Brute Force Attack, cos’è e come proteggersi?

28/10/2021

Abbiamo visto tutti i titoli su questa o quell’azienda che è stata hackerata a causa di un Brute Force Attack, e chiunque potrebbe essere in grado di dare una definizione abbastanza buona di cos’è.

Cos’è un brute force attack?

“Un brute force attack (attacco forza bruta), nella Cyber Security, è una forma di attacco in cui l’autore dell’attacco utilizza un approccio per tentativi ed errori, di decodificare le password. Molto probabilmente stanno usando un programma o un bot per generare password probabili o anche set di caratteri casuali.”

Se ottengono la giusta combinazione di nome utente e password, possono entrare nei sistemi e raggiungere i dati delle aziende e/o dei loro clienti che saranno ora esposti. Esiste due tipi specifici di Brute Force Attack:

  • Dictionary Attack (Attacco a Dizionario), in cui invece di utilizzare solo set di caratteri casuali, gli aggressori utilizzano elenchi di parole o frasi comuni per indovinare le password.
  • Credential Stuffing, che utilizza nomi utente e password reali ottenuti da altri data breach.

Quindi si sa che il problema è là fuori, ma come è possibile rilevarlo e ancora più importante come è possibile prevenirlo?

Come rilevare un brute force attack

Il miglior piano per rilevare un brute force attack, è disporre di un sistema in grado di monitorare i tentativi di accesso e avvisare quando vengono superate determinate soglie (es. InsightIDR di Rapid7 o Netwrix Auditor), che permette di:

  • Monitorare un numero insolitamente elevato di tentativi di accesso provenienti da un singolo indirizzo IP, che potrebbe indicare un bot in esecuzione da quell’indirizzo IP, e che sta tentando rapidamente diverse combinazioni di nome utente e password.
  • Impostare un avviso quando si verifica un forte aumento dei tentativi di accesso in un determinato periodo di tempo. Questo aumento insolito potrebbe anche suggerire un programma che tenta automaticamente di accedere a diversi set di credenziali.
  • Rilevare possibili credenziali compromesse correlando un numero elevato di tentativi di accesso non riusciti a determinati account. Gli utenti spesso riutilizzano le stesse credenziali per più sistemi e gli aggressori riutilizzano le credenziali che potrebbero aver rubato da un sistema per entrare in un altro.

Sfortunatamente, anche se si imposta un sistema di monitoraggio e si riceve una notifica su questi diversi tipi di comportamenti insoliti, si potrebbe non essere in grado di agire abbastanza velocemente da impedire agli aggressori di entrare. Quindi è necessario assicurarsi di essere protetti da questi tipi di attacchi in primo luogo.

4 modi per prevenire un brute force attack.

Ci sono alcune semplici modifiche alla configurazione che si possono mettere in atto per prevenire attacchi brute force.

  1. Utilizzare password complesse e la loro scadenza.
  2. Bloccare (anche temporaneamente) gli account dopo un numero ragionevole di tentativi falliti.
  3. Implementare l’autenticazione a più fattori (MFA).
  4. Verificare la presenza di credenziali compromesse.

 

Utilizzare password complesse e la loro scadenza.

Uno dei modi più semplici per rallentare almeno gli aggressori è applicare password complesse. Attraverso criteri per le password come quelli che possono essere applicati con le User Policies di OneLogin o tramite il Password Filter di SpyCloud AD Guardian, è possibile richiedere che tutte le password debbano essere almeno una combinazione di lettere maiuscole, lettere minuscole, numeri e di 12 caratteri, oltre che vietare l’utilizzo di determinate password tramite una blacklist. La complessità e la lunghezza si aggiungono al numero di possibili combinazioni che un bot dovrà affrontare in un semplice attacco brute force.

È inoltre possibile richiedere agli utenti di aggiornare o creare periodicamente una nuova password. Poiché i semplici attacchi brute force possono richiedere tempo per eseguire tutte le possibilità, una password modificata significherebbe che sono tornati al punto di partenza e tutti i tentativi precedenti sono stati inutili.

 

Bloccare (anche temporaneamente) gli account dopo un numero ragionevole di tentativi falliti.

Se il sistema di autenticazione ne ha la capacità, si dovrebbe impostare un numero massimo di tentativi di accesso e assicurarsi che l’account venga bloccato una volta superato quel numero. Ciò garantirà che l’aggressore non possa continuare a tentare di accedere a quell’account a tempo indeterminato.

 

Implementare l’autenticazione a più fattori (MFA).

Gli aggressori potrebbero riuscire a capire la combinazione di nome utente e password attraverso tentativi ed errori, ma è molto più difficile per loro sfruttare un fattore di autenticazione aggiuntivo come un token hardware (come Yubico) o software (come HYPR). L’MFA richiede che un utente fornisca qualcosa oltre al proprio nome utente e password. Potrebbero dover fornire un’impronta digitale o una password monouso (OTP) o avere a portata di mano un particolare hardware come il loro telefono o un token USB per confermare il fattore di autenticazione aggiuntivo. È molto più difficile per gli aggressori falsificare queste forme aggiuntive di autenticazione.

Funzionalità come SmartFactor Authentication di OneLogin fanno un ulteriore passo avanti. SmartFactor fornisce l’autenticazione adattiva e tiene conto del contesto in cui viene effettuato il tentativo di accesso: la posizione geografica, l’indirizzo IP, il dispositivo, ecc. SmartFactor utilizza un motore AI (Vigilance AI), per formare un profilo che riflette il comportamento tipico di un utente. Pertanto, quando una richiesta di accesso proviene da una posizione da cui l’utente non ha mai tentato di accedere prima, quel tentativo di accesso può essere semplicemente bloccato.

 

Verificare la presenza di credenziali compromesse.

Gli hacker hanno grandi database di nomi utente e password conosciuti costruiti nel tempo dall’hacking di vari sistemi. Gli utenti tendono a riutilizzare le stesse combinazioni di nomi utente e password per tutte le applicazioni a cui devono accedere perché è difficile ricordare un mucchio di credenziali diverse. Gli hacker lo sanno e ne traggono vantaggio utilizzando le credenziali di quei database nei loro brute force attack. Controllando le credenziali di un utente con elenchi noti di credenziali compromesse e costringendolo a scegliere una nuova password quando c’è una corrispondenza, è possibile impedire agli utenti di utilizzare gli stessi set di credenziali che gli hacker proveranno. Questo può rallentare la loro capacità di entrare perché ora devono fare affidamento sulla loro capacità di provare un mucchio di password generate casualmente per entrare.

La funzionalità SmartFactor Authentication di OneLogin o SpyCloud ATO, prevedono la possibilità per un amministratore di abilitare i controlli delle credenziali compromesse di Active Directory come delle caselle e-mail aziendali e personali, permettendo di assicurarsi che gli utenti non inseriscano o stiano utilizzando password già a disposizione degli utenti malintenzionati.

Gli hacker stanno diventando sempre più efficienti nell’entrare nei sistemi. Quando entrano, le aziende possono perdere denaro e la fiducia dei propri clienti. Dobbiamo tutti rimanere sempre vigili e mettere in atto adeguate misure di protezioni per impedire che si verifichino attacchi di questo tipo.

Foto di Green Pass digitali e stampati fornite dai venditori ai loro acquirenti.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Altre source utili per DNS e Domain logging

Altre source utili per DNS e Domain logging

Questo post finale tratta altre source utili per DNS e Domain logging che non sono stati trattati nei post precedenti. Questo post termina quindi con una nota di sfide da anticipare e idee per i passaggi successivi oltre la registrazione. Per una maggior comprensione...