Stejně jako při provádění průzkumu před fyzickým útokem útočníci často získávají informace před kybernetickým útokem.
Kyberzločinci nechodí a neoznamují svou přítomnost. Útočí tím nejnenápadnějším způsobem. Mohli byste útočníkovi poskytnout informace o vašem systému, aniž byste o tom věděli.
A pokud jim informace neposkytnete, mohou je získat jinde bez vašeho svolení – ne díky průzkumným útokům. Zabezpečte svůj systém tím, že se dozvíte více o průzkumných útocích, jak fungují a jak jim můžete zabránit.
Co je průzkumný útok?
Reconnaissance je proces shromažďování informací o systému k identifikaci zranitelností. Původně etická hackerská technika, umožnil vlastníkům sítí lépe zabezpečit jejich systémy poté, co identifikovali jejich bezpečnostní mezery.
Během let se průzkum rozrostl z etického hackerského postupu na mechanismus kybernetického útoku. Průzkumný útok je proces, při kterém hacker hraje roli tajného detektiva, kterého chce lovit informace o svých cílových systémech a poté tyto informace použít k identifikaci zranitelností před nimi útoky.
Typy průzkumných útoků
Existují dva typy průzkumných útoků: aktivní a pasivní.
1. Aktivní průzkum
Při aktivním průzkumu útočník aktivně zasahuje do cíle. Komunikují s vámi, jen aby získali informace o vašem systému. Aktivní průzkum je poměrně účinný, protože útočníkovi poskytuje cenné informace o vašem systému.
Následují techniky aktivního průzkumu.
Sociální inženýrství
Sociální inženýrství je proces, ve kterém je aktérem kybernetické hrozby manipuluje s cíli, aby odhalil důvěrné informace jim. Mohou vás kontaktovat online prostřednictvím okamžitých chatů, e-mailů a dalších interaktivních prostředků, aby s vámi navázali spojení. Jakmile si vás získají, donutí vás prozradit citlivé informace o vašem systému nebo vás nalákají k otevření souboru infikovaného malwarem, který ohrozí vaši síť.
Aktivní footprinting je metoda, která zahrnuje vetřelce podnikající záměrné kroky ke shromažďování informací o vašem systému, jeho bezpečnostní infrastruktuře a zapojení uživatelů. Získávají vaše IP adresy, aktivní e-mailové adresy, informace o systému názvů domén (DNS) atd.
Aktivní footprinting lze automatizovat. V tomto případě aktér hrozby používá nástroje, jako je síťový mapovač (Nmap), open-source platforma, která poskytuje přehled o službách a hostitelích běžících v síti, abyste získali důležité informace o vaší síti Systém.
Skenování portů
Porty jsou oblasti, kterými informace přecházejí z jednoho počítačového programu nebo zařízení do druhého. Při skenování portů aktér hrozby prohledá porty ve vaší síti k identifikaci těch otevřených. Používají skener portů k detekci aktivních služeb ve vaší síti, jako jsou hostitelé a adresy IP, a poté pronikají přes otevřené porty.
Důkladné skenování portů poskytne útočníkovi všechny potřebné informace o stavu zabezpečení vaší sítě.
2. Pasivní průzkum
Při pasivním průzkumu se útočník nezapojuje přímo do vás nebo vašeho systému. Provádějí svá šetření na dálku, sledují provoz a interakce ve vaší síti.
Aktér ohrožení v pasivním průzkumu se obrací na veřejné platformy, jako jsou vyhledávače a online úložiště, aby získal informace o vašem systému.
Pasivní průzkumné strategie zahrnují následující.
Open Source Intelligence
Open source inteligence (OSINT), nebýt zaměňovat se softwarem s otevřeným zdrojovým kódem, odkazuje na shromažďování a analýzu dat z veřejných míst. Lidé a sítě šíří své informace po webu záměrně nebo neúmyslně. Aktér průzkumu by mohl použít OSINT k získání cenných informací o vašem systému.
Vyhledávače jako Google, Yahoo a Bing jsou prvními nástroji, které vás napadnou, když mluvíte o platformách s otevřeným zdrojovým kódem, ale open source je přesahuje. Existuje mnoho online zdrojů, které vyhledávače nepokrývají kvůli omezením přihlášení a dalším bezpečnostním faktorům.
Jak již bylo zmíněno dříve, footprinting je technika pro shromažďování informací o cíli. Ale v tomto případě jsou aktivity pasivní, což znamená, že nedochází k přímé interakci nebo zapojení. Útočník provádí vyšetřování na dálku, kontroluje vás ve vyhledávačích, sociálních sítích a dalších online úložištích.
Aby útočník získal konkrétní informace z pasivního stopování, nespoléhá se pouze na populární platformy, jako jsou vyhledávače a sociální média. Používají nástroje jako Wireshark a Shodan k získání dalších informací, které nemusí být dostupné na populárních platformách.
Jak fungují průzkumné útoky?
Bez ohledu na typ průzkumné strategie, kterou útočník používá, se řídí souborem pokynů. První dva kroky jsou pasivní, zatímco zbývající jsou aktivní.
1. Sbírejte data o cíli
Sběr dat o cíli je prvním krokem průzkumného útoku. Vetřelec je v této fázi pasivní. Svá zjištění provádějí na dálku a získávají informace o vašem systému ve veřejném prostoru.
2. Definujte rozsah cílové sítě
Váš systém může být větší nebo menší, než se zdá. Definování jeho dosahu dává útočníkovi jasnou představu o jeho velikosti a vede ho při provádění jeho plánů. Berou na vědomí různé oblasti vaší sítě a nastiňují zdroje, které potřebují k pokrytí oblastí svého zájmu.
V této fázi hledá aktér hrozby aktivní nástroje ve vašem systému a zapojí vás prostřednictvím těchto nástrojů, aby od vás získal důležité informace. Příklady aktivních nástrojů zahrnují funkční e-mailové adresy, účty na sociálních sítích, telefonní čísla atd.
4. Vyhledejte otevřené porty a přístupové body
Útočník chápe, že nemůže magicky vstoupit do vašeho systému, a tak najde přístupové body a otevřené porty, kterými mohou proniknout. Používají techniky jako skenování portů k identifikaci otevřených portů a dalších přístupových bodů k získání neoprávněného přístupu.
5. Identifikujte operační systém cíle
Vzhledem k tomu, že různé operační systémy mají různé bezpečnostní infrastruktury, musí kyberzločinci identifikovat konkrétní operační systém, se kterým mají co do činění. Tímto způsobem mohou implementovat správné techniky k obejití jakékoli bezpečnostní obrany.
6. Přehled služeb na portech
Služby na vašich portech mají autorizovaný přístup k vaší síti. Útočník zachytí tyto služby a pronikne dovnitř tak, jak by tyto služby normálně dělaly. Pokud to účinně odstraní, nemusíte si všimnout žádného narušení.
7. Zmapujte síť
V této fázi je již útočník uvnitř vašeho systému. Používají mapování sítě, aby měli úplnou viditelnost vaší sítě. Pomocí tohoto mechanismu mohou lokalizovat a získat vaše důležitá data. Útočník má v tomto okamžiku plnou kontrolu nad vaší sítí a může si dělat, co chce.
Jak zabránit průzkumným útokům
Průzkumné útoky nejsou neporazitelné. Existují opatření, která jim můžete zabránit. Tato opatření zahrnují následující.
1. Zabezpečte své koncové body pomocí EDR
Porty, přes které agent průzkumu přistupuje k vaší síti, jsou součástí jejích koncových bodů. Zavedení přísnější bezpečnosti v těchto oblastech s koncové bezpečnostní systémy jako je detekce a odezva koncového bodu (EDR), budou pro narušitele méně dostupné.
Vzhledem k tomu, že efektivní EDR má automatizované monitorování a analýzu dat v reálném čase k odvrácení hrozeb, odolá útočníkovým průzkumným snahám získat neoprávněný přístup přes vaše porty.
2. Identifikujte zranitelnosti pomocí penetračního testování
Kyberútočníci prosperují ze zranitelností v systémech. Převezměte iniciativu a odhalte zranitelnosti, které mohou existovat ve vašem systému, než je odhalí zločinci. Můžete to udělat penetračním testem.
Obujte si hackerské boty a spusťte etický útok na váš systém. To vám pomůže odhalit bezpečnostní mezery, které by se běžně nacházely ve vašich slepých úhlech.
3. Přijměte integrované systémy kybernetické bezpečnosti
Aktéři hrozeb nasazují všechny druhy technologií, aby úspěšně zahájili kybernetické útoky. Účinným způsobem, jak těmto útokům předejít, je využít výhod integrovaných řešení kybernetické bezpečnosti.
Pokročilé systémy, jako jsou bezpečnostní informace a správa událostí (SIEM), nabízejí kompletní zabezpečení pro zabezpečení vašich digitálních aktiv. Jsou naprogramovány tak, aby detekovaly a zastavily hrozby dříve, než způsobí významné poškození vaší sítě.
Buďte proaktivní, abyste zabránili průzkumným útokům
Kyberzločinci možná zdokonalili své dovádění v průzkumných útocích, ale můžete je potlačit posílením své obrany. Stejně jako u většiny útoků je lepší zabezpečit svůj systém proti průzkumným útokům tím, že budete se svým zabezpečením proaktivní.
