Săritul insulelor sună probabil mai degrabă a unei activități pe care ai desfășura în Bahamas decât a unui atac strategie, dar de fapt este folosit destul de des de infractorii cibernetici care caută să vizeze rețelele fără a pirata direct în ele. Deci, ce este un atac de insula și cum te poți proteja împotriva lui?
Ce este un atac de insulă?
Termenul de „săritul insulelor” provine din al Doilea Război Mondial. Forțele americane doreau să ajungă în Japonia continentală și trebuiau să se mute din insulă în insulă, folosind fiecare ca rampă de lansare pentru următoarea, cu continentul ca țintă principală. La acea vreme era cunoscut drept leapfrogging.
Într-un atac de tip insula hopping, actorii amenințărilor vă urmăresc partenerii și alți asociați terți, folosind vulnerabilitățile lor cibernetice pentru a accesa rețeaua dvs. mai sigură. Acești actori ai amenințărilor sunt entități sau persoane care participă la acțiuni care subminează sau au potențialul de a afecta securitatea cibernetică a organizației tale. Ei pot face orice pentru a ocoli firewall-urile țintei lor, iar o metodă eficientă este insula hopping.
Afacerile de producție, financiare și de retail sunt în primul rând ținta acestei forme de atac cibernetic. În astfel de cazuri, sistemele de securitate ale țintei sunt etanșe și în mare măsură imune la invaziile directe, astfel încât hackerii trec prin parteneri considerabil mai puțin siguri.
Acești parteneri sunt de încredere de către organizația țintă și sunt conectați la rețeaua acesteia. Hackerii exploatează relația de încredere și atacă mecanismele complexe de apărare ale țintei reale prin legăturile sale slabe cu alte organizații.
Cum funcționează atacul cu hopping pe insula?
Atacurile de tip insula Hopping sunt eficiente deoarece nu declanșează alerte în sistemul de securitate al țintei. Aceste alerte sunt de obicei declanșate atunci când există o încercare de intrare în rețeaua gazdă de pe un dispozitiv neîncrezat sau neînregistrat. Intrările partenerilor sunt rareori semnalate; actorii amenințărilor profită de acest decalaj.
Există trei metode standard pe care le adoptă actorii amenințărilor în misiunea lor de insula.
1. Atac bazat pe rețea
Această metodă implică infiltrarea în rețeaua unei organizații și utilizarea acesteia pentru a intra într-o altă rețea asociată. În acest atac, actorii amenințărilor merg de obicei după cei ai organizației Furnizor de servicii de securitate gestionat (MSSP).
MSSP sunt furnizori de servicii IT care vând securitate întreprinderilor mici și organizațiilor mari, protejându-le împotriva amenințărilor de securitate cibernetică. Ei folosesc software sau o echipă de personal pentru a răspunde acestor amenințări de îndată ce apar. Multe întreprinderi își externalizează departamentul de securitate IT către acești MSSP, făcând furnizorii o țintă pentru hackeri.
2. Atacurile de gropi de apă
Această formă de hopping implică infiltrarea site-urilor frecventate de clienții, partenerii de afaceri și angajații țintei principale. Actorii rele evaluează securitatea site-urilor și introduc link-uri rău intenționate atunci când găsesc puncte slabe.
Aceste legături duc la platforme compromise care injectează automat malware pe computer. Odată ce malware-ul injectat este operațional, actorii amenințărilor pot folosi informațiile colectate pentru a obține acces la ținta principală.
3. Compromis de e-mail de afaceri
O înșelătorie de tip phishing este de obicei primul pas în această metodă. Infractorii cibernetici se prezintă drept o entitate de afaceri reputată. Yahoo, Facebook și băncile comerciale populare sunt utilizate în principal în aceste atacuri, deoarece hackerii trimit linkuri rău intenționate în e-mailurile spam.
Odată ce momeala este luată și se dă clic pe link, hackerii folosesc programe malware pentru a compromite computerul utilizatorului. Această metodă vizează oficialii sau directorii de rang înalt ai organizației.
Software Keylogger este uneori folosit aici pentru a fura conturile de e-mail ale acestor directori. Informațiile sensibile sunt trecute prin glisare din conturile de e-mail și apoi utilizate pentru a se infiltra în organizația țintă.
Precedente de hopping de insulă: țintă și SolarWinds
În 2013, una dintre cele mai mari companii de retail din SUA, Target, a fost implicată într-un coșmar de insula. Și în 2020, SolarWinds, un furnizor de management IT, a fost victima unui atac de tip insula Hopping.
Țintă: Coșmarul unui sezon de vacanță
Actorii amenințărilor au compromis sistemul de puncte de vânzare al Target și au furat informațiile financiare a aproximativ 40 de milioane de clienți. Acest lucru a dus la ca Target să plătească cea mai mare din toate timpurile soluționarea încălcării datelor.
Au fost convenite 18,5 milioane de dolari pentru soluționarea a 47 de state și Districtul Columbia, după ce hackerii au furat majoritatea informațiilor despre cardurile de credit și de debit ale clienților gigantului retail în timpul sărbătorii din 2013 sezon. Această încălcare a datelor l-a costat pe Target peste 300 de milioane USD. Dar acesta nu a fost un atac direct asupra serverelor companiei.
A început cu Fazio Mechanical Services, o altă companie care oferă Target încălzire și refrigerare. Au experimentat o atac de malware cu două luni înainte de încălcarea securității Target. Actorii amenințărilor au scăpat de acreditările de e-mail și le-au folosit pentru a accesa serverele Target.
SolarWinds
Acest atac a afectat peste 18.000 de întreprinderi și chiar departamente guvernamentale americane. Toți cei afectați aveau un lucru în comun – un furnizor de management IT numit SolarWinds.
Ca și în cazul atacurilor de tip insula, SolarWinds nu a fost ținta principală. Odată cu numărul de departamente ale guvernului SUA care au fost afectate, au existat zvonuri că hackerii au fost susținuți de guvernul rus, sperând să destabilizeze Congresul SUA.
SolarWinds a confirmat prima dată atacul în decembrie 2020, deși a fost nedetectat timp de câteva luni. În martie 2021, hackerii au furat acreditările de e-mail de la Departamentul de Securitate Internă, chiar dacă majoritatea departamentelor guvernamentale și-au avertizat angajații să închidă Orion, SolarWinds afectat produs. Atacurile au afectat și Departamentele de Energie, Trezorerie și Comerț, Mimecast și Microsoft.
Cum să te protejezi de atacurile insulare
Odată cu prevalența hopping-ului insulelor, ar trebui să luați măsuri pentru a preveni atacarea rețelei și a serverelor de către părți rău intenționate. Iată câteva moduri prin care puteți face acest lucru.
1. Utilizați autentificarea cu mai mulți factori
Autentificare cu mai mulți factori implică utilizarea diferitelor verificări de verificare, cum ar fi confirmările de amprentă și ID, pentru a confirma identitatea oricărei persoane care încearcă să acceseze rețeaua dvs. Acest strat suplimentar de securitate, deși obositor, se dovedește întotdeauna util. Hackerii cu acreditări de conectare furate vor găsi că este aproape imposibil să treacă de verificarea de confirmare a amprentei sau de verificarea ID-ului facial.
2. Aveți un plan de răspuns la incident în standby
Atacurile de tip insula Hopping iau mai multe forme și, uneori, protocoalele obișnuite de securitate pot să nu fie suficiente pentru a preveni orice apariție. Software-ul dumneavoastră de securitate trebuie să fie actualizat în mod constant pe măsură ce atacurile de tip insula hopping devin mai sofisticate. De asemenea, cel mai bine este să ai un răspuns la incident echipa în așteptare pentru a avea grijă de amenințările neprevăzute care pot trece de securitate și pot face față celor mai recente amenințări.
3. Adoptă cele mai recente standarde de securitate cibernetică
Multe organizații recunosc riscurile exploatării insulelor și au stabilit standarde de securitate cibernetică pentru orice potențial parteneri și asociați. sfătuiți partenerii actuali să își modernizeze sistemele de securitate; cei fără verificări avansate ar trebui să aibă acces restricționat la rețeaua dvs.
Nu fi o victimă: restricționați accesul sau îmbunătățiți-vă securitatea
Atacurile de insula au devenit mai răspândite. Organizațiile cu protocoale de securitate laxe riscă să fie victime ale unor amenințări dacă nu își modernizează sistemele.
Cu toate acestea, este nevoie de mai mult. Partenerii terți fără sisteme de securitate avansate reprezintă un risc și nu ar trebui să aibă acces nelimitat. Dacă limitarea accesului este imposibilă, astfel de parteneri ar trebui să-și actualizeze sistemele.
