使用 SpyCloud Active Directory Guardian 简化 NIST 密码指南

解决方案简介 使用ActiveDirectoryGuardian简化NIST密码指南 Overview 使用SpyCloud与NIST指南对齐主要功能和优势 它是如何工作的 1 Summary 70% ……2021年被泄露的用户were 以前重复使用 密码受损 不可避免的是：人们会重复使用密码。面对复杂的密码要求和数百个在线账户需要管理的情况，人们重复使用密码也就不足为奇了。在2021年的数据泄露中，许多用户重复使用之前已被泄露的密码，并且要么知道但未更新这些密码，要么不知道也不理解与泄露密码相关联的风险。为了记住登录信息，许多用户会循环使用一组熟悉的密码，或者只是通过更改几个字符来勉强满足复杂性要求。 攻击者依赖这些不良习惯。一旦犯罪分子通过数据泄露获取了一组凭证，他们就会开始测试被盗密码是否可以用于其他账户以利用这些凭证。高级恶意软件使得即使是不复杂的威胁行为者也能大规模进行凭据填充和密码喷射攻击变得容易。 为了帮助组织减轻用户不良密码习惯带来的风险，美国国家标准与技术研究院（NIST）设计了一套考虑人类行为的密码指南。尽管NIST的大部分密码指南可以直接在ActiveDirectory等目录服务中强制执行，但存在一个关键例外：禁止使用“常用、预期或已被泄露”的密码。 SpyCloud简化了NIST密码指南通过将您的员工密码与世界上最大的被盗凭证数据库进行比对。使用SpyCloudActiveDirectoryGuardian，您可以自动防止、识别和重置被泄露的ActiveDirectory密码，大幅减少与NIST指南保持一致所需的时间、成本和资源。 NIST特别出版物800-63B中的密码指南 In第五节1.1.2记忆化密钥验证器，NIST制定了密码指南，旨在鼓励用户选择强密码，并提出策略帮助企业减轻由人为行为带来的风险。 先前的违规暴露少于8个字符特定于上下文的单词 字典单词重复字符密码提示 SpyCloud维护着世界上最大的被盗凭证存储库： ...每月增加10亿资产 。 为了应对用户倾向于使用弱密码且重复使用的情况，NIST建议组织机构将凭证与“常用、预期或已被泄露”的密码列表进行比对，包括字典单词、重复字符以及之前的泄露事件。 不同于大多数NIST密码指南，这些指南可以通过目录系统（如MicrosoftActiveDirectory）提供的开箱即用控制措施来自动化实现，检查弱密码或暴露的密码则需要额外的支持。特别是，识别之前数据泄露中出现的密码对安全团队来说是一项负担，尤其是在他们没有足够的时间和资源来自行跟进最新的泄露数据，更不用说将这些信息应用到自己的用户凭证上。 SpyCloud持有世界上最大的回收数据存储库，每月增加一亿个资产，并专注于维持大量的明文密码。SpyCloudActiveDirectoryGuardian你可以将这些数据操作化以自动检测并重置NIST分类为“常用、预期或已被泄露”的ActiveDirectory密码，从而显著减少你的安全团队研究新漏洞、修 复暴露的密码以及调查可能被泄露的账户所需的时间。 ActiveDirectoryGuardian可以通过检测、重置和报告以下各项来帮助您与NIST准则保持一致： 确切的员工凭证在第三方泄露中暴露出来“模糊”的凭证匹配，意味着使用了简单变体的已泄露密码任何出现在SpyCloud泄露数据库中的密码，不论用户名字典单词重复字符上下文相关的术语 犯罪分子使用复杂的犯罪软件来自动进行凭证填充和密码喷洒攻击。 使用ActiveDirectoryGuardian，您可以自动进行防御以进行匹配。 通过“设置并忘记它”自动化来减少团队的工作量 NIST指南将责任置于企业身上，要求企业在第三方数据泄露中识别用户凭证是否被暴露。不幸的是，新的漏洞事件不断发生，这为组织带来了挑战。研究、解析、规范化和匹配泄露数据与ActiveDirectory密码的过程耗时，而忙碌的安全团队没有多余的时间来处理这些任务，更不用说修复受损账户的成本了。与其额外招聘人员试图跟上这一过程，不如通过SpyCloudActiveDirectoryGuardian自动化这一流程以获得安心。 SpyCloud通常每月摄入超过十亿条新的泄露资产，帮助你在无需自行进行研究的情况下保持对新泄露事件的监控。ActiveDirectoryGuardian将这些数据操作化，使你能够防止员工设置不良密码、扫描ActiveDirectory中的新暴露点，并自动重置被compromise的凭据。 通过早期访问漏洞数据，领先于犯罪分子 当新的漏洞出现时，计时器开始。在漏洞发生后的最初18至24个月内，犯罪分子会将数据保留在一小群可信赖的同伙中，同时评估他们拥有何种类型的数据、破解密码，并试验最有效的牟利方法。这是犯罪分子拥有被盗凭证访问权限最为有利可图的时期，也是企业最为危险的时期。只有当原始犯罪团伙从漏洞数据中榨取出尽可能多的价值后，才会允许这些数据逐渐流入深网和暗网论坛，供任何人获取。到那时，最严重的损害已经造成 。 通过ActiveDirectoryGuardian，您可以在恶意分子有机会使用这些密码之前，在泄露周期早期防止使用不良密码并修复受感染账户。 员工常在第三方网站上重复使用ActiveDirectory凭据，当这些网站被攻击时会增加您组织的风险。 使用ActiveDirectoryGuardian，您可以自动检测和重置暴露的密码。 斯pyCloud研究人员渗透犯罪社区，提前揭露地下犯罪活动的漏洞，在某些情况下，我们甚至会通过负责任的披露流程，首先通知受影响的受害组织。我们通常在犯罪分子有机会破解被盗数据的密码之前重新获取这些数据，因此我们会大规模破解这些密码，使其对客户具有实际操作价值，从而帮助您立即在ActiveDirectory登录记录中识别匹配项。 保护您的组织免受帐户接管攻击 想象一下：一位高级执行官使用工作邮箱地址注册了一个幻想足球账户 ……并使用了他们的ActiveDirectory密码。当攻击者渗透幻想足球并窃取这些登录凭据时，犯罪分子就有了接管该ActiveDirectory账户并篡改财务账户、客户数据、知识产权以及该执行官可访问的任何其他内容所需的一切。 ActiveDirectoryGuardian有助于您快速应对类似情况，通过向您预警ActiveDirectory中在新数据泄露中暴露的凭据，包括精确的凭据匹配和“模糊”变体。尽管用户常常认为添加几个字符或将字母用数字替换（如“leetspeak”风格）可以增加一层安全性，但犯罪分子可以轻松使用自动化账户检查工具识别这些暴露密码的模糊变体。ActiveDirectoryGuardian帮助您保持一步领先。 当遇到泄露的凭据时，NIST建议重置用户的密码。ActiveDirectoryGuardian通过提供自动重置暴露密码的选项，使这一过程变得简单。您还可以查看暴露报告，以帮助您手动重置密码或联系用户进行个别安全教育。 当员工使用相同的密码和不同的用户名时，安全从业人员难以检测——但对于攻击者来说，将这些线索连接起来则极为容易。ActiveDirectoryGuardian可以轻松检查任何密码暴露，无论用户名如何。 识别跨工作和个人帐户的员工密码重用 员工个人账户是安全从业者的一个主要盲点，通常情况下，安全从业者无法得知员工是否重复使用了ActiveDirectory密码以及不同的用户名。与此同时，攻击者很容易将执行官的个人账户john.smith@example.com与其工作别名john.smith@employer.com联系起来。 SpyCloudActiveDirectoryGuardian使您能够将ActiveDirectory密码与我们整个明文密码数据库进行比对，帮助您检测这些密码是否曾暴露在数据泄露中。 禁止可能使您的组织面临风险的常见或预期密码 用户在选择密码时更倾向于记忆性强的密码而非安全的密码。为了减轻这一风险，NIST建议禁止使用常见的或预期中的密码，包括字典单词、重复字符以及上下文特定的术语。 ActiveDirectoryGuardian将您的员工凭证与我们预先填充的禁用密码列表进行比对，该列表包括SpyCloud研究团队确定的最常用密码。您还可以轻松地添加特定于上下文的词汇，例如公司名称。 更重要的是,ActiveDirectoryGuardian还允许您搜索整个SpyCloud数据库为了确定密码是否曾在数据泄露中被曝光，即使用户的账户未涉及其中。与字典工具或其他类型的静态列表不同，该数据库涵盖了数十亿 种由人类思维创造的独特组合，并随着SpyCloud研究人员发现新的数据泄露事件而保持更新。 借助ActiveDirectoryGuardian✁k-anonymity方法，SpyCloud✁API服务将仅➓收密码✁前五个哈希字符。我们从未发送或➓收用户✁实际明文密码。 这确保了如果流量被截获,则对攻击者将是无用✁。 为安全而构建 SpyCloud采取措施确保您✁数据安全。ActiveDirectoryGuardian代码在每次重大发布时都会经过内部和第三方✁安全审查。 由于运行在域控制器上时✁敏感性，密码过滤器被设计为“开即通过”以确保其对环境✁影响保持最小。换句话说，如果密码过滤器因任何原因失败，它将允许用户创建未检查✁密码而非锁定他们。SpyCloud✁扫描器提供了检查跳过✁密码以及识别新暴露凭据✁备份。 在扫描器✁比较过程中，从SpyCloudAPI下载✁数据和从ActiveDirectory提取✁NTLM哈希值存储在临时内存中，不会缓存或保存到磁盘上。数据在内存中加密，这意味着如果有人能够在数据仍存在于内存中时访问您✁系统，他们仍然需要解密数据。 默认情况下，ActiveDirectoryGuardian不将数据推送到SpyCloud。唯一 ✁例外是当你选择将用户密码与整个SpyCloud数据库进行比对，以检查这些密码是否曾在数据泄露中被暴露（即使受影响✁用户并非你✁用户） 。在这种情况下，ActiveDirectoryGuardian使用一种称为✁方法。k-匿名, 这意味着只有每个密码哈希✁前5个字符会被发送到网络上——永远不会发送用户✁实际明文密码。这种方法确保了如果流量被截获，对攻击者来说将是无用✁。 以下是k-匿名✁工作原理： JonSmith? 1DE667E0C5310... 1 您✁环境发送前5个字符 通过SpyCloud✁API进行哈希。 1DE66 2 SpyCloud返回成千上万✁哈希从那些开始 同样✁5个字符。 JonSmith 1DE667E0C5310... 密码匹配 3 ActiveDirectoryGuardian然后查看密码✁哈希是由返回✁ SpyCloud。如果是，则表示密码具有至少在一次违规中被曝光。 如上图所示，让我们看看一个用户✁密码：Fluffybunny.TheNTLM哈希值为1DE667E0C5310BD75828E506A72E47B0。ADG将使用哈希值✁前5个字符（1DE66）查询SpyCloud✁API，以查看可能与我们数据库中匹配✁所有密码。请注意，SpyCloud✁API服务只会收到这前五个哈希字符（永远不会➓收用户✁实际明文密码）。我们✁API响应将包含数千个完整✁NTLM哈希值，这些哈希值都以相同✁5个哈希字符（1DE66）开头，对应于暴露✁密码。 ADG然后会检查所有返回✁响应，确定是否存在1DE67E0C5310BD75828E506A72E47B0。如果存在，这表明该密码已在至少一次数据泄露中出现。 它是如何工作✁ SpyCloudActiveDirectoryGuardian包括两个可以一起安装或单独安装✁组件：密码过滤器和扫描器