Používanie služieb zisťovania porušenia hesla na zabránenie kybernetickému útoku

Posilnenie zásad hesiel vo vašej organizácii je dôležitou súčasťou robustnej stratégie kybernetickej bezpečnosti. Kyberzločinci používajú napadnuté účty ako jednu zo svojich obľúbených taktík na infiltráciu do kritických obchodných prostredí; ako sme videli v nedávnych správach, tieto útoky môžu byť nebezpečné a môžu mať finančný dosah.

Nanešťastie je kompromitácia účtu veľmi úspešná metóda útoku a vyžaduje oveľa menej úsilia ako iné spôsoby útoku.

Jedným zo základných typov ochrany heslom, ktoré odporúčajú známe štandardy kybernetickej bezpečnosti, je detekcia narušeného hesla. Hackeri často používajú zoznamy známych porušených hesiel pri útokoch na preplňovanie poverení alebo sprejovanie hesiel.

Tu je niekoľko kritických kritérií, ktoré je potrebné zvážiť, keď vaši systémoví správcovia hodnotia riešenia ochrany pred narušeným heslom.

Odporúčania pre porušenie hesla

V posledných rokoch sa odporúčania týkajúce sa zabezpečenia hesiel vyvinuli mimo tradičné odporúčania týkajúce sa zabezpečenia hesiel.

Firmy už roky používajú Microsoft Active Directory na implementáciu zásad hesiel v organizácii. Štandardné zásady hesiel služby Active Directory zahŕňajú minimálne nastavenia konfigurácie hesla.

Nižšie je uvedený príklad nastavení ponúkaných s konvenčnou politikou hesiel služby Active Directory:

  • Vynútiť históriu hesiel
  • Maximálny vek hesla
  • Minimálny vek hesla
  • Minimálna dĺžka hesla
  • Audit minimálnej dĺžky hesla
  • Heslo musí spĺňať požiadavky na zložitosť
  • Uložte heslo pomocou reverzibilného šifrovania

V predvolenom nastavení zásady hesiel služby Active Directory nezahŕňajú riešenie na implementáciu ochrany heslom.

Nastavenia politiky hesla služby Active Directory

Prečo je dôležité, aby podniky začali uvažovať o ochrane pred narušeným heslom? Pozrime sa na odporúčania osvedčených postupov od popredných autorít v oblasti poradenstva v oblasti kybernetickej bezpečnosti.

Nové odporúčania týkajúce sa politiky hesiel

Ako už bolo spomenuté, tradičné zásady hesiel vytvorené pomocou Active Directory sú obmedzené vo funkciách a možnostiach. Tie umožňujú vytvárať základné politiky hesiel so štandardnou dĺžkou, zložitosťou, vekom a ďalšími požiadavkami. Neexistuje však spôsob, ako použiť natívnu funkčnosť na implementáciu ochrany heslom.

Hoci existujú prostriedky na implementáciu .dll filtra hesiel v Active Directory na zabezpečenie ochrany slovníka hesiel, ide o manuálny proces, ktorý sa spolieha na vývoj vlastných súborov .dll filtra hesiel.

Nové usmernenia týkajúce sa politiky hesiel od popredných autorít kybernetickej bezpečnosti, ako je napr Národný inštitút pre štandardy a technológie (NIST) odporučiť ochranu pred narušeným heslom. Špeciálna publikácia NIST 800-63B Sekcia SP 800-63B 5.1.1.2 odstavec 9 uvádza:

“Overovatelia BY NEMALI zaviesť pre zapamätané tajomstvá iné pravidlá zloženia (napr. požadovanie zmiešania rôznych typov znakov alebo zákaz po sebe nasledujúcich opakovaní znakov). Overovatelia BY NESMIE vyžadovať, aby sa zapamätané tajomstvá svojvoľne menili (napr. pravidelne). overovatelia MUSIA vynútiť zmenu, ak existuje dôkaz o kompromitácii autentifikátora.”

Usmernenie NIST v podstate odporúča, aby organizácie vynútili zmenu hesla, ak existujú dôkazy o porušení. Aby firmy mali dôkaz o porušení hesla, musia mať spôsob, ako monitorovať prostredie hesiel, či heslá neboli porušené. Okrem sledovania prelomenia hesiel, keď si používatelia vyberajú nové heslá, je potrebné kontrolovať aj nové voľby hesiel.

Vyhodnocovanie služieb detekcie narušených hesiel

Detekcia narušeného hesla je odporúčaným osvedčeným postupom pre ďalšiu vrstvu prevencie kybernetických útokov. Zvážte nasledujúce funkcie, ktorým musíte venovať veľkú pozornosť pri výbere riešenia:

  1. Jednoduchosť nasadenia
  2. Proaktívne monitorovanie
  3. Proaktívne zmeny hesla
  4. Porušená veľkosť databázy hesiel
  5. Integrácia s aktuálnymi politikami hesiel služby Active Directory
  6. Jednoduchosť nasadenia

Základnou úvahou, ktorú musia podniky zvážiť pri výbere riešenia pre prelomenie hesla treťou stranou, je jednoduchosť nasadenia. Hľadajte riešenia, ktoré sa dajú jednoducho nasadiť pomocou existujúcej infraštruktúry Active Directory. Riešenia, ktoré sa ťažko nasadzujú, budú pravdepodobne viesť k problémom s konfiguráciou a problémom s implementáciou a časom zhodnotenia. Hľadajte riešenia, ktoré využívajú existujúcu infraštruktúru služby Active Directory spolu so zásadami skupiny, ktoré umožňujú rýchle využitie existujúcich zásad a infraštruktúry.

1 — Proaktívne monitorovanie

Jednou zo základných požiadaviek na ochranu pred narušeným heslom je proaktívne monitorovanie. Organizácie potrebujú riešenie, ktoré kontroluje heslo počas operácie nastavenia hesiel a proaktívne monitoruje prostredie hesiel s cieľom nájsť heslá, ktoré môžu byť porušené. Táto funkcionalita pomáha zabezpečiť, aby heslá, ktoré nemôžu byť prelomené počas vytvárania, ale neskôr sa prelomia, sú správne identifikované a môžu byť napravené.

2 — Proaktívne zmeny hesla

V súlade s proaktívnym monitorovaním narušených hesiel v prostredí musia organizácie hľadať riešenie na ochranu pred narušenými heslami, ktoré proaktívne vyžaduje, aby si koncoví používatelia zmenili svoje heslá, ak dôjde k ich porušeniu. Táto funkcia pomáha zabezpečiť, aby všetky heslá, ktoré sa v prostredí prelomia, boli čo najrýchlejšie opravené.

3 — Prekročená veľkosť databázy hesiel

Majte na pamäti, že všetky služby na ochranu prelomených hesiel nie sú rovnaké v počte kontrolovaných prelomených hesiel. Databázy narušených hesiel sa môžu medzi rôznymi službami líšiť. Čím rozsiahlejšia je databáza prelomených hesiel, tým lepšia ochrana pred narušenými heslami. Ak množstvo prelomených hesiel nie je transparentne oznámené, opýtajte sa priamo predajcu, koľko je zahrnutých v ich backendových zoznamoch.

4 — Integrácia s aktuálnymi politikami hesiel služby Active Directory

Specops porušil ochranu heslom

Hľadajte riešenie na ochranu pred narušeným heslom, ktoré sa dá integrovať s aktuálnymi zásadami hesiel služby Active Directory. Znamená to, že môžete ponechať priradenia GPO, ktoré priraďujú rôzne politiky hesiel konkrétnym používateľom a pomôžu vám zabrániť „znovu vynájdeniu kolesa“.

Specops porušil ochranu heslom

Riešenie Specops Password Policy umožňuje organizáciám využívať výkonnú ochranu heslom ako súčasť zabezpečenia prostredia heslom. Funkcie zahŕňajú všetky najvyššie požiadavky, ako napríklad:

  1. Proaktívne monitorovanie narušeného hesla a vynútenie zmeny hesla
  2. Jednoduché nasadenie a integrácia s existujúcimi zásadami hesiel založenými na GPO služby Active Directory
  3. Stiahnuteľná databáza prelomených hesiel alebo ochrana založená na API
  4. Spravovaná databáza viac ako 2-miliarda hesiel a rastie
  5. Pomocou prístupu založeného na rozhraní API získate ochranu hesiel vašej organizácie pri prelomení v reálnom čase

Pomocou Specops Password Policy s Breached Password Protection môžete jednoducho zaviesť ochranu prelomeným heslom pomocou GPO-based Active Directory Password Policies, ktoré sú už zavedené.

Ak sa chcete ponoriť do Zásad hesiel Specops s ochranou proti porušeniu hesla, spustite bezplatnú skúšobnú verziu kedykoľvek.