Cos'è lo Password Spraying e come si possono individuare e bloccare gli attacchi?

Nel 2019, un furto di dati a Citrix ha scosso il mondo della cybersecurity. Gli aggressori hanno rubato documenti aziendali da un'unità di rete condivisa e da un'unità associata a uno strumento basato sul web utilizzato nella pratica di consulenza di Citrix. Gli hacker hanno ottenuto questo accesso all'infrastruttura IT di Citrix attraverso un attacco di password spraying, una tecnica che sfrutta password deboli, portando a critiche secondo cui il gigante del software ha inutilmente compromesso i suoi clienti non stabilendo una strategia di password adeguata.

Citrix è ben lontana dall'essere l'unica impresa a non essere all'altezza per quanto riguarda la sicurezza delle password. Quando un team di ricerca sulle minacce ha esaminato tutti gli account utente Microsoft all'inizio del 2019, hanno scoperto che 44 milioni di utenti utilizzavano gli stessi nomi utente e password che erano già stati divulgati online dopo violazioni della sicurezza in altri servizi online. Questa tendenza è allarmante, poiché il 2020 Data Breach Investigations Report rivela che oltre l'80 percento delle violazioni legate agli attacchi informatici coinvolge credenziali rubate (o perse) o attacchi di forza bruta.

Gli attacchi di password spraying non possono essere prevenuti, ma possono essere rilevati e persino fermati sul nascere. In questo articolo, spieghiamo come si sviluppa questo tipo di attacco, come è possibile individuare attacchi in corso e come si può ridurre il rischio di diventare la prossima vittima.

Cos'è un attacco di Password Spraying?

Gli attacchi di forza bruta tipici prendono di mira un singolo account, testando più password per cercare di ottenere l'accesso. I moderni protocolli di cybersecurity possono rilevare questa attività sospetta e bloccare un account quando si verificano troppi tentativi di accesso falliti in un breve periodo di tempo.

L'attacco di tipo password spraying capovolge la strategia convenzionale tentando di accedere a molteplici account utente utilizzando diverse password comuni. Provare una singola password su diversi account prima di tentarne un'altra sugli stessi account elude i normali protocolli di blocco, permettendo all'attaccante di continuare a provare sempre più password.

Sfortunatamente, gli attacchi di password spray sono spesso coronati da successo perché molti utenti non seguono le password best practices. Infatti, le 200 password più comuni violate nei data breach del 2019 includevano combinazioni ovvie di numeri come “12345”, nomi di battesimo femminili comuni e la parola “password” stessa. Qualsiasi attaccante che prende di mira un numero sufficientemente grande di nomi utente e lavora con un ampio insieme di password comuni ha buone probabilità di riuscire a compromettere alcuni account.

Anche se lanciare le reti in modo estensivo è probabile che porti almeno alcuni successi, gli hacker odierni si affidano a un approccio più preciso. Puntano su utenti che utilizzano l'autenticazione single sign-on (SSO), sperando di indovinare le credenziali che consentiranno loro di accedere a più sistemi o applicazioni. Spesso prendono di mira anche utenti che utilizzano servizi cloud e applicazioni che sfruttano l'autenticazione federata. Questo metodo può permettere agli attaccanti di muoversi lateralmente, poiché l'autenticazione federata può aiutare a mascherare il traffico malevolo.

Una volta che un account è stato compromesso in un attacco di password spraying, la vittima può subire una perdita temporanea o permanente di informazioni sensibili. Per le organizzazioni, un attacco riuscito potrebbe anche significare operazioni interrotte, significative perdite di entrate e danni alla reputazione.

Come rilevare un attacco di Password Spraying

Anche se le contromisure convenzionali potrebbero non rilevare automaticamente gli attacchi di password spraying, ci sono diversi indicatori affidabili da cercare. Il più evidente è un alto numero di tentativi di autenticazione, specialmente tentativi falliti a causa di password errate, in un breve periodo di tempo. Naturalmente, un indicatore strettamente correlato è un picco nei blocchi degli account.

In molti casi, il password spraying porta a un improvviso aumento dei tentativi di accesso che coinvolgono portali SSO o applicazioni cloud. Le parti malevole possono utilizzare strumenti automatizzati per tentare migliaia di accessi in un breve periodo di tempo. Spesso, questi tentativi provengono da un singolo indirizzo IP o da un singolo dispositivo.

Come mitigare il rischio di cadere vittima di un attacco di Password Spraying

Mentre è fondamentale essere in grado di rilevare prontamente gli attacchi riusciti, consentire agli aggressori anche un breve accesso ai dati sensibili può rivelarsi devastante. Una solida strategia di cybersecurity richiede un approccio globale e proattivo che garantisca una protezione stratificata per bloccare il maggior numero possibile di attacchi. Assicurati di seguire queste migliori pratiche:

• Richiedere l'autenticazione a più fattori per tutti gli utenti.
• Assicurati che tutte le password rispettino le linee guida del National Institute of Standards and Technology (NIST).
• Stabilire politiche solide per il reset delle password dopo il blocco degli account.
• Sviluppa una strategia di password difendibile per gli account condivisi.
• Effettuare regolarmente formazione degli utenti per garantire che tutti comprendano la minaccia del password spraying e come possono ideare e mantenere password sicure.

Come le soluzioni Netwrix possono aiutare

Il miglior modo per difendere la tua organizzazione dagli attacchi di password spraying è investire in uno strumento di sicurezza IT che possa rilevare e bloccare affidabilmente questi attacchi con un'auditing completa, allarmi e rapporti.

Netwrix Auditor può avvisarti di una vasta gamma di attività sospette, inclusi eventi che indicano un attacco di password spraying, così puoi rispondere immediatamente per proteggere i tuoi sistemi e dati. Inoltre, offre potenti funzionalità di auditing e reporting. Le caratteristiche principali includono:

• Audit e allarmi di Active Directory. Netwrix Auditor tiene traccia degli accessi ad Active Directory e di altre attività degli utenti, inclusi tutti i tentativi di accesso riusciti e falliti. È possibile impostare allarmi su attività che si considerano sospette, inclusi singoli eventi come un utente che ottiene privilegi di amministratore o una sequenza di azioni in un lasso di tempo specificato, come più di 4 tentativi di accesso falliti in 1 minuto. È anche possibile rivedere facilmente l'intera cronologia degli accessi di qualsiasi utente.
• Analisi comportamentale degli utenti. Una visione consolidata delle attività insolite e della classifica degli attori a rischio rende più semplice individuare precocemente gli account compromessi e gli insider malintenzionati, così da poter agire per evitare problemi di sicurezza
• Analisi del comportamento dell'utente e dei punti ciechi. Individua gli attori malevoli che si insinuano nel tuo ambiente esaminando facilmente l'attività degli utenti al di fuori dell'orario standard, i tentativi di accesso da parte di più utenti da un singolo endpoint e i tentativi di accesso da parte di un singolo utente da più endpoint.

Netwrix Auditor aiuta anche a rafforzare la tua postura di sicurezza in modo da essere meno vulnerabile agli attacchi di password spraying fin dall'inizio. In particolare, puoi:

• Fai rispettare le password policy best practices con una visibilità completa delle impostazioni delle policy e avvisi sulle modifiche.
• Traccia i reset della password di Azure AD per mantenere un'elevata sicurezza nel cloud.
• Scopri e proteggi gli account che non richiedono password o le cui password sono impostate per non scadere mai.
• Identifica e disabilita gli account inattivi prima che possano essere sfruttati dagli attaccanti.

In breve, con Netwrix Auditor, è possibile individuare precocemente gli attori malevoli — e bloccarli proattivamente prima che possano accedere alla tua rete.