微软增强了其凭据泄露检测功能,以更好地防御密码喷雾攻击。该解决方案使用机器学习将检测率提高一倍,同时保持98%的精确度。
微软身份安全总监亚历克斯·韦纳特(Alex Weinert)在博客中解释说: “密码喷雾是最流行的攻击之一,占组织帐户盗用的三分之一以上。”
“在这些攻击中,不良行为者会针对来自不同组织的许多帐户尝试一些通用密码。他们没有尝试针对一个用户尝试许多密码,而是尝试通过尝试针对一个密码尝试许多用户来克服锁定和检测。这种攻击的有效形式是“缓慢而缓慢的”,即恶意行为者使用数千个IP地址(例如来自僵尸网络的IP地址)攻击带有一些常用密码的许多租户。从任何一个租户的角度来看,登录尝试都非常少一致性很差,无法检测到攻击。”
Microsoft通过专注于启发式检测,跟踪跨全球流量网络的密码喷雾攻击的模式,在Azure Active Directory(Azure AD)中构建了新解决方案。然后,数据科学家根据帐户行为的明显偏差开始训练机器学习系统。
由于密码喷雾攻击只涉及针对每个帐户的一两次密码尝试,因此传统的保护解决方案通常不会检测到它们。为了捕获最复杂的网络攻击,越来越需要像Microsoft的新机器学习工具这样的自动化软件。
根据内部分析,Azure AD的机器学习和启发式系统每天都会评估与180亿次登录尝试相关的风险,其中约3亿来自恶意实体。大型企业面临的巨大网络威胁规模根本无法手动解决。