Точно както провеждането на разузнаване преди физическо нападение, нападателите често събират информация преди кибератака.
Киберпрестъпниците не обикалят и обявяват присъствието си. Те удрят по най-непретенциозните начини. Може да дадете на хакер информация за вашата система, без дори да го знаете.
И ако не им предоставите информацията, те могат да я получат другаде без ваше разрешение - не благодарение на разузнавателни атаки. Защитете системата си, като научите повече за разузнавателните атаки, как работят и как можете да ги предотвратите.
Какво е разузнавателна атака?
Разузнаването е процес на събиране на информация за система за идентифициране на уязвимости. Оригинално техника за етично хакване, това позволи на собствениците на мрежи да защитят по-добре системите си, след като идентифицират своите пропуски в сигурността.
През годините разузнаването се превърна от етична хакерска процедура в механизъм за кибератака. Разузнавателна атака е процес, при който хакер играе ролята на детектив под прикритие, за да лови информация за техните целеви системи и след това да използват тази информация, за да идентифицират уязвимостите преди тях атаки.
Видове разузнавателни атаки
Има два вида разузнавателни атаки: активни и пасивни.
1. Активно разузнаване
При активно разузнаване нападателят се захваща активно с целта. Те комуникират с вас само за да получат информация за вашата система. Активното разузнаване е доста ефективно, тъй като дава на нападателя ценна информация за вашата система.
Следват техники за активно разузнаване.
Социално инженерство
Социалното инженерство е процес, при който актьор в кибернетична заплаха манипулира цели, за да разкрие поверителна информация на тях. Те могат да се свържат с вас онлайн чрез незабавни чатове, имейли и други интерактивни средства, за да изградят връзка с вас. След като ви спечелят, те ще ви накарат да разкриете чувствителна информация за вашата система или ще ви примамят да отворите заразен със зловреден софтуер файл, който ще компрометира вашата мрежа.
Активният отпечатък е метод, който включва нарушител, който предприема умишлени стъпки за събиране на информация за вашата система, нейната инфраструктура за сигурност и ангажираност на потребителя. Те извличат вашите IP адреси, активни имейл адреси, информация за системата за имена на домейни (DNS) и др.
Активният отпечатък може да бъде автоматизиран. В този случай заплахата използва инструменти като мрежов картограф (Nmap), платформа с отворен код, която дава представа за услугите и хостовете, работещи в мрежа, за да получите важна информация за вашия система.
Сканиране на портове
Портовете са области, през които информацията преминава от една компютърна програма или устройство към друго. При сканиране на порт, актьорът на заплахата сканира портовете във вашата мрежа за идентифициране на отворените. Те използват скенер за портове, за да открият активните услуги във вашата мрежа, като например хостове и IP адреси, и след това да проникнат през отворените портове.
Цялостното сканиране на порт дава на атакуващия цялата необходима информация за нивото на сигурност на вашата мрежа.
2. Пасивно разузнаване
При пасивно разузнаване нападателят не се ангажира директно с вас или вашата система. Те правят своето разследване от разстояние, наблюдавайки трафика и взаимодействията във вашата мрежа.
Заплахата в пасивното разузнаване се обръща към обществени платформи като търсачки и онлайн хранилища за информация относно вашата система.
Стратегиите за пасивно разузнаване включват следното.
Разузнаване с отворен код
Разузнаване с отворен код (OSINT), да не бъде объркан със софтуер с отворен код, се отнася до събирането и анализа на данни от обществени места. Хората и мрежите разпространяват информацията си в мрежата умишлено или неволно. Разузнавателен актьор може да използва OSINT, за да извлече ценна информация за вашата система.
Търсачките като Google, Yahoo и Bing са първите инструменти, които идват на ум, когато говорите за платформи с отворен код, но отвореният код надхвърля тези. Има много онлайн ресурси, които търсачките не покриват поради ограничения за влизане и други фактори за сигурност.
Както бе споменато по-рано, отпечатъкът е техника за събиране на информация за цел. Но в този случай дейностите са пасивни, което означава, че няма пряко взаимодействие или ангажираност. Нападателят прави своето разследване отдалеч, като ви проверява в търсачките, социалните медии и други онлайн хранилища.
За да получи конкретна информация от пасивен отпечатък, нападателят не разчита само на популярни платформи като търсачки и социални медии. Те използват инструменти като Wireshark и Shodan, за да получат допълнителна информация, която може да не е налична на популярни платформи.
Как работят разузнавателните атаки?
Независимо от вида стратегия за разузнаване, която атакуващият използва, те работят според набор от насоки. Първите две стъпки са пасивни, докато останалите са активни.
1. Съберете данни за целта
Събирането на данни за целта е първата стъпка в разузнавателната атака. Нарушителят е пасивен на този етап. Те правят своите открития отдалеч, получавайки информация за вашата система в публичното пространство.
2. Определете обхвата на целевата мрежа
Вашата система може да е по-голяма или по-малка, отколкото изглежда. Определянето на неговия обхват дава на нападателя ясна представа за неговия размер и ги насочва при изпълнението на техните планове. Те вземат под внимание различните области на вашата мрежа и очертават ресурсите, от които се нуждаят, за да покрият своите области на интерес.
На този етап заплахата търси активни инструменти във вашата система и ви ангажира чрез тези инструменти, за да получи важна информация от вас. Примери за активни инструменти включват функционални имейл адреси, акаунти в социални медии, телефонни номера и др.
4. Намерете отворени портове и точки за достъп
Нападателят разбира, че не може магически да влезе във вашата система, така че локализира точките за достъп и отворените портове, през които могат да влязат. Те прилагат техники като сканиране на портове, за да идентифицират отворени портове и други точки за достъп, за да получат неоторизиран достъп.
5. Идентифицирайте операционната система на целта
Тъй като различните операционни системи имат различни инфраструктури за сигурност, киберпрестъпниците трябва да идентифицират конкретната операционна система, с която работят. По този начин те могат да приложат правилните техники за заобикаляне на съществуващите защити на сигурността.
6. Очертайте услуги на портовете
Услугите на вашите портове имат разрешен достъп до вашата мрежа. Нападателят прихваща тези услуги и си проправя път, както обикновено биха направили тези услуги. Ако направят това ефективно, може да не забележите никакво проникване.
7. Картирайте мрежата
На този етап нападателят вече е във вашата система. Те използват мрежово картографиране, за да имат пълна видимост на вашата мрежа. С този механизъм те могат да намерят и извлекат вашите критични данни. Нападателят има пълен контрол над вашата мрежа в този момент и може да прави каквото поиска.
Как да предотвратим разузнавателни атаки
Разузнавателните атаки не са непобедими. Има мерки, които можете да предприемете, за да ги предотвратите. Тези мерки включват следното.
1. Защитете вашите крайни точки с EDR
Портовете, през които разузнавателен актьор има достъп до вашата мрежа, са част от нейните крайни точки. Въвеждане на по-строги мерки за сигурност в тези райони с крайни системи за сигурност като откриване и реагиране на крайна точка (EDR) ще ги направи по-малко достъпни за нарушители.
Тъй като ефективният EDR има автоматизиран мониторинг в реално време и анализ на данни, за да отблъсне заплахи, той ще устои на разузнавателните усилия на нападателя за получаване на неоторизиран достъп през вашите портове.
2. Идентифицирайте уязвимостите с тестове за проникване
Кибератакерите процъфтяват благодарение на уязвимостите в системите. Поемете инициативата за откриване на уязвимости, които може да съществуват във вашата система, преди престъпниците да ги открият. Можете да направите това с тест за проникване.
Носете обувките на хакера и стартирайте етична атака срещу вашата система. Това ще ви помогне да откриете вратички в сигурността, които обикновено биха били във вашите слепи зони.
3. Приемете интегрирани системи за киберсигурност
Актьорите на заплахи внедряват всякакви технологии за успешно стартиране на кибератаки. Ефективен начин за предотвратяване на тези атаки е да се възползвате от интегрираните решения за киберсигурност.
Усъвършенствани системи като информация за сигурността и управление на събития (SIEM) предлагат пълна сигурност за защита на вашите цифрови активи. Те са програмирани да откриват и спират заплахи, преди да причинят значителни щети на вашата мрежа.
Бъдете проактивни, за да предотвратите разузнавателни атаки
Киберпрестъпниците може да са усъвършенствали своите лудории в разузнавателни атаки, но вие можете да отблъснете, като укрепите защитата си. Както при повечето атаки, по-добре е да защитите системата си срещу разузнавателни атаки, като сте проактивни със сигурността си.