Jak je wykryć i złagodzić?

przez

Ustawienie progu blokady konta może uniemożliwić hakerom przeprowadzanie ataków typu brute-force w celu odgadnięcia haseł do kont użytkowników. Jednak obecnie hakerzy coraz częściej uciekają się do ataków polegających na rozpylaniu haseł, aby obejść ustawienia blokowania prób logowania.

W porównaniu z tradycyjnym atakiem siłowym atak polegający na rozpylaniu hasła jest stosunkowo prosty do wykonania i charakteryzuje się niskim współczynnikiem wykrywalności.

Czym właściwie jest atak polegający na rozpylaniu haseł, jak działa, jak można mu zapobiec i co należy zrobić, aby zaradzić atakowi polegającemu na rozpylaniu hasła? Dowiedzmy Się.

Co to jest atak polegający na rozsyłaniu haseł?

Atak polegający na rozpylaniu haseł to rodzaj cyberataku, podczas którego przestępcy rozprowadzają powszechnie używane hasła na kilku kontach w organizacji, oczekując, że niektóre hasła pomogą im uzyskać dostęp do kont użytkowników.

Hakerzy używają jednego, powszechnie używanego hasła do wielu kont w firmie. Jeśli za pierwszą próbą nie uzyskają dostępu do żadnego konta, po kilku dniach przejdą na inne hasło, aby przeprowadzić rozpryski haseł.

Powtarzają ten proces, dopóki nie uzyskają dostępu do konta firmowego. Ponieważ nie używają wielu haseł do jednego konta w krótkim czasie, ustawienia blokowania prób logowania nie blokują kont z powodu dużej liczby nieudanych prób.

Po wejściu do sieci korporacyjnej mogą wykonywać różne działania, aby osiągnąć swoje szkodliwe cele.

Obecnie użytkownicy mają wiele kont. Utworzenie silnego hasła dla każdego konta jest uciążliwym zadaniem, nie mówiąc już o zapamiętywaniu tych haseł.

Dlatego wielu użytkowników tworzy proste hasła, aby ułatwić ten proces. Ale łatwe hasła są popularne i dobrze znane. Każdy może wyszukać w Google najczęstsze hasła i uzyskać listę najczęściej używanych haseł. Scenariusz ten przyczynił się do wzrostu liczby ataków polegających na rozpylaniu haseł.

Dostawca cyfrowych przestrzeni roboczych i sieci korporacyjnych Citrix potwierdziło, że ugrupowania zagrażające uzyskały dostęp do wewnętrznej sieci firmy w wyniku próby rozproszenia haseł w dniach 13 października 2018 r. i 8 marca 2019 r.

Microsoftu także potwierdzone hasło ataki rozpryskowe na ponad 250 klientów Office 365.

Jak działa atak polegający na rozsyłaniu haseł?

Źródło obrazu: Wallarm

Oto trzy kroki udanych ataków polegających na rozpylaniu haseł.

#1. Zbierz listę nazw użytkowników

Pierwszym krokiem do przeprowadzenia ataku polegającego na rozpylaniu haseł jest zdobycie listy nazw użytkowników w organizacji.

Zazwyczaj firmy stosują ujednoliconą konwencję nazw użytkowników, czyniąc adresy e-mail użytkowników domyślnymi nazwami użytkowników dla powiązanych kont. Odgadnięcie adresów e-mail użytkowników nie wymaga wiele wysiłku, ponieważ jest to najczęściej używany format poczty elektronicznej [email protected].

Podmioty zagrażające mogą również poznać adresy e-mail użytkowników, odwiedzając witrynę internetową firmy, profile pracowników w serwisie LinkedIn lub inne odpowiednie profile online.

Alternatywnie mogą kupić łatwo dostępną listę nazw użytkowników z ciemnej sieci.

#2. Rozpylaj hasła

Kiedy już będą mieli listę nazw użytkowników, będą szukać „listy najpopularniejszych haseł”. Wyszukiwarki Google i Bing mogą szybko dostarczyć hakerom listę typowych haseł na dany rok. Aby zwiększyć szansę na sukces, hakerzy mogą modyfikować listę powszechnie używanych haseł w zależności od lokalizacji geograficznej użytkowników.

Na przykład mogą uwzględniać popularne drużyny/zawodników sportowych, działalność kulturalną, muzykę i tak dalej. Jeśli organizacja ma siedzibę poza Chicago, hakerzy mogą łączyć Chicago Bears z powszechnie używanymi hasłami w celu rozpylania haseł.

Po rozpyleniu jednego hasła na wiele kont będą odczekać co najmniej 30 do 50 minut przed rozpoczęciem kolejnego ataku rozpylającego, aby uniknąć blokady kont.

Hakerzy mogą używać różnych zautomatyzowanych narzędzi do automatyzacji procesu opryskiwania.

#3. Uzyskaj dostęp do kont

Jeśli atak rozpylający zakończy się sukcesem, osoba atakująca uzyska dostęp do kont użytkowników. W oparciu o uprawnienia skompromitowanych kont osoby atakujące mogą wykonywać różne szkodliwe działania, takie jak instalowanie złośliwego oprogramowania, kradzież poufnych danych, dokonywanie oszukańczych zakupów itd.

Załóżmy również, że atakujący może przedostać się do sieci korporacyjnej. W takim przypadku mogą zagłębić się w Twoją sieć poprzez ruch boczny, aby wyszukać zasoby o dużej wartości i zwiększyć swoje uprawnienia.

Rozpylanie haseł a upychanie danych uwierzytelniających czy atak brutalnej siły

Źródło obrazu: Cloudflare

W atakach polegających na upychaniu haseł przestępcy wykorzystują skradzione dane uwierzytelniające z jednej organizacji, aby uzyskać dostęp do kont użytkowników na różnych platformach.

Przestępcy wykorzystują fakt, że wiele osób używa tych samych nazw użytkowników i haseł, aby uzyskać dostęp do swoich kont w wielu witrynach internetowych. Ponieważ w związku z rosnącą liczbą przypadków naruszeń danych, ujawnianych jest coraz więcej danych logowania, hakerzy mają teraz więcej możliwości przeprowadzania ataków polegających na upychaniu danych uwierzytelniających.

Z drugiej strony atak brute-force wykorzystuje metodę prób i błędów do łamania haseł i danych logowania. Cyberprzestępcy próbują odgadnąć prawidłowe hasła, testując szeroką gamę kombinacji. Używają narzędzi do ataku brute-force, aby przyspieszyć proces.

Ustawienia blokowania prób logowania mogą zapobiec atakom typu brute-force, ponieważ dane konta zostaną zablokowane, gdy system wykryje zbyt wiele nieudanych prób logowania w krótkim czasie.

W atakach polegających na rozpylaniu haseł hakerzy próbują jednego, powszechnie używanego hasła na wielu kontach w organizacji. Ponieważ ugrupowania zagrażające nie próbują w krótkim czasie różnych haseł na jednym koncie, ataki polegające na rozpylaniu haseł mogą ominąć ustawienia blokowania prób logowania.

Jak rozprzestrzenianie haseł może wpłynąć na Twoją firmę

Oto, jak udany atak polegający na rozpylaniu haseł może wpłynąć na Twoją firmę:

  • Uzyskując nieautoryzowany dostęp do kont w organizacji, ugrupowania zagrażające mogą ujawnić poufne informacje, dokumentację finansową, dane klientów i tajemnice handlowe.
  • Osoby zagrażające mogą wykorzystywać przejęte konta do dokonywania oszukańczych transakcji, nieautoryzowanych zakupów, a nawet wysysania pieniędzy z kont firmowych.
  • Gdy hakerzy uzyskają nieautoryzowany dostęp do kont użytkowników w Twojej firmie, mogą zaszyfrować kluczowe dane i poprosić o okup w zamian za klucz odszyfrowujący.
  • Atak polegający na rozpylaniu haseł może spowodować naruszenie danych, co może skutkować stratami finansowymi i reputacją Twojej firmy. Incydenty związane z naruszeniem danych mogą spowodować erozję zaufania klientów. W rezultacie mogą przenieść swoją działalność do konkurencji.
  • Będziesz potrzebować zasobów, aby zareagować na naruszenie danych, uzyskać poradę prawną i zatrudnić zewnętrznych ekspertów ds. cyberbezpieczeństwa. Zatem rozpylanie haseł spowoduje znaczny drenaż zasobów.

Krótko mówiąc, udany atak polegający na rozpylaniu haseł będzie miał kaskadowy wpływ na różne aspekty Twojej firmy. Może to obejmować konsekwencje finansowe, operacyjne, prawne i reputacyjne.

Jak wykryć ataki polegające na rozsyłaniu haseł

Oto najważniejsze oznaki ataku polegającego na rozpylaniu haseł:

  • Zauważasz dużą liczbę logowań w krótkim czasie.
  • W krótkim czasie występuje duża liczba odrzuconych haseł do wielu kont.
  • Obserwujesz próby logowania od nieaktywnych lub nieistniejących użytkowników.
  • Zdarzają się próby logowania z adresów IP, które są geograficznie niezgodne ze znaną lokalizacją użytkowników.
  • Podejmowane są próby uzyskania dostępu do wielu kont w nieparzystych godzinach lub poza godzinami pracy. Do logowania się na te konta jednocześnie używane jest jedno hasło.

Należy przejrzeć dzienniki uwierzytelniania pod kątem błędów logowania do systemu i aplikacji w przypadku prawidłowych kont, aby wykryć ataki polegające na rozpylaniu haseł.

Jeśli podejrzewasz, że hakerzy próbują przeprowadzić atak polegający na rozpylaniu haseł, wykonaj następujące czynności:

  • Poinstruuj swoich pracowników, aby natychmiast zmienili wszystkie hasła i włączyli MFA, jeśli któryś z nich jeszcze tego nie zrobił.
  • Wdróż narzędzie do wykrywania i reagowania na punkty końcowe (EDR), aby śledzić wszelkie złośliwe działania w punktach końcowych Twojej firmy, aby zapobiec bocznemu ruchowi hakerów w przypadku ataku polegającego na rozpylaniu haseł.
  • Sprawdź, czy nie występują oznaki kradzieży lub zaszyfrowania danych i zaplanuj przywrócenie danych z kopii zapasowej po upewnieniu się, że wszystkie konta są bezpieczne. Wdróż rozwiązanie zabezpieczające dane, aby chronić swoje dane.
  • Zwiększ czułość swoich produktów zabezpieczających, aby identyfikować nieudane próby logowania w wielu systemach.
  • Przejrzyj dzienniki zdarzeń, aby zrozumieć, co się stało, kiedy to się stało i jak to się stało, aby ulepszyć plan reagowania na incydenty.

Hakerzy próbują wykorzystać luki w oprogramowaniu, aby podnieść swoje uprawnienia. Upewnij się więc, że Twoi pracownicy zainstalowali wszystkie aktualizacje i poprawki oprogramowania.

Jak zapobiegać atakom polegającym na rozsyłaniu haseł

Poniżej przedstawiono niektóre strategie uniemożliwiające hakerom uzyskanie dostępu do kont użytkowników za pomocą ataków polegających na rozpylaniu haseł.

#1. Postępuj zgodnie z zasadami dotyczącymi silnych haseł

Celem ataków polegających na rozpylaniu haseł jest słabe hasło, które jest łatwe do odgadnięcia. Wdrożenie polityki silnych haseł zmusi Twoich pracowników do tworzenia silnych, złożonych haseł, których hakerzy nie będą w stanie odgadnąć ani znaleźć w Internecie. W rezultacie konta użytkowników w Twojej organizacji będą chronione przed atakami typu „rozpylanie haseł”.

Oto najważniejsze punkty, które powinna uwzględniać polityka haseł:

  • Hasła powinny mieć co najmniej 12 znaków, w tym wielkie i małe litery oraz znaki specjalne.
  • Powinna istnieć lista odrzuconych haseł, co oznacza, że ​​użytkownicy nie powinni umieszczać w swoich hasłach dat urodzenia, miejsc urodzenia, stanowisk ani imion bliskich.
  • Wszystkie hasła powinny wygasnąć po upływie określonego czasu.
  • Wszyscy użytkownicy muszą utworzyć różne hasła dla różnych kont.
  • Powinien istnieć próg blokady konta, aby blokować konta użytkowników w przypadku wielu nieudanych prób logowania.

Wdrożenie dobrego narzędzia do haseł może pomóc użytkownikom w tworzeniu silnych haseł i unikaniu używania najpopularniejszych haseł.

Najwyżej oceniani menedżerowie haseł mogą pomóc Ci określić, czy Twoje hasła zostały ujawnione w wyniku naruszenia bezpieczeństwa danych.

#2. Wymuś uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (MFA) dodaje dodatkową warstwę zabezpieczeń do kont. Po włączeniu usługa MFA wymaga od użytkowników przesłania co najmniej jednego czynnika weryfikacyjnego oprócz nazw użytkowników i haseł przed udzieleniem im dostępu do kont online.

Wdrażając uwierzytelnianie wieloskładnikowe w swojej firmie, możesz chronić konta internetowe przed atakami typu brute-force, atakami słownikowymi, atakami typu „rozpylanie haseł” i innymi rodzajami ataków hasłami. Dzieje się tak, ponieważ ugrupowania zagrażające nie będą miały dostępu do dodatkowych czynników weryfikacyjnych wysyłanych SMS-ami, e-mailami ani aplikacjami uwierzytelniającymi hasła.

Co więcej, uwierzytelnianie wieloskładnikowe może zapobiec atakom keyloggerów na Twoje konta internetowe.

#3. Wdrażaj uwierzytelnianie bez hasła

Uwierzytelnianie bez hasła wykorzystuje dane biometryczne, magiczne łącza, tokeny bezpieczeństwa i inne elementy do uwierzytelniania użytkowników. Ponieważ hasła nie są używane do uzyskiwania dostępu do kont, hakerzy nie będą mogli przeprowadzać ataków polegających na rozpylaniu haseł.

Zatem uwierzytelnianie bez hasła jest niezawodnym sposobem zapobiegania większości ataków hasłem. Możesz zapoznać się z rozwiązaniami do uwierzytelniania bez hasła, aby zabezpieczyć konta w swojej firmie.

#4. Sprawdź gotowość, przeprowadzając symulowane ataki

Musisz sprawdzić gotowość swoich pracowników do zwalczania ataków polegających na rozpylaniu haseł, przeprowadzając symulowany atak polegający na rozpylaniu haseł. Pomoże Ci to lepiej zrozumieć stan zabezpieczeń haseł i podjąć niezbędne kroki w celu zwiększenia bezpieczeństwa haseł w Twojej firmie.

#5. Posiadaj narzędzie do wykrywania logowania

Powinieneś skonfigurować narzędzie do audytu działające w czasie rzeczywistym, aby wykrywać podejrzane próby logowania. Odpowiednie narzędzie może pomóc Ci zidentyfikować podejrzane próby logowania na wiele kont z jednego hosta w krótkim czasie, próby logowania na wielu nieaktywnych kontach, liczne próby logowania poza godzinami pracy i tak dalej.

Gdy odkryjesz podejrzaną aktywność związaną z logowaniem, możesz podjąć działania zaradcze, aby zablokować nieautoryzowane próby uzyskania dostępu do Twoich kont. Działania te mogą obejmować blokowanie zainfekowanych kont, zmianę ustawień kuli ognia, włączenie uwierzytelniania wieloskładnikowego itp.

#6. Szkoluj swoich pracowników

Twoi pracownicy odgrywają kluczową rolę w ochronie kont użytkowników przed atakami typu „rozpylanie haseł”. Wszelkie techniczne zabezpieczenia, niezależnie od tego, jak dobre są, nie będą działać, jeśli Twoi pracownicy nie utworzą silnych haseł i nie włączą uwierzytelniania wieloskładnikowego na swoich kontach.

Dlatego regularnie prowadź programy uświadamiające w zakresie cyberbezpieczeństwa, aby edukować swoich pracowników na temat różnych ataków związanych z hasłami i sposobów im zapobiegać. Upewnij się, że wiedzą, jak utworzyć wystarczająco złożone hasło.

Wniosek

Atak polegający na rozpylaniu haseł może spowodować poważne szkody dla Twojej firmy, w tym naruszenie bezpieczeństwa konta, naruszenie bezpieczeństwa danych i przyszłe ataki cyberbezpieczeństwa. Warto więc zwiększyć bezpieczeństwo haseł w swojej firmie.

Egzekwowanie rygorystycznych zasad dotyczących haseł, wdrażanie usługi MFA, przyjęcie uwierzytelniania bez hasła, posiadanie narzędzia do wykrywania logowania i przeszkolenie pracowników może pomóc w zapobieganiu atakom polegającym na rozpylaniu haseł.

Powinieneś także wykazać się kreatywnością przy wyborze konwencji nazwy użytkownika swojej firmy. Przestań używać zwykłego —[email protected].

Aby zwiększyć bezpieczeństwo kont w swojej firmie, możesz zapoznać się z platformami magicznych łączy do uwierzytelniania bez hasła.