Jak chronić organizacje przed atakami typu Brute Force
Atak typu brute force to próba ujawnienia haseł i danych logowania w celu uzyskania dostępu do zasobów sieciowych. Ataki te są przeprowadzane głównie w celu uzyskania nieautoryzowanego i niewykrytego dostępu do zagrożonych systemów. Podmioty stwarzające zagrożenie zazwyczaj preferują tę metodę ataku, ponieważ jest ona prosta do przeprowadzenia i może spowodować znaczne szkody. Gdy dane uwierzytelniające osoby zostaną ujawnione, atakujący może się zalogować, zazwyczaj niezauważony.
Ataki brute force są dziś nadal powszechne i często dotykają wiele organizacji. Najczęstszymi motywami ataków Brute Force są: kradzież poufnych danych, rozprzestrzenianie złośliwego oprogramowania, porywanie systemów oraz czynienie witryn i systemów niedostępnymi.
Rodzaje ataków Brute Force
Prosty/tradycyjny atak Brute Force
Metoda ręczna, w której podmiot stwarzający zagrożenie po prostu zgaduje dane uwierzytelniające użytkownika. W pierwszej kolejności często próbuje się wprowadzić numery PIN o małej liczbie kombinacji oraz słabe, łatwe do odgadnięcia hasła, takie jak "Password123", "qwerty" lub "1234". podmiot może również wykorzystać publicznie zgromadzoną wiedzę o ofierze i odgadnąć hasło na podstawie imienia zwierzęcia domowego, ulubionego filmu lub daty urodzenia.
Ataki słownikowe
Ataki słownikowe wykorzystują zautomatyzowane narzędzia, które wprowadzają słowa do pól haseł. Słowa powszechnie występujące w zestawach językowych są często wykorzystywane jako hasła. W wielu przypadkach atak słownikowy wykorzystuje wiele języków, w tym fikcyjne, np. z filmów science-fiction i programów telewizyjnych. Czasami "słownik" składa się z listy wcześniej złamanych haseł. Taki atak kosztuje czasem sporo czasu i może wywołać ostrzeżenia o blokadzie konta, które zostaną zauważone przez administratorów systemu lub użytkownika.
Atak słownikowy można również próbować przeprowadzić w trybie offline, wykorzystując skradziony plik do przechowywania haseł, ale jest to bardziej skomplikowane, ponieważ atakujący musiałby uzyskać dostęp do sieci, aby początkowo uzyskać dostęp do pliku. Można by się zastanawiać, czy jeśli atakujący uzyskał już dostęp do pliku z hasłem, to czy nie włamał się już skutecznie do sieci, czyniąc atak hasłem zbędnym? W pewnym sensie może to być prawda, ale gromadzenie haseł jest bardziej wartościowe dla przyszłego dostępu.
Sposób, w jaki to działa, polega na tym, że napastnicy polegają na zmęczeniu hasłami. Jeśli naruszenie pliku haseł zostanie odkryte, większość organizacji wymusi zmianę hasła dla wszystkich dotkniętych kont. Jednak osoba, która używa hasła takiego jak "Winter2023" będzie skłonna po prostu zmienić je na "Spring2023", dzięki czemu przyszłe odgadywanie hasła będzie dla atakującego trywialną sprawą.
Atak słownikowy nie będzie działał przeciwko naprawdę unikalnym hasłom, jednak przegląd najczęstszych haseł z 2022 roku wskazuje, że jeśli chodzi o ustalanie haseł, są one niczym innym jak unikalne. Jest to jaskrawy przykład problemu zmęczenia hasłami.
Hybrydowy atak Brute Force
Ten typ ataku jest połączeniem prostego ataku brute force i ataku słownikowego. Dobrze znane, naruszone dane uwierzytelniające są porównywane z listą słów, a atak brute force jest stosowany na każdym możliwym dopasowaniu. Ten atak jest bardziej potężny i niebezpieczny, ponieważ może zebrać więcej poświadczeń szybciej niż każda z metod ataku z osobna.
Credential Stuffing
Atak ten jest powszechnie stosowany do naruszania kont użytkowników za pomocą nazw użytkowników i haseł zebranych w wyniku naruszenia danych. Skradzione poświadczenia są testowane za pomocą zautomatyzowanych narzędzi w wielu miejscach, takich jak platformy mediów społecznościowych, rynki internetowe i aplikacje internetowe. Jeśli podmiot stwarzający zagrożenie jest w stanie pomyślnie zalogować się przy użyciu testowanych poświadczeń, to znaczy, że są one ważne. Następnie, podmiot stwarzający zagrożenie sprzeniewierza konta, które mają wartość, dokonując zakupów, uzyskując dostęp do wrażliwych informacji, wykorzystując konto do rozpowszechniania wiadomości phishingowych lub sprzedając skradzione dane uwierzytelniające. Najlepszą obroną przed tego typu atakiem jest stosowanie unikalnych haseł oraz wieloczynnikowego uwierzytelniania (MFA) na wszystkich kontach.
Ataki typu Reverse Brute Force
Znany również jako atak polegający na rozpylaniu haseł, jak sama nazwa wskazuje, podmiot używa metody odwrotnej do ataku brute force. Celuje on w sieć, wypróbowując wszystkie poświadczenia z wcześniej uzyskanych haseł, które pasują do wielu popularnych nazw użytkowników.
Metody zapobiegania atakom typu Brute Force.
Właściwe zarządzanie hasłami
Stara metoda tworzenia haseł, które mają więcej niż dziesięć znaków i zawierają duże i małe litery z cyframi i symbolami okazała się powodować więcej problemów niż rozwiązywać. Hasła, które są trudne do zapamiętania przez ludzi, są komicznie łatwe do odgadnięcia przez komputer. Jednak stosowanie unikalnych haseł sprawia, że przeprowadzanie ataków typu Brute Force jest nieco trudniejsze dla osób stanowiących zagrożenie.
Dla typowego użytkownika komputera najlepszym sposobem na zwiększenie entropii hasła jest menedżer haseł. Administratorzy sieci mogą uzupełnić tę bezpieczną metodę, stosując wysokie współczynniki szyfrowania w plikach do przechowywania haseł, a także inne metody kryptografii, takie jak "solenie hasha", które dodaje losowe dane do funkcji hash.
Korzystanie z uwierzytelniania wieloczynnikowego (MFA)
Używanie czynników uwierzytelniających innych niż hasło do logowania się na konto, takich jak numery PIN, hasła jednorazowe (OTP) i karty inteligentne, może utrudnić podmiotom stwarzającym zagrożenie skuteczne włamanie na konto, nawet jeśli hasło jest znane.
Używanie CAPTCHA
CAPTCHA to skrót od Completely Automated Public Turing test to Tell Computers and Humans Apart (całkowicie zautomatyzowany publiczny test Turinga do odróżniania komputerów od ludzi). Jest on używany do zapobiegania wykonywaniu przez boty automatycznych skryptów w atakach Brute Force. Obejmuje wpisywanie obrazów tekstowych, sprawdzanie obiektów graficznych i identyfikację określonych obiektów; głównie zadania, które nie udałyby się robotowi. Humorystycznie, czasami równie trudno jest ludziom odnieść sukces w podpowiedziach CAPTCHA.
Ustawienie limitu nieudanych prób logowania
Wiele stron używa polityki, która ogranicza próby logowania do określonej liczby w określonym czasie. Po przekroczeniu limitu nieudanych prób logowania na konto, podmiot zagrożenia zostaje zablokowany w portalu logowania.
Użycie Allowlist do ograniczenia dostępu do określonych stron
Allowlisty zapewniają, że tylko wybrani użytkownicy, adresy IP i domeny mogą uzyskać dostęp do określonych stron internetowych, aplikacji i innych systemów. Wszelkie próby dostępu inne niż zdefiniowane na liście będą automatycznie blokowane. Użycie blocklist zamiast allowlist jest skuteczne, jeśli względny adres IP, który powinien być zablokowany, jest znany z wyprzedzeniem, jednak podmioty stwarzające zagrożenie mogą użyć IP proxy, aby ruch wyglądał na pochodzący z innego IP niż ich własny.
Korzystanie z narzędzi do wykrywania zagrożeń i zabezpieczeń sieciowych
Narzędzia bezpieczeństwa, w tym Web Application Firewall (WAF), Security Configuration Manager oraz inne narzędzia monitorujące i filtry mogą ograniczyć wpływ ataków brute force.
Wnioski
Ataki brute force różnego typu są dziś nadal powszechne, dotykając organizacje z wieloma stratami na dużą skalę. Bardzo ważne jest stosowanie odpowiednich strategii obronnych w celu przeciwdziałania tym różnym atakom oraz ochrony cennych zasobów i danych w organizacjach