Анатомия на кибератаката – как да се предпазите

Както всеки администратор знае, хаковете са навсякъде около нас и постоянно еволюират. С една-единствена цел – да ни затруднят да ги разпознаем и класифицираме и да оцелеят възможно най-дълго в нашата компютърна екосистема.

Всяка кибератака представлява комплексен низ от стъпки, събития и действия, които трябва да се изпълнят последователно, за да бъде тя успешна. Ако администраторите познават основните фази, през които преминава изпълнението на една кибератака, те ще могат да я разпознаят в някой от етапите на протичането й и да я предотвратят.

Първа фаза:  Разузнаване

Атакуващият има нужда от максимум информация за жертвата си, за да планира правилно атаката. В тази фаза се тестват и изследват механизмите за защита на жертвата. Хакерът обикновено търси уязвимо устройство или уязвима операционна система. Опитва се да научи максимално много за служителите, използвайки социални медии. Понякога дори използва партньори с по-слаба защита, които могат да бъдат компрометирани лесно, като точка за достъп до основната жертва.

Противодействие:

• Не публикувайте твърде много информация в интернет и по възможност редактирайте или отстранете т.нар. банери на сървърите, които използвате. Те указват точната версия, която се използва и по този начин дават на атакуващия предимство в търсенето на уязвими места.
• Обучавайте служителите си да не споделят прекомерно и ненужно в социалните мрежи
• Проверявайте внимателно дали получените съобщения идват наистина от ваши партньори и дали прикачената информация не е измама

Втора фаза: Подготовка за атака (въоръжаване)

След като открият уязвимост в инфраструктурата на набелязаната жертва, атакуващите подготвят приложения, с които да я експлоатират, като се стремят да останат незабелязани. Повечето киберпрестъпници използват инструменти, които вече са известни и са използвани и в миналото. Ако такива обаче липсват, по всяка вероятност атакуващите ще се въоръжат с т.нар. Zero-Day експлойт, срещу който все още няма подготвени дефиниции или кръпки.

Противодействие:

• Създайте във вашата организация политики и процедури за информационна сигурност, за да повишите нивото си на защита или се обърнете към специалисти, които да го направят за вас

Вижте също: Какво е Zero trust security и защо да го въведете в компанията си през 2020 г.

Трета фаза: Доставяне

След като се „въоръжи“, престъпникът трябва да намери механизъм, с който да достави пейлоуда (файлът, който изтегля същинския зловреден код). Това става най-често чрез фишинг имейли, а също и през инфектирани уеб сайтове, фалшиви реклами и др. Атакуващият се нуждае само от една слабост – един служител, който да натисне грешния линк или да отвори неправилният файл.

Противодействие:

• Използвайте технически средства, с които да отсеете масовката от спам и фишинг
• Провеждайте адекватни и регулярни обучения за персонала ви, за да могат те да разпознават фишинг атаки, както и други заплахи
• Използвайте услуги или системи за мониторинг, които биха ви подсказали за нетипично поведение в мрежата или крайните станции.

Прочетете още: Защо фишингът е най-често използваният метод за кибератаки?

Четвърта фаза: Експлоатация

След като пейлоудът е доставен успешно, той трябва да бъде изпълнен незабелязано. Повечето атаки се фокусират върху приложения от трети страни, които работят с по-високи права върху операционната система. В повечето случаи тези приложения не се ъпдейтват често и почти не се тестват за уязвимости, затова стават лесна мишена и входна врата към превземането на системата.

Противодействие:

• Подбирайте внимателно и не се предоверявайте на приложения от трети страни
• Прилагайте навреме и редовно наличните кръпки в операционната система и съпътстващите приложения
• Използвайте защита на крайните станции от доказал се разработчик
• Наблюдавайте действията на потребителите за нетипично поведение или изпълнение на съмнителен код върху системата, а при невъзможност да се справите сами, изнесете тази задача като услуга

Ще ви бъде интересно да разгледате: 15 добри практики за защита на приложенията – за разработчици и клиентите им

Пета фаза: Командване & Контрол

След като експлойта е доставен и изпълнен успешно, той започва да комуникира със сървър на нападателя. В повечето случаи тази комуникация бива криптирана, за да остане трафикът скрит. Целта на атакуващия е да бъдат свалени допълнителен зловреден код и инструменти, които да  проникнат и компрометират мрежата на жертвата.

Противодействие:

• Използвайте добри технологични решения, които бързо и точно да идентифицират злонамерения софтуер в системата
• Наблюдавайте мрежата си за съмнителен трафик и поведение

Шеста фаза: Вътрешно разузнаване

След като си осигури входна точка за достъп до инфраструктурата на организацията-жертва, атакуващият търси начини за движение по-навътре, за да си изгради топология на мрежата и да открие търсената информация. За целта той инфектира и други устройства – сървъри, домейни, крайни станции и дори IoT устройства.

Противодействие:

• Използвайте технологични решения, които да анализират съдържанието на мрежовия ви трафик и да защитават от мрежови атаки
• Използвайте силни пароли. Препоръчително е също да добавите MFA за всички администратори и за достъп до важните активи.

Седма фаза: Присъствие

Заветната цел на всеки атакуващ е да придобие контрол върху системата на жертвата или поне част от нея. След като това се случи, атакуващият прилага техники, с които запазва присъствието си върху машината, така че да може да я достъпи отново във всеки един момент. В повечето случаи се цели това присъствие да бъде запазено дори и ако системата бъде преинсталирана (за справка: UEFI Malware) или се направи опит да бъде почистена чрез антивирусни приложения.

Противодействие:

• Създавайте редовно резервни копия на важната за вас информация
• Ограничете достъпа до хранилищата на данни
• Използвайте надеждно криптиране
• Ако системата не е с голяма критичност – преинсталирайте я. Това е почти най-сигурния начин да елиминирате зловредния код.

Заключение

Компрометирането на една система или организация не е лесна задача, но както специалистите по информационна сигурност обичат да казват „100% сигурност няма“. При всички положения обаче разликата от 1% в защитата ви може да бъде критична и вие винаги трябва да бъдете максимално добре подготвени. Затова бихме ви посъветвали да се ориентирате към адаптирането на стандарт и добри практики за информационна сигурност. По този начин ще сте сигурни че няма да пропуснете важни стъпки и подходи при интегрирането и поддръжката на система за киберсигурност.