- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Согласно отчету FireEye and Mandiant, около 97 % компаний подвергались хакерской атаке, связанной со взломом средств сетевой безопасности. Современные брандмауэры способны отражать большинство вторжений, но некоторые злоумышленники находят лазейки благодаря отличной подготовке и тщательно спланированным действиям. Тактики хакеров могут отличаться, но в большинстве случаев они содержат следующие этапы.
1. Разведка
Первым этапом любой кибератаки является разведка, в ходе которой злоумышленник собирает как можно больше информации о компании, ставшей мишенью для взлома. Найденные сведения необходимы для выявления уязвимостей, хакер выполняет анализ сайта компании и ее информационных систем, а также рассматривает способы взаимодействия цели с другими организациями. Как только уязвимость найдена, начинается подбор инструментов для взлома и подготовка к их применению. Например, одним из способов распространения вредоносного программного обеспечения является рассылка фишинг-писем.
2. Сканирование
После того как в периметре защиты компании-цели найдено слабое место, которое позволит получить доступ, начинается этап сканирования. Для этого применяются общедоступные инструменты интернет-сканирования, позволяющие обнаружить открытые порты, уязвимости в программном обеспечении, ошибки в настройке оборудования и другие «дыры». Этот этап может растянуться на месяцы, ведь поиск должен быть аккуратным и не спровоцировать службу безопасности на усиление средств защиты.
3. Установление контроля
Цель атаки в большинстве случаев заключается в получении доступа к защищенным ресурсам компании, таким как финансовые документы или конфиденциальные данные. Такие инструменты, «Радужная таблица» (rainbow table), позволяют злоумышленнику получить доступ администратора и войти в любую информационную систему с повышенными привилегиями, а затем получить полный контроль над сетью.
4. Организация доступа
После того как найдена уязвимость и осуществлен взлом системы, необходимо гарантировать поддержку доступа на протяжении времени, требуемого для выполнения преступных задач. Служба безопасности компании обладает достаточной квалификацией для обнаружения атаки, поэтому рано или поздно проникновение будет раскрыто. Как бы хакер ни пытался скрыть свое присутствие, его могут выдать операции по перемещению данных внутри сети или на внешние ресурсы, нарушения связи между центром обработки данных и сетью компании, установка соединений через нестандартные порты, аномальные серверные или сетевые операции. Системы мониторинга сети и глубокого анализа трафика (DPI) позволяют обнаружить такую активность и принять меры по ее предотвращению.
5. Нанесение ущерба
Не каждая кибератака содержит этот этап. В некоторых случаях злоумышленник только копирует данные для дальнейшей перепродажи, например. Однако на этой стадии хакер уже полностью контролирует сеть и информационные системы компании, а значит, способен вывести из строя оборудование, стереть базы данных, отключить рабочие сервисы и тем самым нанести огромный материальный урон и ущерб репутации.
6. Запутывание следов
После совершения атаки кажется разумным удалить всю информацию о своем присутствии, однако на практике не всегда происходит именно так. Часто хакеры оставляют признаки взлома как автограф на своем преступлении, но есть и более практичная цель — запутать следы. Существует множество способов пустить экспертов, расследующих преступление, по ложному пути: очистка и подмена записей в журнале, создание зомби-аккаунтов, использование троянских команд и другие.
1. Разведка
Первым этапом любой кибератаки является разведка, в ходе которой злоумышленник собирает как можно больше информации о компании, ставшей мишенью для взлома. Найденные сведения необходимы для выявления уязвимостей, хакер выполняет анализ сайта компании и ее информационных систем, а также рассматривает способы взаимодействия цели с другими организациями. Как только уязвимость найдена, начинается подбор инструментов для взлома и подготовка к их применению. Например, одним из способов распространения вредоносного программного обеспечения является рассылка фишинг-писем.
2. Сканирование
После того как в периметре защиты компании-цели найдено слабое место, которое позволит получить доступ, начинается этап сканирования. Для этого применяются общедоступные инструменты интернет-сканирования, позволяющие обнаружить открытые порты, уязвимости в программном обеспечении, ошибки в настройке оборудования и другие «дыры». Этот этап может растянуться на месяцы, ведь поиск должен быть аккуратным и не спровоцировать службу безопасности на усиление средств защиты.
3. Установление контроля
Цель атаки в большинстве случаев заключается в получении доступа к защищенным ресурсам компании, таким как финансовые документы или конфиденциальные данные. Такие инструменты, «Радужная таблица» (rainbow table), позволяют злоумышленнику получить доступ администратора и войти в любую информационную систему с повышенными привилегиями, а затем получить полный контроль над сетью.
4. Организация доступа
После того как найдена уязвимость и осуществлен взлом системы, необходимо гарантировать поддержку доступа на протяжении времени, требуемого для выполнения преступных задач. Служба безопасности компании обладает достаточной квалификацией для обнаружения атаки, поэтому рано или поздно проникновение будет раскрыто. Как бы хакер ни пытался скрыть свое присутствие, его могут выдать операции по перемещению данных внутри сети или на внешние ресурсы, нарушения связи между центром обработки данных и сетью компании, установка соединений через нестандартные порты, аномальные серверные или сетевые операции. Системы мониторинга сети и глубокого анализа трафика (DPI) позволяют обнаружить такую активность и принять меры по ее предотвращению.
5. Нанесение ущерба
Не каждая кибератака содержит этот этап. В некоторых случаях злоумышленник только копирует данные для дальнейшей перепродажи, например. Однако на этой стадии хакер уже полностью контролирует сеть и информационные системы компании, а значит, способен вывести из строя оборудование, стереть базы данных, отключить рабочие сервисы и тем самым нанести огромный материальный урон и ущерб репутации.
6. Запутывание следов
После совершения атаки кажется разумным удалить всю информацию о своем присутствии, однако на практике не всегда происходит именно так. Часто хакеры оставляют признаки взлома как автограф на своем преступлении, но есть и более практичная цель — запутать следы. Существует множество способов пустить экспертов, расследующих преступление, по ложному пути: очистка и подмена записей в журнале, создание зомби-аккаунтов, использование троянских команд и другие.
