Helft van alle brute force aanvallen vindt plaats in EMEA

De EMEA-regio krijgt ongeveer de helft van alle brute force aanvallen ter wereld te verduren. Ze liggen daarmee meer onder vuur dan elke andere regio.

Dit blijkt uit onderzoek van F5 Labs, de onderzoekstak van F5 Networks. Een aanval heet een brute force aanval wanneer er tien of meer opeenvolgende, mislukte inlogpogingen worden gedaan binnen een minuut, of 100 binnen 24 uur. De analyse komt uit het Application Protection Report 2019 dat ingaat op de achterliggende redenen waarom de meeste applicaties op de toegangslaag worden aangevallen, waarbij processen als authenticatie en autorisatie worden ontweken.

43,5% van de aanvallen is brute force aanval

Het F5 Security Incident Response Team (SIRT) rapporteerde dat het aantal brute force aanvallen in EMEA goed was voor 43,5% van alle SIRT-gelogde aanvallen. Canada staat op een tweede plek met 41,7%, gevolgd door VS (33,3%) en Azië-Pacific (9,5%). De helft van deze aanvallen was gericht op de publieke sector, gevolgd door de financiële sector (47,8%) en de zorg. Onderwijs (27,3%) en service providers (25%) lagen ook onder vuur.

"Afhankelijk van hoe robuust de monitoring-mogelijkheden zijn, kunnen brute force aanvallen onschadelijk lijken omdat ze op een legitieme login poging lijken met gebruikersnaam en wachtwoord", aldus Ray Pompon, Principal Threat Research Evangelist bij F5 Networks. "Dit soort aanvallen zijn dan ook lastig te spotten, omdat het vanuit het systeem gezien om een legitieme gebruiker gaat."

Elke applicatie die authenticatie vereist, is een potentieel doelwit voor een brute force aanval, maar F5 Labs rapporteerde met name vier varianten:

• HTTP form-based authenticatie (29% van de aanvallen): Aanvallen op web-authenticatie formulieren in de browser. De meeste logins op het web hebben deze vorm.
• Outlook web access (17,5%), Office 365 (12%) en ADFS (17,5%): Aanvallen op authenticatie-protocollen voor Exchange servers, Microsoft Active Directory en Federated Services. Aangezien deze services niet via een browser te benaderen zijn, authenticeren gebruikers zich via aparte prompts. Dankzij single-sign-on mogelijkheden hebben succesvolle aanvallen direct toegang tot veel informatie.
• SSH/SFTP brute force (18%): SSH en SFTP zijn veelvoorkomend omdat succesvolle SSH-authenticatie vaak een snelle toegang biedt tot beheerdersprivileges. Het is voor hackers interessant omdat veel systemen nog altijd vertrouwen op standaard credentials.
• S-FTP brute force (6%): S-FTP brute force is gevaarlijk als methode om malware te installeren, met allerlei mogelijke gevolgen.

Over het algemeen is e-mail het grootste doelwit van brute force aanvallen. Bedrijven die geen e-commerce platform hebben, bewaren de meest waardevolle gegevens vaak verder van de perimeter vandaan, achter verschillende beveiligingslagen. In zo’n geval is e-mail vaak een handig middel om toegang te krijgen tot achterliggende systemen om daar een slag te slaan.

Beveiliging tegen brute force

Volgens het Application Protection Report 2019 blijft bescherming tegen aanvallen op de toegangslaag een grote uitdaging. Multi-factor authenticatie is soms lastig te implementeren, en niet altijd haalbaar in een bepaalde tijdspanne; dit is zorgelijk gezien de onvoldoende bescherming die wachtwoorden vaak bieden. Het rapport geeft aan dat 75% van de bedrijven nog altijd simpele gebruikersnaam/wachtwoord combinaties gebruiken voor kritische web-applicaties.

"Terwijl de aanvalstactieken zich ontwikkelen, blijven de kernprincipes van beveiliging overeind", aldus Pompon. "Ten eerste moet je ervoor zorgen dat brute force aanvallen worden opgemerkt. Vertrouwelijkheid en integriteit staan soms op gespannen voet met beschikbaarheid. Er moeten mechanismen worden ontwikkeld die voor zowel het bedrijf als de gebruikers werken. Afgaan op alarmsignalen van een firewall is niet voldoende. Bedrijven moeten monitoring en response controls testen en incident response scenarios doornemen en testen zodat men snel en goed kan ingrijpen."