Serangan isian kredensial memiliki dampak besar pada tahun 2024, didorong oleh lingkaran setan infeksi infostealer dan pelanggaran data. Tetapi segalanya akan menjadi lebih buruk lagi dengan agen yang menggunakan komputer, jenis baru agen AI yang memungkinkan otomatisasi tugas web yang berbiaya rendah dan rendah dari tugas-tugas web umum-termasuk yang sering dilakukan oleh penyerang.
Kredensial Dicuri: Senjata Pilihan Pidana Cyber pada tahun 2024
Kredensial curian adalah aksi penyerang #1 pada tahun 2023/24, dan vektor pelanggaran untuk 80% serangan aplikasi web. Tidak mengherankan ketika Anda mempertimbangkan fakta bahwa miliaran kredensial yang bocor sedang beredar online, dan penyerang dapat mengambil penurunan terbaru hanya dengan $ 10 di forum kriminal.
Pasar kriminal untuk kredensial curian diuntungkan dari publisitas pelanggaran profil tinggi pada tahun 2024 seperti serangan terhadap pelanggan kepingan salju yang menggunakan kredensial yang ditemukan dalam pembuangan pelanggaran data dan mengkompromikan pakan kredensial dari infostealer dan kampanye phishing massal, yang menghasilkan kompromi dari 165 pelanggan pelanggan dan ratusan milling yang dibatasi.
Namun meskipun 2024 menjadi tahun yang belum pernah terjadi sebelumnya dalam hal dampak serangan berbasis identitas, masih ada banyak potensi yang tidak terpenuhi bagi penyerang untuk disadari.
Otomatisasi Serangan Kredensial – Apa yang diubah dengan pergeseran ke SaaS?
Brute memaksa dan isian kredensial bukanlah hal baru, dan telah menjadi komponen kunci dari toolkit penyerang cyber selama beberapa dekade. Tapi tidak mudah untuk secara otomatis menyemprot kredensial di seluruh sistem seperti dulu.
Tidak ada lagi satu ukuran untuk semua
Alih-alih jaringan terpusat tunggal dengan aplikasi dan data yang terkandung dalam perimeter infrastruktur, bisnis sekarang dibentuk dari ratusan aplikasi dan platform berbasis web, menciptakan ribuan identitas per organisasi.
Ini berarti bahwa identitas juga sekarang terdesentralisasi dan didistribusikan di seluruh internet, sebagai lawan disimpan semata -mata dalam sistem identitas seperti Active Directory, dan diimplementasikan menggunakan protokol dan mekanisme umum.
Sementara http (s) adalah standar, aplikasi web modern kompleks dan sangat disesuaikan, dengan antarmuka yang digerakkan secara grafis yang berbeda setiap saat. Dan untuk memperburuk keadaan, aplikasi web modern dirancang khusus untuk mencegah otomatisasi berbahaya melalui perlindungan bot seperti captcha.
Jadi, alih -alih menghadapi protokol standar dan dapat menulis satu set alat untuk digunakan di seluruh organisasi/lingkungan apa pun misalnya menulis pemindai DNS sekali, gunakan pemindai port tunggal seperti NMAP untuk seluruh internet, tulis satu skrip per layanan (misalnya FTP, SSH, Telnet, dll.) Untuk penyemprot kata sandi Anda – pengembangan alat kustom yang diperlukan untuk setiap yang Anda inginkan.
Menemukan jarum di tumpukan jerami
Tidak hanya ada lebih banyak lingkungan bagi penyerang untuk dimasukkan dalam ruang lingkup serangan mereka, tetapi ada lebih banyak kredensial untuk dikerjakan.
Ada sekitarnya 15 miliar kredensial yang dikompromikan Tersedia di internet publik, tidak termasuk yang hanya ditemukan di saluran/umpan pribadi. Daftar ini tumbuh sepanjang waktu-seperti 244m kata sandi yang belum pernah dilihat sebelumnya dan 493m situs web unik dan pasangan alamat email yang ditambahkan untuk saya telah dipenuhi log infostealer bulan lalu.
Ini terdengar menakutkan, tetapi sulit bagi penyerang untuk memanfaatkan data ini. Sebagian besar kredensial ini sudah tua dan tidak valid. Tinjauan baru-baru ini tentang data TI oleh peneliti Push Security menemukan bahwa kurang dari 1% kredensial curian yang termasuk dalam feed ancaman intelijen dari kumpulan data multi-vendor dapat ditindaklanjuti- Dengan kata lain, 99% kredensial yang dikompromikan adalah positif palsu.
Tetapi tidak semuanya tidak berguna – seperti yang ditunjukkan oleh serangan kepingan salju, yang berhasil memanfaatkan kredensial yang berasal dari tahun 2020. Jadi jelas ada harta yang menunggu untuk ditemukan oleh penyerang.
Penyerang terpaksa memprioritaskan
Sifat terdistribusi dari aplikasi dan identitas, dan rendahnya keandalan data kredensial yang dikompromikan, berarti penyerang dipaksa untuk memprioritaskan-meskipun lingkungan yang kaya target ratusan aplikasi bisnis, menciptakan ribuan identitas yang luas per organisasi, karena: karena:
- Menulis dan menjalankan skrip Python khusus untuk setiap aplikasi tunggal (ada lebih dari 40k aplikasi SaaS di internet) tidak realistis. Bahkan jika Anda melakukan 100 atau 1000 teratas yang akan menjadi tugas yang signifikan dan membutuhkan pemeliharaan yang konstan, sementara nyaris tidak menggaruk permukaan peluang total.
- Bahkan ketika sepenuhnya ditulis dan menggunakan botnet untuk mendistribusikan serangan dan menghindari pemblokiran IP, mengontrol seperti pembatasan tingkat, captcha, dan penguncian akun dapat menghalangi isian kredensial massal terhadap satu aplikasi. Dan serangan terkonsentrasi pada satu situs akan menghasilkan tingkat lalu lintas yang signifikan jika Anda ingin melewati 15 miliar kata sandi dalam jangka waktu yang wajar, jadi sangat mungkin untuk meningkatkan alarm.
Jadi penyerang cenderung menargetkan sejumlah kecil aplikasi, dan hanya mencari kecocokan langsung dalam hal kredensial yang dicoba (misalnya kredensial curian harus langsung menjadi milik akun pada aplikasi target). Ketika mereka mengejar sesuatu yang baru, itu cenderung terkonsentrasi pada aplikasi/platform tertentu (misalnya Snowflake) atau mencari subset kredensial yang lebih sempit (misalnya kredensial yang jelas terkait dengan perangkat tepi, untuk lingkungan jaringan yang lebih tradisional).
Peluang yang terlewatkan?
Seperti yang telah kami tetapkan, situasi mengenai serangan isian kredensial sudah sangat buruk meskipun ada batasan ini. Tetapi segalanya bisa jauh lebih buruk.
Kata sandi penggunaan kembali berarti satu akun yang dikompromikan dapat berubah menjadi banyak
Jika penyerang dapat meningkatkan skala serangan mereka untuk menargetkan jumlah aplikasi yang lebih luas (daripada berkonsentrasi pada daftar pendek aplikasi bernilai tinggi), mereka dapat memanfaatkan penggunaan kembali kata sandi yang terlalu umum. Menurut investigasi data identitas baru -baru ini, rata -rata:
- 1 dari 3 karyawan menggunakan kembali kata sandi
- 9% identitas memiliki kata sandi yang digunakan kembali dan tidak ada MFA
- 10% dari akun IDP (digunakan untuk SSO) memiliki kata sandi non-unik
Apa artinya ini? Jika kredensial curian valid, ada kemungkinan besar bahwa itu dapat digunakan untuk mengakses lebih dari satu akun, pada lebih dari satu aplikasi (setidaknya).
Bayangkan skenario: Kebocoran kredensial baru -baru ini dari infeksi infostealer atau kampanye phishing kredensial menunjukkan bahwa nama pengguna dan kombinasi kata sandi tertentu berlaku pada aplikasi tertentu – katakanlah Microsoft 365. Sekarang, akun ini cukup terkunci – tidak hanya memiliki MFA, tetapi ada kebijakan akses bersyarat di tempat yang membatasi IP/lokasi yang dapat diakses.
Biasanya, di sinilah serangan akan berakhir, dan Anda akan mengalihkan perhatian Anda ke sesuatu yang lain. Tetapi bagaimana jika Anda dapat menyemprotkan kredensial ini di setiap aplikasi bisnis lain yang dimiliki pengguna?
Menskalakan serangan kredensial dengan agen yang menggunakan komputer
Sampai sekarang, dampak AI pada serangan identitas telah terbatas pada penggunaan LLM untuk pembuatan email phishing, dalam pengembangan malware yang dibantu AI, dan untuk bot media sosial-tidak diragukan lagi signifikan, tetapi tidak persis transformatif, dan membutuhkan pengawasan dan input manusia yang konstan.
Tetapi dengan peluncuran operator OpenAI, jenis baru “agen penggunaan komputer”, ini bisa akan berubah.
Operator dilatih pada dataset spesialis dan diimplementasikan di browser kotak pasirnya sendiri, yang berarti ia dapat melakukan tugas web umum seperti manusia – melihat dan berinteraksi dengan halaman sebagai manusia.
Tidak seperti solusi otomatis lainnya, Operator tidak memerlukan implementasi atau pengkodean khusus untuk dapat berinteraksi dengan situs baru, menjadikannya opsi yang jauh lebih dapat diskalakan bagi penyerang yang ingin menargetkan sapuan yang luas dari situs/aplikasi.
Demo: Menggunakan operator untuk melakukan serangan isian kredensial di skala
Para peneliti di Push Security menempatkan kasus penggunaan operator yang berbahaya ke dalam tes, menggunakannya untuk:
- Identifikasi perusahaan mana yang memiliki penyewa yang ada dalam daftar aplikasi
- Mencoba masuk ke berbagai penyewa aplikasi dengan nama pengguna dan kata sandi yang disediakan
https://www.youtube.com/watch?v=A_YJAFXPJMO
Ringkasan Dampak
Hasilnya cukup membuka mata. Operator dengan jelas menunjukkan kemampuan untuk menargetkan daftar aplikasi dengan kredensial yang dikompromikan dan melakukan tindakan dalam aplikasi. Sekarang pikirkan tentang x10, x100, x10.000 ini… Ini bukan tugas yang rumit. Tetapi nilai operator CUAS tidak dalam mengatasi kompleksitas, tetapi skala. Bayangkan sebuah dunia di mana Anda dapat mengatur jendela operator melalui API dan mendapatkannya untuk menjalankan tindakan ini secara bersamaan (fungsionalitas yang sudah ada untuk chatgpt).
Tapi ini lebih besar dari operator – ini tentang arah teknologi. Openai dapat menerapkan pembatasan-pagar pembatas yang lebih baik, batas tingkat pada jumlah tugas bersamaan dan penggunaan total, dll. Tetapi Anda dapat menjamin itu bukan satu-satunya CUA-hanya masalah waktu sebelum produk serupa muncul (bahkan mungkin secara inheren jahat) memanfaatkan teknologi yang sama.
Pikiran terakhir
Ini masih hari-hari awal untuk CUA Tech, tetapi ada indikasi yang jelas bahwa tantangan keamanan yang sudah parah dapat diperburuk dengan bentuk khusus otomatisasi yang digerakkan AI ini. Sementara kemampuan untuk menargetkan serangkaian aplikasi yang luas sebelumnya telah berada di luar cakupan otomatisasi tradisional, itu akan menjadi jauh lebih mudah diakses oleh penyerang yang berketerampilan rendah (Pikirkan: Next Gen Script Kiddies?).
Cara lain untuk memikirkannya adalah secara efektif memberi penyerang manusia armada magang tingkat rendah yang tidak lumayan Ketahui apa yang mereka lakukan, tetapi dapat diinstruksikan untuk melakukan tugas spesifik dan terperinci pada skala dengan hanya check -in sesekali – saat Anda mengerjakan tugas lain yang lebih kompleks. Jadi, sedikit seperti manajer tim merah AI Bots.
Operator berarti bahwa penyerang dapat memanfaatkan kredensial yang dikompromikan pada skala, memanfaatkan sejumlah besar identitas yang rentan dan salah konfigurasi, dan mengubahnya menjadi pelanggaran sistemik lebih mudah. Di satu sisi, itu bisa membuat isian kredensial sedikit lebih seperti sebelum pergeseran ke aplikasi cloud – di mana Anda dapat menyemprot ribuan kredensial di seluruh target Anda tanpa memerlukan pengembangan khusus setiap saat.
Untungnya, tidak ada kemampuan anti-AI baru yang diperlukan-tetapi lebih penting dari sebelumnya bahwa organisasi ingin mempertahankan permukaan serangan identitas mereka dan menemukan dan memperbaiki kerentanan identitas sebelum penyerang dapat memanfaatkannya.
Cari tahu lebih banyak
Jika Anda ingin mempelajari lebih lanjut tentang serangan identitas dan cara menghentikannya, periksa Push Security-Anda dapat memesan demo atau mencoba platform berbasis browser mereka secara gratis.
Dan jika Anda ingin melihat mereka demo menggunakan kasus operator yang lebih berbahaya, lihat webinar sesuai permintaan ini.
