Aivan kuten tiedustelussa ennen fyysistä hyökkäystä, hyökkääjät keräävät usein tietoja ennen kyberhyökkäystä.
Kyberrikolliset eivät kulje ympäriinsä ilmoittamassa läsnäolostaan. He iskevät mitä vaatimattomimmilla tavoilla. Saatat antaa hyökkääjälle tietoja järjestelmästäsi tietämättäsi sitä.
Ja jos et anna tietoja heille, he voivat saada ne muualta ilman lupaasi – ei tiedusteluhyökkäysten ansiosta. Suojaa järjestelmäsi oppimalla lisää tiedusteluhyökkäyksistä, niiden toiminnasta ja niiden estämisestä.
Mikä on tiedusteluhyökkäys?
Reconnaissance on prosessi, jossa kerätään tietoa järjestelmästä haavoittuvuuksien tunnistamiseksi. Alun perin eettinen hakkerointitekniikka, se antoi verkkojen omistajille mahdollisuuden suojata järjestelmänsä paremmin sen jälkeen, kun he olivat tunnistaneet tietoturva-aukot.
Vuosien varrella tiedustelu on kasvanut eettisestä hakkerointimenettelystä kyberhyökkäysmekanismiksi. Tiedusteluhyökkäys on prosessi, jossa hakkeri toimii salaetsivänä kalastaakseen tietoja kohdejärjestelmissään ja käyttää näitä tietoja tunnistaakseen heidän edessään olevat haavoittuvuudet hyökkäyksiä.
Tiedusteluhyökkäysten tyypit
Tiedusteluhyökkäyksiä on kahdenlaisia: aktiivisia ja passiivisia.
1. Aktiivinen tiedustelu
Aktiivisessa tiedustelussa hyökkääjä on aktiivisesti tekemisissä kohteen kanssa. He kommunikoivat kanssasi vain saadakseen tietoa järjestelmästäsi. Aktiivinen tiedustelu on varsin tehokasta, koska se antaa hyökkääjälle arvokasta tietoa järjestelmästäsi.
Seuraavat ovat aktiivisia tiedustelutekniikoita.
Social Engineering
Sosiaalinen suunnittelu on prosessi, jossa kyberuhan toimija manipuloi kohteita paljastaakseen luottamuksellisia tietoja heille. He voivat ottaa sinuun yhteyttä verkossa pikakeskustelujen, sähköpostien ja muiden interaktiivisten keinojen kautta luodakseen yhteyden sinuun. Kun he voivat voittaa sinut, he pakottavat sinut paljastamaan arkaluontoisia tietoja järjestelmästäsi tai houkuttelevat sinut avaamaan haittaohjelmien saastuttaman tiedoston, joka vaarantaa verkkosi.
Aktiivinen jalanjälki on menetelmä, jossa tunkeilija ryhtyy tietoisesti keräämään tietoja järjestelmästäsi, sen tietoturvainfrastruktuurista ja käyttäjien sitoutumisesta. Ne hakevat IP-osoitteesi, aktiiviset sähköpostiosoitteesi, DNS-tiedot jne.
Aktiivinen jalanjälki voidaan automatisoida. Tässä tapauksessa uhkatekijä käyttää työkaluja, kuten verkkokartoitinta (Nmap), avoimen lähdekoodin alustaa, joka antaa näkemyksiä verkossa toimivista palveluista ja isännistä saadaksesi tärkeitä tietoja sinusta järjestelmä.
Portin skannaus
Portit ovat alueita, joiden kautta tiedot siirtyvät tietokoneohjelmasta tai laitteesta toiseen. Porttitarkistuksessa uhkatekijä skannaa verkkosi portit tunnistaaksesi avoimet. He havaitsevat verkkosi aktiiviset palvelut, kuten isännät ja IP-osoitteet, porttiskannerin avulla ja murtautuvat sitten avoimien porttien läpi.
Perusteellinen porttitarkistus antaa hyökkääjälle kaikki tarvittavat tiedot verkkosi suojaustilanteesta.
2. Passiivinen tiedustelu
Passiivisessa tiedustelussa hyökkääjä ei ole yhteydessä sinuun tai järjestelmääsi suoraan. He tekevät tutkimustaan etäältä ja tarkkailevat liikennettä ja vuorovaikutusta verkossasi.
Passiivisen tiedustelun uhanalainen kääntyy julkisilta alustoilta, kuten hakukoneilta ja online-tietovarastoilta saadakseen tietoja järjestelmästäsi.
Passiivisia tiedustelustrategioita ovat seuraavat.
Avoimen lähdekoodin älykkyys
Avoimen lähdekoodin älykkyys (OSINT), ei saa olla sekoittaa avoimen lähdekoodin ohjelmistoihin, viittaa tietojen keräämiseen ja analysointiin julkisista paikoista. Ihmiset ja verkostot levittävät tietojaan verkossa joko tarkoituksella tai tahattomasti. Tiedustelutoimija voi käyttää OSINT: tä arvokkaan tiedon hakemiseen järjestelmästäsi.
Hakukoneet, kuten Google, Yahoo ja Bing, ovat ensimmäisiä työkaluja, jotka tulevat mieleen, kun puhutaan avoimen lähdekoodin alustoista, mutta avoin lähdekoodi menee niitä pidemmälle. On monia verkkoresursseja, joita hakukoneet eivät kata kirjautumisrajoitusten ja muiden turvallisuustekijöiden vuoksi.
Kuten aiemmin mainittiin, jalanjälki on tekniikka tiedon keräämiseksi kohteesta. Mutta tässä tapauksessa toiminta on passiivista, mikä tarkoittaa, että suoraa vuorovaikutusta tai sitoutumista ei ole. Hyökkääjä tekee tutkimuksensa kaukaa ja tarkistaa sinut hakukoneista, sosiaalisesta mediasta ja muista verkkotietovarastoista.
Saadakseen konkreettista tietoa passiivisesta jalanjäljestä hyökkääjä ei luota vain suosittuihin alustoihin, kuten hakukoneisiin ja sosiaaliseen mediaan. He käyttävät työkaluja, kuten Wireshark ja Shodan, saadakseen lisätietoja, joita ei välttämättä ole saatavilla suosituilla alustoilla.
Kuinka tiedusteluhyökkäykset toimivat?
Riippumatta siitä, minkä tyyppistä tiedustelustrategiaa hyökkääjä käyttää, ne toimivat tiettyjen ohjeiden mukaan. Kaksi ensimmäistä vaihetta ovat passiivisia ja loput aktiivisia.
1. Kerää tietoja kohteesta
Tietojen kerääminen kohteesta on ensimmäinen askel tiedusteluhyökkäyksessä. Tunkeilija on passiivinen tässä vaiheessa. He tekevät havaintonsa kaukaa ja saavat tietoa järjestelmästäsi julkisessa tilassa.
2. Määritä kohdeverkoston alue
Järjestelmäsi voi olla suurempi tai pienempi kuin miltä se näyttää. Sen kantaman määrittäminen antaa hyökkääjälle selkeän käsityksen sen koosta ja ohjaa häntä toteuttamaan suunnitelmiaan. He panevat merkille verkostosi eri osa-alueet ja hahmottelevat resursseja, joita he tarvitsevat kiinnostavien alueidensa kattamiseksi.
Tässä vaiheessa uhkatoimija etsii aktiivisia työkaluja järjestelmästäsi ja sitoo sinut näiden työkalujen kautta saadakseen sinulta tärkeitä tietoja. Esimerkkejä aktiivisista työkaluista ovat toimivat sähköpostiosoitteet, sosiaalisen median tilit, puhelinnumerot jne.
4. Etsi avoimet portit ja tukiasemat
Hyökkääjä ymmärtää, etteivät he pääse maagisesti järjestelmääsi, joten he paikantavat tukiasemat ja avaavat portit, joiden kautta he voivat tulla sisään. He käyttävät tekniikoita, kuten porttien skannausta, tunnistaakseen avoimet portit ja muut tukiasemat luvattoman pääsyn saamiseksi.
5. Tunnista kohteen käyttöjärjestelmä
Koska eri käyttöjärjestelmillä on erilaiset turvallisuusinfrastruktuurit, kyberrikollisten on tunnistettava käyttöjärjestelmä, jonka kanssa he ovat tekemisissä. Tällä tavalla he voivat ottaa käyttöön oikeat tekniikat ohittaakseen kaikki olemassa olevat suojaukset.
6. Outline-palvelut satamissa
Porttisi palveluilla on valtuutettu pääsy verkkoosi. Hyökkääjä kaappaa nämä palvelut ja tunkeutuu sisään kuten nämä palvelut tavallisesti tekevät. Jos he poistavat tämän tehokkaasti, et ehkä huomaa tunkeutumista.
7. Kartoita verkko
Tässä vaiheessa hyökkääjä on jo järjestelmässäsi. He käyttävät verkkokartoitusta saadakseen verkon täydellisen näkyvyyden. Tämän mekanismin avulla he voivat paikantaa ja hakea tärkeitä tietojasi. Hyökkääjä hallitsee verkkoasi tässä vaiheessa ja voi tehdä mitä haluaa.
Kuinka estää tiedusteluhyökkäykset
Tiedusteluhyökkäykset eivät ole voittamattomia. On olemassa toimenpiteitä, joilla voit estää niitä. Nämä toimenpiteet sisältävät seuraavat.
1. Suojaa päätepisteesi EDR: llä
Portit, joiden kautta tiedustelutoimija käyttää verkkoasi, ovat osa sen päätepisteitä. Tiukemman turvallisuuden toteuttaminen näillä alueilla päätepisteiden turvajärjestelmät kuten päätepisteiden havaitseminen ja vastaus (EDR) tekevät niistä vähemmän tunkeilijoiden saatavilla.
Koska tehokkaassa EDR: ssä on automatisoitu reaaliaikainen seuranta ja data-analyysi uhkien torjumiseksi, se vastustaa hyökkääjän tiedusteluyrityksiä päästäkseen luvatta porttiesi kautta.
2. Tunnista haavoittuvuudet tunkeutumistestauksella
Kyberhyökkääjät viihtyvät järjestelmien haavoittuvuuksilla. Tee aloite löytääksesi järjestelmässäsi mahdollisesti olevat haavoittuvuudet, ennen kuin rikolliset löytävät ne. Voit tehdä sen tunkeutumistestillä.
Käytä hakkerin kenkiä ja aloita eettinen hyökkäys järjestelmääsi vastaan. Tämä auttaa sinua löytämään tietoturva-aukot, jotka tavallisesti olisivat kuolleissa kulmissasi.
3. Ota käyttöön integroidut kyberturvajärjestelmät
Uhkatoimijat ottavat käyttöön kaikenlaisia teknologioita käynnistääkseen kyberhyökkäyksiä onnistuneesti. Tehokas tapa estää nämä hyökkäykset on hyödyntää integroituja kyberturvallisuusratkaisuja.
Kehittyneet järjestelmät, kuten tietoturvatietojen ja tapahtumien hallinta (SIEM), tarjoavat täydellisen suojan digitaalisten resurssien suojaamiseen. Ne on ohjelmoitu havaitsemaan ja pysäyttämään uhat ennen kuin ne aiheuttavat merkittävää vahinkoa verkkollesi.
Estä tiedusteluhyökkäykset ennakoivasti
Kyberrikolliset ovat saattaneet parantaa temppujaan tiedusteluhyökkäyksissä, mutta voit työntää takaisin vahvistamalla puolustusta. Kuten useimpien hyökkäysten kohdalla, sinun on parempi suojata järjestelmäsi tiedusteluhyökkäyksiä vastaan olemalla ennakoiva tietoturvasi suhteen.
