AFI Distribution

🔷Как защитить корпоративные пароли

Scirge позволяет обнаруживать повторное использование корпоративных паролей для личных нужд без сбора каких-либо персональных данных сотрудников.

Повторное использование корпоративного пароля (даже пароля Active Directory) в личной учетной записи – будь то для развлечения, защиты личных финансов или любых других целей – серьезная угроза безопасности. В сети находятся миллиарды скомпрометированных учетных записей. Возможность установить принадлежность разных адресов электронной почты одному и тому же лицу становится потенциальной угрозой для сотрудников высокого ранга и руководителей.

Это один из самых темных уголков теневых ИТ, поскольку личные учетные записи не имеют к организации никакого отношения. Однако используемые в них пароли могут создать невидимые лазейки в вашу корпоративную инфраструктуру.

Версия Scirge 3.1 позволяет собирать хэши паролей без сбора информации об учетной записи, т.е. без сбора адресов электронной почты или URL-адресов, по которым они использовались. Это означает, что алгоритмы можно настроить на мониторинг личной активности с единственной целью точно определить, использует ли кто-либо корпоративный пароль в личном приложении. Кстати, мы также никогда не храним корпоративные пароли в открытом виде, чтобы не создавать лишних угроз безопасности компании.

Хэши паролей могут храниться в нашей локальной среде, никогда не выходя за ее пределы, чтобы мы в любой момент могли выявить случаи повторного и совместного использования паролей. Новая версия позволяет нам пролить свет даже на самые темные уголки теневых ИТ, проявляя уважение к нашим сотрудникам и их личной тайне.



#кибербезопасность

❓Как перейти на новый уровень информационной безопасности?

🔹 Отслеживание взломанных паролей

Автоматическая проверка по общедоступным спискам взломанных паролей должна быть одним из приоритетов. Это просто, и, хотя это и не защищает от недавно взломанных паролей, может оказаться полезным использовать список, содержащий миллиарды известных взломанных паролей, которые любая организация может занести в свой черный список. Потому что если этого не сделаете вы, это сделают злоумышленники. Scirge предлагает пользователям функциональность такого рода, но существуют и другие решения, которые помогут защитить пароли AD.

🔹 Обнаружение повторного использования паролей AD

Это сложная задача. Чтобы полностью исключить повторное использование паролей, необходимо иметь масштабную программу информирования/обучения сотрудников. Использование менеджеров паролей также может помочь, если они поддерживают функцию обнаружения повторного использования паролей и генерируют надежные и уникальные пароли. Однако для их внедрения требуется определенное время, и они также имеют свои недостатки: менеджеры паролей способствуют совместному использованию паролей и потенциально могут позволить сотрудникам синхронизировать свои корпоративные учетные записи с личными конечными устройствами. Таким образом, они смогут получить доступ к корпоративным сервисам даже после того, как покинули организацию, в которой работали. В конечном счете, мониторинг каждой отдельной учетной записи в Интернете — единственное решение для полного обнаружения повторного использования паролей.

🔹 Проверка сложности паролей

Хотя Azure AD обеспечивает повышенную сложность паролей и мы не всегда согласны с требованиями в отношении высокой сложности для запоминаемых пользователем паролей, есть несколько моментов, которые следует учитывать:

Майкрософт не обеспечивает обнаружение повторяющихся или последовательных знаков.
Некоторые отраслевые стандарты, такие как PCI, требуют наличия очень строгих правил в отношении сложности паролей.

Является ли это проблемой? Спрашиваете. Конечно же, это проблема, в случае если ваши сотрудники пытаются придумать самые простые пароли, которые пройдут проверку сложности (asdf123! возможно?), или если вы вынуждены соблюдать определенные строгие нормативные требования. Есть только два способа справиться с этой проблемой, поскольку Майкрософт не предоставляет готовых решений.

Первый заключается в интеграции стороннего уровня паролей для локальных логинов AD, отказе от слабых паролей и применении более надежных. Это отличное решение, но за него придется заплатить очень высокую цену: если внедрить слой стороннего ПО в самые важные процессы входа в систему, то это создаст огромный риск нарушения непрерывности ведения бизнеса и потенциальную проблему для сотрудников.

Другой вариант — просто выполнять пассивный мониторинг паролей AD. Scirge реализует эту функциональность через браузеры и опционально предупреждает сотрудников о слабых или простых паролях. В чем преимущества такого подхода? Отсутствует риск нарушения непрерывности ведения бизнеса, и сотрудники могут вносить изменения в пароли в свободное время или на основе централизованной политики. Еще преимущества? Мы можем сделать то же самое для всех остальных учетных записей в сети Интернет. Поскольку большое значение имеют не только пароли AD.

🔹 Осведомленность сотрудников

Независимо от того, какой подход мы используем, вопрос всегда заключается в том, достаточно ли осведомлены и ответственны наши сотрудники в этом вопросе. Поэтому не забывайте проводить достаточное обучение и своевременно уведомлять сотрудников о рисках и необходимом поведении, поскольку большинство из них не чувствуют себя ответственными за безопасность организации.



#кибербезопасность

❓Как обеспечить надежную защиту паролей службы каталогов Microsoft Active Directory?

Несмотря на то что корпорация Майкрософт заявляет о том, что пароли не имеют особого значения для обеспечения информационной безопасности, она предлагает различные уровни защиты паролей, поскольку, вероятно, сама не очень верит в то, о чем говорит. Хотя мы всячески поддерживаем переход на технологии многофакторной аутентификации (MFA) и беспарольные методы аутентификации, для большинства организаций повсеместный отказ от паролей является довольно сложной задачей.

Майкрософт сообщает: всего 11% среди всех корпоративных пользователей перешли на технологии MFA и это в то время, когда каждый месяц взламываются 1,2 млн учетных записей.

Поскольку периодичность возникновения и ущерб от атак программ-вымогателей каждый год только увеличиваются, имеет смысл сосредоточиться на том, как мы можем уже сегодня противостоять основному вектору атаки.

Как и в случае с многими службами, Майкрософт побуждает своих клиентов к переходу на облачные технологии, поэтому неудивительно, что Azure AD обеспечивает высочайший уровень гибкости в плане защиты паролей, использования функций облачного анализа и, конечно же, реализации технологии MFA и функции единого входа (SSO) на основе Azure AD для поддерживаемых приложений. Если посмотреть на конкретные существующие требования в отношении характеристик паролей, то можно увидеть, что доступны следующие опции:
☑ Разрешенный набор знаков
☑ Длина пароля (8–256 знаков)
☑ Сочетание нескольких типов знаков (не более трех следующих типов знаков: цифр, прописных букв, строчных букв, символов)
☑ Последние использованные пароли (включая небольшие изменения, такие как abcdefg -> abcdefh)
☑ Пользовательский список запрещенных паролей (нечеткое соответствие для вариантов паролей)
☑ Глобальный список запрещенных паролей (принудительно)

Это вполне обычные требования, за исключением того, что в них отсутствуют запреты на использование повторяющихся и последовательных знаков, а также требования в отношении взломанных паролей, хотя они ссылаются на руководство по идентификационным данным NIST, в котором прямо рекомендуется использовать такие средства управления паролями. Майкрософт не использует общедоступные списки взломанных паролей, поскольку ее «глобальный список запрещенных паролей гораздо меньше по сравнению с подробными списками других компаний, он составлен на основе реальной телеметрии о фактических атаках с использованием паролей». Это, конечно, хорошая попытка избежать случаев массового взлома, но, когда злоумышленники нападают на компанию с использованием недавно взломанной учетной записи, для успешной атаки им требуется всего одна попытка. Остается загадкой, почему корпорация не использует эти списки, включающие упомянутые выше 1,2 млн случаев нарушений информационной безопасности.




#кибербезопасность
#пароли