Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.04.2021

Lubelskie Dni Informatyki

Koło Naukowe Informatyków już po raz XIII zorganizuje Lubelskie Dni Informatyki.
07.04.2021

Bariery językowe przełamane

Cisco Webex
06.04.2021

Nowość w portfolio Bakotech

Progress Software
06.04.2021

Kontrola służbowych urządzeń

Hexnode MDM
02.04.2021

Red Hat Inc.

Firma Red Hat Inc. udostępniła Red Hat OpenShift 4.7 – najnowszą wersji czołowej...
02.04.2021

Rozpoznawanie twarzy

QNAP QVR
02.04.2021

Układy EPYC Serii 7003

Firma AMD zaprezentowała nowe wydajne procesory serwerowe, czyli układy EPYC Serii 7003,...
02.04.2021

Mobilna wydajność

Satellite Pro C50-G
01.04.2021

Nowa linia monitorów

AOC V4

Jak modelowo atakują przestępcy?

Data publikacji: 28-12-2020 Autor: Ireneusz Tarnowski

W ostatnim czasie znacząco wzrosła liczba incydentów hakerskich. Wiele z organizacji nie ma świadomości o grożących im atakach, inne nie są przygotowane na ofensywę. Dlatego warto przyjrzeć się modelom, w jakich działają napastnicy, przeanalizować je, a następnie odpowiednio przygotować infrastrukturę.

 

By móc sporządzić Plan Reagowania na Cyberincydenty, potrzebna jest wiedza, jak działa nasz przeciwnik, jakie narzędzia wykorzystuje, gdzie może „uderzyć” i jakimi technikami chce osiągnąć swój cel. Wiedzę tę buduje się na podstawie elementów analizy zagrożeń (Cyber Threat Intelligence) i przekłada się ją na metody wykrywania i zatrzymywania ataków.

 

> PRZEBIEG ATAKU KOMPUTEROWEGO

 

Chcąc prawidłowo zareagować na pojawiający się cyberincydent, należy przeanalizować proces ataku w każdej jego fazie istnienia. Poszczególne etapy tworzą bowiem łańcuch przyczynowo-skutkowy, tzw. zabójczy łańcuch (ang. Cyber Kill Chain – rys. 1). Zarówno samo określenie, jak i nazwy faz składowych łańcucha wywodzą się z terminologii wojskowej. Skuteczny atak (którego skutkiem może być kompromitacja systemu lub kradzież danych) jest łańcuchem zdarzeń – od początkowej fazy rozpoznania, która ma na celu poznanie słabości ofiary, przez włamanie, dwustronny przepływ danych w sieci komputerowej wykorzystanie podatności po zainfekowaniu systemu do przejęcia nad nim kontroli. Możemy przeanalizować każde z tych zdarzeń, zdobyć wiedzę na temat ataku i wykorzystać ją, by przerwać ten łańcuch tak wcześnie, jak to jest możliwe. Im głębiej analizujemy te zdarzenia, tym więcej uczymy się od autorów ataku. Właściwe rozpoznanie ataku staje się kluczem do obrony.

 

W modelu ataku komputerowego wyróżnione zostały następujące fazy:

 

  1. Rozpoznanie, rekonesans (ang. Reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad).
  2. Uzbrojenie (ang. Weaponization) – przygotowanie narzędzi ataku takich jak konie trojańskie, eksploity wraz z danymi. Zazwyczaj jest to zbiór narzędzi automatyzujących uzbrojenie. Umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu ofiara będzie używała (np. pliki PDF lub Microsoft Office).
  3. Dostarczenie (ang. Delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-maila, stronę WWW czy nośnik mediów USB).
  4. Włamanie, eksploitacja (ang. Exploitation) – po dostarczeniu „narzędzi ataku” do zaatakowanego komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego komputera. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika.
  5. Instalacja (ang. Installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (ang. backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku.
  6. Kontrola (ang. Command and Control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj skompromitowany komputer łączy się na zewnątrz do komputera kontrolującego (Command and Control – C2) poprzez specjalnie utworzony kanał komunikacyjny.
  7. Akcja (ang. Actions on Objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Typowo jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.

 

[...]

 

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"