Che cos'è il Password Spraying e come puoi individuare e bloccare gli attacchi?

Nel 2019, un furto di dati presso Citrix ha scosso il mondo della cybersicurezza. Gli attaccanti hanno rubato documenti aziendali da un'unità di rete condivisa e da un'unità associata a uno strumento basato sul web utilizzato nella pratica di consulenza di Citrix. Gli hacker hanno ottenuto questo accesso all'infrastruttura IT di Citrix attraverso un attacco di spruzzatura di password, una tecnica che sfrutta password deboli, portando a critiche sul fatto che il gigante del software ha compromesso inutilmente i suoi clienti non stabilendo una strategia di password solida.

Citrix non è l'unica azienda che non riesce a garantire la sicurezza delle password. Quando un team di ricerca sulle minacce ha esaminato tutti gli account utente Microsoft all'inizio del 2019, ha scoperto che 44 milioni di utenti stavano utilizzando gli stessi nomi utente e password che erano già stati trapelati online dopo violazioni della sicurezza in altri servizi online. Questa tendenza è allarmante, poiché il Rapporto sulle Investigazioni delle Violazioni dei Dati 2020 rivela che oltre l'80 percento delle violazioni legate all'hacking coinvolgono credenziali rubate (o perse) o attacchi di forza bruta.

Gli attacchi di spray delle password non possono essere prevenuti, ma possono essere rilevati e persino fermati sul nascere. In questo articolo, spieghiamo come si sviluppa questo tipo di attacco, come puoi individuare attacchi in corso e come puoi mitigare il rischio di diventare la prossima vittima.

Che cos'è un attacco di Password Spraying?

Gli attacchi tipici di forza bruta prendono di mira un singolo account, testando più password per cercare di ottenere accesso. I protocolli di cybersicurezza moderni possono rilevare questa attività sospetta e bloccare un account quando si verificano troppi tentativi di accesso falliti in un breve periodo di tempo.

Il password spraying capovolge la strategia convenzionale tentando di accedere a più account utente utilizzando molte password comuni. Provare una singola password su molti account diversi prima di tentare un'altra password sugli stessi account elude i protocolli di blocco normali, consentendo all'attaccante di continuare a provare sempre più password.

Sfortunatamente, gli attacchi di password spray sono spesso coronati da successo perché molti utenti non seguono le password best practices. Infatti, le 200 password più comuni violate nei data breach del 2019 includevano combinazioni ovvie di numeri come “12345”, nomi di battesimo femminili comuni e la parola “password” stessa. Qualsiasi attaccante che prende di mira un numero sufficientemente grande di nomi utente e lavora con un ampio insieme di password comuni ha buone probabilità di riuscire a compromettere alcuni account.

Sebbene lanciare una rete ampia probabilmente restituirà almeno alcuni successi, gli hacker esperti di oggi si affidano a un approccio più preciso. Fissano la loro attenzione sugli utenti che utilizzano l'autenticazione single sign-on (SSO), sperando di indovinare le credenziali che daranno loro accesso a più sistemi o applicazioni. Inoltre, prendono di mira comunemente gli utenti che utilizzano servizi e applicazioni cloud che utilizzano l'autenticazione federata. Questo approccio può consentire agli attaccanti di muoversi lateralmente, poiché l'autenticazione federata può aiutare a mascherare il traffico malevolo.

Una volta che un account è stato compromesso in un attacco di spruzzatura della password, la vittima può subire una perdita temporanea o permanente di informazioni sensibili. Per le organizzazioni, un attacco riuscito potrebbe anche significare operazioni interrotte, perdite di entrate significative e danni alla reputazione.

Come rilevare un attacco di Password Spraying

Sebbene le contromisure convenzionali potrebbero non rilevare automaticamente gli attacchi di spray delle password, ci sono diversi indicatori affidabili da cercare. Il più ovvio è un alto numero di tentativi di autenticazione, in particolare tentativi falliti a causa di password errate, in un breve periodo di tempo. Naturalmente, un indicatore strettamente correlato è un picco nei blocchi degli account.

In molti casi, il password spraying porta a un improvviso aumento degli accessi tentati che coinvolgono portali SSO o applicazioni cloud. Le parti malintenzionate possono utilizzare strumenti automatizzati per tentare migliaia di accessi in un breve periodo di tempo. Spesso, questi tentativi provengono da un singolo indirizzo IP o da un singolo dispositivo.

Come mitigare il rischio di diventare vittima di un attacco di password spraying

Sebbene sia fondamentale poter rilevare rapidamente gli attacchi riusciti, consentire agli aggressori anche un breve accesso ai dati sensibili può rivelarsi devastante. Una solida strategia di cybersicurezza richiede un approccio completo e proattivo che garantisca una protezione a più livelli per bloccare il maggior numero possibile di attacchi. Assicurati di seguire queste migliori pratiche:

• Richiedere l'autenticazione a più fattori per tutti gli utenti.
• Assicurati che tutte le password rispettino le linee guida del National Institute of Standards and Technology (NIST).
• Stabilire politiche solide per il reset delle password dopo il blocco degli account.
• Sviluppa una strategia di password difendibile per account condivisi.
• Condurre regolarmente corsi di formazione per gli utenti per garantire che tutti comprendano la minaccia della spruzzatura delle password e come possono ideare e mantenere password sicure.

Come le soluzioni Netwrix possono aiutare

Il modo migliore per difendere la tua organizzazione dagli attacchi di spraying delle password è investire in uno strumento di sicurezza IT che possa rilevare e bloccare in modo affidabile questi attacchi con auditing, avvisi e report completi.

Netwrix Auditor può avvisarti su una vasta gamma di attività sospette, inclusi eventi indicativi di un attacco di spray delle password, in modo da poter rispondere immediatamente per proteggere i tuoi sistemi e dati. Inoltre, offre potenti funzionalità di auditing e reporting. Le caratteristiche chiave includono:

• Auditare e allertare Active Directory. Netwrix Auditor traccia i registri di Active Directory e altre attività degli utenti, inclusi tutti i tentativi di accesso. Puoi impostare avvisi su attività che ritieni sospette, comprese azioni singole come un utente che ottiene privilegi di amministratore o una sequenza di azioni all'interno di un intervallo di tempo specificato, come più di 4 tentativi di accesso falliti in 1 minuto. Puoi anche rivedere facilmente la cronologia completa degli accessi di qualsiasi utente.
• Analisi del comportamento degli utenti. Una visione consolidata delle attività insolite e classificazione degli attori a rischio rende più facile individuare account compromessi e insider malevoli in anticipo, così puoi agire per evitare problemi di sicurezza.
• Analisi del comportamento degli utenti e dei punti ciechi.Identifica attori malevoli che si aggirano nel tuo ambiente esaminando facilmente l'attività degli utenti al di fuori dell'orario standard, i tentativi di accesso da parte di più utenti da un singolo endpoint e i tentativi di accesso da parte di un singolo utente da più endpoint.

Netwrix Auditor ti aiuta anche a rafforzare la tua postura di sicurezza in modo da essere meno vulnerabile agli attacchi di spray di password in primo luogo. In particolare, puoi:

• Applicare le migliori pratiche per le politiche delle password con visibilità completa sulle impostazioni delle politiche e avvisi sui cambiamenti.
• Monitora il ripristino delle password di Azure AD per mantenere una forte sicurezza nel cloud.
• Scopri e proteggi gli account che non richiedono password o le cui password sono impostate per non scadere mai.
• Identificare e disabilitare gli account inattivi prima che possano essere sfruttati dagli attaccanti.

In breve, con Netwrix Auditor, è possibile individuare precocemente i giocatori malevoli e bloccarli proattivamente per impedire loro di entrare nella tua rete in primo luogo.