Kaip ir atliekant žvalgybą prieš fizinį užpuolimą, užpuolikai dažnai renka informaciją prieš kibernetinę ataką.
Kibernetiniai nusikaltėliai neskelbia apie savo buvimą. Jie smogia pačiais neįmantriais būdais. Galite pateikti užpuolikui informaciją apie savo sistemą net to nežinodami.
Ir jei nepateiksite jiems informacijos, jie gali ją gauti kitur be jūsų leidimo – ne dėl žvalgybinių atakų. Apsaugokite savo sistemą sužinodami daugiau apie žvalgybines atakas, kaip jos veikia ir kaip galite joms užkirsti kelią.
Kas yra žvalgybos ataka?
Žvalgymas – tai informacijos apie sistemą rinkimo procesas, siekiant nustatyti pažeidžiamumą. Iš pradžių etiška įsilaužimo technika, tai leido tinklo savininkams geriau apsaugoti savo sistemas nustačius saugos spragas.
Bėgant metams žvalgyba iš etiško įsilaužimo procedūros išaugo į kibernetinės atakos mechanizmą. Žvalgybos ataka yra procesas, kai įsilaužėlis atlieka slapto detektyvo vaidmenį, kad gautų informaciją apie savo tikslines sistemas ir tada naudokite tą informaciją, kad nustatytų pažeidžiamumą prieš juos išpuolių.
Žvalgybos atakų tipai
Yra dviejų tipų žvalgybinės atakos: aktyvioji ir pasyvioji.
1. Aktyvi žvalgyba
Aktyvioje žvalgyboje užpuolikas aktyviai susidoroja su taikiniu. Jie bendrauja su jumis tik norėdami gauti informacijos apie jūsų sistemą. Aktyvi žvalgyba yra gana efektyvi, nes ji suteikia užpuolikui vertingos informacijos apie jūsų sistemą.
Toliau pateikiamos aktyvios žvalgybos technikos.
Socialinė inžinerija
Socialinė inžinerija yra procesas, kurio metu kibernetinės grėsmės veikėjas manipuliuoja taikiniais, kad atskleistų konfidencialią informaciją jiems. Jie gali susisiekti su jumis internetu momentiniais pokalbiais, el. laiškais ir kitomis interaktyviomis priemonėmis, kad užmegztų ryšį su jumis. Kai jie jus patrauks, jie privers atskleisti neskelbtiną informaciją apie jūsų sistemą arba privilios jus atidaryti kenkėjiška programa užkrėstą failą, kuris pakenks jūsų tinklui.
Aktyvus pėdsakas yra metodas, kai įsibrovėlis imasi apgalvotų veiksmų, kad surinktų informaciją apie jūsų sistemą, jos saugos infrastruktūrą ir naudotojų įsitraukimą. Jie nuskaito jūsų IP adresus, aktyvius el. pašto adresus, domeno vardų sistemos (DNS) informaciją ir kt.
Aktyvus pėdsakas gali būti automatizuotas. Šiuo atveju grėsmės veikėjas naudoja tokius įrankius kaip tinklo žemėlapių sudarytojas (Nmap), atvirojo kodo platforma, kuri suteikia įžvalgų apie paslaugas ir prieglobas, veikiančias tinkle, kad gautumėte svarbios informacijos apie jūsų sistema.
Prievadų nuskaitymas
Prievadai yra sritys, per kurias informacija perduodama iš vienos kompiuterio programos ar įrenginio į kitą. Uosto nuskaitymo metu grėsmės veikėjas nuskaito jūsų tinklo prievadus identifikuoti atvirus. Jie naudoja prievadų skaitytuvą, kad aptiktų aktyvias jūsų tinklo paslaugas, pvz., pagrindinius kompiuterius ir IP adresus, ir tada įsilaužtų per atvirus prievadus.
Kruopštus prievadų nuskaitymas suteikia užpuolikui visą reikiamą informaciją apie jūsų tinklo saugos būklę.
2. Pasyvus žvalgas
Atliekant pasyvią žvalgybą, užpuolikas tiesiogiai nesusisieja su jumis ar jūsų sistema. Jie atlieka tyrimą per atstumą, stebi srautą ir sąveiką jūsų tinkle.
Pasyvios žvalgybos metu grėsmės veikėjas informacijos apie jūsų sistemą kreipiasi į viešąsias platformas, pvz., paieškos variklius ir internetines saugyklas.
Pasyvios žvalgybos strategijos apima šias.
Atvirojo kodo intelektas
Atvirojo kodo intelektas (OSINT), nebūti supainioti su atvirojo kodo programine įranga, reiškia duomenų iš viešųjų vietų rinkimą ir analizę. Žmonės ir tinklai tyčia arba netyčia platina savo informaciją žiniatinklyje. Žvalgybos veikėjas gali naudoti OSINT, kad gautų vertingos informacijos apie jūsų sistemą.
Paieškos sistemos, tokios kaip „Google“, „Yahoo“ ir „Bing“, yra pirmieji įrankiai, kurie ateina į galvą kalbant apie atvirojo kodo platformas, tačiau atvirasis šaltinis neapsiriboja jais. Yra daug internetinių išteklių, kurių paieškos sistemos neapima dėl prisijungimo apribojimų ir kitų saugumo veiksnių.
Kaip minėta anksčiau, pėdsakas yra informacijos apie taikinį rinkimo būdas. Tačiau šiuo atveju veikla yra pasyvi, tai reiškia, kad nėra tiesioginės sąveikos ar įsitraukimo. Užpuolikas atlieka tyrimą iš tolo, tikrindamas jus paieškos sistemose, socialinėje žiniasklaidoje ir kitose internetinėse saugyklose.
Norėdami gauti konkrečios informacijos iš pasyvaus pėdsako, užpuolikas pasikliauja ne tik populiariomis platformomis, tokiomis kaip paieškos varikliai ir socialinė žiniasklaida. Jie naudoja tokius įrankius kaip Wireshark ir Shodan, kad gautų papildomos informacijos, kurios gali nebūti populiariose platformose.
Kaip veikia žvalgybos atakos?
Nepriklausomai nuo užpuoliko naudojamos žvalgybos strategijos tipo, jie veikia vadovaudamiesi tam tikromis gairėmis. Pirmieji du žingsniai yra pasyvūs, o kiti yra aktyvūs.
1. Surinkite duomenis apie taikinį
Duomenų apie taikinį rinkimas yra pirmasis žingsnis žvalgybinėje atakoje. Šiame etape įsibrovėlis yra pasyvus. Jie daro savo išvadas iš toli, gaudami informaciją apie jūsų sistemą viešojoje erdvėje.
2. Apibrėžkite tikslinio tinklo diapazoną
Jūsų sistema gali būti didesnė arba mažesnė, nei atrodo. Apibrėžiant jo diapazoną, užpuolikas aiškiai supranta jo dydį ir padeda vykdyti savo planus. Jie atkreipia dėmesį į įvairias jūsų tinklo sritis ir nurodo išteklius, kurių jiems reikia, kad apimtų jų interesų sritis.
Šiame etape grėsmės veikėjas ieško aktyvių įrankių jūsų sistemoje ir pasitelkia šiuos įrankius, kad gautų iš jūsų svarbią informaciją. Aktyvių įrankių pavyzdžiai yra funkciniai el. pašto adresai, socialinės žiniasklaidos paskyros, telefonų numeriai ir kt.
4. Raskite atvirus prievadus ir prieigos taškus
Užpuolikas supranta, kad negali stebuklingai patekti į jūsų sistemą, todėl nustato prieigos taškus ir atidaro prievadus, per kuriuos gali patekti. Jie naudoja tokius metodus kaip prievadų nuskaitymas, kad nustatytų atvirus prievadus ir kitus prieigos taškus, kad gautų neteisėtą prieigą.
5. Nustatykite taikinio operacinę sistemą
Kadangi įvairios operacinės sistemos turi skirtingą saugumo infrastruktūrą, kibernetiniai nusikaltėliai turi nustatyti konkrečią operacinę sistemą, su kuria jie susiduria. Tokiu būdu jie gali įdiegti tinkamus metodus, kad apeitų bet kokias saugumo priemones.
6. Outline paslaugos uostuose
Paslaugos jūsų prievaduose turi įgaliotą prieigą prie jūsų tinklo. Užpuolikas perima šias paslaugas ir įsiskverbia taip, kaip įprastai darytų šios paslaugos. Jei jie tai padarys efektyviai, galite nepastebėti jokio įsibrovimo.
7. Nubrėžkite tinklą
Šiame etape užpuolikas jau yra jūsų sistemoje. Jie naudoja tinklo atvaizdavimą, kad būtų visiškai matomas jūsų tinklas. Naudodami šį mechanizmą, jie gali rasti ir nuskaityti jūsų svarbius duomenis. Šiuo metu užpuolikas visiškai kontroliuoja jūsų tinklą ir gali daryti ką nori.
Kaip užkirsti kelią žvalgybiniams išpuoliams
Žvalgybos atakos nėra neįveikiamos. Yra priemonių, kurių galite imtis, kad jų išvengtumėte. Šios priemonės apima šias priemones.
1. Apsaugokite savo galinius taškus naudodami EDR
Prievadai, per kuriuos žvalgybos veikėjas pasiekia jūsų tinklą, yra jo galinių taškų dalis. Įdiegti griežtesnį saugumą tose srityse su galinių taškų apsaugos sistemos pvz., galutinio taško aptikimo ir atsako (EDR), padarys juos mažiau prieinamus įsibrovėliams.
Kadangi efektyvus EDR turi automatizuotą stebėjimą realiuoju laiku ir duomenų analizę, kad būtų išvengta grėsmių, ji atsispirs užpuoliko žvalgybos pastangoms gauti neteisėtą prieigą per jūsų prievadus.
2. Nustatykite pažeidžiamumą naudodami įsiskverbimo testą
Kibernetiniai užpuolikai klesti dėl sistemų pažeidžiamumo. Imkitės iniciatyvos ir atraskite pažeidžiamumą, kuris gali egzistuoti jūsų sistemoje, kol nusikaltėliai jas aptiks. Tai galite padaryti naudodami įsiskverbimo testą.
Dėvėkite įsilaužėlio batus ir imkitės etinės atakos prieš savo sistemą. Tai padės jums atrasti saugumo spragų, kurios paprastai būtų jūsų aklosiose vietose.
3. Priimkite integruotas kibernetinio saugumo sistemas
Grėsmės veikėjai diegia visas technologijas, kad sėkmingai pradėtų kibernetines atakas. Veiksmingas būdas užkirsti kelią šioms atakoms – pasinaudoti integruotais kibernetinio saugumo sprendimais.
Pažangios sistemos, pvz., saugos informacijos ir įvykių valdymas (SIEM), užtikrina visišką jūsų skaitmeninio turto saugumą. Jie užprogramuoti taip, kad aptiktų ir sustabdytų grėsmes, kol jos nepadarys didelės žalos jūsų tinklui.
Būkite aktyvūs, kad išvengtumėte žvalgybinių atakų
Galbūt kibernetiniai nusikaltėliai ištobulino savo išdaigas žvalgybinėse atakose, bet jūs galite atsitraukti sustiprindami savo gynybą. Kaip ir daugumos atakų atveju, geriau apsaugoti savo sistemą nuo žvalgybinių atakų, aktyviai rūpindamiesi savo saugumu.