Rovnako ako pri vykonávaní prieskumu pred fyzickým útokom, útočníci často získavajú informácie pred kybernetickým útokom.
Kyberzločinci nechodia a neoznamujú svoju prítomnosť. Udierajú tými najnenápadnejšími spôsobmi. Útočníkovi môžete poskytnúť informácie o svojom systéme bez toho, aby ste o tom vedeli.
A ak im tieto informácie neposkytnete, môžu ich získať inde bez vášho povolenia – nie vďaka prieskumným útokom. Zabezpečte svoj systém tým, že sa dozviete viac o prieskumných útokoch, ako fungujú a ako im môžete zabrániť.
Čo je prieskumný útok?
Reconnaissance je proces zhromažďovania informácií o systéme na identifikáciu zraniteľností. Pôvodne etická hackerská technika, umožnilo vlastníkom sietí lepšie zabezpečiť svoje systémy po identifikácii ich bezpečnostných medzier.
V priebehu rokov sa prieskum rozrástol z etického postupu hackerov na mechanizmus kybernetického útoku. Prieskumný útok je proces, pri ktorom hacker hrá rolu tajného detektíva, ktorého chce loviť informácie o svojich cieľových systémoch a potom tieto informácie použiť na identifikáciu zraniteľností pred nimi útokov.
Druhy prieskumných útokov
Existujú dva typy prieskumných útokov: aktívne a pasívne.
1. Aktívny prieskum
Pri aktívnom prieskume sa útočník aktívne stretáva s cieľom. Komunikujú s vami, len aby získali informácie o vašom systéme. Aktívny prieskum je pomerne efektívny, pretože útočníkovi poskytuje cenné informácie o vašom systéme.
Nasledujú techniky aktívneho prieskumu.
Sociálne inžinierstvo
Sociálne inžinierstvo je proces, v ktorom pôsobí kybernetická hrozba manipuluje s cieľmi, aby odhalil dôverné informácie k nim. Môžu vás kontaktovať online prostredníctvom okamžitých rozhovorov, e-mailov a iných interaktívnych prostriedkov, aby si s vami vybudovali spojenie. Keď si vás získajú, prinútia vás prezradiť citlivé informácie o vašom systéme alebo vás nalákajú na otvorenie súboru infikovaného škodlivým softvérom, ktorý ohrozí vašu sieť.
Aktívny footprinting je metóda, ktorá zahŕňa votrelca, ktorý podnikne úmyselné kroky na zhromaždenie informácií o vašom systéme, jeho bezpečnostnej infraštruktúre a zapojení používateľov. Získavajú vaše IP adresy, aktívne e-mailové adresy, informácie o systéme názvov domén (DNS) atď.
Aktívny footprinting je možné automatizovať. V tomto prípade aktér hrozby používa nástroje, ako je sieťový mapovač (Nmap), open-source platforma, ktorá poskytuje prehľad o službách a hostiteľoch bežiacich v sieti, aby ste získali dôležité informácie o vašej sieti systém.
Skenovanie portov
Porty sú oblasti, cez ktoré prechádzajú informácie z jedného počítačového programu alebo zariadenia do druhého. Pri skenovaní portov aktér hrozby prehľadá porty vo vašej sieti identifikovať tie otvorené. Používajú skener portov na zistenie aktívnych služieb vo vašej sieti, ako sú hostitelia a adresy IP, a potom sa dostanú cez otvorené porty.
Dôkladné skenovanie portov poskytne útočníkovi všetky potrebné informácie o stave bezpečnosti vašej siete.
2. Pasívny prieskum
Pri pasívnom prieskume sa útočník nezapája priamo do vás alebo vášho systému. Vykonávajú prieskum na diaľku, monitorujú prevádzku a interakcie vo vašej sieti.
Aktér hrozby v pasívnom prieskume sa obráti na verejné platformy, ako sú vyhľadávače a online úložiská, aby získal informácie o vašom systéme.
Stratégie pasívneho prieskumu zahŕňajú nasledujúce.
Open Source Intelligence
Open source inteligencia (OSINT), nie je zamieňať s open source softvérom, sa týka zhromažďovania a analýzy údajov z verejných miest. Ľudia a siete šíria svoje informácie na webe buď úmyselne, alebo neúmyselne. Prieskumný činiteľ by mohol použiť OSINT na získanie cenných informácií o vašom systéme.
Vyhľadávače ako Google, Yahoo a Bing sú prvé nástroje, ktoré vám napadnú, keď hovoríte o platformách s otvoreným zdrojovým kódom, no open source ide nad rámec týchto nástrojov. Existuje mnoho online zdrojov, ktoré vyhľadávače nepokrývajú z dôvodu obmedzení prihlásenia a iných bezpečnostných faktorov.
Ako už bolo spomenuté, footprinting je technika na zhromažďovanie informácií o cieli. V tomto prípade sú však aktivity pasívne, čo znamená, že nedochádza k priamej interakcii alebo zapájaniu. Útočník vykonáva svoje vyšetrovanie z diaľky, kontroluje vás vo vyhľadávačoch, sociálnych médiách a iných online úložiskách.
Aby útočník získal konkrétne informácie z pasívnej stopy, nespolieha sa len na populárne platformy, ako sú vyhľadávače a sociálne médiá. Používajú nástroje ako Wireshark a Shodan na získanie ďalších informácií, ktoré nemusia byť dostupné na populárnych platformách.
Ako fungujú prieskumné útoky?
Bez ohľadu na typ prieskumnej stratégie, ktorú útočník používa, fungujú podľa súboru smerníc. Prvé dva kroky sú pasívne, zatiaľ čo ostatné sú aktívne.
1. Zbierajte údaje o cieli
Zhromažďovanie údajov o cieli je prvým krokom pri prieskumnom útoku. Votrelec je v tomto štádiu pasívny. Svoje zistenia robia z diaľky a získavajú informácie o vašom systéme vo verejnom priestore.
2. Definujte rozsah cieľovej siete
Váš systém môže byť väčší alebo menší, ako sa zdá. Definovanie jeho dosahu dáva útočníkovi jasnú predstavu o jeho veľkosti a vedie ho pri realizácii jeho plánov. Berú na vedomie rôzne oblasti vašej siete a uvádzajú zdroje, ktoré potrebujú na pokrytie oblastí záujmu.
V tejto fáze aktér hrozby hľadá aktívne nástroje vo vašom systéme a prostredníctvom týchto nástrojov vás zapojí, aby od vás získal dôležité informácie. Príklady aktívnych nástrojov zahŕňajú funkčné e-mailové adresy, účty sociálnych médií, telefónne čísla atď.
4. Nájdite otvorené porty a prístupové body
Útočník chápe, že nemôže magicky vstúpiť do vášho systému, a tak nájde prístupové body a otvorené porty, cez ktoré môže vstúpiť. Nasadzujú techniky ako skenovanie portov na identifikáciu otvorených portov a iných prístupových bodov na získanie neoprávneného prístupu.
5. Identifikujte operačný systém cieľa
Keďže rôzne operačné systémy majú rôzne bezpečnostné infraštruktúry, počítačoví zločinci musia identifikovať konkrétny operačný systém, s ktorým majú dočinenia. Týmto spôsobom môžu implementovať správne techniky na obídenie akejkoľvek bezpečnostnej ochrany.
6. Prehľad služieb na portoch
Služby na vašich portoch majú autorizovaný prístup do vašej siete. Útočník zachytí tieto služby a prenikne dovnútra tak, ako by to normálne robili tieto služby. Ak to dokážu efektívne, nemusíte si všimnúť žiadne narušenie.
7. Zmapujte sieť
V tejto fáze je už útočník vo vašom systéme. Používajú sieťové mapovanie, aby mali úplnú viditeľnosť vašej siete. Pomocou tohto mechanizmu môžu nájsť a získať vaše kritické údaje. Útočník má v tomto bode úplnú kontrolu nad vašou sieťou a môže si robiť, čo chce.
Ako zabrániť prieskumným útokom
Prieskumné útoky nie sú neporaziteľné. Existujú opatrenia, ktoré im môžete zabrániť. Tieto opatrenia zahŕňajú nasledujúce.
1. Zabezpečte svoje koncové body pomocou EDR
Porty, cez ktoré prieskumný aktér pristupuje k vašej sieti, sú súčasťou jej koncových bodov. Zavedenie prísnejšej bezpečnosti v týchto oblastiach s koncové bezpečnostné systémy ako je detekcia a odozva koncového bodu (EDR), budú menej dostupné pre narušiteľov.
Keďže efektívne EDR má automatizované monitorovanie a analýzu údajov v reálnom čase na odvrátenie hrozieb, odolá útočníkovým prieskumným snahám získať neoprávnený prístup cez vaše porty.
2. Identifikujte slabé miesta pomocou penetračného testovania
Kyberútočníci prosperujú zo zraniteľností v systémoch. Prevezmite iniciatívu a objavte zraniteľné miesta, ktoré môžu existovať vo vašom systéme skôr, ako ich objavia zločinci. Môžete to urobiť penetračným testom.
Obujte si hackerské topánky a spustite etický útok na váš systém. Pomôže vám to odhaliť bezpečnostné medzery, ktoré by sa bežne nachádzali vo vašich slepých uhloch.
3. Prijať integrované systémy kybernetickej bezpečnosti
Aktéri hrozieb nasadzujú všetky druhy technológií na úspešné spustenie kybernetických útokov. Účinným spôsobom, ako zabrániť týmto útokom, je využiť výhody integrovaných riešení kybernetickej bezpečnosti.
Pokročilé systémy, ako sú bezpečnostné informácie a správa udalostí (SIEM), ponúkajú úplné zabezpečenie na zabezpečenie vašich digitálnych aktív. Sú naprogramované na detekciu a zastavenie hrozieb skôr, ako spôsobia značné poškodenie vašej siete.
Buďte proaktívni, aby ste zabránili prieskumným útokom
Kyberzločinci možno zdokonalili svoje vyčíňanie v prieskumných útokoch, ale vy ich môžete zatlačiť posilnením obrany. Rovnako ako pri väčšine útokov je lepšie zabezpečiť váš systém pred prieskumnými útokmi tým, že budete v súvislosti so zabezpečením proaktívni.