Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Ochrona tożsamości z wykorzystaniem usługi Azure AD Identity Protection

Data publikacji: 27-05-2021 Autor: Paweł Serwan

W dobie rozkwitu usług chmurowych tożsamość użytkowników stała się jednym z podstawowych zasobów, które każda organizacja musi zabezpieczyć przed dostępem osób trzecich oraz złośliwych użytkowników („bad actors”).

 

Naruszenie zabezpieczeń tożsamości umożliwia złośliwym użytkownikom dostęp do zasobów firmy, przeprowadzanie kampanii phishingowych lub rozsyłanie spamu z adresów mailowych organizacji. W najlepszym wypadku wpłynie to na pogorszenie reputacji firmy, a co za tym idzie także na jej zyskowność, w najgorszym – mogą zostać ujawnione poufne informacje, w tym dane personalne pracowników i klientów. Większość organizacji używa jako platformy do zarządzania tożsamościami użytkowników w środowisku lokalnym usługi Active Directory. Natomiast w środowisku chmury publicznej używana jest usługa Azure Active Directory. Tożsamości użytkowników w środowisku lokalnym są chronione przez wszelkiego rodzaju ograniczenia w warstwie fizycznej (np. firewall) i w warstwie dostępu do zasobów. Najczęściej organizacja nie publikuje systemów i aplikacji w sieci internet.

Zupełnie inaczej wygląda to w przypadku usługi Azure Active Directory, gdzie tożsamość użytkowników jest wykorzysytwana przez wiele platform typu SaaS lub PaaS poprzez różnego rodzaju integracje. W związku z tym rośnie niebezpieczeństwo przejęcia tożsamości użytkownika i ryzyko nieautoryzowanego dostępu do danych i systemów. Dlatego też ważne jest poznanie mechanizmów ochrony tożsamości i kont użytkowników w celu lepszego ich zabezpieczenia, jak również aktywnego monitorowania i przeciwdziałania. W niniejszym artykule zostanie przedstawiona usługa Azure AD Identity Protection, która pozwala na ochronę tożsamości organizacji przed zdarzeniami o podwyższonym ryzyku w środowisku chmury publicznej.

 

> Azure AD Identity Protection

Usługa Azure Active Directory Identity Protection zapewnia zaawansowane funkcje wykrywania i korygowania zdarzeń o podwyższonym ryzyku związanych z tożsamościami użytkowników w usłudze Azure Active Directory oraz powiązanych systemach. Do jej najważniejszych możliwości należą:

 

  • automatyzacja wykrywania zagrożeń (ryzyk) związanych z tożsamościami użytkowników i zapobiegania im;
  • zbadanie wykrytego zagrożenia (ryzyka) na podstawie danych w portalu;
  • eksport danych związanych z wykrytym zagrożeniem (ryzykiem) do innych narzędzi pozwalających na dalszą analizę zdarzenia.


Usługa Identity Protection czerpie z informacji uzyskanych od Microsoftu w organizacjach korzystających z usługi Azure Active Directory, prywatnych usług powiązanych z kontami Microsoft (np. Outlook.com czy Microsoft Live) oraz z gier konsoli Xbox. Microsoft analizuje 6,5 tryliona (!) sygnałów dziennie pochodzących z wymienionych źródeł w celu identyfikowania i ochrony tożsamości użytkowników przed zagrożeniami.

Znajdowanie zagrożonych tożsamości użytkowników nie jest łatwym zadaniem. W tym celu wykorzystywane są adaptacyjne algorytmy uczenia maszynowego i heurystyki do wykrywania anomalii i podejrzanych incydentów wskazujących na potencjalnie zagrożone tożsamości. Korzystając z tych danych, usługa Identity Protection generuje raporty i alerty, które umożliwiają ocenę wykrytych problemów i podjęcie odpowiednich działań łagodzących lub naprawczych. Dodatkowo sygnały przekazywane do usługi Identity Protection mogą być także wykorzystywane w politykach Conditional Access, jak również przekazywane do systemów typu SIEM (ang. Security Information and Event Management) w celu dalszej analizy.

 

> Rodzaje ryzyka

Czynniki ryzyka mogą być opisane jako podejrzane działania i akcje wykonywane przez użytkowników podczas logowania lub wykonywania akcji po zalogowaniu się. Z tego też względu czynniki ryzyka są podzielone na dwa typy: jako zagrożenia użytkownika i zagrożenia związane z logowaniem. Dodatkowo można wyszczególnić dwa rodzaje ryzyk ze względu na ich sposób wykrycia i wyliczenia: ryzyka w czasie rzeczywistym i ryzyka w trybie offline. Zdarzenia wykrywane w czasie rzeczywistym mogą nie być wyświetlane w raporcie usługi Identity Protection przez pięć do dziesięciu minut. Natomiast zdarzenia wykrywane w trybie offline mogą nie być wyświetlane w raporcie usługi od dwóch do dwudziestu czterech godzin.

> Zagrożenia (ryzyka) związane z użytkownikiem

Zagrożenia związane z użytkownikiem reprezentują prawdopodobieństwo naruszenia bezpieczeństwa tożsamości lub konta. Te zagrożenia są obliczane w trybie offline przy użyciu wewnętrznych i zewnętrznych źródeł analizy zagrożeń Microsoftu. Ryzyko związane z użytkownikiem może obejmować następujące zdarzenia:

 

  • nietypowe zachowanie – w ramach konta podejmowane są nietypowe działania albo wzorce użycia są podobne do wzorców, które zostały zidentyfikowane przez ekspertów i systemy firmy Microsoft jako ataki;
  • ujawnione poświadczenia – ten typ wykrywania ryzyka wskazuje, że wyciekły prawidłowe i używane poświadczenia użytkownika. Często przejęte hasła prawdziwych użytkowników są publicznie udostępniane. Zwykle odbywa się to poprzez publiczne publikowanie w internecie albo „darknecie”, bądź też handel i sprzedaż danych uwierzytelniających na czarnym rynku. Gdy usługa Microsoftu odnajdzie poświadczenia użytkownika, które wyciekły, są one automatycznie sprawdzane pod kątem aktualnych prawidłowych poświadczeń użytkowników usługi Azure AD, aby znaleźć prawidłowe dopasowania. Nieujawnione poświadczenia są przetwarzane, gdy usługa firmy Microsoft odnajdzie nową, publicznie dostępną partię. Ze względu na poufną naturę nieujawnione poświadczenia są usuwane wkrótce po przetworzeniu. Ten typ ryzyka wymaga włączonej synchronizacji skrótów haseł (ang. Password Hash Synchronization) do usługi Azure AD. Po włączeniu synchronizacji skrótów haseł (PSH) zostaną przetworzone tylko nowe nieujawnione poświadczenia. Weryfikowanie przed poprzednio znalezionymi parami poświadczeń nie jest wykonywane.

 

> Zagrożenia (ryzyka) związane z logowaniem

Ryzyka związane z logowaniem są sprawdzane przez usługę Identity Protection podczas każdego żądania uwierzytelnienia, aby ocenić, czy zostało ono autoryzowane przez właściciela tożsamości. Te zagrożenia mogą być obliczane w czasie rzeczywistym lub obliczane w trybie offline przy użyciu wewnętrznych i zewnętrznych źródeł analizy zagrożeń Microsoftu. Ryzyko związane z logowaniem może obejmować następujące zdarzenia:

 

  • nieznane właściwości logowania – ten typ wykrywania ryzyka uwzględnia wcześniejszą historię logowania (m.in. IP, szerokość geograficzną i ASN), aby wyszukać nietypowe logowania użytkownika. Usługa Identity Protection przechowuje informacje o poprzednich lokalizacjach używanych przez użytkownika i uwzględnia te znane. Wykrywanie ryzyka jest wyzwalane, gdy logowanie następuje z lokalizacji, która nie znajduje się na liście tych znanych;
  •  nietypowa podróż – ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z lokalizacji geograficznie odległych, gdzie co najmniej jedna z tych lokalizacji może być nietypowa dla użytkownika pod kątem wcześniejszego zachowania. Ten algorytm uczenia maszynowego uwzględnia różne czynniki, m.in. czas między dwoma logowaniami i czas, jaki zajęłaby użytkownikowi podróż z pierwszej lokalizacji do drugiej;
  • adres IP powiązany ze złośliwym oprogramowaniem – wykrycie ryzyka jest zgłaszane, gdy potwierdzono, że adres IP, z którego pochodzi logowanie, aktywnie komunikował się z serwerem bot;
  • anonimowy adres IP – ten typ ryzyka wykrywa logowanie z anonimowego adresu IP (na przykład przeglądarki tor lub anonimowych sieci VPN). Wykrycie ryzyka zostanie zgłoszone, ponieważ w ten sposób osoby atakujące mogą ukrywać swój rzeczywisty adres IP lub lokalizację;
  • administrator zatwierdził naruszenie zabezpieczeń – ten typ wykrywania w trybie offline wskazuje, że administrator zaznaczył opcję „Confirm user compromised” w widoku Risky users w portalu Azure AD Identity Protection lub przy użyciu interfejsu API risky users;
  • złośliwy adres IP – ten typ wykrywania w trybie offline wskazuje, że logowanie zainicjowano ze złośliwego adresu IP. Adres IP jest uznawany za złośliwy na podstawie częstych nieudanych prób zalogowania z powodu nieprawidłowych poświadczeń odebranych z adresu IP lub innych źródeł reputacji adresów IP;
  • password spraying – atak typu „pass­word spraying” polega na wybraniu jednego, znanego hasła i próbie zalogowania na wielu kontach w organizacji przy jego użyciu. Takie zachowanie nie spowoduje zablokowania kont ani nie wywoła alarmów typowych dla ataków „brute force”. Atak ten często jest nazywany jako „reverse brute-force” i ten rodzaj wykrywania pozwala go zidentyfikować.


Możliwe jest również skonfigurowanie dodatkowych typów wykrywania zagrożeń. Wymagają one jednak integracji z usługą Microsoft CloudApp Security. Usługa Identity Protection dzieli ryzyko na trzy poziomy: niski, średni i wysoki. Microsoft nie udostępnia jednak szczegółowych informacji o sposobie obliczania ryzyka.

 

[...]

 

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"