Video: Wróżby andrzejkowe 2018 (November 2024)
Fráza „Pokročilá pretrvávajúca hrozba“ mi prináša konkrétny obraz, káder obetavých hackerov, neúnavne vykopávajúci nové útoky v nultý deň, pozorne monitoruje sieť obetí a ticho kradne údaje alebo vykonáva tajné sabotáže. Nakoniec, neslávny Stuxnet červ potreboval viacnásobnú zraniteľnosť v nulový deň, aby dosiahol svoj cieľ, a Stuxnet spinoff Duqu použil aspoň jednu. Nová správa od Impervy však ukazuje, že tento druh útoku je možné stiahnuť oveľa menej sofistikovanými prostriedkami.
Noha vo dverách
Správa prechádza do podrobností o konkrétnom útoku, ktorý nasleduje po dôverných informáciách uložených na podnikových serveroch. Kľúčom je toto. Útočníci úplne nepripojia útok na server. Skôr hľadajú menej bezpečné zariadenia v sieti, kompromitujú ich a postupne obmedzujú tento obmedzený prístup na úroveň oprávnení, ktorú potrebujú.
Počiatočný útok sa zvyčajne začína štúdiou organizácie obete, ktorá hľadá informácie potrebné na vytvorenie cieleného e-mailu „oštep phishingu“. Akonáhle jeden nešťastný zamestnanec alebo iný klikne na odkaz, zbabelci získali počiatočnú oporu.
Pomocou tohto obmedzeného prístupu do siete útočníci sledujú premávku a hľadajú konkrétne spojenia z privilegovaných miest do ohrozeného koncového bodu. Slabina vo veľmi bežne používanom autentifikačnom protokole zvanom NTLM im môže umožniť zachytiť heslá alebo heslové heslá, a tým získať prístup k ďalšiemu miestu v sieti.
Niekto otrávil vodnú dieru!
Ďalšou technikou ďalšieho prenikania do siete sú akcie podnikových sietí. Je veľmi bežné, že organizácie odovzdávajú informácie sem a tam prostredníctvom týchto sieťových zdieľaní. Od niektorých akcií sa neočakáva, že budú mať citlivé informácie, takže sú menej chránené. A rovnako ako všetky zvieratá navštevujú vodnú dieru v džungli, každý navštevuje tieto sieťové podiely.
Útočníci „otrávia dobre“ vložením špeciálne vytvorených odkazov, ktoré nútia komunikáciu so strojmi, ktoré už ohrozili. Táto technika je asi tak pokročilá ako písanie dávkového súboru. K dispozícii je funkcia systému Windows, ktorá vám umožňuje priradiť vlastnú ikonu k ľubovoľnému priečinku. Zlí ľudia jednoducho používajú ikonu, ktorá sa nachádza na kompromitovanom počítači. Po otvorení priečinka musí Windows Explorer získať túto ikonu. To je dosť pripojenia, aby mohol kompromitovaný počítač zaútočiť prostredníctvom procesu autentifikácie.
Útočníci skôr alebo neskôr získajú kontrolu nad systémom, ktorý má prístup k cieľovej databáze. V tomto bode všetko, čo potrebujú, je sifónovať údaje a zakryť ich stopy. Organizácia obetí nemusí nikdy vedieť, čo ich zasiahlo.
Čo sa dá urobiť?
Celá správa je v skutočnosti oveľa podrobnejšia ako môj jednoduchý opis. Bezpečnostné winks to bude určite chcieť prečítať. Non-winks, ktorí sú ochotní preletieť okolo tvrdé veci sa môžu stále poučiť z toho.
Jedným z vynikajúcich spôsobov zastavenia tohto konkrétneho útoku by bolo úplné zastavenie používania autentifikačného protokolu NTLM a prechod na oveľa bezpečnejší protokol Kerberos. Kvôli problémom so spätnou kompatibilitou je však tento krok veľmi nepravdepodobný.
Hlavným odporúčaním správy je, aby organizácie pozorne monitorovali sieťový prenos na odchýlky od normálneho stavu. Navrhuje tiež obmedziť situácie, keď sa procesy s vysokými privilégiami spájajú s koncovými bodmi. Ak dostatok veľkých sietí podnikne kroky na zablokovanie tohto druhu relatívne jednoduchého útoku, môže sa stať, že útočníci sa budú musieť sklopiť a prísť s niečím skutočne pokročilým.