Compromised Credentials: Everything You Need to Know

La compromissione delle credenziali si verifica quando le chiavi di accesso per un account legittimo vengono rubate e utilizzate dagli aggressori. Rappresenta un rischio importante per qualsiasi risorsa connessa all'account altrimenti attendibile e offre agli aggressori un punto d'appoggio per scatenare attacchi a lungo termine e altamente complessi.

In un attacco, è possibile unire più istanze di compromissione delle credenziali quando l'attore malintenzionato passa da un account di livello inferiore a uno amministrativo.

Individuare la compromissione delle credenziali è l'unico modo per bloccare un attacco in anticipo.

Richiedi una Demo Scopri di più

In che modo le credenziali vengono compromesse?

Definiamo completamente le credenziali: la maggior parte delle persone presume che siano solo la combinazione password/nome utente su cui la maggior parte dei servizi si è tipicamente basata, ma il mondo delle credenziali sta cambiando rapidamente.

La biometria e le chiavi di accesso senza password stanno diventando sempre più popolari e l'ascesa dell'autenticazione a più fattori (MFA) ci ha fornito un elenco in espansione di opzioni per proteggere i loro account e dati.

Ciò offre agli aggressori modi nuovi ed entusiasmanti per rubare tali credenziali.

Attacchi comportamentali

Tradizionalmente, i modi più efficaci per ottenere e-mail e password sono stati altre violazioni dei dati (che possono fornire e-mail e occasionali password in chiaro) e attacchi di phishing .

Il successo del furto di credenziali per violazione dei dati si basa in larga misura su:

  • Cattiva abitudine dell'utente finale di riutilizzare le password
  • Mancata modifica delle credenziali amministrative

Le e-mail di phishing portano le vittime a una falsa pagina di accesso. Identiche alla loro controparte legittima, queste false schermate di accesso inviavano le credenziali al database dell'aggressore. Sebbene entrambi questi siano ancora dilaganti, le difese contro il phishing delle organizzazioni stanno rallentando il tasso di furto di credenziali di phishing. 

Al loro posto ci sono un progresso nei keylogger e negli attacchi di forza bruta.

Attacchi tecnici

I keylogger sono in circolazione da molto tempo: una volta installati, tengono traccia degli input chiave di un utente e li inviano a un server C2. Non vengono raccolte solo le password: le risorse sensibili e le comunicazioni interne possono essere eliminate. Gli attacchi di forza bruta erano un bot che inseriva manualmente qualsiasi potenziale combinazione di lettere e numeri – credential stuffing – nella speranza di inserire ciecamente la combinazione corretta.

Come i keylogger, tuttavia, gli attacchi di forza bruta si sono evoluti...

Kerberoasting è un esempio di forza bruta intelligente: il protocollo Kerberos viene utilizzato dal servizio di autenticazione di Windows per assicurarsi che all'utente sia consentito l'accesso al server che sta richiedendo. Se un utente dispone della chiave di accesso del ticket Kerberos, gli viene concesso l'accesso al server

Indipendentemente dal fatto che dispongano dell'indirizzo e-mail o della password di un account sottostante.

Gli attacchi Kerberoasting prevedono che un utente malintenzionato rubi questi ticket crittografati e quindi esegua le chiavi di crittografia con attacchi di forza bruta o basati su dizionario. Hanno bisogno di una base iniziale di autorizzazioni per richiedere i ticket Kerberos , il che significa che il Kerberoasting di solito inizia dopo che un account di livello inferiore è stato compromesso.

Ciò rende il Kerberoasting un'opzione popolare per l'escalation dei privilegi.

Come rilevare le credenziali compromesse

Per rilevare le credenziali compromesse, le organizzazioni utilizzano i sistemi UEBA (User Entity and Behavioral Analytics) per monitorare l'attività degli utenti e identificare comportamenti insoliti che possono segnalare minacce alla sicurezza.

Le soluzioni UEBA raccolgono e analizzano i dati da fonti, quali:

  • rete dispositivo
  • SISTEMI OPERATIVI
  • Applicazioni

Lo fanno per stabilire una linea di base per il comportamento tipico dell'utente nel tempo. Quando l'attività si discosta da questi modelli stabiliti, può segnalare una potenziale compromissione delle credenziali o dell'account.

Anche le piattaforme SIEM (Security Information and Event Management ) svolgono un ruolo chiave nel rilevamento degli account compromessi. Raccogliendo e analizzando i registri di sicurezza di tutta l'organizzazione, gli strumenti SIEM correlano gli eventi per segnalare comportamenti sospetti, come ad esempio:

  • Tentativi di accesso insoliti
  • Anomalie di posizione
  • Escalation non autorizzate dei privilegi

(che potrebbe indicare un violazione della sicurezza.)

Il monitoraggio continuo degli account utente e delle attività di autenticazione è essenziale per identificare tempestivamente potenziali compromissioni, consentendo alle organizzazioni di rispondere rapidamente per mitigare i rischi.

Arresta la compromissione delle credenziali con Check Point Harmony

Check Point Harmony impedisce il riutilizzo delle password e rileva il furto di credenziali combinando le restrizioni basate su policy con il rilevamento avanzato delle anomalie.

La policy Secure Browser Access di Check Point consente agli amministratori di impedire il riutilizzo delle password, definendo domini aziendali specifici in cui il riutilizzo delle password è vietato. Dopo che questi domini protetti sono stati configurati e sincronizzati con l'estensione del browser dell'utente, il sistema acquisirà e memorizzerà localmente una versione con hash della password (utilizzando SHA-256 con HMAC) quando un utente immette le credenziali per uno di questi domini designati.

Memorizzando l'hash della password, l'estensione è in grado di rilevare se la stessa password viene riutilizzata in un dominio diverso non protetto.

Se viene rilevato il riutilizzo della password, il sistema avvia una risposta preconfigurata, ad esempio:

  • Registrazione dell'evento imprevisto
  • Avviso all'utente

Questo approccio consente di proteggere i domini esterni ad Active Directory.

Per rilevare le credenziali compromesse, Check Point utilizza un motore di rilevamento delle anomalie che identifica modelli di attività insoliti tra gli utenti legittimi. Il sistema crea profili utente in base a orari di accesso, posizioni, trasferimenti di dati e comportamento e-mail per stabilire una linea di base del comportamento tipico.

Se inizia a verificarsi una deviazione significativa, ogni azione anomala viene analizzata e valutata in base alla gravità: gli eventi "critici" segnalano un'alta probabilità di compromissione dell'account e richiedono un'indagine immediata, portandoli in cima ai flussi di lavoro dei team di sicurezza.

Non sono solo i sistemi analitici ad essere automatizzati... 

Il sistema Harmony Email & Collaboration può avviare avvisi basati su un'ispezione delle e-mail recenti dell'utente delle ultime ore. Il suo motore anti-phishing valuta attentamente eventuali collegamenti phishing o e-mail e, se l'ispezione rileva comunicazioni ad alto rischio, il motore può mettere in quarantena qualsiasi ulteriore e-mail o azione.

Se hai bisogno delle funzionalità offerte da questo ma non hai la forza lavoro, dai un'occhiata ai servizi di gestione del rischio esterni di Check Point.

Questo approccio completo, che combina la prevenzione del riutilizzo delle password e il sofisticato rilevamento delle anomalie, aiuta a proteggere le credenziali consentendo al contempo una risposta rapida a qualsiasi incidente di sicurezza rilevato. Se sei preoccupato per le attività all'interno della tua rete aziendale, contatta oggi stesso un esperto di sicurezza.

Per iniziare

Prevenzione dell'acquisizione dell'account

Harmony Browse

Harmony Email & Collaboration

ThreatCloud

Argomenti correlati

Che cos'è il Credential Stuffing?

Che cos'è la sicurezza Web?

Che cos'è il filtraggio del web?

Che cos'è il filtraggio degli URL?

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK