Domov Varnostna ura Napredne vztrajne grožnje navsezadnje niso tako napredne

Napredne vztrajne grožnje navsezadnje niso tako napredne

Video: MASAŽNI VALJ Barrel Roller XG SKLZ (November 2024)

Video: MASAŽNI VALJ Barrel Roller XG SKLZ (November 2024)
Anonim

Stavek "Napredno vztrajno grožnjo" mi v mislih predstavlja določeno sliko, kader predanih hekerjev, neumorno kopanje za nove napade brez ničle, natančno spremljanje mreže žrtev in tiho krajo podatke ali izvajajo tajne sabotaže. Konec koncev je zloglasni črv Stuxnet za dosego svojega cilja potreboval več ranljivosti, ki so bile brez vsakega dne, Stuxnet spinoff Duqu pa je uporabil vsaj enega. Vendar novo poročilo družbe Imperva razkriva, da je mogoče to vrsto napada izvleči s precej manj sofisticiranimi sredstvi.

Stopala v vratih

Poročilo podrobno obravnava določen napad, ki se nanaša na zaupne podatke, shranjene na Enterpriseovih strežnikih. Ključni vzrok je to. Napadalci absolutno ne namestijo napada na strežnik. Namesto tega iščejo najmanj varne naprave v omrežju, jih ogrožajo in malo po malo omejijo dostop do stopnje privilegij, ki jo potrebujejo.

Začetni napad se navadno začne s preučevanjem organizacije žrtev, ki išče informacije, potrebne za izdelavo ciljanega e-poštnega sporočila o "kopanju z lažnim lažnim predstavljanjem". Ko en nesrečen uslužbenec ali drug klikne povezavo, so si slabi fantje zagotovili prvotno oporo.

Z omejenim dostopom do omrežja napadalci spremljajo promet, zlasti iščejo povezave s privilegiranih lokacij do ogrožene končne točke. Šibkost zelo pogosto uporabljenega protokola za preverjanje pristnosti, imenovanega NTLM, jim omogoča, da zajamejo gesla ali šifre gesla in s tem dobijo dostop do naslednje lokacije omrežja.

Nekdo je zastrupil luknjo z vodo!

Druga tehnika za nadaljnjo infiltriranje omrežja vključuje delnice korporativnih omrežij. Organizacije zelo pogosto pošiljajo informacije naprej in nazaj prek teh omrežnih delnic. Od nekaterih delnic se ne pričakuje, da bodo imele občutljive informacije, zato so manj zaščitene. In tako kot vse živali obiščejo luknjo v vodi iz džungle, vsi obiščejo te mrežne delnice.

Napadalci "zastrupijo vodnjak" z vstavljanjem posebej izdelanih bližnjic, ki silijo v komunikacijo s stroji, s katerimi so že ogroženi. Ta tehnika je približno tako napredna kot pisanje paketne datoteke. Tu je funkcija Windows, ki vam omogoča dodelitev ikone po meri za katero koli mapo. Slabi fantje preprosto uporabljajo ikono, ki je nameščena na ogroženi napravi. Ko se mapa odpre, mora Windows Explorer poiskati to ikono. Dovolj je povezave, da lahko ogroženi stroj napade s postopkom preverjanja pristnosti.

Prej ali slej napadalci dobijo nadzor nad sistemom, ki ima dostop do ciljne baze podatkov. V tistem trenutku je treba le izluščiti podatke in zakriti svoje sledi. Organizacija žrtev morda nikoli ne ve, kaj jih je prizadelo.

Kaj je mogoče storiti?

Celotno poročilo dejansko vsebuje veliko več podrobnosti kot moj preprost opis. Varnostne zmage ga bodo želele prebrati zagotovo. Nepripravitelji, ki so pripravljeni preskočiti trde stvari, se lahko še vedno naučijo.

Eden odličnih načinov za zaustavitev tega napada je popolna ustavitev uporabe protokola za preverjanje pristnosti NTLM in prehod na veliko bolj varen protokol Kerberos. Težave z združljivostjo zaradi tega zaradi te poteze so zelo malo verjetne.

Glavno priporočilo poročila je, da organizacije natančno spremljajo omrežni promet zaradi odstopanj od običajne. Predlaga tudi omejevanje situacij, ko se procesi z visokimi privilegiji povezujejo s končnimi točkami. Če dovolj velika omrežja sprejmejo ukrepe za blokiranje tovrstnega sorazmerno preprostega napada, se bodo napadalci dejansko morali spoprijeti in si zamisliti nekaj resnično naprednega.

Napredne vztrajne grožnje navsezadnje niso tako napredne