Hakeri postaju sve učinkovitiji u provaljivanju lozinki, dok tvrtke i dalje koriste slabe i zastarjele sigurnosne mjere. Zbog toga je lozinke u poslovnim sustavima sve lakše ukrasti, a sve teže je zaustaviti njihovu zloupotrebu nakon što procure, otkriva najnoviji “Blue Report” tvrtke Picus Security.
Istraživanje utemeljeno na više od 160 milijuna simuliranih napada ukazalo je na alarmantan trend: u 46 posto testiranih okruženja probijen je barem jedan hash lozinke – to je značajan porast u odnosu na 25 posto u 2024. godini. Takav porast, zaključuju u Picusu, ukazuje da se organizacije još uvijek oslanjaju na slabe ili zastarjele sigurnosne politike kada je riječ o lozinkama, prenosi portal CSO.
Picus Security je američka tvrtka sa sjedištem u San Francisku koja je pionir u simulaciji napada i proboja (Breach and Attack Simulation – BAS) računalnih sustava. Platformu Picus za cjelovitu validaciju sigurnosnih kontrola koriste vodeće organizacije diljem svijeta kako bi neprekidno provjeravale učinkovitost svojih sigurnosnih mjera protiv kibernetičkih napada te kako bi dobile konkretne preporuke za poboljšanje i optimizaciju zaštite.
Slabe i zastarjele sigurnosne prakse
Sıla Özeren, inženjerka koja se bavi sigurnosnim istraživanjima u Picus Securityju, upozorava za CSO kako napadači postaju sve brži i pametniji, dok mnoge organizacije premalo ili uopće ne rade na unapređenju svojih praksi upravljanja lozinkama.
“I dalje postoji previše okruženja koja dopuštaju slabe ili zastarjele lozinke — čak i za privilegirane račune — bez obavezne promjene lozinki nakon određenog razdoblja ili bez zahtjeva za složenošću lozinki koje se koriste”, tumači Özeren. “Čak i ako su sigurnosne politike snažne, često su zastarjele ili se primjenjuju sporadično.”
Unatoč godinama kampanja za podizanje svijesti o kibernetičkoj sigurnosti, korisnici se i dalje oslanjaju na slabe lozinke koje se lako pogađaju i učestalo koriste. Taj problem pojačan je rastućom arhitekturnom složenošću modernog poduzeća.
“Identiteti su fragmentirani na mnogim on-prem sustavima (IT sustavi, softver i podaci koji se nalaze i pokreću unutar prostora organizacije, najčešće na vlastitim poslužiteljima i računalima, u vlastitom/lokalnom podatkovnom centru, op.red.), aplikacijama u oblaku i uslugama”, objašnjava Ivan Milenković, potpredsjednik za sigurnosne tehnologije za EMEA regiju u tvrtki Qualys, dobavljaču rješenja za sigurnost u oblaku. “Takva decentralizacija otežava vidljivost i dosljednu provedbu sigurnosnih politika, šireći potencijalni prostor za napad.”
Pukotine u obrambenim sustavima poduzeća
Napadači su sve uspješniji u probijanju lozinki jer koriste brute-forcing (metoda kibernetičkog napada u kojoj napadač pokušava sve moguće kombinacije znakova kako bi pogodio ispravnu lozinku, enkripcijski ključ ili neki drugi oblik pristupa) s GPU ubrzanjem, rainbow tablice (unaprijed generirane tablice koje se koriste za brzo razbijanje kriptiranih lozinki) i infostealer, (zlonamjerni softver za masovno prikupljanje vjerodajnica), dok im tehnike poput password sprayinga (metoda u kojoj napadač pokušava jednu ili nekoliko vrlo čestih lozinki primijeniti na veliki broj korisničkih računa, umjesto da pogađa mnogo lozinki za samo jedan račun) omogućavaju da izbjegnu blokiranja računa. Ove metode koriste slabe ili ponovno korištene lozinke te nedostatke pri pohranjivanju hasheva, olakšavajući pristup važećim podacima za prijavu.
“Pohranjivanje lozinki starim metodama poput MD5 ili SHA-1 više nije dovoljno”, kaže Özeren. “Novi standardi poput bcrypta, Argon2 ili scrypta usporavaju brute-forcing napade.”
Proces konverzije lozinke ili bilo kojeg seta znakova u drugi set znakova nekom od metoda enkripcije, naziva se heširanje (hashiranje), a zapis koji nastaje heš (hash). Jaka heširanja trebala bi se kombinirati sa “saltom” i “pepperom”. “Salt” je nasumični niz koji se dodaje lozinki prije heširanja, dok je “pepper” tajni ključ odvojen od lozinke. Ako takve dodatne zaštite nema, napadači mogu lako probiti lozinke koristeći rainbow tablice i druge prečace za brzo razbijanje.
Krađa vjerodajnica sve veći izazov
Nezavisni stručnjaci koje je anketirao CSO slažu se da je napredak u razbijanju lozinki problem, no ističu da su veća prijetnja napadi koji se temelje na ukradenim vjerodajnicama.
„Previše organizacija još uvijek se oslanja na slaba pravila o složenosti lozinki, zastarjele metode heširanja i statične politike lozinki. To ostavlja širom otvorena vrata za napade temeljene na kompromitiranim vjerodajnicama, koji su jedan od najuspješnijih početnih vektora napada“, rekao je za CSO Matthew Bell, osnivač tvrtke Cyber Protection Group, specijalizirane za kibernetičku sigurnost i razvoj softvera.
„Primjena brute-forcinga je zabrinjavajuća, osobito za starije sustave ili one koji još uvijek pohranjuju heširane lozinke na manje sigurne načine, ali mnogi sigurnosni incidenti danas započinju krađom vjerodajnica — često putem phishinga ili socijalnog inženjeringa. Ukradene vjerodajnice se zatim zloupotrebljavaju putem credential stuffing napada“, razlaže Paul Kenny, potpredsjednik za EMEA i APAC regije u tvrtki Daon, koja se također bavi kibernetičkom zaštitom. „Napadači se ne trebaju truditi da ‘razbiju’ lozinku ako nekoga mogu prevariti da im je sam preda.“
Visoka uspješnost napada koji koriste valjane vjerodajnice
“Napadači možda nisu puno bolji u razbijanju lozinki, ali su znatno bolji u phishingu i socijalnom inženjeringu, manipulaciji”, smatra Roddy Bergeron, tehnički savjetnik za kibernetičku sigurnost u tvrtki Sherweb, koja surađuje s mnogim malim poduzetnicima.
”Vjerodajnice su još uvijek često izložene zbog loših praksi poput pohrane lozinki u tekstualnom obliku ili hardkodiranja u aplikacije. Obrana protiv takvih napada postoji, ali se u nju ili ne ulaže dovoljno ili se oslanja na to da će ljudi slijediti ispravne procedure.”
Vjerodajnice su česta meta jer predstavljaju najizravniji ulaz u mreže organizacija. Nakon što napadač uđe, može se lateralno kretati kroz sustav, kompromitirati druge račune ili eskalirati privilegije. Napadi ciljaju i repozitorije koda, gdje developeri često hardkodiraju pristupne ključeve i tajne.
Prema Picusu, napadi koji koriste valjane vjerodajnice uspješni su u 98 posto slučajeva.
U izvješću se navodi i kako su pokušaji eksfiltracije podataka zaustavljeni samo u 3 posto slučajeva, što je pad u odnosu na 9 posto u 2024. godini. To je zabrinjavajući trend u kontekstu dvostruke ucjene koju sve češće koriste ransomware operateri.
“To pokazuje da su mehanizmi odgovora prespori, loše integrirani ili jednostavno neučinkoviti,” kaže Bell iz Cyber Protection Group.
Ključne zaštitne mjere i potreba za stalnom provjerom
Ivan Milenković iz Qualysa kaže da bi organizacije trebale primjenjivati niz obrambenih strategija za zaštitu digitalnih identiteta: “Višefaktorska autentikacija (MFA) danas je osnovna zaštitna mjera, koja na lozinku dodaje dodatni sloj verifikacije. To se često nadopunjuje analitikom ponašanja korisnika, kojom se može otkriti sumnjiva aktivnost.”
Darren Guccione, direktor i suosnivač tvrtke Keeper Security, kaže da zastarjela pravila o složenosti lozinki (poput obavezne promjene svakih X dana ili zamjene znakova) više ne pružaju pravu zaštitu: “Potrebna je sveobuhvatna kontrola životnog ciklusa vjerodajnica, upravljanje privilegiranim pristupom i detekcija anomalija u stvarnom vremenu. Otpornost na phishing, primjerice korištenjem passkeya, može znatno smanjiti rizik i spriječiti lateralno kretanje napadača unutar sustava.”
Kevin Curran, profesor kibernetičke sigurnosti i član IEEE-a, slaže se da se previše organizacija još uvijek oslanja na zastarjele sustave, nedosljedne politike lozinki i nepotpunu primjenu MFA-a.
„CISO-i i sigurnosni timovi trebali bi se fokusirati na snažne, jedinstvene lozinke, sveprisutnu primjenu MFA-a, strogu kontrolu privilegiranih računa i redovito testiranje kontrole identiteta. Uz to, praćenje podataka u stvarnom vremenu i detekcija anomalija mogu pomoći u ublažavanju posljedica curenja lozinki”, kaže Curran.
Sigurnosni alati ne pruđaju očekivanu zaštitu
Nalazi Picus Securityja ukazuju na veliki jaz između percipirane zaštite koju nude sigurnosni alati i njihove stvarne učinkovitosti – s prosječnom učinkovitošću od 62 posto, ali samo 3 posto uspješnosti u sprječavanju krađe podataka.
“Pogrešne konfiguracije pravila detekcije, nedostaci u logiranju i integraciji sustava i dalje smanjuju uvid u sigurnosne operacije”, navodi Picus u zaključcima istraživanja.
Učinkovita obrana zahtijeva stalnu provjeru.
Milenković iz Qualysa upozorava da problem leži u nedostatku stalne validacije i upravljanja: “Glavni problem je mentalitet ‘postavi i zaboravi’,” kaže. “Sigurnosne kontrole su učinkovite u trenutku implementacije, ali njihova učinkovitost opada zbog promjena u konfiguraciji, razvoju sustava i sve naprednijih metoda napadača.”
„Za suvremenog CISO-a ključno je shvatiti potrebu da se obrana temelji na stvarnim prijetnjama. To znači da treba napustiti pristup koji se temelji isključivo na ispunjavanju zahtjeva za usklađenost i da treba usvojiti proaktivnu strategiju stalne provjere učinkovitosti sigurnosnih kontrola“, zaključuje Ivan Milenković.
