Az aktív támadás veszélyes kibertámadás, mert megkísérli megváltoztatni a számítógépes hálózat erőforrásait vagy működését. Az aktív támadások gyakran észrevétlen adatvesztést, márkakárosodást, valamint a személyazonosság-lopás és -csalás fokozott kockázatát eredményezik.
Az aktív támadások jelentik a legnagyobb prioritású fenyegetést, amellyel napjainkban a vállalatok szembesülnek. Szerencsére vannak dolgok, amelyekkel megelőzheti ezeket a támadásokat, és enyhítheti a hatásokat, ha előfordulnak.
Mik azok az aktív támadások?
Aktív támadás során a fenyegető szereplők kihasználják a célpont hálózatának gyenge pontjait, hogy hozzáférjenek az ott található adatokhoz. Ezek a fenyegető szereplők megpróbálhatnak új adatokat bevinni, vagy ellenőrizni a meglévő adatok terjesztését.
Az aktív támadások a cél eszközén lévő adatok módosítását is magukban foglalják. Ezek a változások a személyes adatok ellopásától a hálózat teljes átvételéig terjednek. Gyakran figyelmeztetik Önt, hogy a rendszert feltörték, mivel ezek a támadások könnyen észlelhetők, de a megindulásuk megállítása meglehetősen nehéz feladat lehet.
Általában a kis- és középvállalkozások, más néven kis- és középvállalkozások viselik az aktív támadások súlyát. Ennek az az oka, hogy a legtöbb kis- és középvállalkozásnak nincs erőforrása csúcskategóriás kiberbiztonsági intézkedések beszerzéséhez. És ahogy az aktív támadások folyamatosan fejlődnek, ezeket a biztonsági intézkedéseket rendszeresen frissíteni kell, különben sebezhetővé teszik a hálózatot a fejlett támadásokkal szemben.
Hogyan működik az aktív támadás?
Az első dolog, amit a fenyegetés szereplői a cél azonosítása után megtesznek, az az, hogy megkeresik a sebezhetőséget a célpont hálózatán belül. Ez az általuk tervezett támadás előkészítő szakasza.
Passzív szkennereket is használnak, hogy információt szerezzenek a célpont hálózatán futó programok típusáról. A gyengeségek felfedezése után a hackerek az alábbi aktív támadások bármelyikét használhatják a hálózat biztonságának aláásására:
1. Munkamenet-eltérítési támadás
Az a munkamenet-eltérítő támadás, más néven session replay, playback attacks vagy replay attacks, a fenyegetés szereplői másolják a célpont internetes munkamenet-azonosítóját. Ezeket az információkat arra használják, hogy lekérjék a bejelentkezési adatokat, megszemélyesítsék a célpontokat, és további érzékeny adatokat lopjanak el eszközeikről.
Ez a megszemélyesítés munkamenet-cookie-k segítségével történik. Ezek a sütik a HTTP kommunikációs protokollal együttműködve azonosítják böngészőjét. A kijelentkezés vagy a böngészési munkamenet befejezése után azonban a böngészőben maradnak. Ez egy olyan sebezhetőség, amelyet a fenyegetés szereplői kihasználnak.
Helyreállítják ezeket a cookie-kat, és becsapják a böngészőt, és azt hiszik, hogy még mindig online vagy. Mostantól a hackerek bármilyen információt megszerezhetnek a böngészési előzményekből. Könnyen hozzájuthatnak a hitelkártya-adatokhoz, pénzügyi tranzakciókhoz és számlajelszavakhoz így.
A hackerek más módokon is megszerezhetik célpontjuk munkamenet-azonosítóját. Egy másik gyakori módszer a rosszindulatú hivatkozások használata, amelyek olyan webhelyekre vezetnek, amelyek kész azonosítóval rendelkeznek, amelyet a hacker felhasználhat a böngészési munkamenet eltérítésére. A lefoglalást követően a kiszolgálók nem észlelhetnek különbséget az eredeti és a fenyegetés szereplői által replikált többi munkamenet-azonosító között.
2. Üzenetmódosítási támadás
Ezek a támadások főként e-mail alapúak. Itt a fenyegetés szereplője szerkeszti a csomagcímeket (amelyek tartalmazzák a küldő és a címzett címét), és teljesen más helyre küldi a levelet, vagy módosítja a tartalmat, hogy a célponthoz kerüljön hálózat.
A hackerek leveleket irányítanak a célpont és egy másik fél között. Ha ez a lehallgatás befejeződött, jogukban áll bármilyen műveletet végrehajtani rajta, beleértve a rosszindulatú hivatkozások beillesztését vagy az üzenetek eltávolítását. A levél ezután folytatja útját, és a célpont nem tudja, hogy manipulálták.
3. Álarcos támadás
Ez a támadás a célpont hálózatának hitelesítési folyamatának gyenge pontjait használja ki. A fenyegetés szereplői az ellopott bejelentkezési adatok segítségével feljogosított felhasználónak adják ki magukat, és a felhasználó azonosítójával hozzáférnek a megcélzott szervereikhez.
Ebben a támadásban a fenyegetés szereplője vagy álarcosa lehet a szervezeten belüli alkalmazott vagy egy hacker, aki a nyilvános hálózathoz kapcsolódik. A laza engedélyezési folyamatok lehetővé tehetik ezeknek a támadóknak a belépést, és az adatok mennyisége, amelyekhez hozzáférhetnek, a megszemélyesített felhasználó jogosultsági szintjétől függ.
Az álarcos támadás első lépése egy hálózati szippantó használata az IP-csomagok beszerzésére a célpont eszközeitől. Ezek hamisított IP-címek becsapják a célpont tűzfalait, megkerülve őket, és hozzáférést kapnak a hálózatukhoz.
4. Szolgáltatásmegtagadási (DoS) támadás
Ebben az aktív támadásban a fenyegetés szereplői elérhetetlenné teszik a hálózati erőforrásokat a szándékolt, jogosult felhasználók számára. Ha DoS támadást tapasztal, nem tud hozzáférni a hálózat információihoz, eszközeihez, frissítéseihez és fizetési rendszereihez.
Különféle típusú DoS támadások léteznek. Az egyik típus a puffer túlcsordulási támadás, ahol a fenyegetés szereplői sokkal nagyobb forgalommal árasztják el a célpont szervereit, mint amennyit képesek kezelni. Ez a kiszolgálók összeomlását okozza, és ennek következtében nem tud hozzáférni a hálózathoz.
Ott van a törpe támadás is. A fenyegetés szereplői teljesen rosszul konfigurált eszközöket fognak használni, hogy ICMP (internet control message protocol) csomagokat küldjenek több hálózati gazdagépnek hamisított IP-címmel. Ezeket az ICMP-csomagokat általában annak meghatározására használják, hogy az adatok rendezett módon érik-e el a hálózatot.
Azok a gazdagépek, amelyek e csomagok címzettjei, üzeneteket küldenek a hálózatnak, és sok válasz érkezik, az eredmény ugyanaz: összeomlott szerverek.
Hogyan védje meg magát az aktív támadásokkal szemben
Az aktív támadások mindennaposak, és meg kell védenie hálózatát ezektől a rosszindulatú műveletektől.
Az első dolog, amit meg kell tennie, egy csúcskategóriás tűzfal telepítése és behatolásgátló rendszer (IPS). A tűzfalaknak minden hálózat biztonságának részét kell képezniük. Segítenek a gyanús tevékenységek keresésében, és blokkolják az észlelteket. Az IPS figyeli a hálózati forgalmat, például a tűzfalakat, és lépéseket tesz a hálózat védelmére, ha támadást észlel.
Az aktív támadások elleni védekezés másik módja a véletlenszerű munkamenetkulcsok és az egyszeri jelszavak (OTP) használata. A munkamenetkulcsok a két fél közötti kommunikáció titkosítására szolgálnak. A kommunikáció befejezése után a kulcs eldobásra kerül, és egy másik kommunikáció megkezdésekor véletlenszerűen újat generál. Ez biztosítja a maximális biztonságot, mivel minden kulcs egyedi, és nem replikálható. Továbbá, ha egy munkamenet véget ért, az adott időszak kulcsa nem használható a munkamenet során kicserélt adatok értékelésére.
Az OTP-k ugyanazon a feltevésen működnek, mint a munkamenetkulcsok. Véletlenszerűen generált alfanumerikus/numerikus karakterek, amelyek csak egy célra érvényesek, és egy adott időszak után lejárnak. Ezeket gyakran jelszóval együtt használják kéttényezős hitelesítés.
Hackerek és támadók, tűzfalak és 2FA
Az aktív támadások kihasználják a hálózat hitelesítési protokolljainak hiányosságait. Ezért ezeknek a támadásoknak az egyetlen bevált módja a tűzfalak, az IPS, a véletlenszerű munkamenetkulcsok és – ami a legfontosabb – a kéttényezős hitelesítés. Az ilyen hitelesítés lehet véletlenszerűen generált kulcs, felhasználónév és jelszó kombinációja.
Ez fárasztónak tűnhet, de ahogy az aktív támadások fejlődnek és még kíméletlenebbé válnak, az ellenőrzési folyamatoknak szembe kell nézniük a kihívásokkal, és őrt kell állniuk ezekkel a bejövő támadásokkal szemben. Ne feledje, hogy ha a fenyegetés szereplői a hálózaton belül vannak, nehéz lenne kiüríteni őket.
