Aktivní útok je nebezpečný kybernetický útok, protože se pokouší změnit zdroje nebo operace vaší počítačové sítě. Aktivní útoky často vedou k neodhalené ztrátě dat, poškození značky a zvýšenému riziku krádeže identity a podvodu.
Aktivní útoky představují hrozbu s nejvyšší prioritou, které dnes podniky čelí. Naštěstí existují věci, které můžete udělat, abyste těmto útokům zabránili a zmírnili jejich účinky, pokud k nim dojde.
Co jsou aktivní útoky?
Při aktivním útoku aktéři hrozeb využívají slabá místa v cílové síti, aby získali přístup k datům v ní. Tito aktéři hrozeb se mohou pokusit vložit nová data nebo kontrolovat šíření stávajících dat.
Aktivní útoky také zahrnují provádění změn dat v cílovém zařízení. Tyto změny sahají od krádeže osobních údajů až po úplné převzetí sítě. Často jste upozorněni, že systém byl kompromitován, protože tyto útoky jsou snadno zjistitelné, ale zastavit je, jakmile začnou, může být docela náročné.
Malé a střední podniky, běžně známé jako SMB, obvykle nesou hlavní tíhu aktivních útoků. Je tomu tak proto, že většina malých a středních podniků nemá prostředky na pořízení špičkových opatření v oblasti kybernetické bezpečnosti. A jak se aktivní útoky neustále vyvíjejí, musí být tato bezpečnostní opatření pravidelně aktualizována, jinak ponechávají síť zranitelnou vůči pokročilým útokům.
Jak funguje aktivní útok?
První věc, kterou aktéři hrozeb udělají po identifikaci cíle, je hledat zranitelná místa v síti cíle. Toto je přípravná fáze pro typ útoku, který plánují.
Používají také pasivní skenery k získání informací o typu programů spuštěných v cílové síti. Jakmile jsou slabá místa odhalena, mohou hackeři použít kteroukoli z následujících forem aktivních útoků k podkopání zabezpečení sítě:
1. Session Hijacking Attack
V session hijacking attack, známé také jako přehrání relace, útoky na přehrávání nebo útoky na přehrání, aktéři hrozeb zkopírují informace o ID cílové internetové relace. Tyto informace používají k získání přihlašovacích údajů, vydávání se za cíle a dále k odcizení dalších citlivých dat ze svých zařízení.
Toto zosobnění se provádí pomocí souborů cookie relace. Tyto soubory cookie spolupracují s komunikačním protokolem HTTP k identifikaci vašeho prohlížeče. Po odhlášení nebo ukončení relace prohlížení však zůstanou v prohlížeči. Jedná se o zranitelnost, kterou aktéři hrozeb využívají.
Obnoví tyto soubory cookie a oklamou prohlížeč, aby si myslel, že jste stále online. Nyní mohou hackeři z vaší historie prohlížení získat jakékoli informace, které chtějí. Tímto způsobem mohou snadno získat údaje o kreditních kartách, finanční transakce a hesla k účtům.
Existují další způsoby, jak mohou hackeři získat ID relace svého cíle. Další běžnou metodou je použití škodlivých odkazů, které vedou na stránky s připraveným ID, které může hacker použít k ukradení vaší relace procházení. Po zabavení by servery neměly žádný způsob, jak zjistit jakýkoli rozdíl mezi původním ID relace a jiným replikovaným aktéry hrozeb.
2. Útok na úpravu zpráv
Tyto útoky jsou založeny především na e-mailech. Zde aktér hrozby upravuje adresy paketů (obsahujících adresu odesílatele a příjemce) a odešle poštu na úplně jiné místo nebo upraví obsah, aby se dostal do cíle síť.
Hackeři ovládnou poštu mezi cílem a další stranou. Když je toto zachycení dokončeno, mají právo na něm provést jakoukoli operaci, včetně vložení škodlivých odkazů nebo odstranění jakékoli zprávy uvnitř. Pošta pak bude pokračovat ve své cestě, přičemž cíl nebude vědět, že s ní bylo manipulováno.
3. Maškarní útok
Tento útok využívá slabá místa v procesu ověřování cílové sítě. Aktéři hrozeb používají odcizené přihlašovací údaje k tomu, aby se vydávali za oprávněného uživatele a pomocí ID uživatele získali přístup na své cílové servery.
V tomto útoku může být aktérem hrozby nebo maškarádou zaměstnanec v rámci organizace nebo hacker využívající připojení k veřejné síti. Laxní autorizační procesy mohou těmto útočníkům umožnit vstup a množství dat, ke kterým by měli přístup, závisí na úrovni oprávnění zosobněného uživatele.
Prvním krokem v maškarním útoku je použití síťového snifferu k získání IP paketů z cílových zařízení. Tyto falešné IP adresy oklamat brány firewall cíle, obejít je a získat přístup k jejich síti.
4. Denial-of-Service (DoS) útok
V tomto aktivním útoku aktéři hrozby znepřístupní síťové zdroje zamýšleným oprávněným uživatelům. Pokud zaznamenáte útok DoS, nebudete mít přístup k informacím sítě, zařízením, aktualizacím a platebním systémům.
Existují různé typy útoků DoS. Jeden typ je útok přetečením vyrovnávací paměti, kde aktéři hrozeb zaplavují servery cíle mnohem větším provozem, než mohou zvládnout. To způsobí selhání serverů a v důsledku toho nebudete moci získat přístup k síti.
Nechybí ani šmoulí útok. Aktéři hrozeb budou používat zcela špatně nakonfigurovaná zařízení k odesílání paketů ICMP (internet control message protocol) několika síťovým hostitelům s podvrženou IP adresou. Tyto ICMP pakety se obvykle používají k určení, zda data přicházejí do sítě řádným způsobem.
Hostitelé, kteří jsou příjemci těchto paketů, budou posílat zprávy do sítě, a když přichází mnoho odpovědí, výsledek je stejný: havarované servery.
Jak se chránit před aktivními útoky
Aktivní útoky jsou samozřejmostí a měli byste chránit svou síť před těmito škodlivými operacemi.
První věc, kterou byste měli udělat, je nainstalovat high-end firewall a systém prevence narušení (IPS). Firewally by měly být součástí zabezpečení každé sítě. Pomáhají vyhledávat podezřelou aktivitu a blokovat jakoukoli detekovanou. IPS monitoruje síťový provoz, jako jsou brány firewall, a podniká kroky k ochraně sítě, když je identifikován útok.
Dalším způsobem ochrany proti aktivním útokům je použití náhodných klíčů relace a jednorázových hesel (OTP). Klíče relace se používají k šifrování komunikace mezi dvěma stranami. Jakmile komunikace skončí, klíč se zahodí a nový se náhodně vygeneruje, když začne další komunikace. To zajišťuje maximální bezpečnost, protože každý klíč je jedinečný a nelze jej replikovat. Kromě toho, když relace skončí, klíč pro toto období nelze použít k posouzení dat vyměněných během relace.
Jednorázová hesla fungují na stejném základě jako klíče relace. Jsou to náhodně generované alfanumerické/numerické znaky, které jsou platné pouze pro jeden účel a jejich platnost vyprší po určité době. Často se používají v kombinaci s heslem dvoufaktorové ověřování.
Hackeři a útočníci, firewally a 2FA
Aktivní útoky využívají slabiny v ověřovacích protokolech sítě. Jediným osvědčeným způsobem, jak těmto útokům předejít, je tedy použití firewallů, IPS, náhodných klíčů relace a hlavně dvoufaktorové autentizace. Takové ověření může být kombinací náhodně vygenerovaného klíče, uživatelského jména a hesla.
Může se to zdát zdlouhavé, ale jak se aktivní útoky vyvíjejí a stávají se ještě nemilosrdnějšími, měly by se ověřovací procesy postavit této výzvě a stát před těmito příchozími útoky na pozoru. Pamatujte, že jakmile jsou aktéři hrozeb ve vaší síti, bylo by obtížné je spláchnout.