Ca porți de intrare către rețelele corporative, VPN-urile reprezintă o țintă atractivă pentru atacatori care caută acces la mediile Active Directory. Și atunci când credențialele VPN devin compromise – printr-un lucru aparent inofensiv precum reutilizarea unei parole de către un angajat – securitatea întregii rețele ar putea fi pusă în pericol.
Iată ce trebuie să știți despre modul în care hackerii folosesc parolele VPN compromise și cum vă puteți proteja organizația.
Un Rețea Privată Virtuală (VPN) creează un tunel criptat între dispozitivul unui utilizator și rețeaua corporativă, facilitând accesul securizat la distanță la resursele interne. Prin conexiuni criptate, VPN-urile protejează transmiterea datelor pe orice rețea, asigurând comunicarea sigură chiar și peste punctele de acces public la internet nesecurizate.
Organizațiile se bazează pe VPN-uri pentru două utilizări principale: sprijinirea muncii la distanță și furnizarea accesului securizat la resursele interne din locații externe. Dar utilizarea extinsă a VPN-urilor creează noi provocări de securitate atunci când credențialele devin compromise.
Cercetarea recentă a Specops dezvăluie faptul că peste 2,1 milioane de parole VPN au fost furate în ultimul an. Atacatorii folosesc mai multe tehnici pentru a colecta credențialele VPN, de la implementarea de malware sofisticat și crearea de campanii de phishing convingătoare până la instalarea de keylogger-e și crearea de portaluri de autentificare VPN înșelătoare.
Aceste credențiale furate sunt apoi colectate în baze de date masive de parole și comercializate pe piețele dark web, permițând atacatorilor să achiziționeze cu ușurință acces la rețelele corporative. Dar cel mai mare pericol nu este doar furtul inițial – este reutilizarea parolelor.
Mulți angajați folosesc credențialele lor Active Directory pentru a accesa VPN-urile corporative, o configurație comună și adesea intenționată. Și unii angajați reutilizează aceleași parole pentru serviciile personale de VPN.
Studiile arată că 52% dintre adulți reutilizează parolele pe mai multe conturi, iar unul din opt folosește aceeași parolă pentru toate serviciile lor online.
Reutilizarea parolelor creează un scenariu periculos: atunci când atacatorii sparg un serviciu personal de VPN, ei pot obține acces la credențialele Active Directory corporative. Chiar și marile furnizoare de VPN rămân vulnerabile. Utilizatorii ProtonVPN au avut peste 1,3 milioane de credențiale furate, în timp ce ExpressVPN și NordVPN au pierdut fiecare aproape 100.000 de parole către malware.
După obținerea credențialelor valide pentru VPN, atacatorii obțin acces inițial la rețea prin impersonarea utilizatorilor legitimi. Odată intrat în interior, ei folosesc diverse tehnici pentru mișcarea laterală, inclusiv atacuri precum „pass-the-hash” și „pass-the-ticket”, care folosesc token-uri de autentificare compromise pentru a accesa sisteme suplimentare fără a avea nevoie de parolele originale.
Atacatorii se concentrează apoi pe escaladarea privilegiilor, exploatând vulnerabilități sau folosind ingineria socială pentru a obține acces administrativ.
Credențialele VPN de administrator compromise sunt echivalente cu a lovi jackpot-ul, permițând hackerilor să intervină imediat asupra controlerelor de domeniu și setările de securitate. Dar chiar și conturile de utilizator standard sunt valoroase, deoarece permit atacatorilor să lucreze treptat către accesul de administrator de domeniu prin atacuri de escaladare a privilegiilor.
Pentru a vă proteja Active Directory împotriva credențialelor VPN compromise, abordarea dvs. trebuie să meargă dincolo de impunerea cerințelor de bază pentru parole. Măsurile de securitate următoare pot ajuta la apărarea organizației împotriva accesului neautorizat.
Exigențele tradiționale de complexitate a parolelor nu sunt suficiente pentru a oferi protecție adecvată. Pentru a-și întări securitatea, politicile de parole ale organizației dvs. ar trebui să împiedice angajații să folosească parole compromise cunoscute, indiferent de complexitate. În plus, solicitați modificări regulate ale parolelor și impuneți reguli de istoric al parolelor pentru a ajuta la atenuarea impactului oricărui furt.
Una dintre cele mai bune modalități de a oferi securitate suplimentară este de a implementa MFA pentru accesul VPN – cererea unui al doilea factor de autentificare împiedică atacatorii cu credențiale valide să acceseze sistemele dvs. Organizația dvs. ar trebui să implementeze MFA folosind aplicații de autentificare sau dispozitive hardware și să o solicite pentru toate conexiunile VPN.
Sistemele de detecție a intruziunilor (IDS) și instrumentele de management al informațiilor și evenimentelor de securitate (SIEM) vă permit să monitorizați încercările de conectare la VPN și activitatea utilizatorilor. Echipele dvs. de securitate ar trebui să caute modele neobișnuite, cum ar fi accesul în afara orelor de program, mai multe încercări eșuate de conectare sau conexiuni din locații neașteptate. Și nu uitați să efectuați audituri de securitate regulat, deoarece acestea pot identifica vulnerabilități potențiale înainte ca atacatorii să le exploateze.
Oferiți instruire regulată de conștientizare a securității care se concentrează pe ajutarea utilizatorilor să identifice tentativele de phishing și să înțeleagă riscurile reutilizării parolelor. În plus, ajutați angajații să recunoască paginile de autentificare VPN legitime și să învețe practici sigure de gestionare a parolelor, cum ar fi folosirea managerilor de parole pentru a genera și stoca parole unice.
Pentru a preveni lacunele de securitate și a identifica potențiale vulnerabilități înainte ca hackerii să le exploateze, scanati regulat parolele Active Directory împotriva bazelor de date de parole compromise cunoscute.
Instrumente precum Politica de Parole Specops vă permit să monitorizați continuu parolele Active Directory împotriva unei baze de date extinse de parole compromise, împiedicând utilizarea de parole furate înainte de a duce la o încălcare.
Muncă la distanță și serviciile cloud sunt aici pentru a rămâne, făcând securitatea VPN mai importantă ca niciodată. Și atunci când atacatorii sparg parolele VPN, ei pot prelua controlul întregului mediu Active Directory al dvs.
Prin implementarea unor politici de parole puternice, desfășurarea MFA, menținerea monitorizării vigilente și scanarea regulată a credențialelor compromise, puteți reduce expunerea la atacuri bazate pe VPN.
Cu controalele și instrumentele de securitate adecvate, precum Politica de Parole Specops, puteți împiedica atacatorii să folosească parolele VPN furate pentru a sparge Active Directory-ul dvs.
Întrați în contact pentru un trial gratuit.
Articol sponsorizat și scris de Specops Software.
Leave a Reply