Firmy dlouhodobě podceňují rizika plynoucí z recyklace hesel zaměstnanců a následků úniku, které mohou být využity při útoku známém jako „credential stuffing“. Přitom existují snadno nasaditelná opatření, která mohou významně snížit riziko úspěšného credential stuffing útoku a ochránit firemní i osobní data zaměstnanců.
“Credential stuffing” je forma kybernetického útoku, při kterém útočníci používají uživatelská jména a hesla získaná z předchozích úniků dat, aby získali neoprávněný přístup k jiným účtům. Útočníci spoléhají na to, že mnoho uživatelů používá stejné heslo pro více účtů, což zvyšuje šance na úspěšný útok.
Credential Stuffing je přitom automatizovaná činnost. Bot zkouší, zpravidla i velmi dlouhou dobu, postupně řadu cílů a řadu možných přihlašovacích údajů. Jakmile uspěje, útoku se ujme zkušený člověk a pokračuje.
Nejvíce jsou credential stuffingem zasaženy obchody a e-shopy, finanční služby, zdravotnictví a vyšší vzdělávací instituce. Útočníci mají velmi často zájem o osobní údaje a informace uživatelů, které mohou zpeněžit. Předmětem obchodování jsou i samotné ověřené přihlašovací údaje.
Pro firmy to představuje značné riziko z několika důvodů:
- Recyklace hesel: Zaměstnanci často používají stejná hesla pro osobní i firemní účty. Pokud jedno z těchto hesel unikne během porušení dat některé služby, vystavují tím potenciálně riziku všechny systémy, kde toto heslo použili.
- Přístup k firemním sítím a systémům: Úspěšný credential stuffing útok může umožnit útočníkům přístup k firemním sítím a systémům, což může vést k dalšímu úniku citlivých firemních dat, instalaci malware, nebo dokonce ransomware útokům.
- Finanční a reputační škody: Jakékoli bezpečnostní incidenty mohou vést k finančním ztrátám a poškození pověsti firmy. Zákazníci a partneři mohou ztratit důvěru v schopnost firmy chránit jejich data.
Firmy by měly zvážit tato opatření pro minimalizaci rizik spojených s credential stuffingem:
- Používání správce hesel: Pomáhá uživatelům vytvářet a ukládat silná a unikátní hesla pro každý účet. Je v zájmu firem, aby zaměstnanci používali firemní správce hesel, ale také se naučili používat osobního správce.
- Vícefaktorová autentizace (MFA): Přidává další vrstvu zabezpečení tím, že vyžaduje další formu ověření (např. SMS kód, biometrické údaje) kromě hesla. Případné uniklé heslo získané účastníkem tak nebude možné použít pro přihlášení. Jde tedy o zásadní prvek ochrany. Je v zájmu firem naučit zaměstnance používat MFA i pro soukromé účely.
- Pravidelné školení zaměstnanců: Vzdělávání zaměstnanců o bezpečnostních hrozbách a osvědčených postupech pro zabezpečení hesel. Je nutné zaměstnance naučit, jak správně používat hesla, jak se vyhnout recyklaci, jak pomohou správci hesel i dvoufaktorová ověření a také, jak mají postupovat, když dojde k úniku přihlašovacích údajů.
- Monitorování bezpečnostních úniků: Pravidelné sledování úniků dat, aby se rychle zjistila potenciální kompromitace účtů. Firma i zaměstnanci mohou využít služeb jako je HaveIBeenpwned.com pro zjištění, zda se konkrétní e-maily neobjevily v některých únicích.
- Bezpečnostní politiky: Zavedení politik pro vytváření silných hesel a reakce na úniky hesel či jiné bezpečnostní incidenty. Je nutné pečlivě zvážit pravidelné vynucování nových hesel, protože to může vést k vytváření nových potenciálně nebezpečných hesel nebo k vyšší míře recyklace.
Autor článku: Petr Zahálka, obchodní ředitel Thein Security
O Thein Security
Společnost Thein Security vznikla akvizicemi strategických firem a je stabilní součástí investiční skupiny Thein Tomáše Budníka. Specializuje se na kybernetickou bezpečnost pro firmy a provozuje vlastní bezpečnostní dohledové centrum SOC. Pomáhá firmám minimalizovat kybernetické hrozby s pomocí výjimečného týmu dedikovaných profesionálů a jedinečných partnerství, zejména s Palo Alto Networks. Je lídrem v nových technologiích využívaných velkými korporacemi, mobilními operátory, poskytovateli internetu, finančními institucemi a státní správou.