Активната атака е опасна кибератака, защото се опитва да промени ресурсите или операциите на вашата компютърна мрежа. Активните атаки често водят до незабелязана загуба на данни, увреждане на марката и повишен риск от кражба на самоличност и измами.
Активните атаки представляват заплахата с най-висок приоритет, пред която са изправени предприятията днес. За щастие има неща, които можете да направите, за да предотвратите тези атаки и да смекчите ефектите, ако възникнат.
Какво представляват активните атаки?
При активна атака участниците в заплахата използват слабостите в мрежата на целта, за да получат достъп до данните в нея. Тези заплахи могат да се опитат да инжектират нови данни или да контролират разпространението на съществуващи данни.
Активните атаки също включват извършване на промени в данните в устройството на целта. Тези промени варират от кражба на лична информация до пълно превземане на мрежата. Често ви предупреждават, че системата е била компрометирана, тъй като тези атаки са лесно откриваеми, но спирането им, след като са започнали, може да бъде доста трудна задача.
Малките и средни предприятия, известни като малки и средни предприятия, обикновено понасят тежестта на активните атаки. Това е така, защото повечето малки и средни предприятия нямат ресурсите да осигурят високотехнологични мерки за киберсигурност. И тъй като активните атаки продължават да се развиват, тези мерки за сигурност трябва да се актуализират редовно или оставят мрежата уязвима за напреднали атаки.
Как работи активната атака?
Първото нещо, което участниците в заплахата ще направят, след като идентифицират целта, е да потърсят уязвимости в мрежата на целта. Това е подготвителен етап за типа атака, която планират.
Те също така използват пасивни скенери, за да получат информация за типа програми, работещи в мрежата на целта. След като слабостите бъдат открити, хакерите могат да използват някоя от следните форми на активни атаки, за да подкопаят мрежовата сигурност:
1. Атака за отвличане на сесия
В атака за отвличане на сесия, известен също като повторение на сесия, атаки за възпроизвеждане или атаки за повторение, участниците в заплахата копират информацията за идентификатора на интернет сесията на целта. Те използват тази информация, за да извлекат идентификационни данни за вход, да се представят за целите и допълнително да откраднат други чувствителни данни от устройствата си.
Това представяне се извършва с помощта на сесийни бисквитки. Тези бисквитки работят заедно с HTTP комуникационния протокол, за да идентифицират вашия браузър. Но те остават в браузъра, след като сте излезли или приключили сесията на сърфиране. Това е уязвимост, от която се възползват заплахите.
Те възстановяват тези бисквитки и заблуждават браузъра да мисли, че все още сте онлайн. Сега хакерите могат да получат каквато искат информация от вашата хронология на сърфиране. Те могат лесно да получат данни за кредитни карти, финансови транзакции и пароли за акаунти по този начин.
Има и други начини, по които хакерите могат да получат идентификатора на сесията на своята цел. Друг често срещан метод включва използването на злонамерени връзки, водещи до сайтове с готов идентификатор, който хакерът може да използва, за да отвлече вашата сесия на сърфиране. Веднъж заловени, няма да има начин сървърите да открият каквато и да е разлика между оригиналния идентификатор на сесията и другия, репликиран от участниците на заплахата.
2. Атака за модифициране на съобщения
Тези атаки са основно базирани на имейл. Тук актьорът на заплахата редактира адресите на пакети (съдържащи адреса на изпращача и получателя) и изпраща пощата на напълно различно място или променя съдържанието, за да влезе в целта мрежа.
Хакерите командват поща между целта и друга страна. Когато това прихващане приключи, те имат свободата да извършат всякакви операции върху него, включително инжектиране на злонамерени връзки или премахване на всяко съобщение в него. След това пощата ще продължи пътуването си, като целта няма да знае, че е била подправена.
3. Маскарадна атака
Тази атака използва слабости в процеса на удостоверяване на мрежата на целта. Актьорите на заплахите използват откраднати данни за вход, за да се представят за оторизиран потребител, като използват идентификатора на потребителя, за да получат достъп до техните целеви сървъри.
При тази атака заплахата или маскарадът може да бъде служител в организацията или хакер, използващ връзка с публичната мрежа. Слабите процеси на оторизация могат да позволят на тези нападатели да влизат, а количеството данни, до които ще имат достъп, зависи от нивото на привилегия на имитирания потребител.
Първата стъпка в маскарадната атака е използването на мрежов снифър за получаване на IP пакети от устройствата на целта. Тези подправени IP адреси заблуждават защитните стени на целта, като ги заобикалят и получават достъп до тяхната мрежа.
4. Атака за отказ на услуга (DoS).
При тази активна атака участниците в заплахата правят мрежовите ресурси недостъпни за предвидените, оторизирани потребители. Ако претърпите DoS атака, няма да имате достъп до мрежовата информация, устройства, актуализации и платежни системи.
Има различни видове DoS атаки. Един вид е атака при препълване на буфера, където участниците в заплахата наводняват сървърите на целта с много повече трафик, отколкото могат да поемат. Това води до срив на сървърите и в резултат на това няма да можете да получите достъп до мрежата.
Има и атаката на смърфовете. Актьорите на заплахата ще използват напълно неправилно конфигурирани устройства, за да изпращат ICMP (протокол за интернет контролни съобщения) пакети до няколко мрежови хоста с подправен IP адрес. Тези ICMP пакети обикновено се използват, за да се определи дали данните достигат мрежата по подреден начин.
Хостовете, които са получателите на тези пакети, ще изпращат съобщения до мрежата и с много постъпващи отговори резултатът е същият: сривени сървъри.
Как да се предпазите от активни атаки
Активните атаки са нещо обичайно и трябва да защитите мрежата си от тези злонамерени операции.
Първото нещо, което трябва да направите, е да инсталирате защитна стена от висок клас и система за предотвратяване на проникване (IPS). Защитните стени трябва да бъдат част от сигурността на всяка мрежа. Те помагат при сканиране за подозрителна дейност и блокират всяка открита. IPS следи мрежовия трафик като защитни стени и предприема стъпки за защита на мрежата, когато бъде идентифицирана атака.
Друг начин за защита срещу активни атаки е използването на случайни сесийни ключове и еднократни пароли (OTP). Сесийните ключове се използват за криптиране на комуникация между две страни. След като комуникацията приключи, ключът се изхвърля и нов се генерира на случаен принцип, когато започне друга комуникация. Това гарантира максимална сигурност, тъй като всеки ключ е уникален и не може да бъде репликиран. Освен това, когато една сесия приключи, ключът за този период не може да се използва за оценка на данните, обменени по време на сесията.
OTPs работят на същата предпоставка като сесийните ключове. Те са произволно генерирани буквено-цифрови/цифрови знаци, които са валидни само за една цел и изтичат след определен период. Те често се използват в комбинация с парола за предоставяне двуфакторна автентификация.
Хакери и нападатели, защитни стени и 2FA
Активните атаки използват слабостите в протоколите за удостоверяване на мрежата. Следователно, единственият доказан начин за предотвратяване на тези атаки е използването на защитни стени, IPS, произволни сесийни ключове и, най-важното, двуфакторно удостоверяване. Такова удостоверяване може да бъде комбинация от произволно генериран ключ, потребителско име и парола.
Това може да изглежда досадно, но тъй като активните атаки се развиват и стават още по-безмилостни, процесите на проверка трябва да се справят с предизвикателството, като стоят на стража срещу тези входящи атаки. Не забравяйте, че след като заплахите са във вашата мрежа, ще бъде трудно да ги изчистите.