Hvordan oppdage og redusere dem?

by
Tweet
Share
Share
Pin
0 Shares

Å angi en kontosperregrense kan forhindre hackere fra å utføre brute-force-angrep for å gjette passord for brukerkontoer. Men nå tyr hackere i økende grad til passordsprayingangrep for å omgå innstillinger for påloggingsforsøk.

Sammenlignet med et tradisjonelt brute force-angrep, er et passordsprøyteangrep relativt enkelt å utføre og har en lav gjenkjenningsrate.

Så hva er egentlig et passordsprøyteangrep, hvordan fungerer det, hvordan kan du forhindre det, og hva bør du gjøre for å rette opp et passordsprøyteangrep? La oss finne det ut.

Hva er et passordsprøyteangrep?

Et passordsprøyteangrep er en type nettangrep der trusselaktører sprayer vanlige passord på tvers av flere kontoer i en organisasjon, og forventer at noen passord vil hjelpe dem med å få tilgang til brukerkontoer.

Hackere bruker et enkelt, ofte brukt passord mot flere kontoer i et selskap. Hvis de ikke får tilgang til noen konto ved første forsøk, vil de flytte til et annet passord for å utføre passordspraying etter noen dager.

De gjentar prosessen til de får tilgang til en bedriftskonto. Siden de ikke bruker flere passord mot en enkelt konto over kort tid, blokkerer ikke innstillingene for påloggingsforsøk kontoene på grunn av overdrevne mislykkede forsøk.

Når de er inne i et bedriftsnettverk, kan de utføre ulike aktiviteter for å nå sine ondsinnede mål.

Brukere har flere kontoer i disse dager. Å lage et sterkt passord for hver konto er en tungvint oppgave, enn si å huske disse passordene.

Så mange brukere lager enkle passord for å gjøre prosessen enklere. Men enkle passord er populære og velkjente. Hvem som helst kan google etter de vanligste passordene og få listen over de mest brukte passordene. Dette scenariet har drevet veksten av passordsprayingangrep.

Leverandør av digitale arbeidsområder og bedriftsnettverk Citrix bekreftet at trusselaktører fikk tilgang til selskapets interne nettverk med passordsprøyting i løpet av 13. oktober 2018 og 8. mars 2019.

Microsoft også validert passord sprøyteangrep mot mer enn 250 Office 365-kunder.

Hvordan fungerer et passordsprøyteangrep?

Bildekilde: Wallarm

Her er de tre trinnene for vellykkede passordsprayingangrep.

#1. Samle listen over brukernavn

Det første trinnet for å utføre et passordsprøyteangrep er å få tak i en liste over brukernavn i en organisasjon.

Vanligvis bruker selskaper en standardisert konvensjon for brukernavn, som gjør brukernes e-postadresser til standard brukernavn for tilknyttede kontoer. Det krever liten innsats å gjette e-postadressene til brukere, som det mest brukte e-postformatet er [email protected].

  Hvordan konvertere en video- eller lydfil ved hjelp av VLC

Trusselaktører kan også lære om brukernes e-postadresser ved å besøke selskapets nettside, ansattes LinkedIn-profiler eller andre relevante nettprofiler.

Alternativt kan de kjøpe en lett tilgjengelig liste over brukernavn fra det mørke nettet.

#2. Spray passord

Når de har en liste over brukernavn, vil de se etter «listen over vanligste passord.» Google- og Bing-søk kan raskt gi hackere en liste over vanlige passord for et gitt år. For å øke sjansen for suksess kan hackere justere listen over ofte brukte passord i henhold til brukernes geografiske plassering.

De kan for eksempel ta hensyn til populære idrettslag/spillere, kulturaktiviteter, musikk og så videre. Hvis en organisasjon er basert utenfor Chicago, kan hackere kombinere Chicago Bears med ofte brukte passord for å spraye passord.

Etter å ha sprayet ett enkelt passord mot flere kontoer, vil de vente i minst 30 til 50 minutter før de starter neste sprøyteangrep for å unngå kontosperringer.

Hackere kan bruke ulike automatiserte verktøy for å automatisere sprøyteprosessen.

#3. Få tilgang til kontoer

Hvis sprøyteangrepet er vellykket, vil angriperen få tilgang til brukerkontoer. Basert på privilegiene til de kompromitterte kontoene, kan angriperne utføre ulike ondsinnede aktiviteter, som å installere skadelig programvare, stjele sensitive data, foreta uredelige kjøp og så videre.

Anta også at angriperen er i stand til å komme seg inn i bedriftsnettverket. I så fall kan de grave dypere inn i nettverket ditt via sidebevegelse for å søke etter verdifulle eiendeler og øke privilegiene deres.

Passordspraying vs. Credential Stuffing vs. Brute Force Attack

Bildekilde: Cloudflare

I angrep på passordpåloggingsinformasjon bruker trusselaktører stjålet legitimasjon fra én organisasjon for å få tilgang til brukerkontoer på ulike plattformer.

Trusselaktører utnytter det faktum at mange bruker de samme brukernavnene og passordene for å få tilgang til kontoene sine på flere nettsteder. Ettersom flere påloggingsopplysninger blir avslørt på grunn av de økende hendelsene med datainnbrudd, har hackere nå flere muligheter til å utføre påloggingsangrep.

På den annen side bruker et brute-force-angrep prøving og feiling for å knekke passord og påloggingsinformasjon. Nettkriminelle prøver å gjette de riktige passordene ved å teste en lang rekke kombinasjoner. De bruker brute-force angrepsverktøy for å fremskynde prosessen.

Innstillinger for låsing av påloggingsforsøk kan forhindre brute-force-angrep, siden de aktuelle kontoene vil bli blokkert når systemet oppdager for mange mislykkede påloggingsforsøk på kort tid.

I passordsprøyteangrep prøver hackere ett enkelt vanlig passord mot flere kontoer i en organisasjon. Siden trusselaktører ikke prøver forskjellige passord på en enkelt konto på kort tid, kan passordsprayende angrep gå ut over innstillingene for låsing av påloggingsforsøk.

Hvordan passordspraying kan påvirke bedriften din

Her er hvordan et vellykket passordsprayangrep kan påvirke bedriften din:

  • Ved å få uautorisert tilgang til kontoene dine i organisasjonen din, kan trusselaktører avsløre sensitiv informasjon, økonomiske poster, kundedata og forretningshemmeligheter.
  • Trusselaktører kan bruke kompromitterte kontoer til å foreta uredelige transaksjoner, uautoriserte kjøp eller til og med hente penger fra bedriftskontoene dine.
  • Når hackere får uautorisert tilgang til brukerkontoer i bedriften din, kan de kryptere viktige data og be om løsepenger i bytte mot dekrypteringsnøkkelen.
  • Et passordsprøyteangrep kan forårsake et datainnbrudd, som kan føre til økonomisk tap og omdømmetap for bedriften din. Hendelser med datainnbrudd vil sannsynligvis forårsake uthuling av kundenes tillit. Som et resultat kan de ta virksomhetene sine til konkurrentene dine.
  • Du trenger ressurser for å svare på et datainnbrudd, få juridisk rådgivning og ansette eksterne cybersikkerhetseksperter. Så passordspraying vil føre til et betydelig ressursforbruk.
  Slik bruker du Google Dokumenter frakoblet

I et nøtteskall, et vellykket passordsprayangrep vil ha en gjennomgripende effekt på ulike aspekter av virksomheten din. Dette kan inkludere økonomiske, operasjonelle, juridiske og omdømmemessige konsekvenser.

Hvordan oppdage passordsprøyteangrep

Her er viktige tegn på et passordsprøyteangrep:

  • Du merker et høyt volum av påloggingsaktivitet på kort tid.
  • Det er et høyt volum av avviste passord mot flere kontoer på kort tid.
  • Du observerer påloggingsforsøk fra ikke-aktive eller ikke-eksisterende brukere.
  • Det er påloggingsforsøk fra IP-adresser som er geografisk inkonsistente med den kjente plasseringen til brukerne.
  • Det gjøres forsøk på å få tilgang til flere kontoer på odde tidspunkter eller utenfor åpningstidene dine. Og ett passord blir brukt til å logge på disse kontoene om gangen.

Du bør gå gjennom autentiseringslogger for system- og applikasjonspåloggingsfeil for gyldige kontoer for å oppdage passordsprøyteangrep.

Hvis du mistenker at hackere forsøker et passordsprøyteangrep, er følgende handlingspunkter å følge:

  • Be de ansatte om å endre alle passord umiddelbart og aktivere MFA hvis noen av dem ikke har gjort det så langt.
  • Distribuer et Endpoint Detection and Response (EDR)-verktøy for å spore all ondsinnet aktivitet i bedriftens endepunkter for å forhindre sideveis bevegelse av hackere i tilfelle et passordsprøyteangrep.
  • Se etter tegn på datatyveri eller datakryptering og lag en plan for å gjenopprette data fra sikkerhetskopien etter å ha forsikret deg om at alle kontoer er sikre. Implementer en datasikkerhetsløsning for å beskytte dataene dine.
  • Forbedre sensibiliteten til sikkerhetsproduktene dine for å identifisere mislykkede påloggingsforsøk på tvers av flere systemer.
  • Gjennomgå hendelseslogger for å forstå hva som skjedde, når det skjedde og hvordan det skjedde for å forbedre responsplanen for hendelser.

Hackere prøver å utnytte programvaresårbarheter for å heve privilegiene sine. Så sørg for at de ansatte installerer alle programvareoppdateringer og patcher.

Hvordan forhindre passordsprøyteangrep

Følgende er noen strategier for å hindre hackere fra å få tilgang til brukerkontoer ved hjelp av passordsprayingangrep.

#1. Følg en sterk passordpolicy

Passordsprayangrep retter seg mot svake passord som er enkle å gjette. Implementering av en sterk passordpolicy vil tvinge de ansatte til å lage sterke, komplekse passord som hackere ikke kan gjette eller finne på nettet. Som et resultat vil brukerkontoer i organisasjonen din være beskyttet mot angrep med passordspraying.

Her er de viktigste punktene passordpolicyen din bør inkludere:

  • Passord bør være på minst 12 tegn, inkludert store bokstaver, små bokstaver og spesialtegn.
  • Det bør være en passordnektliste, noe som betyr at brukere ikke skal inkludere fødselsdato, fødselssted, stillingsbetegnelse eller navn på kjære i passordene sine.
  • Alle passord bør utløpe etter en viss tidsperiode.
  • Alle brukere må opprette forskjellige passord for forskjellige kontoer.
  • Det bør være en kontosperregrense for å blokkere brukerkontoer hvis flere mislykkede påloggingsforsøk oppstår.
  Slik bruker du skyggelegging på alternative rader i Excel

Implementering av et godt passordverktøy kan hjelpe brukere med å lage sterke passord og unngå å bruke de vanligste passordene.

Topprangerte passordbehandlere kan hjelpe deg med å finne ut om passordene dine er utsatt for databrudd.

#2. Håndheve multifaktorautentisering (MFA)

Multi-faktor autentisering (MFA) legger til et ekstra lag med sikkerhet til kontoer. Når MFA er aktivert, krever MFA at brukerne sender inn én eller flere verifiseringsfaktorer i tillegg til brukernavn og passord før de gir dem tilgang til nettkontoer.

Ved å implementere multifaktorautentisering i bedriften din, kan du beskytte nettkontoer mot brute-force-angrep, ordbokangrep, passordsprøyteangrep og andre typer passordangrep. Dette er fordi trusselaktører ikke vil ha tilgang til ytterligere bekreftelsesfaktorer sendt via SMS, e-post eller passordautentiseringsapper.

Videre kan multifaktorautentisering forhindre dine nettkontoer fra keylogger-angrep.

#3. Implementer passordløs autentisering

Passordløs autentisering bruker biometri, magiske lenker, sikkerhetstokens og mer for å autentisere brukere. Siden passord ikke brukes for å få tilgang til kontoer, vil ikke hackere kunne utføre passordsprayangrep.

Så, passordløs autentisering er en idiotsikker måte å forhindre de fleste passordangrep på. Du kan utforske disse passordløse autentiseringsløsningene for å sikre kontoer i bedriften din.

#4. Testberedskap ved å utføre simulerte angrep

Du må sjekke dine ansattes beredskap til å bekjempe passordsprøyteangrep ved å utføre et simulert passordsprøyteangrep. Dette vil hjelpe deg bedre å forstå passordsikkerheten din og ta de nødvendige skritt for å forbedre passordsikkerheten i bedriften din.

#5. Ha et påloggingsverktøy på plass

Du bør sette opp et sanntidsrevisjonsverktøy for å oppdage mistenkelige påloggingsforsøk. Det riktige verktøyet kan hjelpe deg med å identifisere mistenkelige påloggingsforsøk til flere kontoer fra en enkelt vert over kort tid, påloggingsforsøk på flere inaktive kontoer, mange påloggingsforsøk utenfor åpningstidene dine, og så videre.

Når du oppdager mistenkelig påloggingsaktivitet, kan du iverksette tiltak for å blokkere uautoriserte forsøk på å få tilgang til kontoene dine. Disse handlingene kan inkludere blokkering av kompromitterte kontoer, endring av fireball-innstillinger, aktivering av multifaktorautentisering osv.

#6. Lær opp dine ansatte

Dine ansatte spiller en avgjørende rolle når det gjelder å beskytte brukernes kontoer mot passordsprayangrep. Alle tekniske sikkerhetskontroller, uansett hvor gode de er, vil ikke fungere hvis de ansatte ikke lager sterke passord og aktiverer multifaktorautentisering på kontoene deres.

Så kjør programmer for bevisstgjøring av cybersikkerhet regelmessig for å utdanne de ansatte om forskjellige passordangrep og hvordan de kan forhindre dem. Sørg for at de vet hvordan de lager et tilstrekkelig komplekst passord.

Konklusjon

Et passordsprøyteangrep kan forårsake alvorlig skade på bedriften din, inkludert kontokompromittering, datainnbrudd og fremtidige cybersikkerhetsangrep. Så du bør øke passordsikkerheten i bedriften din.

Å håndheve en streng passordpolicy, implementere MFA, ta i bruk passordløs autentisering, ha et påloggingsdeteksjonsverktøy på plass og opplæring av ansatte kan hjelpe deg med å forhindre sprayangrep med passord.

Du bør også prøve å være kreativ mens du velger bedriftens brukernavnkonvensjon. Slutt å bruke den vanlige—[email protected].

For å forbedre kontosikkerheten i bedriften din, kan du utforske disse magiske koblingsplattformene for passordløs autentisering.