Un atac activ este un atac cibernetic periculos, deoarece încearcă să modifice resursele sau operațiunile rețelei de computere. Atacurile active duc adesea la pierderi de date nedetectate, deteriorarea mărcii și un risc crescut de furt de identitate și fraudă.
Atacurile active reprezintă amenințarea cu cea mai mare prioritate cu care se confruntă întreprinderile astăzi. Din fericire, există lucruri pe care le puteți face pentru a preveni aceste atacuri și pentru a atenua efectele dacă apar.
Ce sunt atacurile active?
Într-un atac activ, actorii amenințărilor exploatează punctele slabe din rețeaua țintei pentru a obține acces la datele din aceasta. Acești actori amenințări pot încerca să injecteze date noi sau să controleze diseminarea datelor existente.
Atacurile active implică, de asemenea, modificarea datelor din dispozitivul țintei. Aceste modificări variază de la furtul de informații personale până la preluarea completă a rețelei. Sunteți adesea alertat că sistemul a fost compromis, deoarece aceste atacuri sunt ușor de detectat, dar oprirea lor odată ce au început poate fi destul de dificilă.
Întreprinderile mici și mijlocii, cunoscute în mod obișnuit ca IMM-uri, suportă de obicei greul atacurilor active. Acest lucru se datorează faptului că majoritatea IMM-urilor nu au resursele necesare pentru a procura măsuri de securitate cibernetică de vârf. Și pe măsură ce atacurile active continuă să evolueze, aceste măsuri de securitate trebuie actualizate în mod regulat, sau lasă rețeaua vulnerabilă la atacuri avansate.
Cum funcționează un atac activ?
Primul lucru pe care îl vor face actorii amenințărilor după identificarea țintei este să caute vulnerabilități în rețeaua țintei. Aceasta este o etapă pregătitoare pentru tipul de atac pe care îl planifică.
De asemenea, folosesc scanere pasive pentru a obține informații despre tipul de programe care rulează în rețeaua țintă. Odată ce punctele slabe au fost descoperite, hackerii pot folosi oricare dintre următoarele forme de atacuri active pentru a submina securitatea rețelei:
1. Atacul de deturnare a sesiunii
Într-o atac de deturnare a sesiunii, cunoscut și sub numele de reluare a sesiunii, atacuri de redare sau atacuri de reluare, actorii amenințărilor copiază informațiile de identificare a sesiunii de internet ale țintei. Ei folosesc aceste informații pentru a prelua acreditările de conectare, pentru a uzurpa identitatea țintelor și pentru a fura în continuare alte date sensibile de pe dispozitivele lor.
Această uzurpare a identității se face folosind module cookie de sesiune. Aceste module cookie funcționează împreună cu protocolul de comunicare HTTP pentru a vă identifica browserul. Dar acestea rămân în browser după ce v-ați deconectat sau ați încheiat sesiunea de navigare. Aceasta este o vulnerabilitate pe care actorii amenințărilor o exploatează.
Ei recuperează aceste cookie-uri și păcălesc browserul făcându-i să creadă că ești încă online. Acum, hackerii pot obține orice informații doresc din istoricul dvs. de navigare. Ei pot obține cu ușurință detalii despre cardul de credit, tranzacții financiare și parole de cont în acest fel.
Există și alte moduri prin care hackerii pot obține ID-ul de sesiune al țintei lor. O altă metodă comună implică folosirea de link-uri rău intenționate, care conduc la site-uri cu un ID gata făcut pe care hackerul îl poate folosi pentru a vă deturna sesiunea de navigare. Odată capturat, serverele nu ar putea detecta nicio diferență între ID-ul de sesiune original și celălalt replicat de actorii amenințărilor.
2. Atacul de modificare a mesajului
Aceste atacuri se bazează în principal pe e-mail. Aici, actorul amenințării editează adresele pachetelor (conținând adresa expeditorului și destinatarului) și trimite e-mailul într-o locație complet diferită sau modifică conținutul pentru a ajunge în cel al țintei reţea.
Hackerii preiau corespondența între țintă și o altă parte. Când această interceptare este completă, ei au libertatea de a efectua orice operațiune asupra acesteia, inclusiv injectarea de link-uri rău intenționate sau eliminarea oricărui mesaj din interior. Poșta va continua apoi călătoria, ținta neștiind că a fost manipulată.
3. Atacul Mascarade
Acest atac exploatează punctele slabe ale procesului de autentificare al rețelei țintei. Actorii amenințărilor folosesc detalii de conectare furate pentru a uzurpa identitatea unui utilizator autorizat, folosind ID-ul utilizatorului pentru a obține acces la serverele vizate.
În acest atac, actorul amenințării sau mascarada ar putea fi un angajat al organizației sau un hacker care utilizează o conexiune la rețeaua publică. Procesele de autorizare lax ar putea permite accesul acestor atacatori, iar cantitatea de date la care ar avea acces depinde de nivelul de privilegii al utilizatorului uzurpat.
Primul pas într-un atac mascat este folosirea unui sniffer de rețea pentru a obține pachete IP de la dispozitivele țintei. Aceste adrese IP falsificate păcăliți firewall-urile țintei, ocolindu-le și obținând acces la rețeaua lor.
4. Atac de refuzare a serviciului (DoS).
În acest atac activ, actorii amenințărilor fac resursele rețelei indisponibile utilizatorilor autorizați. Dacă întâmpinați un atac DoS, nu veți putea accesa informațiile, dispozitivele, actualizările și sistemele de plată ale rețelei.
Există diferite tipuri de atacuri DoS. Un tip este atac de depășire a tamponului, unde actorii amenințărilor inundă serverele țintei cu mult mai mult trafic decât pot face față. Acest lucru face ca serverele să se prăbușească și, ca urmare, nu veți putea obține acces la rețea.
Există și atacul ștrumfilor. Actorii amenințărilor vor folosi dispozitive complet prost configurate pentru a trimite pachete ICMP (Internet Control Message Protocol) către mai multe gazde de rețea cu o adresă IP falsificată. Aceste pachete ICMP sunt utilizate de obicei pentru a determina dacă datele ajung în rețea într-o manieră ordonată.
Gazdele care sunt destinatarii acestor pachete vor trimite mesaje în rețea și, cu multe răspunsuri care vin, rezultatul este același: servere prăbușite.
Cum să te protejezi împotriva atacurilor active
Atacurile active sunt obișnuite și ar trebui să vă protejați rețeaua de aceste operațiuni rău intenționate.
Primul lucru pe care ar trebui să-l faceți este să instalați un firewall de ultimă generație și Sistem de prevenire a intruziunilor (IPS). Firewall-urile ar trebui să facă parte din securitatea oricărei rețele. Acestea ajută la scanarea activităților suspecte și blochează orice este detectată. IPS monitorizează traficul de rețea precum firewall-uri și ia măsuri pentru a proteja rețeaua atunci când este identificat un atac.
O altă modalitate de a vă proteja împotriva atacurilor active este utilizarea cheilor de sesiune aleatoare și a parolelor unice (OTP). Cheile de sesiune sunt folosite pentru a cripta comunicarea dintre două părți. Odată ce comunicarea se termină, cheia este aruncată, iar una nouă este generată aleatoriu atunci când începe o altă comunicare. Acest lucru asigură securitate maximă, deoarece fiecare cheie este unică și nu poate fi replicată. În plus, atunci când o sesiune s-a încheiat, cheia pentru acea perioadă nu poate fi folosită pentru a evalua datele schimbate în timpul sesiunii.
OTP-urile funcționează pe aceeași premisă ca și cheile de sesiune. Sunt caractere alfanumerice/numerice generate aleatoriu care sunt valabile doar pentru un singur scop și expiră după o anumită perioadă. Ele sunt adesea folosite în combinație cu o parolă pentru a furniza autentificare cu doi factori.
Hackeri și atacatori, firewall-uri și 2FA
Atacurile active exploatează punctele slabe ale protocoalelor de autentificare ale unei rețele. Prin urmare, singura modalitate dovedită de a preveni aceste atacuri este utilizarea paravanelor de protecție, IPS, chei aleatorii de sesiune și, cel mai important, autentificarea cu doi factori. O astfel de autentificare poate fi o combinație între o cheie generată aleatoriu, un nume de utilizator și o parolă.
Acest lucru ar putea părea obositor, dar pe măsură ce atacurile active evoluează și devin și mai nemiloase, procesele de verificare ar trebui să facă față provocării, stând de pază împotriva acestor atacuri care apar. Amintiți-vă că, odată ce actorii amenințărilor sunt în rețeaua dvs., ar fi dificil să-i eliminați.
