Этапы проведения кибератак

17 августа 2017
Безопасность
Этапы проведения кибератак
Развитие сетевых технологий вызывает рост числа хакерских кибератак. Согласно отчету FireEye and Mandiant, около 97 % компаний подвергались хакерской атаке, связанной со взломом средств сетевой безопасности. Современные брандмауэры способны отражать большинство вторжений, но некоторые злоумышленники находят лазейки благодаря отличной подготовке и тщательно спланированным действиям. Тактики хакеров могут отличаться, но в большинстве случаев они содержат следующие этапы.

Разведка

Первым этапом любой кибератаки является разведка, в ходе которой злоумышленник собирает как можно больше информации о компании, ставшей мишенью для взлома. Найденные сведения необходимы для выявления уязвимостей, хакер выполняет анализ сайта компании и ее информационных систем, а также рассматривает способы взаимодействия цели с другими организациями.

Как только уязвимость найдена, начинается подбор инструментов для взлома и подготовка к их применению.

Например, одним из способов распространения вредоносного программного обеспечения является рассылка фишинг-писем.

Сканирование

После того как в периметре защиты компании-цели найдено слабое место, которое позволит получить доступ, начинается этап сканирования. Для этого применяются общедоступные инструменты интернет-сканирования, позволяющие обнаружить открытые порты, уязвимости в программном обеспечении, ошибки в настройке оборудования и другие «дыры». Этот этап может растянуться на месяцы, ведь поиск должен быть аккуратным и не спровоцировать службу безопасности на усиление средств защиты.

Установление контроля

Цель атаки в большинстве случаев заключается в получении доступа к защищенным ресурсам компании, таким как финансовые документы или конфиденциальные данные. Такие инструменты, «Радужная таблица» (rainbow table), позволяют злоумышленнику получить доступ администратора и войти в любую информационную систему с повышенными привилегиями, а затем получить полный контроль над сетью.

Организация доступа

После того как найдена уязвимость и осуществлен взлом системы, необходимо гарантировать поддержку доступа на протяжении времени, требуемого для выполнения преступных задач. Служба безопасности компании обладает достаточной квалификацией для обнаружения атаки, поэтому рано или поздно проникновение будет раскрыто. Как бы хакер ни пытался скрыть свое присутствие, его могут выдать операции по перемещению данных внутри сети или на внешние ресурсы, нарушения связи между центром обработки данных и сетью компании, установка соединений через нестандартные порты, аномальные серверные или сетевые операции.

Системы мониторинга сети и глубокого анализа трафика (DPI) позволяют обнаружить такую активность и принять меры по ее предотвращению.

Нанесение ущерба

Не каждая кибератака содержит этот этап. В некоторых случаях злоумышленник только копирует данные для дальнейшей перепродажи, например. Однако на этой стадии хакер уже полностью контролирует сеть и информационные системы компании, а значит, способен вывести из строя оборудование, стереть базы данных, отключить рабочие сервисы и тем самым нанести огромный материальный урон и ущерб репутации.

Запутывание следов

После совершения атаки кажется разумным удалить всю информацию о своем присутствии, однако на практике не всегда происходит именно так. Часто хакеры оставляют признаки взлома как автограф на своем преступлении, но есть и более практичная цель – запутать следы. Существует множество способов пустить экспертов, расследующих преступление, по ложному пути: очистка и подмена записей в журнале, создание зомби-аккаунтов, использование троянских команд и другие.

DDoS

Борьба с хакерскими атаками

Знание стратегии злоумышленников позволит обнаружить ее на любой из стадий и вовремя предотвратить. Операторы связи должны не только полагаться на свой опыт построения защищенных сетей, но и использовать специальное оборудование для мониторинга и предотвращения вторжений.

Одной из популярных кибератак является «отказ в обслуживании» (DDoS), которая в последнее время не только наносит ущерб атакованной компании, но и становится финансово мотивированной.

По данным исследования Corero, 62 % опрошенных респондентов, связанных с сетевой безопасностью, допускают возможность передачи хакерам денег за остановку DDoS-атаки на ресурсы компании. Если раньше такого рода атаки производились с целью нанесения ущерба репутации фирмы или кражи данных, то теперь они превратились в бизнес, как программы вымогатели для персональных компьютеров.

Также Corero обнаружили, что почти три четверти респондентов (73 %) ожидают усиления мер безопасности от интернет-провайдеров и считают, что те плохо защищают своих клиентов от угроз DDoS.

Можно утверждать, что защита корпоративной информации лежит целиком на плечах внутренней службы безопасности организации, но если оператор связи или интернет-провайдер имеет инструменты для предотвращения DDoS, то их использование целесообразно.

Система глубокого анализа трафика СКАТ DPI позволяет с помощью инструментов мониторинга и анализа трафика в реальном времени отслеживать аномалии и обнаруживать вторжения, а также организовать комплекс мер по защите от DDoS.

Более подробную информацию о преимуществах современной системы глубоко анализа трафика СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.

По материалам сайта www.rcrwireless.com

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.