La fel ca în efectuarea de recunoașteri înainte de un atac fizic, atacatorii adună adesea informații înainte de un atac cibernetic.
Infractorii cibernetici nu umblă prin preajmă anunțându-și prezența. Ei lovesc în cele mai modeste moduri. Ai putea oferi unui atacator informații despre sistemul tău fără să știi.
Și dacă nu le oferiți informațiile, ei le pot obține în altă parte fără permisiunea dvs. - nu datorită atacurilor de recunoaștere. Securizează-ți sistemul aflând mai multe despre atacurile de recunoaștere, cum funcționează acestea și cum le poți preveni.
Ce este un atac de recunoaștere?
Recunoașterea este un proces de colectare a informațiilor despre un sistem pentru a identifica vulnerabilitățile. Iniţial o tehnică de hacking etic, a permis proprietarilor de rețele să își securizeze mai bine sistemele după ce le-au identificat lacunele de securitate.
De-a lungul anilor, recunoașterea a crescut de la o procedură de hacking etică la un mecanism de atac cibernetic. Un atac de recunoaștere este un proces prin care un hacker joacă rolul unui detectiv sub acoperire de pescuit informații despre sistemele lor țintă și apoi folosesc acele informații pentru a identifica vulnerabilitățile înaintea lor atacuri.
Tipuri de atacuri de recunoaștere
Există două tipuri de atacuri de recunoaștere: activ și pasiv.
1. Recunoaștere activă
În recunoașterea activă, atacatorul se angajează activ cu ținta. Ei comunică cu tine doar pentru a obține informații despre sistemul tău. Recunoașterea activă este destul de eficientă, deoarece oferă atacatorului informații valoroase despre sistemul dumneavoastră.
Următoarele sunt tehnici de recunoaștere active.
Inginerie sociala
Ingineria socială este un proces în care un actor de amenințări cibernetice manipulează ținte pentru a dezvălui informații confidențiale lor. Aceștia vă pot contacta online prin chat-uri instantanee, e-mailuri și alte mijloace interactive pentru a construi o conexiune cu dvs. Odată ce vă cuceresc, vă vor face să divulgați informații sensibile despre sistemul dvs. sau vă vor atrage să deschideți un fișier infectat cu malware care vă va compromite rețeaua.
Amprenta activă este o metodă care implică ca un intrus să facă pași deliberați pentru a culege informații despre sistemul dvs., infrastructura de securitate și implicarea utilizatorului. Aceștia vă regăsesc adresele IP, adresele de e-mail active, informațiile despre sistemul de nume de domeniu (DNS) etc.
Amprenta activă poate fi automatizată. În acest caz, actorul amenințării folosește instrumente precum un mapator de rețea (Nmap), o platformă open-source care oferă informații despre serviciile și gazdele care rulează într-o rețea, pentru a obține informații vitale despre dvs sistem.
Scanare porturi
Porturile sunt zone prin care informațiile trec de la un program de calculator sau dispozitiv la altul. În scanarea portului, actorul amenințării scanează porturile din rețeaua dvs pentru a le identifica pe cele deschise. Ei folosesc un scanner de porturi pentru a detecta serviciile active din rețeaua dvs., cum ar fi gazdele și adresele IP, apoi intră prin porturile deschise.
O scanare amănunțită a portului oferă unui atacator toate informațiile necesare despre starea de securitate a rețelei dumneavoastră.
2. Recunoaștere pasivă
În recunoașterea pasivă, atacatorul nu interacționează direct cu dvs. sau cu sistemul dvs. Ei își fac investigația de la distanță, monitorizând traficul și interacțiunile din rețeaua dvs.
Un actor de amenințare în recunoașterea pasivă apelează la platforme publice, cum ar fi motoarele de căutare și depozitele online, pentru informații despre sistemul dvs.
Strategiile de recunoaștere pasivă includ următoarele.
Open Source Intelligence
Open source intelligence (OSINT), să nu fie confundat cu software-ul open source, se referă la culegerea și analiza datelor din locații publice. Oamenii și rețelele își răspândesc informațiile pe web, fie intenționat, fie neintenționat. Un actor de recunoaștere ar putea folosi OSINT pentru a prelua informații valoroase despre sistemul dumneavoastră.
Motoarele de căutare precum Google, Yahoo și Bing sunt primele instrumente care vă vin în minte atunci când vorbiți despre platforme open source, dar open source merge dincolo de acestea. Există multe resurse online pe care motoarele de căutare nu le acoperă din cauza restricțiilor de conectare și a altor factori de securitate.
După cum am menționat mai devreme, footprinting este o tehnică de culegere de informații despre o țintă. Dar în acest caz, activitățile sunt pasive, ceea ce înseamnă că nu există interacțiune sau implicare directă. Atacatorul își face investigația de la distanță, verificându-vă pe motoarele de căutare, rețelele sociale și alte depozite online.
Pentru a obține informații concrete din amprenta pasivă, un atacator nu se bazează doar pe platforme populare precum motoarele de căutare și rețelele sociale. Ei folosesc instrumente precum Wireshark și Shodan pentru a obține informații suplimentare care ar putea să nu fie disponibile pe platformele populare.
Cum funcționează atacurile de recunoaștere?
Indiferent de tipul de strategie de recunoaștere pe care o folosește un atacator, aceștia operează după un set de linii directoare. Primii doi pași sunt pasivi, în timp ce restul sunt activi.
1. Colectați date despre țintă
Colectarea datelor despre țintă este primul pas într-un atac de recunoaștere. Intrusul este pasiv în această etapă. Ei își fac descoperirile de la distanță, obținând informații despre sistemul dvs. în spațiul public.
2. Definiți intervalul rețelei țintă
Sistemul dvs. poate fi mai mare sau mai mic decât pare. Definirea razei sale oferă atacatorului o idee clară despre dimensiunea sa și îl ghidează în executarea planurilor. Ei iau notă de diferitele zone ale rețelei dumneavoastră și subliniază resursele de care au nevoie pentru a-și acoperi zonele de interes.
În această etapă, actorul amenințării caută instrumente active în sistemul dvs. și vă angajează prin intermediul acestor instrumente pentru a obține informații importante de la dvs. Exemple de instrumente active includ adrese de e-mail funcționale, conturi de rețele sociale, numere de telefon etc.
4. Localizați porturi deschise și puncte de acces
Atacatorul înțelege că nu poate intra magic în sistemul dvs., așa că localizează punctele de acces și porturile deschise prin care pot intra. Ei implementează tehnici precum scanarea portului pentru a identifica porturile deschise și alte puncte de acces pentru a obține acces neautorizat.
5. Identificați sistemul de operare al țintei
Deoarece diverse sisteme de operare au infrastructuri de securitate diferite, infractorii cibernetici trebuie să identifice sistemul de operare specific cu care au de-a face. În acest fel, ei pot implementa tehnicile adecvate pentru a ocoli orice apărare de securitate existentă.
6. Servicii de schiță pe porturi
Serviciile de pe porturile dumneavoastră au acces autorizat la rețeaua dumneavoastră. Atacatorul interceptează aceste servicii și își face drum așa cum ar face în mod normal aceste servicii. Dacă reușesc acest lucru în mod eficient, este posibil să nu observați nicio intruziune.
7. Harta rețeaua
În această etapă, atacatorul se află deja în sistemul dumneavoastră. Ei folosesc maparea rețelei pentru a avea o vizibilitate completă a rețelei dvs. Cu acest mecanism, ei vă pot localiza și recupera datele critice. Atacatorul deține controlul deplin asupra rețelei dvs. în acest moment și poate face orice dorește.
Cum să preveniți atacurile de recunoaștere
Atacurile de recunoaștere nu sunt invincibile. Există măsuri pe care le puteți lua pentru a le preveni. Aceste măsuri includ următoarele.
1. Asigurați-vă punctele finale cu EDR
Porturile prin care un actor de recunoaștere accesează rețeaua dvs. fac parte din punctele sale finale. Implementarea securității mai stricte în acele zone cu sisteme de securitate a punctelor terminale cum ar fi detectarea și răspunsul punctului final (EDR) le vor face mai puțin accesibile intrușilor.
Deoarece un EDR eficient a automatizat monitorizarea în timp real și analiza datelor pentru a evita amenințările, va rezista eforturilor de recunoaștere ale atacatorului de a obține acces neautorizat prin porturile dumneavoastră.
2. Identificați vulnerabilități cu testarea de penetrare
Atacatorii cibernetici se bucură de vulnerabilitățile sistemelor. Luați inițiativa de a descoperi vulnerabilitățile care pot exista în sistemul dumneavoastră înainte ca criminalii să le descopere. Puteți face asta cu un test de penetrare.
Purtați pantofii hackerului și lansați un atac etic asupra sistemului dvs. Acest lucru vă va ajuta să descoperiți lacune de securitate care ar fi în mod obișnuit în punctele moarte.
3. Adoptă sisteme integrate de securitate cibernetică
Actorii amenințărilor implementează tot felul de tehnologii pentru a lansa cu succes atacuri cibernetice. O modalitate eficientă de a preveni aceste atacuri este de a profita de soluțiile integrate de securitate cibernetică.
Sistemele avansate precum informațiile de securitate și managementul evenimentelor (SIEM) oferă securitate completă pentru a vă securiza activele digitale. Sunt programate să detecteze și să oprească amenințările înainte ca acestea să provoace daune semnificative rețelei dvs.
Fiți proactiv pentru a preveni atacurile de recunoaștere
S-ar putea ca infractorii cibernetici să-și fi perfecționat trăsăturile în atacuri de recunoaștere, dar poți să-ți dai înapoi solidificându-ți apărarea. Ca și în cazul majorității atacurilor, este mai bine să vă securizați sistemul împotriva atacurilor de recunoaștere, fiind proactiv cu securitatea dumneavoastră.
