Aktywny atak jest niebezpiecznym cyberatakiem, ponieważ ma na celu zmianę zasobów lub operacji sieci komputerowej. Aktywne ataki często skutkują niewykrytą utratą danych, uszkodzeniem marki oraz zwiększonym ryzykiem kradzieży tożsamości i oszustw.
Aktywne ataki stanowią obecnie zagrożenie o najwyższym priorytecie, przed którym stoją przedsiębiorstwa. Na szczęście są rzeczy, które możesz zrobić, aby zapobiec tym atakom i złagodzić ich skutki.
Czym są aktywne ataki?
W aktywnym ataku cyberprzestępcy wykorzystują słabości sieci celu, aby uzyskać dostęp do danych. Ci cyberprzestępcy mogą próbować wprowadzać nowe dane lub kontrolować rozpowszechnianie istniejących danych.
Ataki aktywne polegają również na dokonywaniu zmian w danych na urządzeniu celu. Zmiany te sięgają od kradzieży danych osobowych po całkowite przejęcie sieci. Często jesteś ostrzegany, że system został naruszony, ponieważ ataki te są łatwe do wykrycia, ale powstrzymanie ich, gdy już się rozpoczną, może być dość trudne.
Małe i średnie przedsiębiorstwa, powszechnie znane jako SMB, zazwyczaj ponoszą ciężar aktywnych ataków. Wynika to z faktu, że większość MŚP nie ma środków na zakup wysokiej klasy środków bezpieczeństwa cybernetycznego. A ponieważ aktywne ataki wciąż ewoluują, te środki bezpieczeństwa muszą być regularnie aktualizowane, w przeciwnym razie narażają sieć na zaawansowane ataki.
Jak działa aktywny atak?
Pierwszą rzeczą, jaką zrobią cyberprzestępcy po zidentyfikowaniu celu, jest poszukiwanie luk w sieci celu. To etap przygotowawczy do planowanego przez nich ataku.
Używają również skanerów pasywnych, aby uzyskać informacje o typie programów działających w sieci celu. Po wykryciu słabych punktów hakerzy mogą zastosować dowolną z następujących form aktywnych ataków w celu podważenia bezpieczeństwa sieci:
1. Atak polegający na przejęciu sesji
W atak polegający na przejęciu sesji, znane również jako powtarzanie sesji, ataki z odtwarzaniem lub ataki z odtwarzaniem, cyberprzestępcy kopiują informacje o identyfikatorze sesji internetowej celu. Wykorzystują te informacje do pobierania danych logowania, podszywania się pod cele i dalszej kradzieży innych poufnych danych ze swoich urządzeń.
Ta personifikacja odbywa się za pomocą sesyjnych plików cookie. Te pliki cookie współpracują z protokołem komunikacyjnym HTTP w celu identyfikacji Twojej przeglądarki. Pozostają one jednak w przeglądarce po wylogowaniu lub zakończeniu sesji przeglądania. Jest to luka, którą wykorzystują cyberprzestępcy.
Odzyskują te pliki cookie i oszukują przeglądarkę, myśląc, że nadal jesteś online. Teraz hakerzy mogą uzyskiwać dowolne informacje z Twojej historii przeglądania. W ten sposób mogą łatwo uzyskać dane karty kredytowej, transakcje finansowe i hasła do kont.
Istnieją inne sposoby, w jakie hakerzy mogą uzyskać identyfikator sesji swojego celu. Inna popularna metoda polega na wykorzystywaniu złośliwych linków prowadzących do stron z gotowym identyfikatorem, którego haker może użyć do przejęcia sesji przeglądania. Po przejęciu serwery nie byłyby w stanie wykryć żadnej różnicy między oryginalnym identyfikatorem sesji a innym identyfikatorem replikowanym przez cyberprzestępców.
2. Atak modyfikujący wiadomość
Ataki te opierają się głównie na wiadomościach e-mail. W tym przypadku cyberprzestępca edytuje adresy pakietów (zawierające adres nadawcy i odbiorcy) oraz wysyła pocztę w zupełnie inne miejsce lub modyfikuje treść tak, aby trafiła do adresata sieć.
Hakerzy kierują pocztą między celem a inną stroną. Kiedy to przechwycenie zostanie zakończone, mogą wykonać na nim dowolną operację, w tym wstrzyknięcie złośliwych linków lub usunięcie dowolnej zawartej w nim wiadomości. Poczta będzie następnie kontynuować swoją podróż, a cel nie będzie wiedział, że została naruszona.
3. Atak na maskaradę
Atak ten wykorzystuje słabości w procesie uwierzytelniania sieci celu. Aktorzy zajmujący się zagrożeniami wykorzystują skradzione dane logowania do podszywania się pod autoryzowanego użytkownika, używając identyfikatora użytkownika w celu uzyskania dostępu do serwerów, na które są celem.
W tym ataku aktorem zagrożenia lub maskaradą może być pracownik organizacji lub haker wykorzystujący połączenie z siecią publiczną. Niedbałe procesy autoryzacji mogą umożliwić atakującym wejście, a ilość danych, do których mieliby dostęp, zależy od poziomu uprawnień podszywającego się użytkownika.
Pierwszym krokiem w ataku maskarady jest użycie sniffera sieciowego w celu uzyskania pakietów IP z urządzeń celu. Te sfałszowane adresy IP oszukać zapory ogniowe celu, omijając je i uzyskując dostęp do ich sieci.
4. Atak typu „odmowa usługi” (DoS).
W tym aktywnym ataku cyberprzestępcy powodują, że zasoby sieciowe stają się niedostępne dla zamierzonych, autoryzowanych użytkowników. Jeśli doświadczysz ataku DoS, nie będziesz mieć dostępu do informacji sieciowych, urządzeń, aktualizacji i systemów płatności.
Istnieją różne rodzaje ataków DoS. Jeden typ to tzw atak przepełnienia bufora, gdzie cyberprzestępcy zalewają serwery celu znacznie większym ruchem, niż są w stanie obsłużyć. Powoduje to awarię serwerów, w wyniku czego nie będziesz mógł uzyskać dostępu do sieci.
Jest też atak smerfów. Cyberprzestępcy będą wykorzystywać całkowicie źle skonfigurowane urządzenia do wysyłania pakietów ICMP (Internet Control Message Protocol) do kilku hostów sieciowych ze sfałszowanym adresem IP. Te pakiety ICMP są zwykle używane do określenia, czy dane docierają do sieci w uporządkowany sposób.
Hosty, które są odbiorcami tych pakietów, będą wysyłać wiadomości do sieci, a przy wielu przychodzących odpowiedziach wynik jest taki sam: awarie serwerów.
Jak chronić się przed aktywnymi atakami
Aktywne ataki są powszechne i należy chronić swoją sieć przed tymi złośliwymi operacjami.
Pierwszą rzeczą, którą powinieneś zrobić, to zainstalować wysokiej klasy zaporę ogniową i System ochrony przed włamywaczami (IPS). Zapory ogniowe powinny być częścią bezpieczeństwa każdej sieci. Pomagają skanować pod kątem podejrzanej aktywności i blokować każdą wykrytą. IPS monitoruje ruch sieciowy podobnie jak zapory ogniowe i podejmuje kroki w celu ochrony sieci w przypadku wykrycia ataku.
Innym sposobem ochrony przed aktywnymi atakami jest użycie losowych kluczy sesyjnych i haseł jednorazowych (OTP). Klucze sesyjne służą do szyfrowania komunikacji między dwiema stronami. Po zakończeniu komunikacji klucz jest odrzucany, a nowy jest generowany losowo, gdy rozpoczyna się kolejna komunikacja. Zapewnia to maksymalne bezpieczeństwo, ponieważ każdy klucz jest unikalny i nie można go powielić. Co więcej, po zakończeniu sesji klucz dla tego okresu nie może być użyty do oceny danych wymienianych podczas sesji.
OTP działają na tych samych zasadach co klucze sesyjne. Są to losowo generowane znaki alfanumeryczne/numeryczne, które są ważne tylko w jednym celu i wygasają po określonym czasie. Są one często używane w połączeniu z hasłem do podania uwierzytelnianie dwuskładnikowe.
Hakerzy i atakujący, zapory ogniowe i 2FA
Aktywne ataki wykorzystują słabości protokołów uwierzytelniania sieci. Dlatego jedynym sprawdzonym sposobem zapobiegania tym atakom jest stosowanie zapór ogniowych, IPS, losowych kluczy sesyjnych i, co najważniejsze, uwierzytelniania dwuskładnikowego. Takie uwierzytelnienie może być kombinacją losowo wygenerowanego klucza, nazwy użytkownika i hasła.
Może się to wydawać żmudne, ale ponieważ aktywne ataki ewoluują i stają się jeszcze bardziej bezwzględne, procesy weryfikacji powinny stawić czoła wyzwaniu, broniąc się przed nadchodzącymi atakami. Pamiętaj, że gdy cyberprzestępcy znajdą się w Twojej sieci, trudno będzie je usunąć.
