Прескачането на остров вероятно звучи по-скоро като дейност, която бихте извършили на Бахамските острови, отколкото като атака стратегия, но всъщност се използва доста често от киберпрестъпници, които искат да се насочат към мрежи без директно хакване в тях. И така, какво е атака с прескачане на остров и как можете да се предпазите от нея?
Какво е атака с прескачане на остров?
Терминът „скачане на остров“ идва от Втората световна война. Силите на САЩ искаха да стигнат до континенталната част на Япония и трябваше да се придвижват от остров на остров, като използват всеки като стартова площадка за следващия, с континента като основна цел. По онова време беше известен като скок.
При атака с прескачане на остров, участниците в заплахата преследват вашите партньори и други сътрудници на трети страни, като използват техните кибер уязвимости, за да се вмъкнат във вашата по-сигурна мрежа. Тези заплахи са субекти или лица, които участват в действия, които подкопават или имат потенциал да засегнат киберсигурността на вашата организация. Те могат да направят всичко възможно, за да заобиколят защитните стени на целта си, а ефективен метод е прескачането на остров.
Производствените, финансовите и търговските предприятия са основно целите на тази форма на кибератака. В случаи като тези системите за сигурност на целта са херметически затворени и до голяма степен имунизирани срещу директни нашествия, така че хакерите преминават през значително по-малко сигурни партньори.
Тези партньори се ползват с доверие от целевата организация и са свързани с нейната мрежа. Хакерите се възползват от доверителната връзка и атакуват сложните защитни механизми на истинската цел чрез нейните слаби връзки с други организации.
Как действа Island Hopping Attack?
Атаките с прескачане на остров са ефективни, защото не задействат предупреждения в системата за сигурност на целта. Тези сигнали обикновено се задействат, когато има опит за влизане в хост мрежата от ненадеждно или нерегистрирано устройство. Записите от партньори рядко се маркират; участниците в заплахата се възползват от този пропуск.
Има три стандартни метода, които участниците в заплахата приемат в своята мисия за прескачане на остров.
1. Мрежова атака
Този метод включва проникване в мрежата на организация и използването й за прескачане в друга асоциирана мрежа. При тази атака заплахите обикновено преследват организацията Доставчик на услуги за управлявана сигурност (MSSP).
MSSP са доставчици на ИТ услуги, които продават сигурност на малки предприятия и големи организации, защитавайки ги от заплахи за киберсигурността. Те използват софтуер или екип от персонал, за да отговорят на тези заплахи веднага щом възникнат. Много предприятия възлагат своя отдел за ИТ сигурност на тези MSSP, което прави доставчиците мишена за хакери.
2. Атаки в водопои
Тази форма на прескачане на остров включва проникване в сайтове, посещавани от клиенти, бизнес партньори и служители на основната цел. Лошите участници оценяват сигурността на сайтовете и въвеждат злонамерени връзки, когато открият слабости.
Тези връзки водят до компрометирани платформи, които автоматично инжектират зловреден софтуер на компютъра. След като инжектираният зловреден софтуер заработи, участниците в заплахата могат да използват събраната информация, за да получат достъп до основната цел.
3. Компромис за бизнес имейл
Фишинг измама обикновено е първата стъпка в този метод. Киберпрестъпниците се представят за уважаван бизнес субект. Yahoo, Facebook и популярни търговски банки се използват предимно в тези атаки, тъй като хакерите изпращат злонамерени връзки в спам имейли.
След като стръвта бъде уловена и връзката е кликната, хакерите използват зловреден софтуер, за да компрометират компютъра на потребителя. Този метод е насочен към високопоставени служители или ръководители на организацията.
Keylogger софтуер понякога се използва тук за кражба на имейл акаунтите на тези ръководители. Чувствителната информация се изтегля от имейл акаунтите и след това се използва за проникване в целевата организация.
Прецеденти за прескачане на острови: Target и SolarWinds
През 2013 г. една от най-големите компании за търговия на дребно в САЩ, Target, беше въвлечена в кошмар за прескачане на остров. А през 2020 г. SolarWinds, доставчик на ИТ управление, стана жертва на атака от остров.
Цел: Кошмарът на празничния сезон
Актьори на заплахи компрометираха системата за продажба на Target и откраднаха финансовата информация на около 40 милиона клиенти. Това доведе до плащанията на Target най-големите досега уреждане на нарушение на данните.
18,5 милиона долара бяха договорени за уреждане на 47 щата и окръг Колумбия, след като хакери откраднаха по-голямата част от информацията за кредитните и дебитни карти на клиентите на гиганта в търговията на дребно по време на празника през 2013 г сезон. Това нарушение на данните струва на Target над 300 милиона долара. Но това не беше директна атака срещу сървърите на компанията.
Започна с Fazio Mechanical Services, друга компания, която осигурява на Target отопление и охлаждане. Те преживяха а атака на зловреден софтуер два месеца преди пробива в сигурността на Target. Актьорите на заплахата се отърваха от имейл идентификационните данни и ги използваха за достъп до сървърите на Target.
SolarWinds
Тази атака засегна повече от 18 000 фирми и дори правителствени отдели на САЩ. Всички засегнати имаха едно общо нещо — доставчик на ИТ управление, наречен SolarWinds.
Както при атаките за прескачане на острови, SolarWinds не беше основната цел. С броя на отделите на правителството на САЩ, които бяха засегнати, имаше слухове, че хакерите бяха подкрепени от руското правителство, надявайки се да дестабилизира Конгреса на САЩ.
SolarWinds за първи път потвърди атаката през декември 2020 г., въпреки че беше неоткрита няколко месеца. През март 2021 г. хакерите откраднаха имейл идентификационни данни от Министерството на вътрешната сигурност, въпреки че повечето правителствени отдели бяха предупредили служителите си да затворят Orion, засегнатата SolarWinds продукт. Атаките също засегнаха министерствата на енергетиката, финансите и търговията, Mimecast и Microsoft.
Как да се предпазите от атаки от прескачащи острови
С преобладаването на island hopping, трябва да предприемете стъпки, за да предотвратите вашата мрежа и сървъри от атаки от злонамерени страни. Ето няколко начина, по които можете да направите това.
1. Използвайте многофакторно удостоверяване
Многофакторно удостоверяване включва използване на различни проверки за потвърждение, като пръстови отпечатъци и потвърждения на ID, за потвърждаване на самоличността на всеки, който се опитва да получи достъп до вашата мрежа. Това допълнително ниво на сигурност, макар и досадно, винаги се оказва полезно. Хакерите с откраднати идентификационни данни за вход ще открият, че е почти невъзможно да преминат през проверка за потвърждение на пръстов отпечатък или проверка на лицето ID.
2. Имайте в готовност план за реакция при инцидент
Атаките с прескачане на острови приемат много форми и понякога редовните протоколи за сигурност може да не са достатъчни, за да предотвратят всякакви събития. Вашият софтуер за сигурност трябва да се актуализира постоянно, тъй като атаките за прескачане на острови стават все по-сложни. Също така, най-добре е да имате реакция при инцидент екип в готовност, за да се погрижи за непредвидени заплахи, които могат да надминат сигурността и да се справи с най-новите заплахи.
3. Приемете най-новите стандарти за киберсигурност
Много организации признават рисковете от прескачане на острови и са определили стандарти за киберсигурност за всички бъдещи партньори и сътрудници. Съветвайте настоящи партньори да надградят своите системи за сигурност; тези без разширени проверки трябва да имат ограничен достъп до вашата мрежа.
Не бъдете жертва: ограничете достъпа или подобрете сигурността си
Атаките с прескачане на острови станаха все по-разпространени. Организациите с слаби протоколи за сигурност рискуват да бъдат жертви на заплахи, освен ако не обновят своите системи.
Необходимо е обаче повече. Партньори на трети страни без усъвършенствани системи за сигурност представляват риск и не трябва да имат неограничен достъп. Ако ограничаването на достъпа е невъзможно, такива партньори трябва да надстроят своите системи.
