Podobnie jak przeprowadzanie rekonesansu przed atakiem fizycznym, napastnicy często zbierają dane wywiadowcze przed cyberatakiem.
Cyberprzestępcy nie chodzą w kółko i nie ogłaszają swojej obecności. Uderzają w najbardziej niepozorny sposób. Możesz przekazać atakującemu informacje o swoim systemie, nawet o tym nie wiedząc.
A jeśli nie przekażesz im tych informacji, mogą je zdobyć gdzie indziej bez Twojej zgody — nie dzięki atakom zwiadowczym. Zabezpiecz swój system, dowiadując się więcej o atakach rekonesansowych, ich działaniu i sposobach zapobiegania im.
Co to jest atak rozpoznawczy?
Rekonesans to proces zbierania informacji o systemie w celu identyfikacji słabych punktów. Pierwotnie etyczna technika hakerskaumożliwiło właścicielom sieci lepsze zabezpieczenie ich systemów po zidentyfikowaniu luk w zabezpieczeniach.
Z biegiem lat rekonesans urósł z etycznej procedury hakerskiej do mechanizmu cyberataku. Atak zwiadowczy to proces, w którym haker odgrywa rolę tajnego detektywa, który informacje o swoich systemach docelowych, a następnie wykorzystują te informacje do identyfikowania luk w zabezpieczeniach przed nimi ataki.
Rodzaje ataków rozpoznawczych
Istnieją dwa rodzaje ataków zwiadowczych: aktywne i pasywne.
1. Aktywny rozpoznanie
W aktywnym rozpoznaniu atakujący aktywnie angażuje się w atak na cel. Komunikują się z Tobą tylko po to, aby uzyskać informacje o Twoim systemie. Aktywny rekonesans jest dość skuteczny, ponieważ dostarcza atakującemu cennych informacji o twoim systemie.
Poniżej znajdują się aktywne techniki rozpoznawcze.
Inżynieria społeczna
Inżynieria społeczna to proces, w którym podmiot cyberzagrożenia manipuluje celami w celu ujawnienia poufnych informacji do nich. Mogą kontaktować się z Tobą online za pośrednictwem czatów, wiadomości e-mail i innych interaktywnych środków, aby nawiązać z Tobą kontakt. Gdy już cię przekonają, zmuszą cię do ujawnienia poufnych informacji o twoim systemie lub zwabią cię do otwarcia zainfekowanego złośliwym oprogramowaniem pliku, który zagrozi twojej sieci.
Aktywne śledzenie to metoda polegająca na tym, że intruz podejmuje celowe kroki w celu zebrania informacji o systemie, jego infrastrukturze bezpieczeństwa i zaangażowaniu użytkowników. Pobierają twoje adresy IP, aktywne adresy e-mail, informacje o systemie nazw domen (DNS) itp.
Active footprinting można zautomatyzować. W tym przypadku cyberprzestępca wykorzystuje narzędzia, takie jak narzędzie do mapowania sieci (Nmap), platforma typu open source, która daje wgląd w usługi i hosty działające w sieci, aby uzyskać ważne informacje o tobie system.
Skanowanie portów
Porty to obszary, przez które informacje przechodzą z jednego programu komputerowego lub urządzenia do innego. Podczas skanowania portów aktor zagrożenia skanuje porty w Twojej sieci zidentyfikować te otwarte. Używają skanera portów do wykrywania aktywnych usług w Twojej sieci, takich jak hosty i adresy IP, a następnie włamują się przez otwarte porty.
Dokładne skanowanie portów daje atakującemu wszystkie niezbędne informacje o stanie bezpieczeństwa Twojej sieci.
2. Rekonesans pasywny
Podczas pasywnego rozpoznania atakujący nie angażuje się bezpośrednio w Ciebie ani w Twój system. Prowadzą dochodzenie na odległość, monitorując ruch i interakcje w Twojej sieci.
Aktor zagrożeń w ramach pasywnego rozpoznania zwraca się do platform publicznych, takich jak wyszukiwarki i repozytoria online, w celu uzyskania informacji o systemie.
Pasywne strategie rozpoznawcze obejmują następujące.
Inteligencja open source
Inteligencja open source (OSINT), nie być mylić z oprogramowaniem open sourceodnosi się do gromadzenia i analizy danych z lokalizacji publicznych. Ludzie i sieci rozpowszechniają swoje informacje w sieci celowo lub nieumyślnie. Aktor rekonesansu może użyć OSINT do odzyskania cennych informacji o twoim systemie.
Wyszukiwarki takie jak Google, Yahoo i Bing to pierwsze narzędzia, które przychodzą na myśl, gdy mówimy o platformach open source, ale oprogramowanie open source wykracza poza nie. Istnieje wiele zasobów online, których wyszukiwarki nie obejmują ze względu na ograniczenia logowania i inne czynniki bezpieczeństwa.
Jak wspomniano wcześniej, footprinting to technika zbierania informacji o celu. Ale w tym przypadku działania są pasywne, co oznacza, że nie ma bezpośredniej interakcji ani zaangażowania. Atakujący przeprowadza dochodzenie z daleka, sprawdzając Cię w wyszukiwarkach, mediach społecznościowych i innych repozytoriach internetowych.
Aby uzyskać konkretne informacje z pasywnego śledzenia, osoba atakująca polega nie tylko na popularnych platformach, takich jak wyszukiwarki i media społecznościowe. Używają narzędzi takich jak Wireshark i Shodan, aby uzyskać dodatkowe informacje, które mogą nie być dostępne na popularnych platformach.
Jak działają ataki zwiadowcze?
Bez względu na rodzaj strategii rekonesansowej, z której korzysta atakujący, działa on według zestawu wytycznych. Pierwsze dwa kroki są pasywne, a pozostałe są aktywne.
1. Zbierz dane o celu
Zbieranie danych o celu to pierwszy krok w ataku zwiadowczym. Na tym etapie intruz jest bierny. Dokonują swoich ustaleń na odległość, uzyskując informacje o twoim systemie w przestrzeni publicznej.
2. Zdefiniuj zasięg sieci docelowej
Twój system może być większy lub mniejszy, niż się wydaje. Zdefiniowanie jego zasięgu daje atakującemu jasne wyobrażenie o jego wielkości i pomaga mu w realizacji planów. Odnotowują różne obszary Twojej sieci i określają zasoby, których potrzebują, aby pokryć obszary ich zainteresowań.
Na tym etapie cyberprzestępca szuka aktywnych narzędzi w Twoim systemie i angażuje Cię za ich pośrednictwem w celu uzyskania od Ciebie ważnych informacji. Przykładami aktywnych narzędzi są funkcjonalne adresy e-mail, konta w mediach społecznościowych, numery telefonów itp.
4. Zlokalizuj otwarte porty i punkty dostępu
Atakujący rozumie, że nie może magicznie dostać się do twojego systemu, więc lokalizuje punkty dostępu i otwiera porty, przez które może wejść. Wdrażają techniki, takie jak skanowanie portów, w celu identyfikacji otwartych portów i innych punktów dostępu w celu uzyskania nieautoryzowanego dostępu.
5. Zidentyfikuj system operacyjny celu
Ponieważ różne systemy operacyjne mają różne infrastruktury bezpieczeństwa, cyberprzestępcy muszą zidentyfikować konkretny system operacyjny, z którym mają do czynienia. W ten sposób mogą wdrożyć odpowiednie techniki, aby ominąć wszelkie istniejące zabezpieczenia.
6. Zarys usług w portach
Usługi na Twoich portach mają autoryzowany dostęp do Twojej sieci. Atakujący przechwytuje te usługi i przedostaje się do nich tak, jak robią to normalnie. Jeśli wykonają to skutecznie, możesz nie zauważyć żadnej ingerencji.
7. Mapuj sieć
Na tym etapie atakujący jest już w twoim systemie. Korzystają z mapowania sieci, aby mieć pełny wgląd w Twoją sieć. Dzięki temu mechanizmowi mogą zlokalizować i odzyskać Twoje krytyczne dane. Atakujący ma w tym momencie pełną kontrolę nad twoją siecią i może robić, co chce.
Jak zapobiegać atakom rozpoznawczym
Ataki zwiadowcze nie są niepokonane. Istnieją środki, które możesz podjąć, aby im zapobiec. Środki te obejmują następujące.
1. Zabezpiecz swoje punkty końcowe za pomocą EDR
Porty, przez które aktor rozpoznawczy uzyskuje dostęp do Twojej sieci, są częścią jej punktów końcowych. Wdrożenie ściślejszego bezpieczeństwa w obszarach z systemy bezpieczeństwa punktów końcowych takie jak wykrywanie i reagowanie na punkty końcowe (EDR) sprawią, że będą one mniej dostępne dla intruzów.
Ponieważ skuteczny EDR zautomatyzował monitorowanie i analizę danych w czasie rzeczywistym w celu odparcia zagrożeń, oprze się wysiłkom rozpoznawczym atakującego mającym na celu uzyskanie nieautoryzowanego dostępu przez twoje porty.
2. Zidentyfikuj luki w zabezpieczeniach za pomocą testów penetracyjnych
Cyberprzestępcy żerują na lukach w systemach. Podejmij inicjatywę, aby odkryć luki w zabezpieczeniach, które mogą istnieć w Twoim systemie, zanim przestępcy je odkryją. Możesz to zrobić za pomocą testu penetracyjnego.
Załóż buty hakera i przeprowadź etyczny atak na swój system. Pomoże Ci to odkryć luki w zabezpieczeniach, które normalnie znajdowałyby się w martwych punktach.
3. Przyjęcie zintegrowanych systemów cyberbezpieczeństwa
Przestępcy wdrażają wszelkiego rodzaju technologie, aby skutecznie przeprowadzać cyberataki. Skutecznym sposobem zapobiegania tym atakom jest wykorzystanie zintegrowanych rozwiązań w zakresie cyberbezpieczeństwa.
Zaawansowane systemy, takie jak zarządzanie informacjami o bezpieczeństwie i zdarzeniami (SIEM), zapewniają pełne bezpieczeństwo Twoich zasobów cyfrowych. Są zaprogramowane do wykrywania i powstrzymywania zagrożeń, zanim spowodują one znaczne szkody w Twojej sieci.
Bądź proaktywny, aby zapobiegać atakom zwiadowczym
Cyberprzestępcy być może udoskonalili swoje wybryki w atakach zwiadowczych, ale możesz je odeprzeć, wzmacniając swoją obronę. Podobnie jak w przypadku większości ataków, lepiej jest zabezpieczyć system przed atakami rozpoznawczymi, stosując proaktywne podejście do zabezpieczeń.