Na czym polega atak „pass-the-hash”?
Atak „pass-the-hash” to rodzaj cyberataku, w którym skrót hasła jest wykradany od administratorów i wykorzystywany do uzyskania nieautoryzowanego dostępu w sieci. Ten rodzaj ataku eliminuje potrzebę kradzieży lub złamania hasła, ponieważ do eskalacji dostępu w sieci i jej systemach wymagany jest jedynie skrót hasła.
Czym jest skrót hasła?
Aby zrozumieć, jak działa atak „pass-the-hash”, należy wyjaśnić, czym dokładnie jest skrót (hash) hasła. Skrót hasła to jednokierunkowy algorytm, który zamienia hasło w postaci zwykłego tekstu w losowy ciąg liter i cyfr, którego nie można odwrócić ani zdekodować w celu ujawnienia rzeczywistego hasła.
Tworzenie skrótów haseł zwiększa bezpieczeństwo, eliminując przechowywanie haseł w postaci zwykłego tekstu na serwerze. Dzięki temu tylko użytkownik końcowy zna swoje hasła w postaci zwykłego tekstu.
Jak działa atak „pass-the-hash”?
Ataki „pass-the-hash” rozpoczynają się, gdy cyberprzestępca włamuje się do komputera administratora. Często odbywa się to poprzez zainfekowanie jego komputera złośliwym oprogramowaniem za pomocą technik inżynierii społecznej. Na przykład, administrator może otrzymać phishingową wiadomość e-mail zachęcającą do kliknięcia załącznika lub łącza. Jeśli administrator kliknie łącze lub załącznik, złośliwe oprogramowanie może zostać natychmiast pobrane bez jego wiedzy.
Po zainstalowaniu złośliwego oprogramowania na komputerze administratora cyberprzestępca zbiera skróty haseł przechowywane na komputerze. Mając tylko jeden skrót hasła należący do konta uprzywilejowanego użytkownika, cyberprzestępcy mogą ominąć protokół uwierzytelniania sieci lub systemu. Gdy cyberprzestępca ominie uwierzytelnianie, może uzyskać dostęp do poufnych informacji i poruszać się po sieci, aby uzyskać dostęp do innych uprzywilejowanych kont.
Kto jest najbardziej podatny na ataki „pass-the-hash”?
Komputery z systemem Windows są najbardziej podatne na ataki „pass-the-hash” ze względu na lukę w skrótach NTLM (Windows New Technology Local Area Network Manager). NTLM to zestaw protokołów bezpieczeństwa oferowanych przez firmę Microsoft, który działa jako rozwiązanie pojedynczego logowania (SSO), wykorzystywane przez wiele organizacji.
Ta luka w zabezpieczeniach NTLM pozwala atakującym osobom na wykorzystanie naruszonych kont domenowych przy użyciu jedynie skrótu hasła, bez konieczności podawania rzeczywistego hasła.
Jak ograniczać ryzyko ataków „pass-the-hash”
Inwestycja w rozwiązanie do zarządzania dostępem uprzywilejowanym (PAM)
Zarządzanie dostępem uprzywilejowanym odnosi się do zabezpieczania kont, które mają dostęp do wysoce wrażliwych systemów i danych, oraz zarządzania tymi kontami. Konta uprzywilejowane obejmują między innymi systemy płacowe, konta administratorów IT i systemy operacyjne.
Rozwiązanie PAM pomaga organizacjom zabezpieczyć dostęp do kont uprzywilejowanych i zarządzać nim poprzez wykorzystanie zasady najniższych uprawnień. Jest to koncepcja cyberbezpieczeństwa, w której użytkownicy mają wystarczający dostęp do danych i systemów, których potrzebują do wykonywania swojej pracy. Dzięki wdrożonemu rozwiązaniu PAM organizacje mogą zapewnić, że użytkownicy mają dostęp tylko do potrzebnych im kont poprzez kontrolę dostępu opartą na rolach (RBAC). Organizacje mogą również wymuszać stosowanie silnych haseł i uwierzytelniania wieloskładnikowego (MFA) w celu dalszego zabezpieczenia kont i systemów.
Regularne rotowanie haseł
Regularne rotowanie haseł może pomóc zmniejszyć ryzyko ataku „pass-the-hash”, ponieważ skraca czas, przez który skradziony skrot jest ważny. Najlepsze rozwiązania PAM są wszechstronne i oferują rotowanie haseł jako funkcję, którą można włączyć.
Wdrożenie zasady zero trust
Zero trust to model, który zakłada, że konta wszystkich użytkowników zostały naruszone, wymaga od nich ciągłej weryfikacji tożsamości i ogranicza ich dostęp do systemów sieciowych i danych. Zamiast domyślnie ufać wszystkim użytkownikom i urządzeniom w sieci, zasada „zero trust” nakazuje, aby nie ufać nikomu, i zakłada, że wszyscy użytkownicy mogą być potencjalnie zagrożeni.
Model zero trust może pomóc zmniejszyć ryzyko związane z cyberbezpieczeństwem, zminimalizować powierzchnię ataku organizacji oraz usprawnić monitorowanie audytu i zgodności. Dzięki podejściu zero trust administratorzy IT mają pełny wgląd we wszystkich użytkowników, systemy i urządzenia. Mogą zobaczyć, kto łączy się z siecią, skąd się łączy i do czego uzyskuje dostęp.
Regularne przeprowadzanie testów penetracyjnych
Testy penetracyjne, znane również jako „pen testy”, to symulowane cyberataki na sieci, systemy i urządzenia organizacji. Przeprowadzanie regularnych testów penetracyjnych może pomóc organizacjom określić, gdzie mają luki w zabezpieczeniach, aby mogły je usunąć, zanim zostaną one wykorzystane przez cyberprzestępców.
Chroń swoją organizację przed atakami „pass-the-hash” dzięki KeeperPAM®
KeeperPAM to rozwiązanie nowej generacji do zarządzania dostępem uprzywilejowanym, które łączy Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) i Keeper Connection Manager (KCM) w jedną zunifikowaną platformę do ochrony organizacji przed cyberatakami.