Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



14.07.2021

Platforma AQUILA

IBM zaprezentował platformę opartą na sztucznej inteligencji służącą do kompleksowej, w...
14.07.2021

Przenoszenie Javy do chmury

JBoss Enterprise
14.07.2021

Nowe okna

Windows 11
14.07.2021

Monitoring sieci

nVision 12.5
14.07.2021

Automatyczna ochrona

Nowości w FortiEDR
14.07.2021

Seria monitorów...

Firma Newline prezentuje serię monitorów interaktywnych MIRA.
14.07.2021

Modularne routery IoT

Cisco Catalyst
14.07.2021

Nowy poziom pracy

Radeon PRO W6000
14.07.2021

SI w monitoringu

Kamery i-PRO S-Series

Jak modelowo atakują przestępcy?

Data publikacji: 28-12-2020 Autor: Ireneusz Tarnowski

W ostatnim czasie znacząco wzrosła liczba incydentów hakerskich. Wiele z organizacji nie ma świadomości o grożących im atakach, inne nie są przygotowane na ofensywę. Dlatego warto przyjrzeć się modelom, w jakich działają napastnicy, przeanalizować je, a następnie odpowiednio przygotować infrastrukturę.

 

By móc sporządzić Plan Reagowania na Cyberincydenty, potrzebna jest wiedza, jak działa nasz przeciwnik, jakie narzędzia wykorzystuje, gdzie może „uderzyć” i jakimi technikami chce osiągnąć swój cel. Wiedzę tę buduje się na podstawie elementów analizy zagrożeń (Cyber Threat Intelligence) i przekłada się ją na metody wykrywania i zatrzymywania ataków.

 

> PRZEBIEG ATAKU KOMPUTEROWEGO

 

Chcąc prawidłowo zareagować na pojawiający się cyberincydent, należy przeanalizować proces ataku w każdej jego fazie istnienia. Poszczególne etapy tworzą bowiem łańcuch przyczynowo-skutkowy, tzw. zabójczy łańcuch (ang. Cyber Kill Chain – rys. 1). Zarówno samo określenie, jak i nazwy faz składowych łańcucha wywodzą się z terminologii wojskowej. Skuteczny atak (którego skutkiem może być kompromitacja systemu lub kradzież danych) jest łańcuchem zdarzeń – od początkowej fazy rozpoznania, która ma na celu poznanie słabości ofiary, przez włamanie, dwustronny przepływ danych w sieci komputerowej wykorzystanie podatności po zainfekowaniu systemu do przejęcia nad nim kontroli. Możemy przeanalizować każde z tych zdarzeń, zdobyć wiedzę na temat ataku i wykorzystać ją, by przerwać ten łańcuch tak wcześnie, jak to jest możliwe. Im głębiej analizujemy te zdarzenia, tym więcej uczymy się od autorów ataku. Właściwe rozpoznanie ataku staje się kluczem do obrony.

 

W modelu ataku komputerowego wyróżnione zostały następujące fazy:

 

  1. Rozpoznanie, rekonesans (ang. Reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad).
  2. Uzbrojenie (ang. Weaponization) – przygotowanie narzędzi ataku takich jak konie trojańskie, eksploity wraz z danymi. Zazwyczaj jest to zbiór narzędzi automatyzujących uzbrojenie. Umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu ofiara będzie używała (np. pliki PDF lub Microsoft Office).
  3. Dostarczenie (ang. Delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-maila, stronę WWW czy nośnik mediów USB).
  4. Włamanie, eksploitacja (ang. Exploitation) – po dostarczeniu „narzędzi ataku” do zaatakowanego komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego komputera. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika.
  5. Instalacja (ang. Installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (ang. backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku.
  6. Kontrola (ang. Command and Control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj skompromitowany komputer łączy się na zewnątrz do komputera kontrolującego (Command and Control – C2) poprzez specjalnie utworzony kanał komunikacyjny.
  7. Akcja (ang. Actions on Objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Typowo jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.

 

[...]

 

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"