Что такое атака с передачей хэша (PtH)?

Атака с передачей хэша — это разновидность кибератаки, при которой хэш пароля похищается у администраторов и используется для получения несанкционированного доступа в сети. При атаке такого типа отпадает необходимость кражи или взлома пароля, поскольку требуется лишь хэш пароля, чтобы расширить доступ в сети и ее системах.

Что такое хэш пароля?

Чтобы понять, как работает атака с передачей хэша, нужно понять, что именно представляет собой хэш пароля. Хэш пароля — это односторонняя математическая функция, которая превращает обычный текстовый пароль в случайную строку букв и цифр, которую невозможно обратить или расшифровать, чтобы раскрыть фактический пароль.

Хэширование паролей повышает безопасность, исключая хранение незашифрованных паролей на сервере. При хэшировании паролей только конечный пользователь знает свои незашифрованные пароли.

Что такое хэш пароля?

Как работают атаки с передачей хэша?

Атака с передачей хэша начинается с компрометации компьютера администратора. Часто это делается путем заражения компьютера вредоносным ПО с помощью методов социальной инженерии. Например, администратору может быть отправлено фишинговое письмо, побуждающее щелкнуть вложение или ссылку. Если администратор сделает это, может быть немедленно загружено вредоносное ПО без его ведома.

После установки вредоносного ПО на компьютер администратора киберпреступник собирает хэши паролей, хранящиеся на компьютере. Имея лишь один хэш пароля, принадлежащий учетной записи привилегированного пользователя, киберпреступник может обойти сетевой или системный протокол аутентификации. Как только киберпреступник обходит аутентификацию, он может получить доступ к конфиденциальной информации и перемещаться по сети, чтобы получить доступ к другим привилегированным учетным записям.

Как работают атаки с передачей хэша?

Кто наиболее уязвим для атак с передачей хэша?

Компьютеры под управлением Windows наиболее подвержены атакам с передачей хэша из-за уязвимости в хэшах New Technology Local Area Network Manager (NTLM) операционной системы Windows. NTLM — это набор протоколов сетевой аутентификации, разработанный Microsoft, с помощью которого реализуется решение единого входа (SSO), используемое многими организациями.

Эта уязвимость NTLM позволяет злоумышленникам использовать скомпрометированные учетные записи домена, используя только хэш пароля, даже не нуждаясь в фактическом пароле.

Кто наиболее уязвим для атак с передачей хэша?

Как снизить риск атак с передачей хэша?

Инвестируйте в решение для управления привилегированным доступом (PAM)

Управление привилегированным доступом относится к защите и управлению учетными записями, имеющими доступ к важнейшим системам и данным. Привилегированные учетные записи включают в себя системы расчета заработной платы, учетные записи ИТ-администраторов и операционные системы, и это лишь некоторые из них.

Решение PAM помогает организациям защищать и управлять доступом к привилегированным учетным записям, используя принцип наименьших привилегий (PoLP), представляющий собой концепцию кибербезопасности, в рамках которой пользователям предоставляется доступ только к информации и системам, необходимым им для выполнения их работы, и не более того. Имея решение PAM, организации могут обеспечить, чтобы пользователям предоставляется доступ только к тем учетным записям, которые им необходимы, используя управление доступом на основе ролей (RBAC). Организации также могут требовать использования надежных паролей и многофакторной аутентификации (МФА) для дополнительной защиты учетных записей и систем.

Регулярно меняйте пароли

Регулярная смена паролей может помочь снизить риск атаки с передачей хеша, поскольку сокращает время, в течение которого действителен украденный хэш. Лучшие решения PAM являются всеобъемлющими и включают в себя функцию ротации паролей, которую вы можете включить.

Внедрите концепцию нулевого доверия

Нулевое доверие — это концепция, в которой устраняется неявное доверие, требуется постоянная проверка всех пользователей и устройств и строго ограничивается доступ к сетевым системам и данным. Вместо неявного доверия всем пользователям и устройствам в сети, нулевое доверие не доверяет никому и предполагает, что все пользователи могут быть в принципе скомпрометированы.

Нулевое доверие может помочь снизить риски кибербезопасности, свести к минимуму возможности кибератак на организацию и улучшить аудит и мониторинг соответствия требованиям. При нулевом доверии ИТ-администраторы имеют полную информацию обо всех пользователях, системах и устройствах. Они могут видеть, кто подключается к сети, откуда они подключаются и к чему получают доступ.

Регулярно проводите тестирование на проникновение

Тестирование на проникновение представляет собой имитацию кибератаки на сети, системы и устройства организации. Регулярное тестирование на проникновение может помочь организациям определить, где у них есть уязвимости, и устранить их до того, как ими воспользуются киберпреступники.

Защитите с помощью KeeperPAM® свою организацию от атак с передачей хэша

KeeperPAM — это решение нового поколения для управления привилегированным доступом, которое сочетает в себе Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) и Keeper Connection Manager (KCM) в одну единую платформу для защиты вашей организации от кибератак.

Pусский (RU) Связь с нами