Telecom News - מחקר: אזור EMEA נמצא בחזית מתקפות Brute Force

מחקר: אזור EMEA נמצא בחזית מתקפות Brute Force
מאת: מערכת Telecom News, 15.9.19, 20:40 CYBER FREE

באזור EMEA מתקפות ה-brute force על יישומים תופסות את הנתח הגדול ביותר מכלל מתקפות הסייבר.

מחקר חדש של F5 Labs חושף, שאזור EMEA הוא נקודה חמה גלובלית למתקפות brute force. מתקפות אלו היוו 43.5% מכלל המתקפות האפלקטיביות, שנרשמו ע"י צוות ה-SIRT של F5 ב EMEA בשנה שעברה.

בקנדה מתקפות אלו תפסו 41.7% מכלל המתקפות שתועדו, בארה"ב הנתח שלהם היווה 33.3% וב-APAC 9.5% בלבד.

האנליזה היא חלק מדו"ח הגנת היישומים ל-2019 (Application Protection Report 2019) שחוקר את העובדה, שרוב היישומים מותקפים בשכבת הגישה, תוך עקיפת התהליכים הלגיטימיים של הזדהות והרשאות. התקפות brute force בד"כ כוללות כ-10 ניסיונות רצופים כושלים או יותר להתחברות בתוך פחות מדקה, או מעל 100 ניסיונות כושלים ב 24 שעות.

ב-2018, צוות ה SIRT של F5 דיווח, שהתקפות brute force כנגד לקוחות F5 היוו 18% מכלל ההתקפות ו-19% מכל האירועים שטופלו.

אזור EMEA - המותקף ביותר
אור יעקוב, מנהל גוף ההנדסה ב-F5 דרום אירופה: "מתקפות brute force קיימות שנים רבות ובעבר היה ניתן לאתר אותן בקלות בשל הנפח והמהירות שלהן. אולם, כיום מתקפות אלו הופכות לקשות יותר לזיהוי בשל העובדה, שהן מחקות התנהגות אנושית, בקצב, בנפח ובמאפיינים אחרים.

בנוסף, מגוון היישומים, שהושמו למטרה ע"י מתקפות אלו התעצם משמעותית כאשר נפתחו גישות API ליישומים, דבר המקשה גם על המניעה והטיפול בהן".

ריי פומפון, המומחה הראשי למחקר איומים ב-F5 Networks: "התקפות brute force יכולות להופיע כלא מזיקות, ממש כמו התחברות לגיטימית עם שם משתמש וסיסמה נכונים. הן קשות לזיהוי מפני שמבחינת המערכת, התוקף מופיע כמשתמש חוקי ולגיטימי".

כל יישום, שדורש הזדהות, הוא מוקד להתקפת brute force, אבל F5 Labs מדווחת על התקפות המתמקדות בעיקר ב:

גישת הזדהות ב-HTTP (29% מהמתקפות שנרשמו גלובלית) - התקפות נגד טפסי הזדהות של הדפדפן. רוב ההתחברויות המסורתיות ברשת נעשות באופן הזה.
גישה ל-Outlook Web Access מהרשת (17.58%), Office 365 (12%) ו-ADFS (17.5%) - התקפות נגד פרוטוקולי הזדהות לשרתי Exchange, Microsoft Active Directory ו-Federated Services. התקפות על פרוטוקולים אלו מקיפות אימיילים, רשתות אינטרנט שלמות ונפחים משמעותיים של מידע רגיש.
SSH/SFTP (18%) - התקפות brute force על SSH/SFTP הן בין השכיחות ביותר, משום שהזדהות SSH מוצלחת היא דרך מהירה לקבלת גישת האדמיניסטרטור. התקפות אלו מאד אטרקטיביות לתוקפים, שכן מערכות רבות עדיין מסתמכות על סיסמאות ברירת המחדל.
S-FTP (6%) - התקפות אלו הן מסוכנות, שכן התקפות אלו מאפשרות לנוזקה גישה מורחבת, העתקת קלט (keylogging) וצורות אחרות של מעקב ומעבר ברשת.

בס"ה, שירותי אימייל הם השירותים, שהושמו למטרה ע"י מתקפות brute force במידה הגבוהה היותר. לארגונים, שאינם מסתמכים בצורה משמעותית על מסחר מקוון, הנכסים בעלי הערך הרב ביותר מאוחסנים בד"כ רחוק מהפרימטר, מאחורי שכבות מרובות של אמצעי שליטה. במקרה זה, אימייל הוא קרקע טובה לגניבת מידע ולהשגת גישה לכלים המאפשרים לזרוע הרס היקפי.

להישאר בטוחים
על פי דו"ח הגנת היישומים ל-2019, הגנה מפני מתקפות גישה עדיין מהווה אתגר לארגונים רבים. הזדהות רב שלבית (multi factor authentication) יכולה להיות קשה ליישום ולא תמיד ניתנת לביצוע במסגרת הזמן הרצויה. באופן מדאיג, בזמן שסיסמאות אינן מהוות הגנה מספקת, דו"ח הגנת היישומים ל-2018 מצא, ש-75% מהארגונים עדיין משתמשים בשמות משתמש וסיסמאות פשוטים ליישומי web קריטיים.

פומפון: "הטקטיקות של התוקפים עלולות להשתנות ככל שטכנולוגיות ההגנה מתקדמות, אבל עקרונות ההגנה הבסיסיים יישארו בעתיד הנראה לעין. בתור התחלה הבטיחו, שהמערכות שלכם יכולות לפחות לזהות התקפות brute force. חשוב גם להבטיח מנגנונים העובדים הן לטובת הארגון והן לטובת המשתמש בכל הקשור לזמינות.

קחו בחשבון, שלא מספיק להתקין התראות פיירוול בנוגע לניסיונות brute force. חייבים לבחון את הניטור והתגובה, להריץ תסריטי תגובה לאירוע וכן לפתח מתודולוגית תגובה לאירועים. כך, ניתן להגיב במהירות ובאמינות".

יעקב: "ארגונים ישראליים החלו ליישם שיטות מתקדמות לטיפול במתקפות מסוג זה, שכוללות שילוב של מספר טכנולוגיות, בהן WAF (Web Application Firewall), עדכון מתקפות קמפיין ומודיעין סייבר בזמן אמת ושימוש בטכנולוגיות SaaS. שילוב זה מספק הגנה רב שכבתית לסוג זה של מתקפות".