De EMEA-regio krijgt ongeveer de helft van alle brute force aanvallen ter wereld te verduren. Ze liggen daarmee meer onder vuur dan elke andere regio, blijkt uit onderzoek van F5 Labs, de onderzoekstak van F5 Networks.
Een aanval heet een brute force aanval wanneer er tien of meer opeenvolgende, mislukte inlogpogingen worden gedaan binnen een minuut, of 100 binnen 24 uur. De analyse komt uit het Application Protection Report 2019 dat ingaat op de achterliggende redenen waarom de meeste applicaties op de toegangslaag worden aangevallen, waarbij processen als authenticatie en autorisatie worden ontweken.
Het F5 Security Incident Response Team (SIRT) rapporteerde dat het aantal brute force aanvallen in EMEA goed was voor 43,5 procent van alle SIRT-gelogde aanvallen. Canada staat op een tweede plek met 41,7 procent, gevolgd door VS (33,3 procent) en Azië-Pacific (9,5 procent). De helft van deze aanvallen was gericht op de publieke sector, gevolgd door de financiële sector (47,8 procent) en de zorg. Onderwijs (27,3 procent) en service providers (25 procent) lagen ook onder vuur.
“Afhankelijk van hoe robuust de monitoring-mogelijkheden zijn, kunnen brute force aanvallen onschadelijk lijken omdat ze op een legitieme login poging lijken met gebruikersnaam en wachtwoord”, aldus Ray Pompon, Principal Threat Research Evangelist bij F5 Networks. “Dit soort aanvallen zijn dan ook lastig te spotten, omdat het vanuit het systeem gezien om een legitieme gebruiker gaat.”
Elke applicatie die authenticatie vereist, is een potentieel doelwit voor een brute force aanval, maar F5 Labs rapporteerde met name vier varianten:
- HTTP form-based authenticatie (29 procent van de aanvallen)
Aanvallen op web-authenticatie formulieren in de browser. De meeste logins op het web hebben deze vorm.
- Outlook web access (17,5 procent), Office 365 (12 procent) en ADFS (17,5 procent)
Aanvallen op authenticatie-protocollen voor Exchange servers, Microsoft Active Directory en Federated Services. Aangezien deze services niet via een browser te benaderen zijn, authenticeren gebruikers zich via aparte prompts. Dankzij single-sign-on mogelijkheden hebben succesvolle aanvallen direct toegang tot veel informatie.
- SSH/SFTP brute force (18 procent)
SSH en SFTP zijn veelvoorkomend omdat succesvolle SSH-authenticatie vaak een snelle toegang biedt tot beheerdersprivileges. Het is voor hackers interessant omdat veel systemen nog altijd vertrouwen op standaard credentials.
- S-FTP brute force (6 procent)
S-FTP brute force is gevaarlijk als methode om malware te installeren, met allerlei mogelijke gevolgen.
Over het algemeen is e-mail het grootste doelwit van brute force aanvallen. Bedrijven die geen e-commerce platform hebben, bewaren de meest waardevolle gegevens vaak verder van de perimeter vandaan, achter verschillende beveiligingslagen. In zo’n geval is e-mail vaak een handig middel om toegang te krijgen tot achterliggende systemen om daar een slag te slaan.
Beveiliging tegen brute force
Volgens het Application Protection Report 2019 blijft bescherming tegen aanvallen op de toegangslaag een grote uitdaging. Multi-factor authenticatie is soms lastig te implementeren, en niet altijd haalbaar in een bepaalde tijdspanne; dit is zorgelijk gezien de onvoldoende bescherming die wachtwoorden vaak bieden. Het rapport geeft aan dat 75 procent van de bedrijven nog altijd simpele gebruikersnaam/wachtwoord combinaties gebruiken voor kritische web-applicaties.
“Terwijl de aanvalstactieken zich ontwikkelen, blijven de kernprincipes van beveiliging overeind”, aldus Pompon. “Ten eerste moet je ervoor zorgen dat brute force aanvallen worden opgemerkt. Vertrouwelijkheid en integriteit staan soms op gespannen voet met beschikbaarheid. Er moeten mechanismen worden ontwikkeld die voor zowel het bedrijf als de gebruikers werken. Afgaan op alarmsignalen van een firewall is niet voldoende. Bedrijven moeten monitoring en response controls testen en incident response scenarios doornemen en testen zodat men snel en goed kan ingrijpen.”
Over F5
F5 (NASDAQ: FFIV) geeft ‘s werelds grootste bedrijven, service providers, overheden en consumentenmerken de gelegenheid om elke app, waar dan ook, veilig aan te bieden aan de gebruikers. F5 levert cloud en security applicatieservices die organisaties in staat stelt een infrastructuur te kiezen die het beste bij hen past, zonder concessies te doen op snelheid en controle. Meer informatie op
f5.com. Volg
@f5networks op Twitter of bekijk de
LinkedIn en
Facebook pagina’s voor de laatste ontwikkelingen.
F5 is a trademark or service mark of F5 Networks, Inc., in the U.S. and other countries. All other product and company names herein may be trademarks of their respective owners.
This press release may contain forward looking statements relating to future events or future financial performance that involve risks and uncertainties. Such statements can be identified by terminology such as "may," "will," "should," "expects," "plans," "anticipates," "believes," "estimates," "predicts," "potential," or "continue," or the negative of such terms or comparable terms. These statements are only predictions and actual results could differ materially from those anticipated in these statements based upon a number of factors including those identified in the company's filings with the SEC.