דף הבית הודעות לעיתונות אינטרנט ומחשבים מספר אירועי זליגת ההרשאות הכפיל את עצמו עם העליה בתחכום של ההאקרים
מספר אירועי זליגת ההרשאות הכפיל את עצמו עם העליה בתחכום של ההאקרים
איריס וינשטיין 07/03/21 |  צפיות: 1625

F5 משחררת את המהדורה השלישית של דוח Credential Stuffing Report - המחקר המקיף ביותר מסוגו העוקב אחר כל מחזור החיים של ניצול הרשאות של משתמשים

מספר אירועי זליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020, זאת על פי דוח Credential Stuffing Report1 האחרון של F5. המחקר המקיף ביותר מסוגו מדווח, עם זאת, על ירידה של 46% בהיקף ההרשאות שזלגו באותה תקופה. גודל הדליפה הממוצע ירד גם הוא מ-63 מיליון בשנת 2016 ל-17 מיליון אשתקד. גודל הזליגה החציוני לשנת 2020 (שני מיליון) היווה עלייה של 234% לעומת 2019 והיה הגבוה ביותר מאז 2016 (2.75 מיליון).

"התקפות Credential Stuffing – 'דחיסת הרשאות', הכוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש ו/או דוא"ל וסיסמה, מהוות בעיה עולמית הולכת וגוברת", אמר סורין בויאנגיו, מהנדס מערכות בחברת F5 בישראל. "הודעת Private Industry Notification, שהוציא ה-FBI בשנה שעברה, הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%)".

"התוקפים אוספים מיליארדי הרשאות במשך שנים. דליפות של הרשאות הן כמו דליפות נפט - לאחר שדלפו, קשה מאוד לנקות אותן מכיוון שההרשאות אינן משתנות על ידי צרכנים תמימים, ופתרונות כנגד Credential Stuffing טרם אומצו על ידי ארגונים. אין זה מפתיע שבתקופת מחקר זו ראינו שינוי בסוג ההתקפה המוביל, מהתקפות HTTP להתקפות Credential Stuffing. לסוג התקפה זה קיימת השפעה ארוכת טווח על אבטחת היישומים והוא לא ישתנה בקרוב", אמרה שרה בודי, המנהלת הבכירה של מעבדות F5. "אם אתם מודאגים מפריצה, סביר להניח שהיא תקרה כתוצאה מ-Credential Stuffing"

אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5 מפציר בפני ארגונים לשמור על עירנות. "אמנם ההיקף הכללי של אירועי זליגת ההרשאות וגודלן ירדו בשנת 2020, אבל בהחלט לא צריך לחגוג עדיין" הוא מזהיר, "מתקפות Account takeover – המכילות מתקפות Credential Stuffing ו-Phishing - הן כיום הגורם מספר אחת לפרצות, וברור לכולם שצוותי האבטחה והסייבר לא ינצחו במלחמה נגד דליפת מידע וההונאות, אך נראה כי השוק מתייצב ומגיע לבשלות גדולה יותר".

אחסון סיסמאות לקוי ותחכום גובר של התוקפים

למרות שקיימת הסכמה לגבי שיטות עבודה מומלצות בתעשייה, אחד הממצאים החשובים של הדוח הוא שאחסון לקוי של סיסמאות נותר כסוגיה בעייתית. אף על פי שרוב הארגונים אינם חושפים אלגוריתמים של גיבוב סיסמאות (hashing), F5 הצליחה ללמוד 90 אירועים ספציפיים על מנת להבין מי יכולים להיות האשמים הסבירים ביותר בזליגת סיסמאות.

בשלוש השנים האחרונות, 42.6% מזליגות ההרשאות היו ללא הגנה והסיסמאות נשמרו כטקסט רגיל. בהמשך לכך, 20% מההרשאות הקשורות לאלגוריתם גיבוב הסיסמה SHA-1 שהיו 'unsalted' (כלומר, חסרים ערך ייחודי שניתן להוסיף בסוף הסיסמה כדי ליצור ערך hash שונה). אלגוריתם ה- bcrypt ה'salted' היה שלישי עם 16.7%.

ממצא בולט נוסף בדוח הוא שהתוקפים משתמשים יותר ויותר בטכניקת fuzzing כדי לייעל את ההצלחה בניצול ההרשאות. F5 מצאה כי מרבית ההתקפות הללו התרחשו לפני שחרורן הפומבי של ההרשאות שנגנבו, דבר שמרמז כי טכניקה זאת נפוצה יותר בקרב תוקפים מתוחכמים.

זיהוי זליגת נתונים

בדוח 2018 Credential Stuffing Report דיווחה F5 כי נדרשו 15 חודשים בממוצע עד שזליגת נתונים הפכה לידע ציבורי. נתון זה השתפר בשלוש השנים האחרונות. הזמן הממוצע לאיתור אירועים, כאשר ידוע גם תאריך האירוע וגם תאריך הגילוי, הוא בסביבות 11 חודשים. עם זאת, מספר זה מוטה על ידי קומץ אירועים בהם זמן האיתור היה שלוש שנים או יותר. הזמן החציוני לאיתור אירועים הוא 120 יום. חשוב לציין כי לעתים קרובות מזוהה זליגת נתונים ברשת האפלה לפני שארגונים חושפים את הפריצה.

הרשת האפלה באור הזרקורים

ההודעה על דליפת נתונים מגיעה בדרך כלל עם הופעת ההרשאות בפורומים של הרשת האפלה. בדוח 2020 Credentials Stuffing Reportניתחה F5 באופן ספציפי את התקופה המכריעה בין גניבת ההרשאות לפרסומן ברשת האפלה.

החוקרים ערכו ניתוח היסטורי תוך שימוש במדגם של כמעט 9 מיליארד הרשאות מאלפי פריצות לנתונים נפרדות, שהתיחסו אליו כאל "Collection X". ההרשאות פורסמו בפורומים של הרשת האפלה בתחילת ינואר 2019.

F5 השוותה את ההרשאות ב"Collection X" לשמות המשתמש שעשו בהם שימוש בהתקפות Credential Stuffing נגד קבוצת לקוחות שישה חודשים לפני ואחרי תאריך ההכרזה (כלומר, הפעם הראשונה שזליגת ההרשאות הופכת לידע ציבורי). נחקרו ארבעה לקוחות פורצ'ן 500 - שני בנקים, חברה קמעונאית וחברת מזון ומשקאות - המייצגים 72 מיליארד טרנזקציות במשך 21 חודשים. באמצעות טכנולוגיית Shape Security הצליחו החוקרים 'להתחקות' אחר הרשאות גנובות דרך גניבה, מכירה ושימוש בהן.

במהלך 12 חודשים נעשה שימוש ב-2.9 מיליארד הרשאות שונות, הן בטרנזקציות לגיטימיות והן בהתקפות על ארבעת האתרים. כמעט שליש (900 מיליון) מההרשאות נפגעו. ההרשאות הגנובות הופיעו בתדירות הגבוהה ביותר בטרנזקציות אנושיות לגיטימיות בבנקים (35% ו- 25% מהמקרים, בהתאמה). 10% מההתקפות התמקדו בארגוני קמעונאות, כאשר כ-5% התמקדו בעסקי המזון והמשקאות.

חמישה שלבים של ניצול לרעה

בהתבסס על המחקר, דוח2020 Credential Stuffingזיהה חמישה שלבים נפרדים של ניצוללרעה של הרשאות:

• איטי ושקט: שימוש חשאי בהרשאות שנגנבו עד חודש לפני הודעה פומבית. בממוצע, נעשה שימוש בכל הרשאה 15-20 פעמים ביום בהתקפות בארבעת האתרים.

• הגברה: ב-30 הימים שלפני ההודעה הפומבית, F5 ראתה את ההרשאות מסתובבות ברשת האפלה. תוקפים נוספים קיבלו גישה אליהן, ולכן מספר ההתקפות ליום גדל בהתמדה.

• הבליץ: כאשר ההרשאות הפכו לידע ציבורי, 'ילדי סקריפט' וחובבים אחרים החלו להשתמש בהם בכל נכסי האינטרנט הגדולים ביותר. השבוע הראשון היה פעיל במיוחד, כאשר כל חשבון הותקף בממוצע מעל 130 פעמים ביום.

• ירידה / שיווי משקל חדש: לאחר החודש הראשון, F5 זיהתה שיווי משקל חדש של כ-28 התקפות לכל שם משתמש ליום. מעניין ששיווי המשקל החדש גבוה יותר מהמצב המקורי של 15 התקפות בשלב 'איטי ושקט'. הסיבה לכך היא תת קבוצה של תוקפים טירונים שעדיין מכוונים לחברות בעלות ערך גבוה עם הרשאות ישנות.

• גלגול נשמות: לאחר ביצוע התקפות מילוי אישורים על מגוון מאפייני אינטרנט, קבוצת משנה של עבריינים החלה לארוז מחדש את אישורי האישור כדי להאריך את חיי המדף הניתנים לניצול.

מזעור האיום

"התקפות Credential Stuffing יהוו איום כל עוד אנו דורשים מהמשתמשים להתחבר לחשבונות באופן מקוון," הוסיפה בודי. "התוקפים ימשיכו לשנות את ההתקפות שלהם לטכניקות הגנה מפני הונאה, דבר שיוצר צורך והזדמנות לבקרות אדפטיביות המופעלות על ידי AI, הקשורות ל-Credential Stuffing והונאה. אי אפשר לזהות באופן מיידי 100% מהתקיפות. מה שאפשר הוך להפוך את ההתקפות לכל כך יקרות עד שהרמאים מרימים ידיים. אם יש דבר אחד שמתקיים ברחבי העולמות של פושעי סייבר ואנשי עסקים גם יחד, הוא שזמן שווה כסף".

 

1 הגרסה הקודמת של הדוח נקראה "Credential Spilling Report". הוא פורסם על ידי Shape Security, המהווה כיום חלק מ-F5, כדי למפות ולהבין את כל מחזור החיים של ניצול ההרשאות.


דירוג המאמר:

תגיות של המאמר:

 איריס וינשטיין


 


מאמרים נוספים מאת איריס וינשטיין
 
חברת F5 ממנה את ארז הסה ל- Sales Specialist באירופה המזרח התיכון ואפריקה
חברת F5 ממנה את ארז הסה ל- Sales Specialist EMEA. במסגרת תפקידו יהיה הסה אחראי על מכירת פתרון ה-Distributed Cloud, פתרון הSAAS - והסקיוריטי של F5 , בשיתוף עם אנשי מכירות ושותפים עסקיים של F5 ברוב מדינות EMEA על מנת לאתר, למצב ולמקד את פתרון הענן של F5 ללקוחות חדשים וקיימים של החברה.

חברת Snyk , המובילה העולמית לאבטחת פלטפורמות פיתוח, חתמה על הסכם שותפות עם COMMITלשוק הישראלי
חברת Snyk , המובילה העולמית לאבטחת פלטפורמות פיתוח , חתמה על הסכם שותפות עם COMMIT. הסכם זה יאפשר ללקוחות COMMIT להנות מפלטפורמת אבטחה המיועדת למפתחים וישמש גם את הפעילות הענפה, של זרוע הפיתוח במיקור חוץ, שלה.

שלמה יונה מונה למנהל החטיבה העסקית של F5 בישראל ויוון
שלמה יונה (51), מונה למנהל החטיבה העסקית של F5 בישראל ויוון. במסגרת תפקידו יוביל יונה את קבוצת המכירות ללקוחות אנטרפרייז ולארגונים מובילים בעולמות הטלקו, ההייטק והבריאות. בין היתר, ינהל יונה את צוותי המכירות בענפים אלו ויפעל להעמקת פתרונות החברה ולפיתוח שווקים חדשים, כמו גם לקידום פתרונות טכנולוגיים חדשים באזור.

אביב ששוני מונה למנהל החטיבה הביטחונית והציבורית של F5 בישראל וקפריסין
אביב ששוני (49, נ+4), מונה למנהל החטיבה הביטחונית והציבורית של F5 בישראל וקפריסין. במסגרת תפקידו ששוני יפעל להעמקת הפעילות והגדלת המכירות באזור. בנוסף, ששוני יהיה מנוי על גיבוש תכנית אסטרטגית להרחבת פעילות החברה ומערך המכירות בקפריסין ויישומה, תוך יצירת ערוצי שיווק חדשים והעמקת ערוצים קיימים, וקידום יוזמות לפיתוח שותפים מקומיים.

חברת F5 מספקת טכנולוגיה לצמצום עלויות ושיפור ביצועים באמצעות תמיכה בפרויקט טלמטריה בקוד פתוח
חברת F5 (NASDAQ: FFIV) מכריזה על המשך תמיכתה ב-OpenTelemetry של Cloud Native Computing Foundation - מסגרת קוד פתוח, המספקת כלים סטנדרטיים להפקה וייצוא של נתוני טלמטריה, המסייעים לנתח טוב יותר ביצועים ופעילות של פתרונות טכנולוגיים בסביבת מערכות המידע.

מחקר גלובלי של F5 Labs: חמישית מבקשות האימות הן זדוניות
מחקר חדש של F5 Labs חושף כי זהויות דיגיטליות הפכו לשדה קרב בזירת הסייבר, כאשר חמישית מבקשות האימות מגיעות ממערכות אוטומטיות זדוניות. דוח 2023 Identity Threat Report: The Unpatchablesניתח 320 מיליארד טרנזקציות של נתונים, המתרחשות במערכות של 159 ארגונים בין מרץ 2022 לאפריל 2023. כאשר ההתקפות אינן מיורטות, שיעור האוטומציה הממוצע, המהווה אינדיקטור להתקפות credential stuffing, עמד על 19.4%. שיעור זה ירד ביותר משני שליש, ל-6%, כאשר יורטה הפעילות הזדונית באופן יזום.

קבוצת אמן תשווק ותטמיע את פתרונות ה-ERP הענניים של Infor בישראל
קבוצת אמן חתמה על הסכם שיתוף פעולה לשיווק והטמעה של פתרונות ה-ERP הענניים של חברת Infor לארגוני תעשייה. במסגרת השותפות, קבוצת אמן תהיה אמונה על פעילות פתרונות Infor CloudSuite בישראל ותספק שירותים מקצה לקצה לארגוני תעשייה, החל משלב המכירה, דרך ביצוע פרויקטי הטמעה וכלה במתן תמיכה ושירות שוטף. ההסכם בין החברות קובע עוד כי חברת Infor תבצע לוקליזציה של הפתרונות לשפה העברית, לרגולציה ולחוקי המיסוי הישראליים.

חברת F5 משיקה מטה חדשני בישראל למחקר ופיתוח, לפעילות העסקית ולאקדמיה הטכנולוגית
חברת F5 משיקה מטה חדשני בישראל למחקר ופיתוח, לפעילות העסקית ולאקדמיה הטכנולוגית. המטה, הממוקם במגדל One Tower רוגובין אקרו במוקד העסקים השוקק של רמת גן, מתפרס על פני שלוש קומות בהיקף של 4,500 מ"ר. פרויקט הקמת המטה בוצע על ידי סתר אדריכלים.

מחקר של F5 חושף את דרגת הבשלות הדיגיטלית של ארגונים ביחס לקצב השינוי
מדד הבשלות הדיגיטלית, Digital Maturity Index1, הראשון של F5, כולל 300 תגובות מדוח State of Application Strategy Report לשנת 2023, שהוערכו על פי סט של שש יכולות טכניות2. תשתית, העברת אפליקציות, נתונים, הנדסת אמינות אתרים (SRE), נראות ואוטומציה, ואבטחה.

גילת טלקום משיקה פלטפורמת שירותים חדשה לספקי אינטרנט המבוססת על פתרונות F5
גילת טלקום משיקה פלטפורמת שירותים חדשה לספקי האינטרנט הישראליים, המבוססת על הפתרונות הטכנולוגיים המתקדמים של חברת F5. הפלטפורמה מאפשרת לספקי השירות להציע למשתמשים חבילות מוזלות, מהירות וביצועים גבוהים יותר. היקף פרויקט הטמעת פתרונות F5 בפלטפורמה של גילת מוערך במעל מיליון שקלים. הפלטפורמה סופקה בימים אלו למספר ספקי שירות גדולים ומובילים בישראל.
     
 
שיווק באינטרנט על ידי WSI