使用 SpyCloud Active Directory Guardian 简化 NIST 密码指南

简化NIST密码指南Active Directory Guardian Overview使用SpyCloud与NIST指南对齐主要功能和下面的fits它是如何工作的Summary 解决方案简要概述 这是不可避免的：人们重复使用密码。面对复杂的密码要求和数百个在线账户来跟踪，它的难怪70%2021年被泄露的用户正在重复使用以前泄露的密码，要么知道，但没有更新或者不知道也不理解与之相关的风险密码受损。为了记住他们的登录信息，许多用户旋转一组熟悉的密码或只更改几个密码根据复杂性要求发出吱吱声的字符。 ...中暴露的用户2021年的违规行为是以前重复使用密码受损 攻击者依靠这些坏习惯。一旦罪犯获得访问权限通过数据泄露，他们开始测试被盗密码与其他帐户，以查看他们可以利用什么。高级Crimeware使即使是简单的威胁参与者也很容易大规模参与凭证stuffing和密码喷洒攻击。 帮助组织降低用户密码错误带来的风险习惯，国家标准与技术研究所（NIST）设计了一套考虑人类行为的密码指南。虽然NIST的大多数密码准则可以直接在目录服务，如Active Directory，有一个严重的异常：禁止“常用、预期或受损”密码。 SpyCloud simplifies NIST密码指南通过使您能够检查 您的员工密码与最大的被盗凭据数据库使用SpyCloud Active Directory Guardian，您可以防止，自动识别并重置违反Active Directory密码，大幅减少所需的时间、成本和资源NIST指南。 NIST特别出版物800 - 63B中的密码指南 在NIST特别出版物800 - 63B第5.1. 1.2节，“记忆秘密Verifiers，”NIST列出了密码指南，旨在鼓励用户选择强密码，以及帮助企业降低人类行为带来的风险的策略。 词典单词重复字符密码提示 以前的违约风险敞口少于8个字符上下文特定fic单词 为了解决用户依赖弱密码和重复使用密码的倾向，NIST呼吁组织根据“普通-使用、预期或受损的“密码，包括字典单词，重复的字符，以及以前的违规暴露。 SpyCloud维护最大的存储库被盗的凭据世界: 与大多数NIST密码指南不同，这些指南可以自动化在Microsoft Active等目录系统中使用现成的控件目录，检查弱密码或暴露密码需要额外的支持。特别是，识别在以前的违规行为中发现的密码给安全团队带来负担，没有时间或资源来跟上拥有自己的最新违规数据，更不用说将这些信息应用于他们自己的用户凭据。 使用SpyCloud与NIST对齐指导方针 SpyCloud维护着世界上最大的重新捕获数据存储库，每月增长10亿资产，重点保持较高的大量的明文密码。与SpyCloud Active Directory Guardian,您可以操作该数据以自动检测和重置活动目录密码NIST将分类为“常用的，预期的，或受到损害，“大大减少了您的安全团队需要的时间花费研究新的漏洞，修复暴露的密码，以及调查可能受损的账户。 Active Directory Guardian可以通过以下方式帮助您与NIST准则保持一致检测、重置和报告： 在第三方违规中暴露的确切员工凭据“模糊”凭证匹配，表示密码受损已被重用，并进行了琐碎的更改SpyCloud漏洞中出现的任何密码数据库，不考虑用户名词典单词重复字符上下文特定fic术语 ...增长了十亿每月资产。 主要功能和下面的fits 通过“设置和算了吧“自动化” 犯罪分子使用复杂Crimeware自动化凭证stuffing和密码喷洒攻击。有活动目录守护者,你可以自动化你的防御比赛。 NIST指南让企业有责任确定用户何时凭据已在第三方数据泄露中暴露。不幸的是，新的违规行为不断发生，这给组织。研究、解析、规范化和匹配违规Active Directory密码的数据需要繁忙的安全团队花费时间不必多余，更不用说补救受损的成本了帐户。而不是雇佣额外的资源来试图跟上，你可以通过使用SpyCloud Active自动化该过程来获得安心目录守护者。 SpyCloud通常每月吸收10亿新的漏洞资产，帮助你在没有对你的自己的。Active Directory Guardian为您操作该数据，为您提供防止员工设置错误密码的能力，扫描您的Active Directory用于新的暴露，并重置受损的凭据自动。 领先于犯罪分子，尽早接触数据泄露 When a new break occurs, the clock starts. For thefirst 18 to 24 months入侵后，犯罪分子将数据保持在一个紧密的可信圈内当他们评估他们拥有什么样的数据时，破解密码，并尝试最有效的货币化方法。这是罪犯获得被盗证件最有利可图的时间，也是企业最危险的时候。只有在原犯罪小组从违规数据中提取了尽可能多的价值他们允许它滴流到深暗的网络论坛上，任何人都可以到那时，已经造成了最严重的损害。 使用Active Directory Guardian，您可以防止使用错误密码并在违规周期的早期修复受损账户罪犯有机会使用它们。 SpyCloud研究人员在filtrate犯罪社区中发现违规行为在他们成为公众头条之前，从地下井。在一些在案件中，我们甚至是第一个通知受影响的受害者组织的fithrough our responsible disclosure process. We typically recapture breach数据之前，窃取它的罪犯有机会破解密码，所以我们大规模破解密码，使其可操作适用于我们的客户，使您能够识别Active中的匹配项立即登录目录。 经常重复使用 从帐户中保护您的组织接管攻击 有活动目录守护者,你可以检测到和复位暴露密码自动。 想象一下：您的一位高管签约参加梦幻足球使用其工作电子邮件地址的帐户...及其Active Directory密码。当攻击者违反幻想足球并窃取这些登录时凭据，罪犯拥有接管Active所需的一切目录账户和妥协fi金融账户、客户数据，知识产权，以及你的高管可以接触到的任何东西。 Active Directory Guardian可帮助您快速识别情况并做出反应这样通过提醒您Active Directory中具有在新的数据泄露中暴露，包括精确的凭据匹配和“模糊”变体。尽管用户经常认为添加几个字符或者用“leet speak”风格的数字替换字母会增加一个图层在安全性方面，犯罪分子可以很容易地识别这些暴露的模糊变化使用自动帐户检查工具的密码。Active Directory守护者帮助你保持领先一步。 当您遇到泄露的凭据时，NIST建议 重置用户的密码。Active Directory Guardian使这一点变得容易通过提供自动重置暴露密码的选项。您可以还可以查看暴露报告，以帮助您手动重置密码或向用户提供个人安全教育。 识别员工密码的重复使用工作和个人账户 当员工重复使用相同的密码与不同的用户名，这对安全来说很难从业者到检测-但微不足道对于攻击者来说连接点。Active Directory守护者使它容易检查任何密码曝光，无论用户名。 员工个人账户是安全的主要盲点从业者，他们通常无法知道员工是否已将其Active Directory密码与不同的密码组合使用用户名。同时，攻击者将这些点连接起来是微不足道的在高管的个人账户john. smith @ example. com和他们的工作别名john. smith @ employer. com. SpyCloud Active Directory Guardian使您能够检查您的活动 目录密码与我们整个明文密码数据库，帮助您检测这些密码是否曾经在数据泄露。 禁止常见或预期的密码可能会使您的组织面临风险 如果有选择，用户将选择令人难忘的密码，而不是安全的密码ones。为了帮助减轻这种风险，NIST建议禁止常见或预期密码，包括字典单词、重复字符和上下文特定fic术语。 Active Directory Guardian根据我们的预先填充的禁止密码列表，其中包括密码SpyCloud研究团队已经确定是最常用的。您可以轻松地添加到列表中，以包括上下文特定的fic单词，例如公司名称。 更重要的是,Active Directory Guardian还允许您搜索 整个SpyCloud数据库以识别密码是否具有曾经暴露在违规中，即使您的用户没有参与。不像字典工具或其他类型的静态列表，此数据库涵盖数十亿由人类思想创造的独特组合，并保持最新SpyCloud研究人员发现了新的漏洞暴露。 为安全而构建 有活动目录守护者的k -匿名方法，SpyCloud的API服务只会接收firstfive哈希字符密码。我们从不发送或接收用户的实际明文密码。这确保了如果交通fic是被拦截，它会是无用的攻击者。 SpyCloud采取预防措施来保护您的数据安全。Active DirectoryGuardian代码经过内部和第三方安全审查每一个主要的释放。 由于在域控制器上运行的敏感性，密码filter旨在“失败打开”，以确保其对您的环境的影响保持最小。换句话说，如果密码filter由于任何原因失败，它将允许用户创建未经检查的密码，而不是锁定它们out. SpyCloud的扫描仪为检查跳过的密码提供了备份，以及识别新暴露的凭据。 在扫描仪的比较过程中，从 SpyCloud API和从Active Directory提取的NTLM哈希保存在临时内存存储，未缓存或存储在磁盘上。数据为在内存中加密，这意味着如果有人能够访问您的系统，而数据仍在内存中，他们仍然需要解密数据。 默认情况下，Active Directory Guardian不会将数据推送回SpyCloud。唯一的例外是当您选择选项来检查您的用户对整个SpyCloud数据库的密码，看看他们是否曾经被暴露在违规中，即使受到影响的不是您的用户。在在这种情况下，Active Directory Guardian使用一种名为k -匿名,这意味着只有每个密码哈希的fi前5个字符是通过网络发送-绝不是用户的实际明文密码。这方法确保如果交通fic被截获，它对攻击者。 以下是k -匿名的工作原理： 如上图所示，让我们看看一个用户的密码：uffybunny。Fluffybunny的NTLM哈希是1DE667E0C5310BD75828E506A72E47B0。ADG将查询SpyCloud的API，其中包含哈希的前5个字符(1DE66)查看我们数据库中可能匹配的所有密码。请记住，SpyCloud的API服务将只接收那些firstfive哈希字符（从不用户的实际明文密码）。从我们的API的响应是几千完整的NTLM哈希开始对于暴露的密码，使用相同的5个哈希字符(1DE66)。 ADG然后在本地查看所有返回的响应，以确定其中是否存在1DE667E0C5310BD75828E506A72E47B0。如果存在，这意味着密码已经出现在至少一个漏洞中。 它是如何工作的 SpyCloud Active Directory Guardian包括两个可以一起安装或单独安装的组件：一个密码文件和一个扫描仪。虽然它们可以独立使用，但安装这两个组件可以为员工提供最全面的保护帐户。 选项1：在创建密码时检查- SpyCloud的密码filter安装在域控制器上并启用SpyCloud检查创建员工密码的内容-防止员工选择弱或受损fi第一个位置的密码。 每当用户选择新的Active Directory密码时，都会自动检查密码： ••••重复的字符(aaa, 111)顺序字符(123, abc)在最多50, 000个条目的自定义词典中禁用密码SpyCloud漏洞数据库中出现的任何密码，无论用户名如何 If the passwordfilter detects a match, the risk password is