Aktivni napad je nevaren kibernetski napad, ker poskuša spremeniti vire ali operacije vašega računalniškega omrežja. Aktivni napadi pogosto povzročijo nezaznano izgubo podatkov, poškodbo blagovne znamke in povečano tveganje kraje identitete in goljufije.
Aktivni napadi predstavljajo grožnjo najvišje prioritete, s katero se soočajo podjetja danes. Na srečo lahko nekaj naredite, da preprečite te napade in ublažite posledice, če se pojavijo.
Kaj so aktivni napadi?
Pri aktivnem napadu akterji groženj izkoristijo slabosti v ciljnem omrežju, da pridobijo dostop do podatkov v njem. Ti akterji groženj lahko poskušajo vnesti nove podatke ali nadzorovati razširjanje obstoječih podatkov.
Aktivni napadi vključujejo tudi spreminjanje podatkov v ciljni napravi. Te spremembe segajo od kraje osebnih podatkov do popolnega prevzema omrežja. Pogosto ste opozorjeni, da je bil sistem ogrožen, saj je te napade zlahka zaznati, vendar je zaustavitev, ko se začnejo, lahko precej zahtevna.
Mala in srednje velika podjetja, splošno znana kot MSP, običajno nosijo glavno breme aktivnih napadov. To je zato, ker večina malih in srednje velikih podjetij nima sredstev za nabavo vrhunskih ukrepov kibernetske varnosti. Ker se aktivni napadi še naprej razvijajo, je treba te varnostne ukrepe redno posodabljati, sicer pustijo omrežje ranljivo za napredne napade.
Kako deluje aktivni napad?
Prva stvar, ki jo bodo akterji groženj naredili po identifikaciji tarče, je iskanje ranljivosti v ciljnem omrežju. To je pripravljalna faza za vrsto napada, ki ga načrtujejo.
Uporabljajo tudi pasivne skenerje za pridobivanje informacij o vrsti programov, ki se izvajajo v ciljnem omrežju. Ko so slabosti odkrite, lahko hekerji uporabijo katero koli od naslednjih oblik aktivnih napadov za spodkopavanje varnosti omrežja:
1. Napad z ugrabitvijo seje
V napad z ugrabitvijo seje, znan tudi kot ponovitev seje, napadi predvajanja ali napadi ponovitve, akterji groženj kopirajo informacije o ID-ju internetne seje cilja. Te informacije uporabljajo za pridobivanje poverilnic za prijavo, lažno predstavljanje tarč in krajo drugih občutljivih podatkov iz njihovih naprav.
To poosebljanje poteka z uporabo sejnih piškotkov. Ti piškotki delujejo skupaj s komunikacijskim protokolom HTTP za prepoznavanje vašega brskalnika. Vendar ostanejo v brskalniku, ko se odjavite ali končate sejo brskanja. To je ranljivost, ki jo akterji groženj izkoriščajo.
Obnovijo te piškotke in zavedejo brskalnik, da misli, da ste še vedno povezani. Zdaj lahko hekerji pridobijo kakršne koli informacije iz vaše zgodovine brskanja. Na ta način lahko preprosto pridobijo podatke o kreditni kartici, finančne transakcije in gesla za račune.
Hekerji lahko pridobijo ID seje svojega cilja tudi na druge načine. Druga pogosta metoda vključuje uporabo zlonamernih povezav, ki vodijo do spletnih mest z že pripravljenim ID-jem, s katerim lahko heker ugrabi vašo sejo brskanja. Ko bi bili enkrat zaseženi, strežniki ne bi mogli zaznati nobene razlike med prvotnim ID-jem seje in drugim, ki so ga posnemali akterji groženj.
2. Napad spreminjanja sporočila
Ti napadi večinoma temeljijo na e-pošti. Tukaj akter grožnje ureja naslove paketov (ki vsebujejo naslov pošiljatelja in prejemnika) in pošlje pošto na povsem drugo lokacijo ali spremeni vsebino, da pride do tarče omrežje.
Hekerji nadzorujejo pošto med tarčo in drugo stranjo. Ko je prestrezanje končano, lahko na njem izvedejo kakršno koli operacijo, vključno z vstavljanjem zlonamernih povezav ali odstranitvijo katerega koli sporočila v njem. Pošta bo nato nadaljevala svojo pot, pri čemer tarča ne bo vedela, da je bila vanjo spremenjena.
3. Maškaradni napad
Ta napad izkorišča slabosti v procesu preverjanja pristnosti ciljnega omrežja. Akterji grožnje uporabljajo ukradene podatke za prijavo, da se izdajo za pooblaščenega uporabnika, pri čemer uporabijo ID uporabnika za dostop do svojih ciljnih strežnikov.
V tem napadu je lahko akter grožnje ali maskarada zaposleni v organizaciji ali heker, ki uporablja povezavo z javnim omrežjem. Ohlapni postopki avtorizacije lahko tem napadalcem omogočijo vstop, količina podatkov, do katerih bi imeli dostop, pa je odvisna od ravni privilegijev oponašenega uporabnika.
Prvi korak pri maskiranem napadu je uporaba omrežnega vohača za pridobivanje paketov IP iz ciljnih naprav. te ponarejeni naslovi IP preslepiti ciljne požarne zidove, jih zaobiti in pridobiti dostop do njihovega omrežja.
4. Napad zavrnitve storitve (DoS).
V tem aktivnem napadu povzročitelji groženj onemogočijo omrežne vire predvidenim, pooblaščenim uporabnikom. Če doživite napad DoS, ne boste mogli dostopati do omrežnih informacij, naprav, posodobitev in plačilnih sistemov.
Obstajajo različne vrste napadov DoS. Ena vrsta je napad prekoračitve medpomnilnika, kjer akterji groženj preplavijo ciljne strežnike z veliko več prometa, kot ga lahko prenesejo. To povzroči zrušitev strežnikov in posledično ne boste mogli pridobiti dostopa do omrežja.
Obstaja tudi napad smrkcev. Akterji groženj bodo uporabili popolnoma napačno konfigurirane naprave za pošiljanje paketov ICMP (internet control message protocol) več omrežnim gostiteljem s ponarejenim naslovom IP. Ti paketi ICMP se običajno uporabljajo za ugotavljanje, ali podatki dosežejo omrežje na urejen način.
Gostitelji, ki so prejemniki teh paketov, bodo pošiljali sporočila v omrežje in s številnimi odzivi, ki prihajajo, je rezultat enak: zrušeni strežniki.
Kako se zaščititi pred aktivnimi napadi
Aktivni napadi so običajni in zaščitite svoje omrežje pred temi zlonamernimi operacijami.
Prva stvar, ki jo morate storiti, je namestitev vrhunskega požarnega zidu in sistem za preprečevanje vdorov (IPS). Požarni zidovi bi morali biti del varnosti katerega koli omrežja. Pomagajo iskati sumljive dejavnosti in blokirajo vse, ki jih zaznajo. IPS spremlja omrežni promet kot požarni zidovi in sprejme ukrepe za zaščito omrežja, ko je prepoznan napad.
Drug način zaščite pred aktivnimi napadi je uporaba naključnih ključev seje in enkratnih gesel (OTP). Ključi seje se uporabljajo za šifriranje komunikacije med dvema stranema. Ko se komunikacija konča, se ključ zavrže, nov pa se naključno ustvari, ko se začne druga komunikacija. To zagotavlja največjo varnost, saj je vsak ključ edinstven in ga ni mogoče ponoviti. Poleg tega, ko se seja konča, ključa za to obdobje ni mogoče uporabiti za oceno podatkov, izmenjanih med sejo.
OTP-ji delujejo na enaki osnovi kot ključi seje. So naključno ustvarjeni alfanumerični/številski znaki, ki veljajo samo za en namen in potečejo po določenem obdobju. Pogosto se uporabljajo v kombinaciji z geslom za zagotavljanje dvofaktorsko avtentikacijo.
Hekerji in napadalci, požarni zidovi in 2FA
Aktivni napadi izkoriščajo slabosti v omrežnih protokolih za preverjanje pristnosti. Zato je edini dokazani način za preprečevanje teh napadov uporaba požarnih zidov, IPS, naključnih ključev sej in, kar je najpomembneje, dvofaktorske avtentikacije. Takšna avtentikacija je lahko kombinacija naključno ustvarjenega ključa, uporabniškega imena in gesla.
To se morda zdi dolgočasno, toda ko se aktivni napadi razvijajo in postajajo še bolj neusmiljeni, bi morali postopki preverjanja kos izzivu in stati na straži pred temi prihajajočimi napadi. Ne pozabite, da ko so akterji groženj v vašem omrežju, jih bo težko odplakniti.
