Что делать, если пароль угадали?

В нашей рубрике «Азбука ИБ» мы уже рассмотрели множество сложных и изощрённых атак. Но есть очень старая, понятная и казалось бы решённая проблема, которая продолжает наносить удары по безопасности частных лиц и целых компаний – брутфорс-атаки.

Что такое брутфорс и как он применяется?

Брутфорс-атака – это метод несанкционированного доступа к системе через подбор паролей или логинов. Хотя «чистый» автоматизированный перебор всех возможных комбинаций сегодня редок из-за его медлительности, злоумышленники активно используют его более эффективные разновидности.

Наиболее распространены два сценария:

1. Словарные атаки: использование заранее подготовленных списков самых популярных и предсказуемых паролей (123456, Password123, имена, даты).

2. Credential Stuffing (подстановка учётных данных): массовая проверка реальных пар логин/пароль, ставших известными в результате утечек данных на других ресурсах. Этот метод особенно опасен, так как полагается на привычку пользователей использовать один и тот же пароль повсюду.

Целями таких атак становятся корпоративные почтовые ящики и информационные системы, серверы по протоколам RDP и SSH, а также веб-интерфейсы управления (админки 1С-Битрикс, панели хостинга и т.п.).

Многоуровневая защита

Эффективная защита требует комплексного подхода, охватывающего сетевой периметр, анализ событий и конечные устройства.

Брутфорс атаки сегодня это социальные атаки, где самое уязвимое место – человек, конечный пользователь. Это сотрудники придумывают примитивные пароли и используют «удачные» параметры для входа во многих сервисах. Вы можете и должны рассказывать им о таких опасностях и предлагать способы сделать доступ хоть и сложнее, но безопаснее: через правила для установки и смены паролей, менеджеры для управления паролями, двухфакторную аутентификацию.

Это важнейший, но лишь первый шаг в обеспечении безопасности. Дополнить их и исключить доступ посторонних лиц к вашим системам поможет профессиональное ПО.

Российские компании предлагают для этого полный набор сертифицированных решений, закрывающих собой каждый уровень защиты.

1. Защита на сетевом периметре

Здесь ключевую роль играют системы, блокирующие атаки до того, как они достигнут целевых серверов.

Ideco UTM: Универсальные менеджеры угроз Ideco работают как «шлюз безопасности». Их встроенный IPS-модуль (Intrusion Prevention System) анализирует входящий трафик в реальном времени и автоматически блокирует IP-адреса, демонстрирующие признаки брутфорса (например, сотни попыток входа по RDP за минуту).

Positive Technologies NGFW: Это межсетевой экран нового поколения (NGFW), который сочетает глубокую инспекцию трафика (DPI) с функциями IPS. Он не просто фильтрует по IP, а анализирует содержимое сессий на уровне прикладного протокола, точно выявляя и пресекая попытки подбора учётных данных.

2. Централизованный мониторинг и обнаружение (SIEM)

Даже при наличии периметральной защиты некоторые атаки могут проникнуть внутрь. Для их обнаружения необходим централизованный анализ.

RuSIEM: Собирает и анализирует логи со всей инфраструктуры — серверов, сетевого оборудования, систем контроля доступа и облачных сервисов. Платформа включает готовые корреляционные правила для обнаружения типичных паттернов брутфорс-атак: например, множества неудачных попыток аутентификации по RDP или SSH за короткий промежуток времени, а также распределённых атак на одну учётную запись с разных географических локаций.

Positive Technologies MaxPatrol SIEM: Эта корпоративная SIEM-система обеспечивает глубокую корреляцию событий из разнородных источников. MaxPatrol SIEM позволяет обнаруживать сложные, многоэтапные атаки, которые могут быть незаметны при анализе отдельных логов, и интегрируется с широким спектром оборудования для автоматического реагирования.

3. Реагирование и защита конечных точек

После обнаружения инцидента необходимо быстро отреагировать.

Kaspersky Endpoint Detection and Response (KEDR): Эта система предоставляет администратору инструменты для расследования и нейтрализации угрозы прямо на скомпрометированном устройстве. В случае подозрения на брутфорс KEDR позволяет изолировать хост от сети, завершить вредоносные процессы и собрать артефакты для дальнейшего анализа.

____

Познакомиться с ассортиментом и заказать высокотехнологичные средства обеспечения информационной безопасности можно в АРБИС. Свяжитесь с нами для получения полной информации о приобретении отечественных бизнес-решений!

Обращайтесь в АРБИС по телефону в шапке профиля, письмом на электронную почту order_cib@arbis29.ru или через сообщения в нашем ВК-сообществе.