By 
Щороку мільярди облікових даних з’являються в Інтернеті, будь то в темній мережі, чистій мережі, на сайтах вставлення чи в дампах даних, якими поділяються кіберзлочинці. Ці облікові дані часто використовуються для атак захоплення облікових записів, наражаючи організації на зломи, програми-вимагачі та крадіжки даних.
Хоча CISO усвідомлюють що, зростають загрози ідентифікації та мають у своєму арсеналі численні інструменти, які допомагають зменшити потенційний ризик, реальність така, що існує методології виявилися значною мірою неефективними. Згідно зі звітом Verizon про розслідування порушень даних за 2022 рік, понад 60% порушень стосуються зламаних облікових даних.
Зловмисники використовують такі методи, як соціальна інженерія, груба сила та купівля витоку облікових даних у темній мережі, щоб скомпрометувати законні особи та отримати несанкціонований доступ до систем і ресурсів організацій-жертв.
Зловмисники часто використовують той факт, що деякі паролі використовуються різними користувачами, що полегшує злам кількох облікових записів в одній організації. Деякі співробітники повторно використовують паролі. Інші використовують спільний шаблон у своїх паролях для різних веб-сайтів. Зловмисник може використовувати методи злому та словникові атаки, щоб подолати перестановку пароля, використовуючи спільний шаблон, навіть якщо пароль хешований. Основна проблема для організації полягає в тому, що хакерам для проникнення потрібен лише один збіг пароля.
Для ефективного пом’якшення свого впливу, враховуючи поточні дані про загрози, організаціям потрібно зосередитися на тому, що можна використати з точки зору супротивника.
Нижче наведено п’ять кроків, які організації повинні зробити, щоб пом’якшити доступ до облікових даних:
Зберіть витік облікових даних
Щоб розпочати розв’язання проблеми, командам безпеки потрібно зібрати дані про облікові дані, які були виточені назовні в різних місцях, від відкритої мережі до темної мережі. Це може дати їм початкове уявлення про ризик для їхньої організації, а також індивідуальні облікові дані, які потрібно оновити.
Проаналізуйте дані
З цього моменту команди безпеки повинні визначити облікові дані, які насправді можуть призвести до викриття безпеки. Зловмисник бере комбінації імені користувача та пароля (відкритого тексту або хешованих), а потім намагається використати їх для доступу до служб або систем. Команди безпеки повинні використовувати подібні методи для оцінки своїх ризиків. Це включає:
- Перевірка того, чи облікові дані дозволяють доступ до зовнішніх активів організації, таких як веб-сервіси та бази даних
- Спроба зламати хеші паролів
- Перевірка збігів між витоком облікових даних та інструментами керування ідентифікацією організації, такими як Active Directory
- Маніпулювання необробленими даними для збільшення досягнутої кількості скомпрометованих ідентифікацій. Наприклад, користувачі зазвичай використовують однакові шаблони паролів. Навіть якщо витік облікових даних не дозволяє отримати доступ до зовнішніх ресурсів або не відповідає записам Active Directory, можна знайти додаткові збіги, перевіривши варіанти.
Зменшення ризику розкриття облікових даних
Після перевірки витоку облікових даних для виявлення фактичного ризику організації можуть вжити цілеспрямованих заходів, щоб зменшити ризик того, що зловмисник зробить те саме. Наприклад, вони можуть стерти неактивні облікові записи в Active Directory або ініціювати зміну паролів для активних користувачів.
Переоцініть процеси безпеки
Після безпосереднього пом’якшення групи безпеки повинні оцінити, чи є їхні поточні процеси безпечними, і внести покращення, де це можливо. Наприклад, якщо вони мають справу з великою кількістю витоку облікових даних, вони можуть порекомендувати змінити всю політику паролів у всій організації. Подібним чином, якщо в Active Directory знайдено неактивних користувачів, може бути корисно переглянути процес виведення співробітників.
Автоматично повторити
Зловмисники постійно впроваджують нові методи. Поверхні атаки змінюються, з регулярним додаванням і видаленням нових ідентифікацій. Так само люди завжди будуть схильні до випадкових помилок. Як наслідок, одноразових зусиль для пошуку, перевірки та пом’якшення впливу облікових даних недостатньо. Щоб досягти стабільної безпеки в умовах високодинамічної загрози, організації повинні постійно повторювати цей процес.
Однак групи безпеки з обмеженими ресурсами не можуть дозволити собі виконувати всі ці кроки вручну з достатньою частотою. Єдиний спосіб ефективного керування загрозою — це автоматизувати процес перевірки.
Pentera пропонує організаціям один зі способів автоматично імітувати методи зловмисників, намагаючись використати витік облікових даних як ззовні, так і всередині мережі. Щоб закрити цикл перевірки, Pentera надає інформацію про повні шляхи атаки разом із дієвими кроками для виправлення, які дозволяють організаціям ефективно максимізувати силу своєї ідентифікації. Джерело
Comments