6 sposobów obrony przed atakami na hasła
Data publikacji: 10.11.2022
Odkąd Ali Baba powiedział „Sezamie, otwórz się”, złodzieje używają skradzionych haseł, aby uzyskać dostęp do ukrytych bogactw. W cyfrowym świecie ataki na hasła były i nadal są powszechnym sposobem uzyskiwania przez cyberprzestępców dostępu do skarbnicy danych organizacji. Bez względu na to, ile e-maili otrzymujemy od działu IT wyjaśniających, na czym polega dobre hasło, wielu z nas nadal używa tego samego podstawowego hasła w kilku miejscach, które po prostu najłatwiej zapamiętać. Przyjrzyjmy się temu, jak działają ataki na hasła, a także najskuteczniejszym sposobom zmniejszenia ryzyka siania tego spustoszenia w organizacji.
Jakie znamy rodzaje ataków na hasła?
Chociaż ostatecznym celem każdego ataku na hasło jest jego złamanie, a co za tym idzie uzyskanie dostępu do danych użytkownika, istnieje kilka różnych metod osiągnięcia tego celu. Najczęstsze z nich to:
Ataki słownikowe – Ataki słownikowe rozpoczęły się od systematycznych prób wprowadzania każdego słowa ze słowników języków powszechnych, takich jak angielski, francuski lub hiszpański. Wszystko w celu włamania się do systemu, opierając się na powszechnej tendencji ludzi do używania jednego, istniejącego słowa jako swojego hasła. Z biegiem czasu napastnicy przestali korzystać wyłącznie ze słownika jako źródła, a zaczęli wykorzystywać listy popularnych haseł, które można znaleźć w Internecie. Hasła, takie jak 1234567, hasło1, 111111 i qwerty nadal pozostają faworytami.
Ataki typu brute-force – W przeciwieństwie do ataków słownikowych, które skupiają się na hasłach w postaci zwykłego tekstu, ataki typu brute-force przeprowadzane metodą prób i błędów są jeszcze bardziej losowe, wykorzystując każdą kombinację liter i cyfr. Cyberprzestępcy korzystają z faktu, że większość użytkowników tworzy dość krótkie hasła. Im krótsze hasło, tym większe prawdopodobieństwo skutecznego ataku.
Ataki hybrydowe – Inna forma zgadywania haseł, ataki te łączą moc ataków słownikowych i ataków typu brute-force, obejmując jeszcze więcej możliwych kombinacji.
Rozpylanie haseł, czyli ang. Password Spraying lub Credential Stuffing — Wykorzystuje dane uwierzytelniające skradzione w wyniku ataków socjotechnicznych, takich jak phishing lub zakończonych powodzeniem ataków słownikowych, brute-force lub hybrydowych. Wykorzystując hasło, o którym wiadomo, że działa w co najmniej jednym systemie lub aplikacji, osoba atakująca testuje je w środowisku organizacji, aby sprawdzić powtarzalność i zapewnić sobie dalszy dostęp. Ponieważ hasła są bardzo często używane kilkukrotnie, ta metoda okazuje się bardzo skuteczna.
Strategie zmniejszania ryzyka ataku na hasło
- Wykorzystaj Pen Testing
Najlepszym sposobem, aby dowiedzieć się, czy Twoja organizacja jest podatna na ataki na hasła, jest samodzielne uruchomienie testów penetracyjnych. Zautomatyzowane narzędzia do pen testingu mogą wykorzystywać proces szybkiego przeprowadzania ataków na hasła. Jedną z opcji jest uruchamianie scenariusza Password Spraying w celu sprawdzenia, czy środowisko jest podatne na ataki, ujawniając, które komputery udostępniają poświadczenia. Zapewnia to czas na zmianę hasła i powinno skłaniać do ponownej oceny sposobu tworzenia oraz egzekwowania haseł.
Wiele ataków polegających na metodzie Credential Stuffing rozpoczyna się od pomyślnie zdobytych poświadczeń za pomocą ataków typu phishing. Symulacje phishingu imitują złośliwe kampanie phishingowe, umożliwiając organizacjom monitorowanie, czy którekolwiek z wiadomości zostały otwarte, kliknięte lub czy zostały wprowadzone dane uwierzytelniające. Symulacje te mogą pomóc w ustaleniu, którzy pracownicy są narażeni na jakiego typu phishing.
- Użyj uwierzytelniania wieloskładnikowego (MFA)
MFA stawia na drodze atakujących dodatkowe przeszkody podczas logowania, wymagając więcej niż jednego potwierdzenia. Metody uwierzytelniania mogą obejmować: coś, co użytkownik zna (na przykład hasło), coś, co użytkownik posiada (na przykład telefon lub token bezpieczeństwa) oraz coś, co może dostarczyć tylko użytkownik (na przykład odcisk palca). Podmioty o wyższym poziomie bezpieczeństwa mogą mieć czytniki odcisków palców lub skanery oczu, jednak większość a nich wykorzystuje dwa pierwsze sposoby. Im więcej wymagań, tym więcej pracy będzie musiał wykonać atakujący, aby uzyskać dostęp.
- Egzekwuj silne hasła i zarządzaj nimi
Wiele typów logowania MFA umożliwia drugą formę uwierzytelniania tylko po zweryfikowaniu pierwszej. Oznacza to, że atakujący może nie być w stanie uzyskać dostępu, ale będzie wiedział, że ma odpowiednie dane uwierzytelniające. To z kolei umożliwia mu przeprowadzenie ataku polegającego na rozpyleniu hasła w sieci, a w rezultacie trafienie na aplikacje, które nie są objęte MFA.
Z tego właśnie powodu ważne jest, aby hasła były jak najbardziej złożone. Rozwiązania do zarządzania nimi mogą pomóc, egzekwując ścisłe zasady tworzenia haseł. W idealnym przypadku powinny one składać się z więcej niż 12 znaków i wykorzystywać losowe liczby, symbole i litery. Wiele organizacji zachęca do używania fraz haseł, takich jak Eyel0vecheez!, które są na ogół łatwiejsze do zapamiętania.
- Monitoruj aktywność
Atakujący polegają na tym, że pozostaną niezdemaskowani. Ponieważ w środowisku IT występuje tak duża aktywność, atak na hasło bez trudu może zostać niezauważonym. Monitorowanie aktywności za pomocą SIEM może oznaczać nietypową liczbę prób logowania, automatycznie eskalując problem do zespołu ds. bezpieczeństwa, umożliwiając im szybkie zapobieganie lub neutralizowanie zagrożeń. Dodatkowo, wiele rozwiązań SIEM może działać automatycznie, blokując użytkownika po określonej liczbie nieudanych prób.
- Wielowarstwowa ochrona zapewnia większe bezpieczeństwo
Zarówno środowiska informatyczne, jak i osoby atakujące stały się zbyt wyrafinowane, aby chronić je wyłącznie jednym hasłem. Strategie bezpieczeństwa muszą być tak wieloaspektowe, jak chroniona przez nie infrastruktura. Narzędzia skoncentrowane na hasłach, takie jak programy do zarządzania nimi i i MFA, muszą być sparowane z innymi rozwiązaniami, takimi jak antywirus i różne formy wykrywania zagrożeń. Można je wykorzystać jako proaktywny środek zapobiegawczy przeciwko atakom złośliwego oprogramowania, a także jako metodę reagowania na zaawansowane, trwałe zagrożenia infekujące system. Praktykując dynamiczne zarządzanie ryzykiem, organizacje mogą być gotowe na wszelkiego rodzaju zagrożenia bezpieczeństwa lub zakłócenia.
- Konsekwentne szkolenia i przeglądy
Chociaż pracownicy są Twoim największym zasobem, stanowią również największe zagrożenie dla bezpieczeństwa. Gdy testy penetracyjne wykażą, w którym miejscu Twój system jest narażony, wprowadzenie rozwiązań pomoże zmniejszyć ryzyko. Jednak także pracownicy muszą przechodzić regularne szkolenia, aby upewnić się, że rozumieją zarówno znaczenie bezpieczeństwa haseł, jak i sposoby kradzieży ich danych uwierzytelniających. Na przykład użytkownicy oznaczeni jako podatni na ataki typu phishing mogą wymagać sesji edukacyjnych, które pomogą im lepiej wykrywać podejrzane wiadomości e-mail. Regularne przeprowadzanie symulacji kampanii phishingowych ma szczególne znaczenie ze względu na rotację pracowników.
Wreszcie, należy regularnie sprawdzać stan bezpieczeństwa i polityki haseł, aby zachować elastyczność i udoskonalać strategie bezpieczeństwa w miarę pojawiania się nowych technik. Przykładowo, MFA stało się powszechne dopiero w ciągu ostatnich kilku lat, a okazuje się jedną z najlepszych oraz najważniejszych linii obrony w organizacjach.
Szkol swoich użytkowników, aby rozpoznawali phishing!
Unikaj ataków typu Credential Stuffing, uruchamiając symulację kampanii phishingowej. Poznaj najlepsze techniki z darmowego kursu Fortra oraz najlepsze praktyki skutecznej symulacji phishingu.
Źródło: www.fortra.com/blog/6-ways-defend-yourself-against-password-attacks