วิธีป้องกัน ADFS จากการโจมตีแบบ Password Spraying

การโจมตีแบบ Password Spraying เป็นการโจมตีเพื่อเข้าสู่ระบบด้วยรหัสผ่านที่มักจะมีคนใช้ คาดเดาได้ง่าย หรือพบจากข้อมูลที่เคยมีการหลุดออกมา และจะใช้เพียงแค่หนึ่ง หรือสองรหัส โดยจะกระจายโจมตีไปหลายบัญชี หรือหลายบริการ แทนที่จะลองใช้รหัสผ่านที่แตกต่างกันหลายๆรหัสในบัญชีผู้ใช้เดียว ซึ่งช่วยหลีกเลี่ยงการตรวจจับการโจมตีของอุปกรณ์ต่างๆ เนื่องจากรูปแบบการโจมตีจะคล้ายกับพยายามเข้าสู่ระบบไม่สำเร็จของผู้ใช้ตามปกติ

ADFS มีความเสี่ยง

องค์กรที่ใช้บริการ Active Directory Federation Services (ADFS) จะมี Active Directory Domain Services infrastructure ซึ่งโดยทั่วไปจะใช้รหัสผ่าน ADDS และมีนโยบายการล็อกบัญชีที่เข้าสู่ระบบไม่สำเร็จ 3-5 ครั้ง ซึ่งการโจมตีแบบ Password Spraying จะพยายามเข้าสู่ระบบไม่เกินหนึ่ง หรือสองครั้งต่อหนึ่งบัญชี ทำให้เมื่อเข้าสู่ระบบไม่สำเร็จแล้วบัญชีจะไม่โดนล็อก และการโจมตีอาจจะไม่ถูกตรวจพบ ซึ่งองค์กรต่างๆมักใช้ ADFS IAM ระหว่างระบบภายในองค์กร และระบบคลาวด์ และจัดให้มีการลงชื่อเข้าใช้เพียงครั้งเดียวสำหรับเข้าถึงข้อมูลที่สำคัญต่อธุรกิจทั้งหมด ทำให้ผู้โจมตีที่โจมตีสำเร็จอาจจะค้นหาข้อมูล และรายชื่อผู้ใช้เพิ่มเติม หรือส่งลิงก์ฟิชชิ่งไปยังบุคคลอื่นในองค์กร

ป้องกัน ADFS จากการโจมตีแบบ Password Spraying

Microsoft แนะนำวิธีการ 3 ระดับสำหรับรักษาความปลอดภัยระบบ ADFS จากการโจมตีแบบ Password Spraying และการโจมตีด้วยรหัสผ่านประเภทอื่นๆ

(more…)