Aktīvs uzbrukums ir bīstams kiberuzbrukums, jo tas mēģina mainīt jūsu datortīkla resursus vai darbības. Aktīvi uzbrukumi bieži izraisa neatklātu datu zudumu, zīmola bojājumus un palielinātu identitātes zādzības un krāpšanas risku.
Aktīvie uzbrukumi ir visaugstākās prioritātes draudi, ar kuriem šodien saskaras uzņēmumi. Par laimi, ir lietas, ko varat darīt, lai novērstu šos uzbrukumus un mazinātu sekas, ja tie notiek.
Kas ir aktīvi uzbrukumi?
Aktīvā uzbrukumā apdraudējuma dalībnieki izmanto mērķa tīkla vājās vietas, lai piekļūtu tajā esošajiem datiem. Šie apdraudējuma dalībnieki var mēģināt ievadīt jaunus datus vai kontrolēt esošo datu izplatīšanu.
Aktīvie uzbrukumi ietver arī datu izmaiņu veikšanu mērķa ierīcē. Šīs izmaiņas svārstās no personiskās informācijas zādzības līdz pilnīgai tīkla pārņemšanai. Jūs bieži tiekat brīdināts, ka sistēma ir apdraudēta, jo šie uzbrukumi ir viegli nosakāmi, taču to apturēšana, tiklīdz tie ir sākušies, var būt diezgan sarežģīti.
Mazie un vidējie uzņēmumi, ko parasti sauc par MVU, parasti uzņemas aktīvo uzbrukumu smagumu. Tas ir tāpēc, ka lielākajai daļai MVU nav resursu, lai iegādātos augstas klases kiberdrošības pasākumus. Tā kā aktīvie uzbrukumi turpina attīstīties, šie drošības pasākumi ir regulāri jāatjaunina, pretējā gadījumā tīkls kļūst neaizsargāts pret progresīviem uzbrukumiem.
Kā darbojas aktīvs uzbrukums?
Pirmā lieta, ko apdraudējuma dalībnieki darīs pēc mērķa identificēšanas, ir meklēt ievainojamības mērķa tīklā. Šis ir sagatavošanās posms plānotajam uzbrukuma veidam.
Viņi arī izmanto pasīvos skenerus, lai iegūtu informāciju par to programmu veidiem, kas darbojas mērķa tīklā. Kad trūkumi ir atklāti, hakeri var izmantot jebkuru no šiem aktīvo uzbrukumu veidiem, lai mazinātu tīkla drošību:
1. Sesijas nolaupīšanas uzbrukums
Iekšā sesijas nolaupīšanas uzbrukums, ko sauc arī par sesijas atkārtošanu, atskaņošanas uzbrukumiem vai atkārtošanas uzbrukumiem, apdraudējuma dalībnieki kopē mērķa interneta sesijas ID informāciju. Viņi izmanto šo informāciju, lai izgūtu pieteikšanās akreditācijas datus, uzdodas par mērķiem un tālāk no savām ierīcēm nozagtu citus sensitīvus datus.
Šī uzdošanās tiek veikta, izmantojot sesijas sīkfailus. Šīs sīkdatnes darbojas kopā ar HTTP saziņas protokolu, lai identificētu jūsu pārlūkprogrammu. Bet tie paliek pārlūkprogrammā pēc tam, kad esat izrakstījies vai beidzis pārlūkošanas sesiju. Tā ir ievainojamība, ko apdraud dalībnieki.
Viņi atgūst šos sīkfailus un liek pārlūkprogrammai domāt, ka joprojām esat tiešsaistē. Tagad hakeri var iegūt visu nepieciešamo informāciju no jūsu pārlūkošanas vēstures. Šādā veidā viņi var viegli iegūt kredītkaršu informāciju, finanšu darījumus un kontu paroles.
Ir arī citi veidi, kā hakeri var iegūt sava mērķa sesijas ID. Vēl viena izplatīta metode ietver ļaunprātīgu saišu izmantošanu, kas novirza uz vietnēm ar gatavu ID, ko hakeris var izmantot, lai nolaupītu jūsu pārlūkošanas sesiju. Pēc konfiskācijas serveriem vairs nebūs iespējas noteikt atšķirību starp sākotnējo sesijas ID un citu sesijas ID, ko replikējuši apdraudējuma dalībnieki.
2. Ziņojuma modifikācijas uzbrukums
Šie uzbrukumi galvenokārt ir balstīti uz e-pastu. Šeit draudu izpildītājs rediģē pakešu adreses (kas satur sūtītāja un saņēmēja adresi) un sūta pastu uz pilnīgi citu vietu vai maina saturu, lai tas nonāktu mērķa sarakstā tīkls.
Hakeri komandē pastu starp mērķi un citu personu. Kad pārtveršana ir pabeigta, viņi var ar to veikt jebkādas darbības, tostarp ievadīt ļaunprātīgas saites vai noņemt ziņojumus. Pēc tam pasts turpinās savu ceļu, un mērķis nezina, ka tas ir bojāts.
3. Maskarādes uzbrukums
Šis uzbrukums izmanto vājās vietas mērķa tīkla autentifikācijas procesā. Apdraudējuma dalībnieki izmanto nozagtu pieteikšanās informāciju, lai uzdotos par autorizētu lietotāju, izmantojot lietotāja ID, lai piekļūtu saviem mērķa serveriem.
Šajā uzbrukumā draudu izpildītājs vai maskarāde varētu būt darbinieks organizācijā vai hakeris, kurš izmanto savienojumu ar publisko tīklu. Viegli autorizācijas procesi var ļaut šiem uzbrucējiem iekļūt, un datu apjoms, kuram tie varētu piekļūt, ir atkarīgs no uzdotā lietotāja privilēģiju līmeņa.
Pirmais solis masku uzbrukumā ir tīkla sniffer izmantošana, lai iegūtu IP paketes no mērķa ierīcēm. Šie viltotas IP adreses apmānīt mērķa ugunsmūrus, apejot tos un iegūstot piekļuvi viņu tīklam.
4. Pakalpojuma atteikuma (DoS) uzbrukums
Šajā aktīvajā uzbrukumā apdraudējuma dalībnieki padara tīkla resursus nepieejamus paredzētajiem, pilnvarotajiem lietotājiem. Ja jums rodas DoS uzbrukums, jūs nevarēsit piekļūt tīkla informācijai, ierīcēm, atjauninājumiem un maksājumu sistēmām.
Ir dažādi DoS uzbrukumu veidi. Viens veids ir bufera pārplūdes uzbrukums, kur apdraudējuma dalībnieki pārpludina mērķa serverus ar daudz lielāku trafiku, nekā spēj apstrādāt. Tas izraisa serveru avāriju, un rezultātā jūs nevarēsit piekļūt tīklam.
Ir arī smurfu uzbrukums. Apdraudējumi izmantos pilnībā nepareizi konfigurētas ierīces, lai nosūtītu ICMP (interneta kontroles ziņojumu protokola) paketes vairākiem tīkla resursdatoriem ar viltotu IP adresi. Šīs ICMP paketes parasti tiek izmantotas, lai noteiktu, vai dati tīklā nonāk kārtīgi.
Saimnieki, kas ir šo pakešu saņēmēji, nosūtīs ziņojumus tīklam, un, saņemot daudzas atbildes, rezultāts ir tāds pats: avarējuši serveri.
Kā pasargāt sevi no aktīviem uzbrukumiem
Aktīvi uzbrukumi ir izplatīti, un jums ir jāaizsargā savs tīkls no šīm ļaunprātīgajām darbībām.
Pirmā lieta, kas jums jādara, ir instalēt augstas klases ugunsmūri un ielaušanās novēršanas sistēma (IPS). Ugunsmūriem ir jābūt daļai no jebkura tīkla drošības. Tie palīdz skenēt aizdomīgas darbības un bloķē visas atklātās darbības. IPS uzrauga tīkla trafiku, piemēram, ugunsmūrus, un veic pasākumus, lai aizsargātu tīklu, kad tiek konstatēts uzbrukums.
Vēl viens veids, kā aizsargāties pret aktīviem uzbrukumiem, ir izmantot izlases sesijas atslēgas un vienreizējās paroles (OTP). Sesijas atslēgas tiek izmantotas, lai šifrētu saziņu starp divām pusēm. Kad saziņa beidzas, atslēga tiek izmesta, un, kad sākas cita saziņa, nejauši tiek ģenerēta jauna. Tas nodrošina maksimālu drošību, jo katra atslēga ir unikāla un to nevar replicēt. Turklāt, kad sesija ir beigusies, šī perioda atslēgu nevar izmantot, lai novērtētu sesijas laikā apmainītos datus.
OTP darbojas tajā pašā vietā kā sesijas atslēgas. Tās ir nejauši ģenerētas burtciparu/ciparu rakstzīmes, kas ir derīgas tikai vienam mērķim un beidzas pēc noteikta perioda. Tos bieži izmanto kopā ar paroli, lai nodrošinātu divu faktoru autentifikācija.
Hakeri un uzbrucēji, ugunsmūri un 2FA
Aktīvie uzbrukumi izmanto tīkla autentifikācijas protokolu nepilnības. Tāpēc vienīgais pārbaudītais veids, kā novērst šos uzbrukumus, ir izmantot ugunsmūrus, IPS, izlases sesijas atslēgas un, pats galvenais, divu faktoru autentifikāciju. Šāda autentifikācija var būt nejauši ģenerētas atslēgas, lietotājvārda un paroles kombinācija.
Tas varētu šķist nogurdinoši, taču, aktīviem uzbrukumiem attīstoties un kļūstot vēl nežēlīgākiem, verifikācijas procesiem ir jāpiemēro izaicinājums, nodrošinot aizsardzību pret šiem ienākošajiem uzbrukumiem. Atcerieties, ka tad, kad apdraudējuma dalībnieki ir jūsu tīklā, tos būs grūti izskalot.
