Akárcsak a fizikai támadás előtti felderítés, a támadók gyakran gyűjtenek információkat a kibertámadás előtt.
A kiberbűnözők nem járnak körbe, hogy bejelentsék jelenlétüket. A legigénytelenebb módon sztrájkolnak. Előfordulhat, hogy anélkül is információt ad a támadónak a rendszeréről, hogy tudná.
És ha nem adja meg nekik az információkat, az engedélye nélkül máshol is megszerezhetik – a felderítő támadásoknak köszönhetően. Biztosítsa rendszerét azáltal, hogy többet tud meg a felderítő támadásokról, azok működéséről és megelőzésének módjáról.
Mi az a felderítő támadás?
A felderítés egy rendszerről információgyűjtés folyamata a sebezhetőségek azonosítása érdekében. Eredetileg egy etikus hackelési technika, lehetővé tette a hálózattulajdonosok számára, hogy jobban védjék rendszereiket, miután azonosították a biztonsági réseket.
Az évek során a felderítés etikus hackelési eljárásból kibertámadási mechanizmussá nőtte ki magát. A felderítő támadás egy olyan folyamat, amelynek során egy hacker titkos nyomozó szerepét tölti be, hogy kihalászjon. információkat a célrendszereikről, majd ezen információk segítségével azonosítani tudják az előttük álló sebezhetőségeket támadások.
A felderítő támadások típusai
Kétféle felderítő támadás létezik: aktív és passzív.
1. Aktív felderítés
Az aktív felderítés során a támadó aktívan érintkezik a célponttal. Csak azért kommunikálnak Önnel, hogy információkat szerezzenek a rendszeréről. Az aktív felderítés meglehetősen hatékony, mivel értékes információkat ad a támadónak a rendszerről.
Az alábbiakban az aktív felderítési technikákat ismertetjük.
Szociális tervezés
A social engineering olyan folyamat, amelyben a kiberfenyegetettség szereplői manipulálja a célpontokat, hogy bizalmas információkat tárjon fel nekik. Online kapcsolatba léphetnek Önnel azonnali csevegésen, e-mailben és más interaktív módon, hogy kapcsolatot építsenek ki Önnel. Amint megnyerik a tetszését, bizalmas információkat fognak kiadni a rendszeréről, vagy ráveszik, hogy nyissa meg a rosszindulatú programokkal fertőzött fájlt, amely veszélyezteti a hálózatot.
Az aktív lábnyomkövetés egy olyan módszer, amely során a behatoló szándékos lépéseket tesz, hogy információkat gyűjtsön a rendszerről, annak biztonsági infrastruktúrájáról és a felhasználói elkötelezettségről. Lekérik az Ön IP-címeit, aktív e-mail címeit, DNS-információit stb.
Az aktív lábnyomozás automatizálható. Ebben az esetben a fenyegetés szereplője olyan eszközöket használ, mint például a hálózati leképező (Nmap), egy nyílt forráskódú platform, amely betekintést nyújt a hálózaton futó szolgáltatásokba és gazdagépekbe, hogy létfontosságú információkat szerezzen az Önről rendszer.
Port szkennelés
A portok olyan területek, amelyeken keresztül az információ az egyik számítógépes programról vagy eszközről a másikra jut. A port vizsgálatnál a fenyegetés szereplője átvizsgálja a hálózaton belüli portokat hogy azonosítsuk a nyitottakat. Portszkenner segítségével észlelik a hálózaton lévő aktív szolgáltatásokat, például a gazdagépeket és az IP-címeket, majd behatolnak a nyitott portokon.
Az alapos portellenőrzés minden szükséges információt megad a támadónak a hálózat biztonsági helyzetéről.
2. Passzív felderítés
A passzív felderítés során a támadó nem lép kapcsolatba közvetlenül Önnel vagy a rendszerével. Távolról végzik a vizsgálatot, figyelik a forgalmat és az interakciókat a hálózaton.
A passzív felderítésben a fenyegetésekkel foglalkozó szereplők nyilvános platformokhoz, például keresőmotorokhoz és online adattárakhoz fordulnak a rendszerével kapcsolatos információkért.
A passzív felderítési stratégiák a következőket foglalják magukban.
Nyílt forráskódú intelligencia
Nyílt forráskódú intelligencia (OSINT), nem szabad összetévesztik a nyílt forráskódú szoftverekkel, nyilvános helyekről származó adatok gyűjtésére és elemzésére utal. Az emberek és a hálózatok szándékosan vagy nem szándékosan terjesztik információikat az interneten. A felderítő szereplő az OSINT segítségével értékes információkat nyerhet le a rendszerről.
Az olyan keresőmotorok, mint a Google, a Yahoo és a Bing az első eszközök, amelyek eszünkbe jutnak, ha nyílt forráskódú platformokról beszélünk, de a nyílt forráskód túlmutat ezeken. Számos olyan online forrás létezik, amelyekre a keresőmotorok a bejelentkezési korlátozások és más biztonsági tényezők miatt nem terjednek ki.
Amint azt korábban említettük, a lábnyom egy olyan technika, amellyel információt gyűjtünk a célpontról. De ebben az esetben a tevékenységek passzívak, vagyis nincs közvetlen interakció vagy elkötelezettség. A támadó messziről folytatja a nyomozást, ellenőrzi Önt a keresőmotorokban, a közösségi médiában és más online tárolókban.
Ahhoz, hogy a passzív lábnyomból konkrét információkat szerezzen, a támadó nem csak olyan népszerű platformokra támaszkodik, mint a keresőmotorok és a közösségi média. Olyan eszközöket használnak, mint a Wireshark és a Shodan, hogy további információkat szerezzenek, amelyek esetleg nem állnak rendelkezésre a népszerű platformokon.
Hogyan működnek a felderítő támadások?
Függetlenül attól, hogy a támadó milyen típusú felderítési stratégiát használ, egy sor irányelv szerint működnek. Az első két lépés passzív, míg a többi aktív.
1. Gyűjtsön adatokat a célpontról
Az adatok gyűjtése a célpontról a felderítő támadás első lépése. A behatoló ebben a szakaszban passzív. Megállapításaikat messziről végzik, a nyilvános térben információkat szerezve a rendszeredről.
2. Határozza meg a célhálózat tartományát
A rendszer nagyobb vagy kisebb lehet, mint amilyennek látszik. A hatótávolság meghatározása világos képet ad a támadónak a méretéről, és útmutatást ad a terveik végrehajtásához. Figyelembe veszik a hálózat különböző területeit, és felvázolják az érdeklődési területeik lefedéséhez szükséges erőforrásokat.
Ebben a szakaszban a fenyegetés szereplője aktív eszközöket keres a rendszerben, és ezeken az eszközökön keresztül bevonja Önt, hogy fontos információkat kapjon Öntől. Az aktív eszközök közé tartoznak például a funkcionális e-mail címek, közösségi média fiókok, telefonszámok stb.
4. Keresse meg a nyitott portokat és hozzáférési pontokat
A támadó megérti, hogy varázsütésre nem tud belépni a rendszerébe, ezért megkeresi azokat a hozzáférési pontokat és portokat, amelyeken keresztül bejuthatnak. Olyan technikákat alkalmaznak, mint a portszkennelés, hogy azonosítsák a nyitott portokat és más hozzáférési pontokat az illetéktelen hozzáférés érdekében.
5. Határozza meg a cél operációs rendszerét
Mivel a különböző operációs rendszerek eltérő biztonsági infrastruktúrával rendelkeznek, a kiberbűnözőknek azonosítaniuk kell az adott operációs rendszert, amellyel foglalkoznak. Így be tudják vezetni a megfelelő technikákat a meglévő biztonsági védelem megkerülésére.
6. Outline szolgáltatások a portokon
A portokon lévő szolgáltatások engedélyezett hozzáféréssel rendelkeznek a hálózathoz. A támadó elfogja ezeket a szolgáltatásokat, és bejut a szokásos módon. Ha ezt hatékonyan lehúzzák, előfordulhat, hogy nem vesz észre semmilyen behatolást.
7. Térképezze fel a hálózatot
Ebben a szakaszban a támadó már a rendszeren belül van. Hálózati leképezést használnak a hálózat teljes láthatósága érdekében. Ezzel a mechanizmussal meg tudják találni és lekérni a kritikus adatokat. A támadó ezen a ponton teljes mértékben uralja a hálózatot, és azt tehet, amit akar.
Hogyan lehet megakadályozni a felderítő támadásokat
A felderítő támadások nem legyőzhetetlenek. Vannak olyan intézkedések, amelyeket megtehet ezek megelőzésére. Ezek az intézkedések a következőket foglalják magukban.
1. Biztosítsa végpontjait EDR segítségével
A portok, amelyeken keresztül a felderítő szereplő hozzáfér a hálózathoz, a végpontjaihoz tartoznak. Szigorúbb biztonság megvalósítása azokon a területeken végpont biztonsági rendszerek mint például a végpontészlelés és válaszadás (EDR) kevésbé lesz elérhető a behatolók számára.
Mivel a hatékony EDR automatizált valós idejű megfigyelést és adatelemzést tartalmaz a fenyegetések kivédésére, ellenáll a támadók felderítő erőfeszítéseinek, hogy jogosulatlan hozzáférést szerezzenek a portokon keresztül.
2. Azonosítsa a biztonsági réseket a behatolási teszteléssel
A kibertámadók a rendszerek sérülékenységei miatt boldogulnak. Tedd magadhoz a kezdeményezést, és fedezd fel a rendszerében esetleg létező sebezhetőségeket, mielőtt a bűnözők felfedeznék azokat. Ezt megteheti egy penetrációs teszttel.
Viselje a hacker cipőjét, és indítson etikai támadást a rendszere ellen. Ez segít felfedezni azokat a biztonsági réseket, amelyek általában az Ön holtfoltjain találhatók.
3. Integrált kiberbiztonsági rendszerek elfogadása
A fenyegetés szereplői mindenféle technológiát bevetnek a kibertámadások sikeres elindításához. E támadások megelőzésének hatékony módja az integrált kiberbiztonsági megoldások kihasználása.
Az olyan fejlett rendszerek, mint a biztonsági információ- és eseménykezelés (SIEM), teljes biztonságot nyújtanak digitális eszközei védelmében. Úgy vannak programozva, hogy észleljék és leállítsák a fenyegetéseket, mielőtt azok jelentős kárt okoznának a hálózatban.
Legyen proaktív a felderítő támadások megelőzése érdekében
Lehet, hogy a kiberbűnözők tökélyre fejlesztették bohóckodásaikat a felderítő támadásokban, de védekezésünk megszilárdításával visszaléphetsz. A legtöbb támadáshoz hasonlóan jobb, ha megvédi rendszerét a felderítő támadásokkal szemben, ha proaktívan kezeli a biztonságát.