng lại mang đến khả năng bảo mật tối ưu cho doanh nghiệp của bạn. Tính năng này được bật cho tất cả người quản trị trong tổ chức. Tìm hiểu thêm về Xác thực đa yếu tố Azure ở đây và cách đặt cấu hình Azure MFA cho ADFS.
Sử dụng Azure MFA làm phương pháp xác thực chính
Trong ADFS 2016, bạn có khả năng sử dụng Azure MFA làm phương pháp xác thực chính cho hoạt động xác thực không cần mật khẩu. Đây là công cụ tuyệt vời để bảo vệ trước các cuộc tấn công đánh cắp mật khẩu và lần dò mật khẩu chọn lọc: nếu không có mật khẩu, sẽ không có gì để đoán. Tính năng này hoạt động tốt cùng mọi loại thiết bị với các thông số hình thức khác nhau. Ngoài ra, hiện bạn có thể sử dụng mật khẩu làm yếu tố thứ hai chỉ sau khi Azure MFA đã xác thực OTP. Tìm hiểu thêm về việc sử dụng mật khẩu làm yếu tố thứ hai ở đây.
Chúng tôi khuyên bạn nên thực hiện những việc sau càng sớm càng tốt:
- Chúng tôi đặc biệt khuyên bạn nên duy trì bật xác thực đa yếu tố cho tất cả người quản trị trong tổ chức, đặc biệt là chủ sở hữu đăng ký và người quản trị đối tượng. Rất quan trọng đó, bạn hãy thực hiện việc này ngay.
- Để mang đến trải nghiệm tốt nhất cho toàn bộ những người dùng còn lại của bạn, chúng tôi khuyên bạn nên xác thực đa yếu tố dựa trên rủi ro, tính năng này sẵn dùng với giấy phép Azure AD Premium P2.
- Nếu không, hãy sử dụng Azure MFA cho xác thực đám mây và ADFS.
- Trong ADFS, hãy nâng cấp lên ADFS trên Windows Server 2016 để sử dụng Azure MFA làm phương pháp xác thực chính, đặc biệt là với tất cả truy nhập extranet của bạn.
Bước 3: Mật khẩu mạnh hơn cho tất cả mọi người
Ngay cả với tất cả những điều trên, yếu tố quan trọng trong việc bảo vệ chống lần dò mật khẩu chọn lọc vẫn là tất cả người dùng phải có mật khẩu khó đoán. Người dùng thường không biết cách tạo mật khẩu khó đoán. Microsoft sẽ giúp bạn hướng dẫn họ tạo mật khẩu khó đoán với những công cụ sau.
Mật khẩu bị cấm
Trong Azure AD, mọi hoạt động đặt lại và thay đổi mật khẩu đều được duyệt qua bộ kiểm tra mật khẩu bị cấm. Khi mật khẩu mới được gửi đi, công cụ này sẽ đối chiếu mật khẩu với danh sách các từ mà mọi người không bao giờ nên đưa vào mật khẩu (và việc đánh vần kiểu l33t-sp3@k thực sự không có hiệu quả). Nếu kết quả khớp, mật khẩu sẽ bị từ chối và người dùng được yêu cầu chọn một mật khẩu khó đoán hơn. Chúng tôi xây dựng danh sách những mật khẩu thường bị tấn công nhất và cập nhật danh sách thường xuyên.
Mật khẩu bị cấm tùy chỉnh
Để giúp công cụ mật khẩu bị cấm hoạt động tốt hơn nữa, chúng tôi sẽ cho phép các đối tượng thuê tùy chỉnh danh sách mật khẩu bị cấm của họ. Người quản trị có thể chọn các từ thường gặp trong tổ chức của họ—các nhân viên và nhà sáng lập nổi tiếng, sản phẩm, địa điểm, biểu tượng khu vực và v.v.—và ngăn chặn việc sử dụng các từ này trong mật khẩu của người dùng. Danh sách này sẽ được thực thi cùng với danh sách toàn cầu, như vậy, bạn không phải chọn một trong hai. Tính năng này đang ở dạng bản xem trước hạn chế và sẽ triển khai trong năm nay.
Mật khẩu bị cấm đối với các thay đổi tại chỗ
Mùa xuân này, chúng tôi sẽ ra mắt một công cụ cho phép người quản trị doanh nghiệp cấm các mật khẩu trong môi trường Azure AD-Active Directory kết hợp. Danh sách mật khẩu bị cấm sẽ được đồng bộ từ đám mây đến môi trường tại chỗ của bạn và được thực thi trên mọi bộ kiểm soát miền với tác nhân. Điều này giúp người quản trị đảm bảo mật khẩu của người dùng khó đoán hơn dù người dùng thay đổi mật khẩu ở đâu—trên đám mây hay tại chỗ. Tính năng này đã được ra mắt dưới dạng bản xem trước hạn chế vào Tháng Hai 2018 và sẽ chuyển sang bản Khả dụng rộng rãi trong năm nay.
Thay đổi suy nghĩ của bạn về mật khẩu
Có rất nhiều quan niệm phổ biến chưa đúng về mật khẩu mạnh. Thông thường, một số yếu tố hỗ trợ về mặt toán học sẽ thực sự dẫn đến hành vi người dùng có thể dự đoán: chẳng hạn, việc yêu cầu một số loại ký tự cụ thể và thay đổi mật khẩu định kỳ đều dẫn đến các mẫu hình mật khẩu cụ thể. Đọc sách trắng hướng dẫn về mật khẩu của chúng tôi để tìm hiểu chi tiết hơn. Nếu bạn đang sử dụng Active Directory với PTA hoặc ADFS, hãy cập nhật chính sách mật khẩu của bạn. Nếu bạn đang sử dụng tài khoản được quản lý trên đám mây, hãy cân nhắc việc đặt mật khẩu thành không bao giờ hết hạn.
Chúng tôi khuyên bạn nên thực hiện những việc sau càng sớm càng tốt:
- Hãy cài đặt công cụ mật khẩu bị cấm của Microsoft tại chỗ ngay khi công cụ được phát hành để giúp người dùng tạo mật khẩu tốt hơn.
- Xem lại chính sách mật khẩu của bạn và cân nhắc đặt mật khẩu thành không bao giờ hết hạn để người dùng không sử dụng các mẫu hình theo mùa khi tạo mật khẩu.
Bước 4: Các tính năng tuyệt vời khác trong ADFS và Active Directory
Nếu bạn đang sử dụng xác thực kết hợp với ADFS và Active Directory, còn có các bước khác mà bạn có thể thực hiện để bảo vệ môi trường của mình trước các cuộc tấn công lần dò mật khẩu chọn lọc.
Bước đầu tiên: với các tổ chức chạy ADFS 2.0 hoặc Windows Server 2012, hãy lên kế hoạch chuyển sang ADFS trong Windows Server 2016 càng sớm càng tốt. Phiên bản mới nhất sẽ được cập nhật nhanh hơn với bộ chức năng phong phú hơn, chẳng hạn như khóa extranet. Và hãy nhớ rằng: chúng tôi đã giúp việc nâng cấp từ Windows Server 2012R2 lên 2016 trở nên vô cùng dễ dàng.
Chặn xác thực thừa tự từ Extranet
Các giao thức xác thực thừa tự không có khả năng thực thi MFA, do đó, phương pháp tiếp cận tốt nhất là chặn chúng khỏi extranet. Việc này sẽ ngăn chặn kẻ tấn công lần dò mật khẩu chọn lọc khai thác lỗ hổng MFA trên những giao thức đó.
Bật khóa extranet Proxy Ứng dụng Web ADFS
Nếu không có sẵn khóa extranet tại Proxy ứng dụng web ADFS, bạn nên bật tính năng này càng sớm càng tốt để bảo vệ người dùng trước nguy cơ bị xâm phạm mật khẩu theo kiểu brute force.
Triển khai Azure AD Connect Health cho ADFS
Azure AD Connect Health lưu giữ lại các địa chỉ IP được ghi trong nhật ký ADFS cho các yêu cầu tên người dùng/mật khẩu không tốt, cung cấp cho bạn báo cáo bổ sung về một loạt các kịch bản, đồng thời cung cấp thông tin chuyên sâu thêm nhằm hỗ trợ kỹ sư khi mở các trường hợp hỗ trợ được trợ giúp.
Để triển khai, hãy tải xuống phiên bản mới nhất của Tác nhân Azure AD Connect Health cho ADFS trên mọi Máy chủ ADFS (2.6.491.0). Máy chủ ADFS phải chạy Windows Server 2012 R2 có cài đặt KB 3134222 hoặc Windows Server 2016.
Sử dụng phương pháp truy nhập không dựa trên mật khẩu
Không có mật khẩu thì không có gì để đoán. Những phương pháp xác thực không dựa trên mật khẩu này sẵn dùng cho ADFS và Proxy Ứng dụng Web:
- Chứng thực dựa trên chứng chỉ cho phép chặn hoàn toàn các điểm cuối tên người dùng/mật khẩu tại tường lửa. Tìm hiểu thêm về xác thực dựa trên chứng chỉ trong ADFS
- Azure MFA, như đã đề cập ở trên, có thể được dùng làm yếu tố thứ hai trong xác thực đám mây cũng như ADFS 2012 R2 và 2016. Tuy nhiên, Azure MFA cũng có thể được dùng làm yếu tố chính trong ADFS 2016 để ngăn mọi khả năng lần dò mật khẩu chọn lọc. Tìm hiểu cách đặt cấu hình Azure MFA bằng ADFS ở đây
- Windows Hello cho Doanh nghiệp, sẵn dùng trong Windows 10 và được hỗ trợ bởi ADFS trong Windows Server 2016, cho phép truy nhập hoàn toàn không cần mật khẩu, bao gồm từ extranet, dựa trên các khóa mật mã mạnh gắn với cả người dùng và thiết bị. Tính năng này sẵn dùng với các thiết bị do doanh nghiệp quản lý, đã tham gia Azure AD hoặc Azure AD Kết hợp cũng như các thiết bị cá nhân qua tùy chọn “Thêm tài khoản cơ quan hoặc trường học” từ ứng dụng Cài đặt. Xem thêm thông tin về Hello cho Doanh nghiệp.
Chúng tôi khuyên bạn nên thực hiện những việc sau càng sớm càng tốt:
- Nâng cấp lên ADFS 2016 để cập nhật nhanh hơn
- Chặn xác thực kế thừa từ extranet.
- Triển khai tác nhân Azure AD Connect Health cho ADFS trên toàn bộ máy chủ ADFS.
- Cân nhắc sử dụng phương pháp xác thực chính không cần mật khẩu, chẳng hạn như Azure MFA, chứng chỉ hoặc Windows Hello cho Doanh nghiệp.
Nội dung bổ sung: Bảo vệ các tài khoản Microsoft của bạn
Nếu bạn là người dùng tài khoản Microsoft:
- Tin tốt là bạn đã được bảo vệ! Các tài khoản Microsoft cũng sở hữu tính năng Khóa thông minh, khóa IP, kiểm chứng hai bước dựa trên rủi ro, mật khẩu bị cấm và nhiều tính năng khác.
- Nhưng, hãy dành hai phút để truy nhập trang Bảo mật tài khoản Microsoft và chọn “Cập nhật thông tin bảo mật của bạn” để xem lại thông tin bảo mật dùng cho kiểm chứng hai bước dựa trên rủi ro
- Cân nhắc việc duy trì bật kiểm chứng hai bước ở đây để mang đến sự bảo mật tốt nhất có thể cho tài khoản của bạn.
Cách đề phòng tốt nhất là… làm theo các đề xuất trong blog này
Hành vi lần dò mật khẩu chọn lọc là mối đe dọa nghiêm trọng với mọi dịch vụ trên Internet có sử dụng mật khẩu, nhưng việc thực hiện các bước trong blog này sẽ mang đến cho bạn sự bảo vệ tối đa trước véc-tơ tấn công này. Và vì nhiều loại tấn công sẽ có chung đặc điểm nên đây chỉ là những đề xuất bảo vệ tốt, đơn thuần vậy thôi. Sự bảo mật của bạn luôn là ưu tiên hàng đầu của chúng tôi và chúng tôi luôn không ngừng nỗ lực để phát triển các phương pháp bảo vệ mới, tiên tiến trước cuộc tấn công lần dò mật khẩu chọn lọc cũng như hình thức tấn công khác. Hãy sử dụng các tính năng ở trên ngay hôm nay và kiểm tra lại thường xuyên để biết các công cụ mới, giúp chống lại kẻ xấu trên Internet.
Tôi hy vọng bạn sẽ thấy thông tin này hữu ích. Như thường lệ, chúng tôi rất mong nhận được mọi phản hồi hay đề xuất từ bạn.
Trân trọng,
Alex Simons (Twitter: @Alex_A_Simons)
Giám đốc Quản lý chương trình
Bộ phận Danh tính của Microsoft