Daniel Petri - Responsabile formazione senior

Gli attacchi con password indovinate sono una minaccia critica per la sicurezza informatica. Gli ambienti Active Directory (AD) sono particolarmente sensibili, poiché un singolo account compromesso può portare a un'infiltrazione diffusa nella rete. Pertanto, le conseguenze degli attacchi di password guessing possono essere gravi e di vasta portata, portando a violazioni dei dati, compromissione della rete e significative interruzioni operative. Gli account privilegiati richiedono un'attenzione particolare, dati i loro elevati diritti di accesso e il potenziale di danni ingenti se compromessi. Ecco cosa c'è da sapere sull'indovinare le password e come proteggere Active Directory e la vostra organizzazione.

Che cos'è un attacco di indovinare la password?

Gli attacchi di password guessing sono una forma di intrusione informatica in cui gli aggressori tentano sistematicamente un'ampia gamma di password per ottenere un accesso non autorizzato ai sistemi. Questi attacchi sfruttano l'anello più debole della sicurezza: le password scelte dall'uomo. Nonostante i progressi della sicurezza informatica, l'affidamento alle password come meccanismo primario di autenticazione rende i sistemi intrinsecamente vulnerabili a questo tipo di attacchi.

Gli attacchi di password guessing sfruttano diversi tipi di vulnerabilità negli ambienti Active Directory. L'identificazione e la risoluzione di queste vulnerabilità è fondamentale per mitigare il rischio di tali attacchi. I principali obiettivi vulnerabili includono:

  • Account utente con password predefinite o comunemente utilizzate. Gli account utente impostati con password predefinite, comuni o facilmente indovinabili rappresentano un rischio elevato. Tali account includono quelli che potrebbero essere stati creati con una password iniziale standard che non è mai stata modificata.
  • Politiche di password deboli. Gli account, soprattutto quelli con privilegi elevati, che non sono regolati da politiche di password forti sono a rischio significativo. Sia il NIST che Microsoft raccomandano un minimo di 8 caratteri e l'eliminazione delle reimpostazioni periodiche delle password per gli account utente, oltre ad altre best practice. Criteri di password deboli consentono password più brevi, semplici o prevedibili e possono aumentare significativamente il rischio di attacchi di indovinare la password. Purtroppo, pochi ambienti AD applicano il comune rifiuto delle password.
  • Account di servizio. Gli account di servizio hanno spesso autorizzazioni di alto livello e sono utilizzati per eseguire applicazioni, processi o servizi all'interno della rete. La compromissione di un account di servizio può avere implicazioni diffuse, in quanto gli aggressori possono sfruttare le autorizzazioni dell'account per accedere o interrompere servizi e processi critici.

L'efficacia degli attacchi per indovinare le password è amplificata quando non vengono seguite rigorosamente le migliori pratiche per la sicurezza delle password, soprattutto per gli account amministrativi.

Tipi di attacchi per indovinare la password

Gli attacchi per indovinare la password assumono varie forme, ognuna con caratteristiche uniche.

Attacchi di forza bruta

Gli attacchi di forza bruta consistono nel provare ogni possibile combinazione di password. Sebbene richiedano tempo e risorse, questi attacchi sono sorprendentemente efficaci contro gli account con password semplici o brevi.

  • Il tempo stimato per forzare brutalmente una password breve (cioè di 6 o meno caratteri) e di solo alfabeto può essere di soli 5 minuti.
  • Per decifrare combinazioni alfanumeriche che includono sia caratteri maiuscoli che minuscoli potrebbero essere necessarie circa 5 ore.
  • Combinazioni alfanumeriche complesse che includono caratteri speciali possono richiedere circa 8 giorni per essere decifrate.

L'aumento della lunghezza della password a 10 o più caratteri riduce significativamente la probabilità di successo di un attacco brute-force, rendendolo realisticamente impossibile senza l'uso di hardware dedicato e speciale.

Attacchi con dizionario e spruzzatura di password

Negli attacchi di spruzzatura delle password e negli attacchi a dizionario, gli aggressori utilizzano un elenco di password e frasi comuni. Questi elenchi spesso includono variazioni e sostituzioni di uso comune, sfruttando la tendenza degli utenti a creare password facili da ricordare.

  • Per una password di 6 caratteri, se si tratta di una parola comune o di una semplice variante, l'attacco del dizionario può essere molto rapido, richiedendo potenzialmente solo pochi minuti o ore. Tuttavia, se la password non è presente nel dizionario o è più complessa (ad esempio, una combinazione casuale di caratteri), l'attacco del dizionario potrebbe non riuscire affatto.
  • Le probabilità di successo di un attacco a dizionario diminuiscono ulteriormente con una password di 10 caratteri, soprattutto se si tratta di una parola o frase complicata o poco comune. Se la password è una frase comune o una combinazione di parole, l'attacco potrebbe essere possibile, ma in genere richiederebbe più tempo rispetto a una password di 6 caratteri.

Imbottitura di credenziali

Il Credential stuffing prevede l'utilizzo di coppie di nomi utente e password note ottenute da precedenti violazioni di dati. Questo attacco è particolarmente efficace a causa della pratica comune di riutilizzare le password nei vari sistemi e servizi.

Rischi di attacco per indovinare la password

Gli attacchi di password guessing presentano numerosi rischi e possono avere conseguenze di vasta portata negli ambienti Active Directory. Il rischio principale è l'accesso non autorizzato, che può portare a una cascata di eventi dannosi:

  • Violazioni dei dati. Gli attacchi condotti con successo per indovinare le password si traducono spesso in violazioni dei dati, consentendo agli aggressori di accedere a informazioni sensibili come dati personali, registri finanziari e proprietà intellettuale. Questo accesso non solo danneggia l'integrità dell'organizzazione, ma può anche avere ripercussioni legali e finanziarie.
  • Movimento laterale. Una volta entrati nella rete, gli aggressori possono utilizzare le credenziali compromesse per spostarsi lateralmente tra i sistemi. Il movimento laterale consente agli attori delle minacce di accedere ad altri account, server o database non direttamente raggiungibili dal punto di ingresso iniziale. Il movimento laterale è particolarmente pericoloso negli ambienti AD a causa della natura interconnessa delle risorse di rete.
  • Escalation dei privilegi. Gli aggressori possono sfruttare password deboli per ottenere privilegi più elevati all'interno della rete. Ciò può comportare la compromissione di account con privilegi amministrativi o l'escalation dei privilegi di un account di livello inferiore. L'escalation dei privilegi può portare gli aggressori a ottenere il controllo completo della rete e delle sue risorse.
  • Persistenza della minaccia. Gli aggressori spesso mirano a stabilire un accesso persistente alla rete, che consenta loro di tornare a piacimento. Raggiungono questo obiettivo creando backdoor, installando malware o sfruttando altre vulnerabilità. La persistenza delle minacce negli ambienti AD può essere difficile da rilevare ed eliminare senza gli strumenti adeguati.
  • Interruzione dell'operatività. L'accesso non autorizzato può interrompere le operazioni aziendali, causando tempi di inattività, perdita di produttività e potenziali danni alla reputazione dell'organizzazione.
  • Violazioni della conformità. In molti settori e Paesi esistono normative e standard che regolano la protezione dei dati e la privacy. Gli attacchi di password guessing che portano a violazioni di dati possono risultare non conformi, con conseguenti multe e conseguenze legali.

Gli incidenti reali coinvolgono spesso aggressori che sfruttano password brevi o comuni. Ad esempio, numerose violazioni di dati si sono verificate perché gli aggressori sono stati in grado di indovinare o decifrare semplici password utilizzate da dipendenti o amministratori. In alcuni casi, gli aggressori hanno utilizzato le credenziali compromesse per installare ransomware, causando danni operativi e finanziari significativi.

Come rilevare gli attacchi di indovinare la password

Il rilevamento efficace degli attacchi di indovinare la password in ambienti Active Directory comporta un approccio multiforme che combina il monitoraggio, l'analisi e l'uso di strumenti di sicurezza avanzati. Le strategie chiave includono:

  • Monitoraggio dei tentativi di accesso. Uno degli indicatori principali di un attacco di indovinare la password è un numero insolitamente alto di tentativi di accesso non riusciti. I sistemi di monitoraggio devono essere configurati in modo da avvisare gli amministratori di un numero eccessivo di accessi non riusciti, soprattutto se si verificano in rapida successione o in orari insoliti.
  • Analizzare i modelli di login. Oltre al volume dei tentativi di accesso, è importante analizzarne gli schemi. Ciò include la valutazione dei tentativi di accesso da luoghi insoliti, degli accessi in orari atipici e degli accessi ad account di alto valore o sensibili. Questa analisi può rivelare tentativi più sofisticati di indovinare la password o casi in cui gli aggressori potrebbero utilizzare credenziali rubate.
  • Analisi dei file di registro. I registri possono fornire informazioni dettagliate sui tentativi di autenticazione, compresi gli indirizzi IP di origine, i timestamp e i dettagli dell'account utente. L'analisi di questi registri può aiutare a identificare potenziali attività di indovinare la password e altri comportamenti sospetti. Tuttavia, occorre tenere presente che molti attacchi sono abili nell'eludere il rilevamento basato sui registri.
  • Strumenti di sicurezza di rete. Utilizzate strumenti di sicurezza di rete come sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS) e soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM). Questi strumenti possono fornire un'analisi in tempo reale del traffico di rete e dei dati di log, aiutando a rilevare e avvisare di potenziali attacchi di indovinare la password, anche se, ancora una volta, potrebbero non individuare alcune minacce.
  • Monitoraggio specifico dell'account. Prestate particolare attenzione agli account noti per essere obiettivi di alto valore, come gli account di amministratore di dominio.
  • Protezione degli endpoint. Implementate soluzioni di protezione degli endpoint in grado di rilevare e segnalare attività sospette su singole workstation e server. Ciò include il monitoraggio di processi o applicazioni insoliti che potrebbero essere indicativi di un account compromesso.

Come mitigare gli attacchi di indovinare la password

Per rispondere agli attacchi di password guessing negli ambienti Active Directory è necessario un approccio completo che comprenda l'applicazione delle policy, la formazione degli utenti e i controlli tecnici.

Implementare l'autenticazione a più fattori e le politiche di blocco degli account.

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo una seconda forma di verifica oltre alla semplice password. Ciò può ridurre significativamente il rischio di accesso non autorizzato, anche se la password è compromessa.

I criteri di blocco dell'account bloccano temporaneamente un account dopo un certo numero di tentativi di accesso falliti. Questo può aiutare a prevenire gli attacchi brute-force, limitando il numero di tentativi che un aggressore può fare in un determinato periodo.

Rispettare le attuali linee guida sulla sicurezza delle password

L'adesione alle linee guida stabilite da agenzie come il NIST può migliorare la sicurezza delle password. Ciò include l'applicazione delle Fine-Grained Password Policies (FGPP) in AD, che consente di applicare criteri di password diversi a gruppi di utenti diversi, assicurando che gli account privilegiati abbiano requisiti più severi. Tutti i principali gestori di password includono generatori per aiutarvi.

Applicare solidi criteri per le password

Le politiche dovrebbero imporre l'uso di password complesse o di frasi di accesso che seguano le linee guida delle migliori pratiche. La lunghezza minima della password dovrebbe essere superiore ai tradizionali 8 caratteri, poiché le password più lunghe aumentano notevolmente la difficoltà degli attacchi di indovinare la password.

Le passphrase sono un'opzione ancora migliore. Queste sono generalmente più lunghe e possono essere sia più sicure che più facili da ricordare, riducendo così la probabilità di riutilizzo delle password o di password semplici e indovinabili. L'uso di una passphrase piuttosto che di una password lunga, complessa e difficile da ricordare è raccomandato per diversi motivi, che ruotano principalmente intorno all'equilibrio tra sicurezza e memorizzazione.

Ma è necessario agire per far rispettare tali politiche. Ad esempio, si può pensare di vietare le password più comuni. Per gli ambienti che includono Entra ID, Microsoft Entra Password Protection offre assistenza per queste operazioni. Sono disponibili anche filtri per le password di Active Directory di terze parti che aiutano a vietare le password più usate (e quindi più facilmente indovinate).

Educare e formare gli utenti

Svolgete regolarmente sessioni di formazione e programmi di sensibilizzazione per tutti gli utenti, compresi quelli con accesso privilegiato. Istruiteli sull'importanza della sicurezza delle password, sui rischi delle password deboli e sulle migliori pratiche per creare password o frasi di accesso forti e memorabili.

Protezione di Active Directory e Entra ID

Per contrastare efficacemente gli attacchi di password guessing negli ambienti AD, gli amministratori e gli specialisti di cybersecurity devono implementare una serie di misure proattive. I principali passi da compiere includono:

  • Eseguire controlli regolari degli account e dei privilegi degli utenti. Assicuratevi che agli account, in particolare a quelli con privilegi elevati, venga concesso solo l'accesso necessario per il loro ruolo e che vengano revocate le autorizzazioni non necessarie. Lo strumento gratuito Purple Knight di Semperis è un modo semplice e veloce per rilevare i privilegi eccessivi e include indicatori di sicurezza per individuare gli utenti privilegiati con criteri di password deboli e altre configurazioni rischiose relative alle password.
  • Automatizzate il monitoraggio e il rollback. Monitorate i segni di attacchi di indovinare la password, come tentativi multipli di accesso falliti, tentativi di accesso da luoghi insoliti o modelli di accesso atipici. L'ideale è utilizzare uno strumento in grado di rilevare gli attacchi furtivi e gli schemi di attacco in AD e Entra ID e che offra la possibilità di impostare avvisi e notifiche o addirittura di annullare le modifiche rischiose ad Active Directory fino a quando non si può confermare che sono legittime.
  • Pianificare una risposta efficace agli incidenti. Sviluppate e mantenete un piano di risposta agli incidenti che includa le procedure per rispondere a sospetti attacchi di password guessing. Il piano deve specificare le fasi di contenimento, eliminazione, recupero e analisi forense dell'identità dopo l'incidente.

Istantanea Semperis

Gli attacchi di password guessing negli ambienti AD sfruttano configurazioni errate e password deboli, portando potenzialmente a violazioni significative e consentendo movimenti laterali ed escalation dei privilegi. La comprensione di questi rischi e l'implementazione di strategie di rilevamento e mitigazione mirate sono fondamentali per salvaguardarsi da questi attacchi.

Gli amministratori di Active Directory e gli specialisti di cybersecurity devono rimanere vigili e proteggere proattivamente le loro reti da queste minacce pervasive. Implementando le strategie di mitigazione, le organizzazioni possono ridurre significativamente il rischio di attacchi con password indovinate e migliorare la sicurezza complessiva dei loro ambienti AD.