У 2019 році викрадення даних у компанії Citrix сколихнуло світ кібербезпеки. Зловмисники викрали бізнес-документи зі спільного мережевого диска та з диска, пов’язаного з вебінструментом, що використовується в консалтинговій практиці Citrix. Хакери отримали доступ до ІТ-інфраструктури Citrix за допомогою атаки розпилення паролів – техніки, яка експлуатує слабкі паролі. Своєю чергою це призвело до критики на адресу гіганта ПЗ, який безпідставно скомпрометував своїх клієнтів, не розробивши надійну стратегію використання паролів.
Citrix – далеко не єдина компанія, яка має проблеми з безпекою паролів. Коли на початку 2019 року команда дослідників загроз просканувала всі облікові записи користувачів Microsoft, вони виявили, що 44 мільйони користувачів використовували ті самі імена та паролі, які вже були оприлюднені в Інтернеті після зломів в інших онлайн-сервісах.
Атакам розпилення паролів неможливо запобігти, але їх можна виявити й навіть зупинити. У цій статті пояснюється, як розгортається цей тип атак, як їх можна виявити та як зменшити ризик стати наступною ціллю.
Що таке атака розпилення паролів?
Типові брутфорс атаки націлені на один обліковий запис, підбираючи кілька паролів для отримання доступу до нього. Сучасні протоколи кібербезпеки можуть виявити цю підозрілу активність і заблокувати обліковий запис, якщо за короткий проміжок часу відбувається занадто багато невдалих спроб входу.
Розпилення паролів (password spraying) змінює звичайну стратегію, намагаючись увійти до кількох облікових записів користувачів, використовуючи багато поширених паролів. Спроба ввести один пароль для багатьох різних облікових записів, а потім спробувати інший пароль для тих самих облікових записів, обходить звичайні протоколи блокування, дозволяючи зловмиснику підбирати все нові й нові паролі.
На жаль, атаки з розпиленням паролів часто бувають успішними, оскільки багато користувачів не дотримуються найкращих практик роботи з паролями. Насправді 200 найпоширеніших паролів, витік яких стався в результаті витоків даних у 2019 році, включали очевидні комбінації чисел, такі як «12345», поширені імена та саме слово «пароль». Будь-який зловмисник, який націлений на досить велику кількість імен користувачів і працює з досить великим банком поширених паролів, обов’язково зможе скомпрометувати деякі акаунти.
Хоча таке охоплення всього й одразу, швидше за все, принесе принаймні кілька хороших результатів, сучасні хакери покладаються на більш точний підхід. Вони націлюються на користувачів, які використовують автентифікацію за допомогою єдиного входу (single sign-on, SSO), сподіваючись вгадати облікові дані, які дадуть їм доступ до декількох систем або додатків. Вони також зазвичай націлені на користувачів, які використовують хмарні сервіси та додатки з федеративною автентифікацією. Такий підхід може дозволити зловмисникам розширювати атаку, оскільки федеративна автентифікація допомагає маскувати шкідливий трафік.
Після того, як обліковий запис було скомпрометовано в результаті атаки розпилення паролів, ціль атаки може зазнати тимчасової або постійної втрати конфіденційної інформації. Для організацій успішна атака може також означати збій у роботі, значні втрати доходів і репутаційні збитки.
Як виявити атаку розпилення паролів?
Хоча звичайні контрзаходи не можуть автоматично виявляти атаки з розпиленням паролів, є кілька надійних індикаторів, на які варто звернути увагу. Найбільш очевидним є велика кількість спроб автентифікації, особливо невдалих спроб через неправильні паролі, протягом короткого проміжку часу. Звісно, тісно пов’язаним з цим індикатором є сплеск блокування акаунтів.
У багатьох випадках розпилення паролів призводить до раптового сплеску спроб входу через портали SSO або хмарні додатки. Зловмисники можуть використовувати автоматизовані інструменти, щоб здійснити тисячі спроб входу протягом короткого часу. Часто ці спроби здійснюються з однієї IP-адреси або одного пристрою.
Як зменшити ризик постраждати від атаки розпилення паролів?
Хоча вкрай важливо мати можливість швидко виявляти успішні атаки, надання зловмисникам навіть короткого доступу до конфіденційних даних може мати руйнівні наслідки. Надійна стратегія кібербезпеки вимагає комплексного, проактивного підходу, який забезпечує багаторівневий захист для блокування якомога більшої кількості атак. Слід обов’язково дотримуватись цих найкращих практик:
- Запровадити багатофакторну автентифікацію для всіх користувачів.
- Створити надійну політику відновлення паролів після блокування облікових записів.
- Розробити надійну стратегію вибору паролів для спільних облікових записів.
- Проводити регулярні тренінги для користувачів, щоб переконатися, що всі користувачі розуміють загрозу розпилення паролів і те, як вони можуть придумувати та зберігати безпечні паролі.
Як рішення Netwrix можуть допомогти?
Найкращий спосіб захистити свою організацію від атак розпилення паролів – це інвестувати в інструмент ІТ-безпеки, який може надійно виявляти й блокувати ці атаки за допомогою комплексного аудиту, оповіщення та звітності.
Netwrix Auditor може попередити про різноманітні підозрілі дії, в тому числі про події, що вказують на атаку розпилення паролів, щоб користувачі могли негайно відреагувати й захистити свої системи та дані. Крім того, він забезпечує потужний аудит і звітність. Основні функції включають:
- Аудит та оповіщення Active Directory. Netwrix Auditor відстежує входи в Active Directory та інші дії користувачів, включаючи всі успішні та невдалі спроби входу. Можна налаштувати оповіщення про підозрілу активність, включаючи окремі дії. Наприклад, отримання користувачем прав адміністратора. Також налаштовуються оповіщення про послідовність дій за певний проміжок часу. Наприклад, понад 4 невдалі спроби входу в систему за 1 хвилину. До того ж можна легко переглянути повну історію входів будь-якого користувача.
- Аналітика поведінки користувачів. Консолідоване уявлення про незвичну активність і ранжування суб’єктів ризику полегшує виявлення скомпрометованих облікових записів і зловмисних інсайдерів на ранній стадії, щоб вжити заходів для уникнення загроз безпеці.
- Аналіз поведінки користувачів і сліпих зон. Виявлення зловмисників, шляхом аналізу активності користувачів у неробочий час, спроб входу кількох користувачів з однієї кінцевої точки, а також спроб входу одного користувача з кількох кінцевих точок.
Netwrix Auditor також допомагає зміцнити систему безпеки, щоб бути менш вразливими до атак розпилення паролів. Зокрема, це дозволяє:
- Впроваджувати найкращі практики політики паролів з повною видимістю налаштувань політики та сповіщеннями про зміни.
- Відстежувати скидання паролів в Azure AD, щоб підтримувати надійний захист у хмарі.
- Виявляти й захищати облікові записи, які не потребують паролів або чиї паролі налаштовано так, щоб їх термін дії ніколи не закінчувався.
- Виявляти та відключати неактивні облікові записи, перш ніж ними зможуть скористатися зловмисники.
Отже, за допомогою Netwrix Auditor можна виявити зловмисників на ранній стадії та проактивно блокувати їхнє проникнення у мережу.
