Atacurile vizate sunt (sau ar trebui să fie) o preocupare importantă pentru organizațiile mari de oriunde. Atacurile bine concepute se desfășoară în șase etape, care arată cum progresează atacatorii în ținte.
Au trecut câțiva ani de când atacurile vizate au apărut pentru prima dată în peisajul amenințărilor și atât amenințările, cât și înțelegerea noastră asupra lor au evoluat și s-au maturizat. Ce am învățat și ce s-a schimbat de atunci?
Înainte de a intra în discuția despre diferitele componente ale unui atac vizat, este de asemenea important să luăm în considerare factorii care fac succesul unei campanii. Unul dintre motivele pentru care o companie este încălcată este că linia frontală - angajații și conștientizarea lor - este slabă. Adică, bariera umană este critică ca primă linie de apărare împotriva atacurilor vizate.
Componentele nu sunt deosebit de distincte.
Cele șase componente sau „etape” ale unui atac vizat reprezintă etape distincte într-un atac logic, structurat. Cu toate acestea, realitatea este mult mai dezordonată. Odată ce o etapă este „terminată”, nu înseamnă că nu vor avea loc alte activități legate de acea etapă. Poate fi posibil ca mai multe etape ale unui atac să se desfășoare în același timp: de exemplu, comunicarea C&C are loc pe parcursul oricărui atac vizat. Atacatorul trebuie să păstreze controlul asupra oricăror activități care se desfășoară în cadrul rețelei vizate, așa că, în mod natural, traficul C&C va continua să meargă înainte și înapoi între atacator și orice sistem compromis.
Este mai bine să ne gândim la fiecare componentă ca la fațete diferite ale aceluiași atac. Diferite porțiuni ale unei rețele se pot confrunta cu fețe diferite ale unui atac în același timp.
Acest lucru poate avea un efect semnificativ asupra modului în care o organizație trebuie să răspundă la un atac. Nu se poate presupune pur și simplu că, deoarece un atac a fost detectat într-un stadiu „mai devreme”, etapele „ulterioare” ale unui atac nu sunt în desfășurare. Un plan adecvat de răspuns la amenințări ar trebui să ia în considerare acest lucru și să planifice în consecință.
Cele șase etape ale unui atac vizat
Prima etapă a oricărui atac vizat presupune colectarea de informații despre ținta intenționată. Cu toate acestea, cantități mari de informații care pot fi utile în efectuarea atacurilor se află exclusiv în rețelele companiei. Ca atare, această etapă nu se oprește chiar dacă atacul este deja în plină desfășurare. Datele achiziționate din rețea pot contribui la îmbunătățirea eficacității oricărui atac în curs.
Dincolo de informații, descoperirea conexiunilor care există între diferite echipe, precum și a celor care se extind în afara organizației țintă, poate ajuta un atacator să determine ținte bune pentru mai multe atacuri.
Atacurile vizate în mod tradițional au folosit e-mailuri de tip phishing pentru a se infiltra în rețelele organizațiilor vizate. Deși aceasta este încă o tactică eficientă, atacatorii au adăugat alte metode pentru a face acest lucru.
Aceste alternative includ atacuri de găuri de udare (adică atacuri care vizează site-urile vizitate frecvent de industria sau organizația țintă). Cu toate acestea, dincolo de punctul de intrare inițial, un atacator poate adăuga puncte de intrare suplimentare în rețeaua țintă. Pot fi vizați diferiți angajați și/sau segmente de rețea pentru a asigura un atac mai complet.
În plus, un atacator poate adăuga în mod constant ușile din spate la diferite sisteme în timpul mișcării laterale, care pot servi drept puncte de intrare suplimentare într-o organizație deja compromisă. Pentru un atacator, acestea ar putea fi incredibil de valoroase în cazul în care punctele de intrare mai vechi sunt detectate și eliminate.
Pentru a monta în mod eficient un atac vizat, un atacator trebuie să poată controla în mod eficient orice mașină compromisă într-o rețea vizată. Am discutat anterior câteva dintre metodele folosite pentru a ascunde traficul C&C din spate, dar o altă tendință pe care am văzut-o în ultima vreme este modul în care mașinile interne acționează ca servere C&C intermediare. Atacatorul se va conecta la acest server C&C intern, care îl va transmite apoi altor mașini compromise din cadrul organizației.
Mișcarea laterală a unui atac vizat este repetată în mod constant de către atacator. În timpul acestui proces, au loc unele activități care sunt clasificate cu alte etape (cum ar fi colectarea de informații), de asemenea, au loc. În plus, alte sisteme pot fi backdoored pentru a servi ca mașini suplimentare compromise.
Mișcarea laterală folosește instrumente legitime de administrare a sistemului pentru a-și ascunde activitățile și are în vedere trei obiective: escaladarea privilegiilor disponibile în cadrul rețelei țintă, efectuarea recunoașterii în cadrul rețelei țintă și mișcarea laterală către alte mașini din cadrul rețelei în sine.
Această fațetă este probabil cea mai repetată dintre atacurile vizate; în plus, este și cel mai cuprinzător, deoarece acest pas poate cuprinde și alte etape ale unui atac vizat. Se efectuează recunoașterea internă și colectarea informațiilor și orice „inteligență” adunată poate fi utilizată pentru a identifica potențiale ținte pentru mișcarea laterală, precum și orice active care pot fi găsite.
Un atac vizat cu succes este unul care poate rămâne în desfășurare atât timp cât părțile din spatele acestuia necesită. Ca orice altceva, atacatorul trebuie să efectueze întreținerea unui atac în desfășurare pentru a-l menține operațional. Aceasta poate include utilizarea unor backgate și servere C&C diferite sau utilizarea de patch-uri pentru a se asigura că alți atacatori nu pot exploata aceleași vulnerabilități utilizate în atac.
Procesul de exfiltrare poate fi „zgomotos”, așa cum este văzut de soluțiile de securitate a rețelei, deoarece ar putea implica o cantitate mare de trafic de rețea care nu ar fi găsit în cursul operațiunilor normale. O încercare a atacatorilor de a încerca să „ascundă” traficul de exfiltrare este de a transfera o mare parte din datele furate pe mașini din cadrul organizației înainte ca datele să fie extrase într-un mod controlat. Se știe că acest lucru se întâmplă în incidente care implică malware PoS.
Pentru mai multe detalii despre atacurile vizate, inclusiv modul în care funcționează, motivațiile atacatorului și efectele acestuia asupra victimelor sale, descărcați exemplul Înțelegerea atacurilor vizate: ce s-a schimbat?
Imi place? Adăugați această infografie pe site-ul dvs.:
1. Faceți clic pe caseta de mai jos. 2. Apăsați Ctrl + A pentru a selecta toate. 3. Apăsați Ctrl + C pentru a copia. 4. Lipiți codul în pagina dvs. (Ctrl + V).
Imaginea va apărea la aceeași dimensiune pe care o vedeți mai sus.
- Rolul nutriției materne în timpul sarcinii pentru dezvoltarea fetală - Știri - Înțelegere
- WEST COAST ISBS MUNCĂ ÎN jurul IMPACTULUI CU CARBUNE SCĂZUTĂ Știri despre supermarket
- Două noi studii sugerează legături între băuturile răcoritoare, demența și AVC CTV News
- SunLive - Slăbiți, încercați dieta Homer Simpson - The Bay s News First
- Adevărul despre Sushi Fox News