Aktiivne rünnak on ohtlik küberrünnak, kuna sellega üritatakse muuta teie arvutivõrgu ressursse või toiminguid. Aktiivsete rünnakute tulemuseks on sageli avastamata andmete kadu, kaubamärgi kahjustamine ning identiteedivarguse ja pettuse oht.
Aktiivsed rünnakud kujutavad endast praegu ettevõtete suurimat prioriteetset ohtu. Õnneks saate neid rünnakuid ära hoida ja nende esinemise tagajärgi leevendada.
Mis on aktiivsed rünnakud?
Aktiivse rünnaku korral kasutavad ohus osalejad ära sihtmärgi võrgu nõrkusi, et pääseda ligi seal olevatele andmetele. Need ohustajad võivad üritada sisestada uusi andmeid või kontrollida olemasolevate andmete levitamist.
Aktiivsed rünnakud hõlmavad ka andmete muutmist sihtmärgi seadmes. Need muudatused ulatuvad isikuandmete vargusest kuni võrgu täieliku ülevõtmiseni. Teid hoiatatakse sageli, et süsteem on ohustatud, kuna need rünnakud on kergesti tuvastatavad, kuid nende peatamine pärast nende algust võib olla üsna keeruline.
Väikesed ja keskmise suurusega ettevõtted, üldtuntud kui VKEd, kannavad tavaliselt aktiivsete rünnakute raskust. Põhjus on selles, et enamikul VKEdel pole ressursse kõrgetasemeliste küberjulgeolekumeetmete hankimiseks. Ja kuna aktiivsed rünnakud arenevad edasi, tuleb neid turvameetmeid regulaarselt värskendada, vastasel juhul jätavad need võrgu arenenud rünnakute suhtes haavatavaks.
Kuidas aktiivne rünnak töötab?
Esimene asi, mida ohus osalejad pärast sihtmärgi tuvastamist teevad, on otsida sihtmärgi võrgust haavatavusi. See on ettevalmistav etapp nende kavandatava rünnaku jaoks.
Samuti kasutavad nad passiivseid skannereid, et saada teavet sihtmärgi võrgus töötavate programmide tüübi kohta. Kui nõrkused on avastanud, võivad häkkerid võrgu turvalisuse kahjustamiseks kasutada mõnda järgmistest aktiivsete rünnakute vormidest:
1. Seansi kaaperdamise rünnak
Sees seansi kaaperdamise rünnak, mida tuntakse ka kui seansi taasesitus, taasesitusrünnakud või kordusrünnakud, kopeerivad ohus osalejad sihtmärgi Interneti-seansi ID teabe. Nad kasutavad seda teavet sisselogimismandaatide hankimiseks, sihtmärkidena esinemiseks ja muude tundlike andmete varastamiseks oma seadmetest.
See kellegi teisena esinemine toimub seansiküpsiste abil. Need küpsised töötavad teie brauseri tuvastamiseks koos HTTP-sideprotokolliga. Kuid need jäävad brauserisse alles pärast seda, kui olete välja loginud või sirvimisseansi lõpetanud. See on haavatavus, mida ohus osalejad ära kasutavad.
Nad taastavad need küpsised ja panevad brauserit arvama, et olete endiselt võrgus. Nüüd saavad häkkerid teie sirvimisajaloost saada mis tahes teavet, mida nad soovivad. Sel viisil saavad nad hõlpsasti krediitkaardiandmeid, finantstehinguid ja konto paroole.
Häkkerid saavad oma sihtmärgi seansi ID hankida ka muudel viisidel. Teine levinud meetod hõlmab pahatahtlike linkide kasutamist, mis viivad valmis ID-ga saitidele, mida häkker saab kasutada teie sirvimisseansi kaaperdamiseks. Kui serverid on konfiskeeritud, ei saaks nad enam tuvastada erinevusi algse seansi ID ja ohus osalejate poolt kopeeritud seansi ID vahel.
2. Sõnumi muutmise rünnak
Need rünnakud on peamiselt meilipõhised. Siin redigeerib ohutegija paketiaadresse (mis sisaldab saatja ja saaja aadressi) ja saadab kirja hoopis teise asukohta või muudab sisu, et see jõuaks sihtmärgini võrku.
Häkkerid juhivad posti sihtmärgi ja teise osapoole vahel. Kui pealtkuulamine on lõpetatud, on neil õigus sellega teha mis tahes toiminguid, sealhulgas sisestada pahatahtlikke linke või eemaldada sees olev sõnum. Post jätkab seejärel oma teekonda, kusjuures sihtmärk ei tea, et seda on rikutud.
3. Maskeraadi rünnak
See rünnak kasutab ära sihtmärgi võrgu autentimisprotsessi nõrkusi. Ohutegijad kasutavad varastatud sisselogimisandmeid selleks, et esineda volitatud kasutajana, kasutades kasutaja ID-d oma sihitud serveritele juurdepääsu saamiseks.
Selle ründe puhul võib ohutegija või maskeraad olla organisatsiooni töötaja või häkker, kes kasutab ühendust avaliku võrguga. Lahedad autoriseerimisprotsessid võivad lubada nendel ründajatel siseneda ja andmete hulk, millele neil oleks juurdepääs, sõltub kehastatava kasutaja privileegide tasemest.
Maskeraadirünnaku esimene samm on võrgu nuusutaja kasutamine IP-pakettide hankimiseks sihtmärgi seadmetest. Need võltsitud IP-aadressid petta sihtmärgi tulemüüre, minnes neist mööda ja pääsedes nende võrgule juurde.
4. Teenuse keelamise (DoS) rünnak
Selle aktiivse rünnaku korral muudavad ohus osalejad võrguressursid ettenähtud, volitatud kasutajatele kättesaamatuks. Kui kogete DoS-i rünnakut, ei pääse te ligi võrgu teabele, seadmetele, värskendustele ega maksesüsteemidele.
DoS-rünnakuid on erinevat tüüpi. Üks tüüp on puhvri ülevoolu rünnak, kus ohutegurid ujutavad sihtmärgi serverid üle palju suurema liiklusega, kui nad suudavad hakkama saada. See põhjustab serverite krahhi ja selle tulemusena ei saa te võrgule juurdepääsu.
Seal on ka smurfi rünnak. Ohutegurid kasutavad võltsitud IP-aadressiga mitmele võrguhostile ICMP (Internet Control message Protocol) pakettide saatmiseks täiesti valesti konfigureeritud seadmeid. Neid ICMP-pakette kasutatakse tavaliselt selleks, et teha kindlaks, kas andmed jõuavad võrku korrapäraselt.
Nende pakettide adressaadid saadavad sõnumeid võrku ja paljude vastuste saabumisel on tulemus sama: serverid jooksid kokku.
Kuidas kaitsta end aktiivsete rünnakute eest
Aktiivsed rünnakud on tavalised ja peaksite oma võrku nende pahatahtlike toimingute eest kaitsma.
Esimene asi, mida peaksite tegema, on installida kõrgetasemeline tulemüür ja sissetungi vältimise süsteem (IPS). Tulemüürid peaksid olema iga võrgu turvalisuse osa. Need aitavad skannida kahtlast tegevust ja blokeerivad kõik, mis tuvastatakse. IPS jälgib võrguliiklust nagu tulemüürid ja võtab rünnaku tuvastamisel meetmeid võrgu kaitsmiseks.
Teine viis aktiivsete rünnakute eest kaitsmiseks on juhuslike seansivõtmete ja ühekordsete paroolide (OTP) kasutamine. Seansivõtmeid kasutatakse kahe osapoole vahelise suhtluse krüptimiseks. Kui side on lõppenud, visatakse võti kõrvale ja uue suhtluse alustamisel genereeritakse juhuslikult uus. See tagab maksimaalse turvalisuse, kuna iga võti on kordumatu ja seda ei saa paljundada. Peale selle, kui seanss on lõppenud, ei saa selle perioodi võtit kasutada seansi ajal vahetatud andmete hindamiseks.
OTP-d töötavad samal eeldusel kui seansivõtmed. Need on juhuslikult genereeritud tähtnumbrilised/numbrilised märgid, mis kehtivad ainult ühel eesmärgil ja aeguvad pärast teatud perioodi. Neid kasutatakse sageli koos parooliga kahefaktoriline autentimine.
Häkkerid ja ründajad, tulemüürid ja 2FA
Aktiivsed rünnakud kasutavad ära võrgu autentimisprotokollide nõrkusi. Seetõttu on ainus tõestatud viis nende rünnakute ärahoidmiseks kasutada tulemüüre, IPS-i, juhuslikke seansi võtmeid ja mis kõige tähtsam, kahefaktorilist autentimist. Selline autentimine võib olla juhuslikult genereeritud võtme, kasutajanime ja parooli kombinatsioon.
See võib tunduda tüütu, kuid kui aktiivsed rünnakud arenevad ja muutuvad veelgi halastamatumaks, peaksid kontrolliprotsessid olema väljakutseks, kaitstes nende sissetulevate rünnakute eest. Pidage meeles, et kui ohus osalejad on teie võrgustikus, on neid raske eemaldada.
