Kas gali slypėti už nesėkmingų prisijungimų?

Balandžio mėnesį, SOCshare projekto apimtyje analizavome nesėkmingų prisijungimų į įvairias paskyras šaltinius bei tendencijas. Daugiau nei 15% visų automatinių pranešimų apie galimas saugumo grėsmes iš QRadar SIEM sistemos galima klasifikuoti kaip nesėkmingus autorizacijos bandymus. Nors tai gali pasirodyti tik kaip ‚foninis triukšmas‘, visgi jam turime skirti ypatingą dėmesį, kadangi tarp gigantiško kiekio automatinių bandymų prisijungti gali slėptis ir labiau įmantri ar nutaikyta ataka.

Paanalizuokime šalis, iš kurių buvo bandoma prisijungti. Siekiant susiaurinti ir patikslinti duomenis, pasirinkome bandymus prisijungti į O365/Microsoft paskyras. Taip pat atrūšiavome duomenis, kurie atspindi nesėkmingus bandymus, tikėtinai, vykdytus vidinių vartotojų, t. y., turime duomenis leidžiančius manyti jog pats vartotojas nesėkmingai bandė prisijungti -jungėsi iš įprastos vietos, įprasto įrenginio, įprastu metu, t.t.. Taip pat, iš statistikos esame išėmę Lietuvą, kadangi didžioji dalis mūsų klientų yra iš būtent iš čia.

Žemiau pateikiame TOP 5-etą šalių, iš kurių matome nesėkmingus bandymus prisijungti prie O365 paskyrų:

Vien šios penkios šalys jau sudaro 50% visų nesėkmingų bandymų prisijungti. Nors galime nustatyti conditional access policy, ribojant šalis iš kurių galima prisijungti – dažniausiai rekomenduojama riboti prisijungimus iš Lietuvai nedraugiškų šalių ir JAV, Pietų Korėja ar Indija nepatektų į šiuos sąrašus. Paėmus visas Europos Ekonominės Erdvės šalis (išskyrus Lietuvą) – matome kad net 25% visų nesėkmingų prisijungimų bandymų vyksta iš draugiškų šalių, kurių įmonės dažniausiai neįtraukia į geo-blokavimo taisykles, tad svarbu išlaikyti budrumą.

Dalinai fnansuojama Europos Sąjungos. Išreikštos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.