Aktívny útok je nebezpečný kybernetický útok, pretože sa pokúša zmeniť zdroje alebo operácie vašej počítačovej siete. Aktívne útoky často vedú k nezistenej strate údajov, poškodeniu značky a zvýšenému riziku krádeže identity a podvodu.
Aktívne útoky predstavujú hrozbu s najvyššou prioritou, ktorej dnes podniky čelia. Našťastie existujú veci, ktoré môžete urobiť, aby ste predišli týmto útokom a zmiernili ich účinky, ak sa vyskytnú.
Čo sú aktívne útoky?
Pri aktívnom útoku aktéri hrozby využívajú slabé miesta v cieľovej sieti, aby získali prístup k údajom v nej. Títo aktéri hrozieb sa môžu pokúsiť vložiť nové údaje alebo kontrolovať šírenie existujúcich údajov.
Aktívne útoky zahŕňajú aj vykonávanie zmien údajov v cieľovom zariadení. Tieto zmeny siahajú od krádeže osobných údajov až po úplné prevzatie siete. Často ste upozornení, že systém bol napadnutý, pretože tieto útoky sú ľahko zistiteľné, ale zastaviť ich po ich spustení môže byť dosť náročné.
Malé a stredné podniky, bežne známe ako SMB, zvyčajne znášajú bremeno aktívnych útokov. Dôvodom je skutočnosť, že väčšina malých a stredných podnikov nemá zdroje na obstaranie špičkových opatrení v oblasti kybernetickej bezpečnosti. A keďže sa aktívne útoky neustále vyvíjajú, tieto bezpečnostné opatrenia sa musia pravidelne aktualizovať, inak ponechajú sieť zraniteľnú voči pokročilým útokom.
Ako funguje aktívny útok?
Prvá vec, ktorú aktéri hrozieb urobia po identifikácii cieľa, je hľadať zraniteľné miesta v cieľovej sieti. Toto je prípravná fáza pre typ útoku, ktorý plánujú.
Používajú tiež pasívne skenery na získanie informácií o type programov spustených v sieti cieľa. Po odhalení slabín môžu hackeri použiť ktorúkoľvek z nasledujúcich foriem aktívnych útokov na podkopanie bezpečnosti siete:
1. Útok na únos relácie
V útok na únos relácie, tiež známy ako prehratie relácie, útoky na prehrávanie alebo útoky na prehratie, aktéri hrozby skopírujú informácie o ID cieľovej relácie na internete. Tieto informácie používajú na získanie prihlasovacích údajov, odcudzenie identity cieľov a ďalšie odcudzenie ďalších citlivých údajov zo svojich zariadení.
Toto odcudzenie identity sa vykonáva pomocou súborov cookie relácie. Tieto súbory cookie spolupracujú s komunikačným protokolom HTTP na identifikáciu vášho prehliadača. Zostanú však v prehliadači po odhlásení alebo ukončení relácie prehliadania. Toto je zraniteľnosť, ktorú aktéri hrozieb využívajú.
Obnovia tieto súbory cookie a oklamú prehliadač, aby si myslel, že ste stále online. Teraz môžu hackeri z vašej histórie prehliadania získať akékoľvek informácie, ktoré chcú. Týmto spôsobom môžu ľahko získať podrobnosti o kreditných kartách, finančných transakciách a heslách účtov.
Existujú aj iné spôsoby, ako môžu hackeri získať ID relácie svojho cieľa. Ďalšou bežnou metódou je použitie škodlivých odkazov, ktoré vedú na stránky s pripraveným ID, ktoré môže hacker použiť na zneužitie vašej relácie prehliadania. Po zabavení by servery nemali žiadny spôsob, ako zistiť akýkoľvek rozdiel medzi pôvodným ID relácie a iným, ktorý replikovali aktéri hrozby.
2. Útok na úpravu správ
Tieto útoky sú založené najmä na e-mailoch. Tu aktér hrozby upravuje adresy paketov (obsahujúcich adresu odosielateľa a príjemcu) a odošle poštu na úplne iné miesto alebo upraví obsah tak, aby sa dostal do cieľa siete.
Hackeri ovládajú poštu medzi cieľom a inou stranou. Keď je toto zachytenie dokončené, môžu na ňom vykonať akúkoľvek operáciu, vrátane vloženia škodlivých odkazov alebo odstránenia akejkoľvek správy. Pošta potom bude pokračovať vo svojej ceste, pričom cieľ nevie, že s ňou bolo manipulované.
3. Maškarný útok
Tento útok využíva slabé miesta v procese autentifikácie cieľovej siete. Aktéri hrozieb používajú ukradnuté prihlasovacie údaje na vydávanie sa za oprávneného používateľa, pričom používajú ID používateľa na získanie prístupu k svojim cieľovým serverom.
V tomto útoku môže byť aktérom hrozby alebo maškaráda zamestnanec v rámci organizácie alebo hacker využívajúci pripojenie k verejnej sieti. Laxné autorizačné procesy môžu týmto útočníkom umožniť vstup a množstvo údajov, ku ktorým by mali prístup, závisí od úrovne privilégií zosobneného používateľa.
Prvým krokom pri maškarnom útoku je použitie sieťového sniffera na získanie IP paketov z cieľových zariadení. Títo falošné IP adresy oklamať cieľové firewally, obísť ich a získať prístup do ich siete.
4. Denial-of-Service (DoS) útok
Pri tomto aktívnom útoku aktéri hrozby zneprístupnia sieťové zdroje určeným, oprávneným používateľom. Ak zaznamenáte útok DoS, nebudete môcť získať prístup k informáciám, zariadeniam, aktualizáciám a platobným systémom siete.
Existujú rôzne typy útokov DoS. Jeden typ je buffer overflow útok, kde aktéri hrozieb zaplavia servery cieľa oveľa väčšou návštevnosťou, než dokážu zvládnuť. To spôsobí zlyhanie serverov a v dôsledku toho nebudete môcť získať prístup k sieti.
Nechýba ani šmolkový útok. Aktéri hrozieb použijú úplne nesprávne nakonfigurované zariadenia na odosielanie paketov ICMP (internet control message protocol) niekoľkým sieťovým hostiteľom so sfalšovanou IP adresou. Tieto ICMP pakety sa zvyčajne používajú na určenie, či sa údaje dostávajú do siete usporiadaným spôsobom.
Hostitelia, ktorí sú príjemcami týchto paketov, budú posielať správy do siete a keďže prichádza veľa odpovedí, výsledok je rovnaký: havarované servery.
Ako sa chrániť pred aktívnymi útokmi
Aktívne útoky sú bežné a mali by ste chrániť svoju sieť pred týmito škodlivými operáciami.
Prvá vec, ktorú by ste mali urobiť, je nainštalovať špičkový firewall a systém prevencie vniknutia (IPS). Firewally by mali byť súčasťou zabezpečenia každej siete. Pomáhajú skenovať podozrivú aktivitu a blokujú všetky zistené. IPS monitoruje sieťovú prevádzku, ako sú brány firewall, a podniká kroky na ochranu siete, keď je identifikovaný útok.
Ďalším spôsobom ochrany pred aktívnymi útokmi je použitie náhodných kľúčov relácie a jednorazových hesiel (OTP). Kľúče relácie sa používajú na šifrovanie komunikácie medzi dvoma stranami. Po ukončení komunikácie sa kľúč zahodí a náhodne sa vygeneruje nový, keď sa začne ďalšia komunikácia. To zaisťuje maximálnu bezpečnosť, pretože každý kľúč je jedinečný a nemožno ho replikovať. Okrem toho, keď sa relácia skončí, kľúč pre toto obdobie nemožno použiť na vyhodnotenie údajov vymenených počas relácie.
Jednorazové heslo fungujú na rovnakom princípe ako kľúče relácie. Sú to náhodne generované alfanumerické/numerické znaky, ktoré sú platné len na jeden účel a ich platnosť vyprší po určitom období. Často sa používajú v kombinácii s heslom dvojfaktorové overenie.
Hackeri a útočníci, firewally a 2FA
Aktívne útoky využívajú slabé miesta v overovacích protokoloch siete. Jediným osvedčeným spôsobom, ako týmto útokom predchádzať, je preto používanie firewallov, IPS, náhodných kľúčov relácií a hlavne dvojfaktorovej autentifikácie. Takáto autentifikácia môže byť kombináciou náhodne vygenerovaného kľúča, používateľského mena a hesla.
Môže sa to zdať únavné, ale keďže sa aktívne útoky vyvíjajú a stávajú sa ešte bezohľadnejšími, verifikačné procesy by sa mali postaviť pred tieto prichádzajúce útoky. Pamätajte, že keď už sú aktéri hrozieb vo vašej sieti, bolo by ťažké ich odstrániť.
