Обізнаність щодо credential stuffing

Що таке Обізнаність щодо credential stuffing?

Credential stuffing — це автоматизоване використання вкрадених пар ім'я користувача-пароль, зібраних з витоків даних, для зламу не пов'язаних між собою акаунтів. Ця вправа поміщає Вас у центр інциденту credential stuffing, що атакує Вашу організацію. Ви починаєте з перегляду сповіщень системи моніторингу, яка зафіксувала тисячі невдалих спроб входу на кілька акаунтів працівників, з кількома успішними. Ваше завдання — простежити патерн атаки, визначити, які акаунти були скомпрометовані, та вжити правильних заходів стримування. По ходу вправи Ви вивчаєте зразки реальних даних з витоків, щоб зрозуміти, як повторне використання паролів для особистих та робочих акаунтів створює саме цю вразливість. Симуляція проведе Вас через перевірку, чи з'являються Ваші власні облікові дані у відомих базах витоків, налаштування сповіщень про вхід та формування звичок, що розривають цикл повторного використання. Ви також побачите, як обмеження частоти, CAPTCHA та перевірка облікових даних працюють з боку захисника, зв'язуючи індивідуальний вибір паролів з ширшою захисною позицією організації.

Що ви дізнаєтесь у Обізнаність щодо credential stuffing

• Пояснити, як працюють атаки credential stuffing та чому повторне використання паролів для особистих та корпоративних акаунтів є першопричиною
• Визначати ознаки атаки credential stuffing на панелях моніторингу входу, включаючи масові невдалі входи та географічні аномалії
• Перевіряти особисті та робочі адреси електронної пошти у відомих базах витоків для оцінки схильності
• Реагувати на підтверджений інцидент credential stuffing шляхом ізоляції скомпрометованих акаунтів, примусового скидання паролів та увімкнення додаткових контролів
• Впроваджувати практику унікальних паролів для кожного акаунта з підтримкою менеджера паролів для повного усунення повторного використання

Обізнаність щодо credential stuffing — Кроки навчання

1. Ласкаво просимо до TechNova Solutions

   Ви серйозно ставитесь до безпеки – завжди блокуєте свій комп’ютер і ніколи не натискаєте підозрілих посилань. Але, як і у багатьох людей, у вас є улюблений пароль, який ви використовуєте для кількох облікових записів. Він досить складний, щоб бути безпечним, то чому б не використати його повторно?

2. Звичайний вівторковий ранок

   Ранок вівторка. Ви працюєте над випуском функції, коли з’являється сповіщення електронною поштою — щось про підозрілу активність у вашому обліковому записі. Ви не пригадуєте, щоб робили щось незвичайне. Має бути звичайне сповіщення безпеки.

3. Тривожні подробиці

   Твоє серце падає. Бухарест? Ви там ніколи не були. І 47 невдалих спроб після успішного входу о 3:47 ранку? Хтось точно отримав доступ до вашого облікового запису. Але як? Ви не натискали жодних підозрілих посилань. Ви нікому не передали свій пароль. Тоді ви пам’ятаєте: минулого місяця ви отримали електронний лист про витік даних у StreamFlix, службі потокового відео, на яку ви зареєструвалися багато років тому. Ви використовуєте там той самий пароль, що й для свого облікового запису TechNova...

4. З’єднання точок

   Ви прогортаєте свої старі електронні листи та знаходите сповіщення про порушення безпеки StreamFlix три тижні тому. Зазначається, що адреси електронної пошти та паролі були розкриті. У той час ви змінили свій пароль StreamFlix, але не подумали оновити інші облікові записи, які використовували той самий пароль. Тепер ви розумієте: зловмисники взяли ці витоку облікових даних і перевірили їх на інших службах, включаючи TechNova.

5. Червоний прапор, який ви пропустили

   Знову переглядаючи електронний лист StreamFlix, ви помічаєте важливе попередження, яке ви тоді замовчили.

6. Звернення до IT Security

   Аліса повинна негайно повідомити про це. Вона бере телефон, щоб зателефонувати в IT Security, використовуючи розширення з оригінального сповіщення, а не будь-який номер із зовнішніх електронних листів.

7. Подальші дії від IT Security

   Після дзвінка IT Security надсилає Алісі електронний лист із інструкціями щодо подальших дій.

8. Розслідування починається

   IT Security підтверджує, що доступ до вашого облікового запису було здійснено з Румунії за допомогою дійсних облікових даних. Зловмисник отримав доступ до вашої електронної пошти, завантажив кілька документів і спробував отримати доступ до VPN компанії, перш ніж системи безпеки помітили незвичну поведінку. На щастя, служба безпеки швидко виявила вторгнення. Але оцінка збитків ще триває.

9. Розуміння атаки

   Аналітик безпеки пояснює, як працює надсилання облікових даних: 1. Порушення даних: зловмисники отримують витік облікових даних через порушення (наприклад, StreamFlix) 2. Списки облікових даних: вони складають величезні списки комбінацій електронної пошти та пароля 3. Автоматичне тестування: боти перевіряють ці облікові дані на тисячах інших сайтів 4. Захоплення облікового запису: коли облікові дані працюють, вони отримують доступ до цих облікових записів і використовують їх Це не цілеспрямований злом – це автоматизоване масове тестування вкрадених облікових даних.

10. Подання звіту про подію

    IT Security просить Алісу подати офіційний звіт про інцидент, щоб задокументувати компрометацію та допомогти захистити інших.