Was ist Password Spraying und wie können Sie Angriffe erkennen und blockieren?

Im Jahr 2019 erschütterte ein Datenraub bei Citrix die Welt der Cybersicherheit. Die Angreifer stahlen Geschäftsdokumente von einem gemeinsamen Netzlaufwerk und von einem Laufwerk, das mit einem webbasierten Werkzeug verwendet wurde, das in der Beratungspraxis von Citrix zum Einsatz kommt. Die Hacker erlangten diesen Zugang zur IT-Infrastruktur von Citrix durch einen Passwort-Spraying-Angriff, eine Technik, die schwache Passwörter ausnutzt, was zu Kritik führte, dass der Software-Riese seine Kunden durch das Fehlen einer soliden Passwortstrategie unnötig gefährdete.

Citrix ist bei weitem nicht das einzige Unternehmen, das bei der Passwortsicherheit zu kurz kommt. Als ein Threat-Research-Team Anfang 2019 alle Microsoft-Benutzerkonten scannte, stellten sie fest, dass 44 Millionen Benutzer dieselben Benutzernamen und Passwörter verwendeten, die bereits online durchgesickert waren, nachdem es bei anderen Online-Diensten zu Sicherheitsverletzungen gekommen war. Diese Tendenz ist alarmierend, da der 2020 Data Breach Investigations Report offenbart, dass über 80 Prozent der mit Hacking in Verbindung stehenden Brüche entweder gestohlene (oder verlorene) Anmeldeinformationen oder Brute-Force-Angriffe betreffen.

Passwort-Spraying-Angriffe können nicht verhindert werden, aber sie können erkannt und sogar gestoppt werden. In diesem Artikel erklären wir, wie sich diese Art von Angriff entfaltet, wie Sie laufende Angriffe erkennen und wie Sie Ihr Risiko minimieren können, das nächste Opfer zu werden.

Was ist ein Password Spraying Angriff?

Typische Brute-Force-Angriffe zielen auf ein einzelnes Konto ab und testen mehrere Passwörter, um Zugang zu erlangen. Moderne Cybersicherheitsprotokolle können diese verdächtige Aktivität erkennen und ein Konto sperren, wenn in kurzer Zeit zu viele fehlgeschlagene Anmeldeversuche auftreten.

Password Spraying kehrt die herkömmliche Strategie um, indem es versucht, sich bei mehreren Benutzerkonten mit vielen gängigen Passwörtern anzumelden. Das Ausprobieren eines einzelnen Passworts bei vielen verschiedenen Konten, bevor ein anderes Passwort bei denselben Konten versucht wird, umgeht normale Sperrprotokolle und ermöglicht es dem Angreifer, immer mehr Passwörter auszuprobieren.

Leider sind Passwort-Spray-Angriffe häufig erfolgreich, weil so viele Benutzer es versäumen, password best practices zu befolgen. Tatsächlich gehörten zu den 200 häufigsten im Rahmen von data breaches im Jahr 2019 geleakten Passwörtern offensichtliche Zahlenkombinationen wie „12345“, gängige weibliche Vornamen und das Wort „password“ selbst. Jeder Angreifer, der eine ausreichend große Anzahl von Benutzernamen ins Visier nimmt und mit einer großen Bank gängiger Passwörter arbeitet, wird zwangsläufig in der Lage sein, einige Konten zu kompromittieren.

Obwohl das Auswerfen eines weiten Netzes wahrscheinlich zumindest einige Erfolge zurückbringen wird, verlassen sich heutige versierte Hacker auf einen präziseren Ansatz. Sie konzentrieren sich auf Benutzer, die Single Sign-On (SSO)-Authentifizierung verwenden, in der Hoffnung, Anmeldeinformationen zu erraten, die ihnen Zugang zu mehreren Systemen oder Anwendungen verschaffen. Sie zielen auch häufig auf Benutzer ab, die Cloud-Dienste und Anwendungen nutzen, die föderierte Authentifizierung verwenden. Dieser Ansatz kann Angreifern ermöglichen, sich seitlich zu bewegen, da föderierte Authentifizierung dazu beitragen kann, bösartigen Datenverkehr zu verschleiern.

Sobald ein Konto bei einem Passwort-Spraying-Angriff kompromittiert wurde, kann das Opfer einen temporären oder dauerhaften Verlust sensibler Informationen erleiden. Für Organisationen könnte ein erfolgreicher Angriff auch unterbrochene Betriebsabläufe, erhebliche Umsatzeinbußen und Reputationsschäden bedeuten.

Wie man einen Password Spraying Angriff erkennt

Obwohl herkömmliche Gegenmaßnahmen Passwort-Spraying-Angriffe möglicherweise nicht automatisch erkennen, gibt es mehrere zuverlässige Indikatoren, auf die man achten sollte. Der offensichtlichste ist eine hohe Anzahl von Authentifizierungsversuchen, insbesondere fehlgeschlagene Versuche aufgrund falscher Passwörter, in einem kurzen Zeitraum. Natürlich ist ein damit eng verbundener Indikator ein plötzlicher Anstieg bei Kontosperrungen.

In vielen Fällen führt Passwort-Spraying zu einem plötzlichen Anstieg von Login-Versuchen bei SSO-Portalen oder Cloud-Anwendungen. Böswillige Akteure können automatisierte Werkzeuge verwenden, um innerhalb kurzer Zeit tausende von Anmeldungen zu versuchen. Oft kommen diese Versuche von einer einzigen IP-Adresse oder einem einzigen Gerät.

Wie man das Risiko minimiert, Opfer eines Password Spraying Angriffs zu werden

Während es entscheidend ist, erfolgreiche Angriffe schnell erkennen zu können, kann selbst ein kurzzeitiger Zugriff von Angreifern auf sensible Daten verheerend sein. Eine solide Cybersecurity-Strategie erfordert einen umfassenden, proaktiven Ansatz, der eine mehrschichtige Absicherung gewährleistet, um so viele Angriffe wie möglich zu blockieren. Achten Sie darauf, diese Best Practices zu befolgen:

• Erfordern Sie die Multi-Faktor-Authentifizierung für alle Benutzer.
• Stellen Sie sicher, dass alle Passwörter den National Institute of Standards and Technology (NIST) guidelines entsprechen.
• Legen Sie solide Richtlinien für das Zurücksetzen von Passwörtern nach Kontosperrungen fest.
• Entwickeln Sie eine verteidigungsfähige Passwortstrategie für gemeinsam genutzte Konten.
• Führen Sie regelmäßige Benutzerschulungen durch, um sicherzustellen, dass alle Benutzer die Bedrohung durch Password Spraying verstehen und wie sie sichere Passwörter erstellen und beibehalten können.

Wie Netwrix Solutions helfen kann

Der beste Weg, Ihre Organisation gegen Passwort-Spraying-Angriffe zu verteidigen, besteht darin, in ein IT-Sicherheitstool zu investieren, das diese Angriffe zuverlässig erkennen und blockieren kann, mit umfassendem Auditing, Alerting und Reporting.

Netwrix Auditor kann Sie über eine Vielzahl verdächtiger Aktivitäten alarmieren, einschließlich Ereignissen, die auf einen Password-Spraying-Angriff hindeuten, sodass Sie sofort reagieren können, um Ihre Systeme und Daten zu schützen. Darüber hinaus bietet es leistungsstarke Überwachungs- und Berichtsfunktionen. Zu den wichtigsten Funktionen gehören:

• Überwachung und Alarmierung von Active Directory. Netwrix Auditor verfolgt Active Directory Logins und andere Benutzeraktivitäten, einschließlich aller erfolgreichen und fehlgeschlagenen Anmeldeversuche. Sie können Alarme für Aktivitäten einrichten, die Sie als verdächtig ansehen, einschließlich einzelner Aktionen wie das Erlangen von Adminrechten durch einen Benutzer oder eine Abfolge von Aktionen innerhalb eines bestimmten Zeitrahmens, wie mehr als 4 fehlgeschlagene Anmeldeversuche innerhalb von 1 Minute. Sie können auch ganz einfach die vollständige Anmeldehistorie eines jeden Benutzers überprüfen.
• Analyse des Benutzerverhaltens. Eine konsolidierte Ansicht ungewöhnlicher Aktivitäten und die Einstufung von Risikoakteuren erleichtert es, kompromittierte Konten und böswillige Insider frühzeitig zu erkennen, sodass Sie Maßnahmen ergreifen können, um Sicherheitsprobleme zu vermeiden
• Analyse des Benutzerverhaltens und der blinden Flecken. Erkennen Sie heimlich agierende Schadakteure in Ihrer Umgebung, indem Sie Benutzeraktivitäten außerhalb der üblichen Arbeitszeiten, Anmeldeversuche von mehreren Benutzern von einem einzelnen Endpunkt und Anmeldeversuche eines einzelnen Benutzers von mehreren Endpunkten leicht überprüfen.

Netwrix Auditor hilft Ihnen auch dabei, Ihre Sicherheitslage zu stärken, sodass Sie von vornherein weniger anfällig für Passwort-Spraying-Angriffe sind. Insbesondere können Sie Folgendes tun:

• Durchsetzen von password policy best practices mit vollständiger Sichtbarkeit in die Richtlinieneinstellungen und Alarme bei Änderungen.
• Verfolgen Sie Azure AD password resets, um eine starke Sicherheit in der Cloud zu gewährleisten.
• Entdecken und sichern Sie Konten, die keine Passwörter benötigen oder deren Passwörter so eingestellt sind, dass sie nie ablaufen.
• Identifizieren und deaktivieren Sie inaktive Konten, bevor sie von Angreifern ausgenutzt werden können.

Kurz gesagt, mit Netwrix Auditor ist es möglich, bösartige Akteure frühzeitig zu erkennen — und sie proaktiv daran zu hindern, überhaupt in Ihr Netzwerk einzudringen.