使用 SpyCloud Active Directory Guardian 简化 NIST 密码指南

解决方案简介 简化NIST密码指南ActiveDirectoryGuardian Overview 使用SpyCloud与NIST指南对齐主要功能和下面的fits 它是如何工作的 Summary 解决方案简要概述 这是不可避免的：人们重复使用密码。面对复杂的密码 要求和数百个在线账户来跟踪，它的 难怪70%2021年被泄露的用户正在重复使用以前泄露的密码，要么知道，但没有更新或者不知道也不理解与之相关的风险 密码受损。为了记住他们的登录信息，许多用户旋转一组熟悉的密码或只更改几个密码 根据复杂性要求发出吱吱声的字符。 攻击者依靠这些坏习惯。一旦罪犯获得访问权限通过数据泄露，他们开始测试被盗 密码与其他帐户，以查看他们可以利用什么。高级Crimeware使即使是简单的威胁参与者也很容易大规模参与凭证stuffing和密码喷洒攻击。 70% ...中暴露的用户 2021年的违规行为是以前重复使用 密码受损 帮助组织降低用户密码错误带来的风险 习惯，国家标准与技术研究所（NIST）设计了一套考虑人类行为的密码指南。虽然NIST的大多数密码准则可以直接在 目录服务，如ActiveDirectory，有一个严重的异常：禁止“常用、预期或受损”密码。 SpyCloudsimplifiesNIST密码指南通过使您能够检查您的员工密码与最大的被盗凭据数据库 使用SpyCloudActiveDirectoryGuardian，您可以防止，自动识别并重置违反ActiveDirectory密码， 大幅减少所需的时间、成本和资源 NIST指南。 NIST特别出版物800-63B中的密码指南 在NIST特别出版物800-63B第5.1.1.2节，“记忆秘密Verifiers，”NIST列出了密码指南，旨在鼓励用户选择强密码，以及帮助企业降低人类行为带来的风险的策略。 以前的违约风险敞口少于8个字符 上下文特定fic单词 词典单词重复字符密码提示 解决方案简介：ActiveDirectoryGuardian2 SpyCloud维护 最大的存储库被盗的凭据 世界: ...增长了十亿 每月资产。 为了解决用户依赖弱密码和重复使用密码的倾向，NIST 呼吁组织根据“普通- 使用、预期或受损的“密码，包括字典单词，重复的字符，以及以前的违规暴露。 与大多数NIST密码指南不同，这些指南可以自动化在MicrosoftActive等目录系统中使用现成的控件目录，检查弱密码或暴露密码需要额外的 支持。特别是，识别在以前的违规行为中发现的密码给安全团队带来负担，没有时间或资源来跟上 拥有自己的最新违规数据，更不用说将这些信息应用于他们自己的用户凭据。 使用SpyCloud与NIST对齐指导方针 SpyCloud维护着世界上最大的重新捕获数据存储库，每月增长10亿资产，重点保持较高的 大量的明文密码。与SpyCloudActiveDirectoryGuardian, 您可以操作该数据以自动检测和重置活动 目录密码NIST将分类为“常用的，预期的， 或受到损害，“大大减少了您的安全团队需要的时间花费研究新的漏洞，修复暴露的密码，以及 调查可能受损的账户。 ActiveDirectoryGuardian可以通过以下方式帮助您与NIST准则保持一致检测、重置和报告： 在第三方违规中暴露的确切员工凭据 “模糊”凭证匹配，表示密码受损已被重用，并进行了琐碎的更改 SpyCloud漏洞中出现的任何密码数据库，不考虑用户名 词典单词重复字符 上下文特定fic术语 犯罪分子使用复杂Crimeware 自动化 凭证stuffing 和密码 喷洒攻击。有活动 目录守护者,你可以自动化你的防御 比赛。 主要功能和下面的fits 通过“设置和 算了吧“自动化” NIST指南让企业有责任确定用户何时 凭据已在第三方数据泄露中暴露。不幸的是，新的违规行为不断发生，这给 组织。研究、解析、规范化和匹配违规 ActiveDirectory密码的数据需要繁忙的安全团队花费时间不必多余，更不用说补救受损的成本了 帐户。而不是雇佣额外的资源来试图跟上，你 可以通过使用SpyCloudActive自动化该过程来获得安心目录守护者。 SpyCloud通常每月吸收10亿新的漏洞资产，帮助你在没有对你的 自己的。ActiveDirectoryGuardian为您操作该数据，为您提供防止员工设置错误密码的能力，扫描您的 ActiveDirectory用于新的暴露，并重置受损的凭据自动。 领先于犯罪分子，尽早接触数据泄露 Whenanewbreakoccurs,theclockstarts.Forthefirst18to24months 入侵后，犯罪分子将数据保持在一个紧密的可信圈内当他们评估他们拥有什么样的数据时，破解密码，并尝试最有效的货币化方法。这是 罪犯获得被盗证件最有利可图的时间，也是企业最危险的时候。只有在原犯罪小组从违规数据中提取了尽可能多的价值 他们允许它滴流到深暗的网络论坛上，任何人都可以到那时，已经造成了最严重的损害。 使用ActiveDirectoryGuardian，您可以防止使用错误密码并在违规周期的早期修复受损账户 罪犯有机会使用它们。 Employees 经常重复使用ActiveDirectory第三证书 派对网站，把 您的组织 在风险中，当那些网站被攻破。 有活动 目录守护者,你可以检测到和复位暴露密码 自动。 SpyCloud研究人员在filtrate犯罪社区中发现违规行为在他们成为公众头条之前，从地下井。在一些 在案件中，我们甚至是第一个通知受影响的受害者组织的fi throughourresponsibledisclosureprocess.Wetypicallyrecapturebreach 数据之前，窃取它的罪犯有机会破解 密码，所以我们大规模破解密码，使其可操作 适用于我们的客户，使您能够识别Active中的匹配项立即登录目录。 从帐户中保护您的组织接管攻击 想象一下：您的一位高管签约参加梦幻足球 使用其工作电子邮件地址的帐户...及其ActiveDirectory 密码。当攻击者违反幻想足球并窃取这些登录时凭据，罪犯拥有接管Active所需的一切 目录账户和妥协fi金融账户、客户数据， 知识产权，以及你的高管可以接触到的任何东西。 ActiveDirectoryGuardian可帮助您快速识别情况并做出反应这样通过提醒您ActiveDirectory中具有 在新的数据泄露中暴露，包括精确的凭据匹配和 “模糊”变体。尽管用户经常认为添加几个字符 或者用“leetspeak”风格的数字替换字母会增加一个图层 在安全性方面，犯罪分子可以很容易地识别这些暴露的模糊变化使用自动帐户检查工具的密码。ActiveDirectory 守护者帮助你保持领先一步。 当您遇到泄露的凭据时，NIST建议 重置用户的密码。ActiveDirectoryGuardian使这一点变得容易通过提供自动重置暴露密码的选项。您可以 还可以查看暴露报告，以帮助您手动重置密码或向用户提供个人安全教育。 当员工 重复使用相同的密码与 不同的用户名，这对安全来说很难从业者到 检测-但微不足道对于攻击者来说连接点。 ActiveDirectory 守护者使它容易检查任何密码曝光，无论 用户名。 识别员工密码的重复使用工作和个人账户 员工个人账户是安全的主要盲点 从业者，他们通常无法知道员工是否 已将其ActiveDirectory密码与不同的密码组合使用 用户名。同时，攻击者将这些点连接起来是微不足道的在高管的个人账户john.smith@example.com和 他们的工作别名john.smith@employer.com. SpyCloudActiveDirectoryGuardian使您能够检查您的活动目录密码与我们整个明文密码数据库， 帮助您检测这些密码是否曾经在数据泄露。 禁止常见或预期的密码 可能会使您的组织面临风险 如果有选择，用户将选择令人难忘的密码，而不是安全的密码 ones。为了帮助减轻这种风险，NIST建议禁止常见或预期密码，包括字典单词、重复字符和 上下文特定fic术语。 ActiveDirectoryGuardian根据我们的 预先填充的禁止密码列表，其中包括密码 SpyCloud研究团队已经确定是最常用的。 您可以轻松地添加到列表中，以包括上下文特定的fic单词，例如公司名称。 更重要的是,ActiveDirectoryGuardian还允许您搜索整个SpyCloud数据库以识别密码是否具有 曾经暴露在违规中，即使您的用户没有参与。不像 字典工具或其他类型的静态列表，此数据库涵盖数十亿由人类思想创造的独特组合，并保持最新 SpyCloud研究人员发现了新的漏洞暴露。 有活动 目录守护者的 k-匿名 方法，SpyCloud的API服务只会 接收firstfive 哈希字符密码。我们 从不发送或接收用户的实际 明文密码。这确保了 如果交通fic是被拦截，它会是无用的 攻击者。 为安全而构建 SpyCloud采取预防措施来保护您的数据安全。ActiveDirectoryGuardian代码经过内部和第三方安全审查 每一个主要的释放。 由于在域控制器上运行的敏感性，密码 filter旨在“失败打开”，以确保其对您的环境的影响 保持最小。换句话说，如果密码filter由于任何原因失败，它将允许用户创建未经检查的密码，而不是锁定它们 out.SpyCloud的扫描仪为检查跳过的密码提供了备份，以及识别新暴露的凭据。 在扫描仪的比较过程中，从 SpyCloudAPI和从ActiveDirectory提取的NTLM哈希保存在临时内存存储，未缓存或存储在磁盘上。数据为 在内存中加密，这意味着如果有人能够访问您的系统，而数据仍在内存中，他们仍然需要解密数据。 默认情况下，ActiveDirectoryGuardian不会将数据推送回SpyCloud。唯一的例外是当您选择选项来检查您的用户 对整个SpyCloud数据库的密码，看看他们是否曾经被暴露在违规中，即使受到影响的不是您的用户。在 在这种情况下，ActiveDirectoryGuardian使用一种名为k-匿名, 这意味着只有每个密码哈希的fi前5个字符是通过网络发送-绝不是用户的实际明文密码。这方法确保如果交通fic被截获，它对 攻击者。 1 以下是k-匿名的工作原理： JonSmith ? 您的环境发送前5个字符 通过SpyCloud的API进行哈希。 1DE667E0C5310... 1DE66 2 SpyCloud返回成千上万的哈希从那些开始 同样的5个字符。 3 JonSmith 1DE667E0C5310... 密码匹配 ActiveDirectoryGuardian然后查看密码的哈希是由返回的 SpyCloud。如果是，则表示密码具有至少在一次违规中被曝光。 如上图所示，让我们看看一个用户的密码：uffybunny。Fluffybunny的NTLM哈希是1DE667E0C5310BD75828E506A72E47B0。ADG将查询SpyCloud的API，其中包含哈希的前5个字符(1DE66)查看我们数据库中可能匹配的所有密码。请记住，SpyCloud的API服务将只接收那些firstfive哈希 字符（从不用户的实际明文密码）。从我们的API的响应是几千完整的NTLM哈希开始对于暴露的密码，使用相同的5个哈希字符(1DE66)。 ADG然后在本地查看所有返回的响应，以确定其中是否存在1DE667E0C5310BD75828E506A72E47B0。如果存在，这意味着密码已经出现在至少一个漏洞中。 它是如何工作的 SpyCloudActiveDirectoryGua