Mes visi žinome, kad esame pasaulyje, apsuptame informacijos, kuriai kasdien reikia geresnio saugumo Kaip administratoriai ir IT vadovai esame tiesiogiai atsakingi už saugumo užtikrinimą, kad mūsų ar mūsų organizacijos duomenys būtų saugūs.
Galbūt mūsų informacija nėra tokia vertinga ar tokia svarbi, jei ji yra pamesta ar pavogta, tačiau mes galime turėti labai ypatingos informacijos, pvz., Banko sąskaitos, sąskaitos išrašai, asmeninė informacija ir pan., Kuri mūsų sistemose turi likti „saugi“ ir mes negalime paneigti, kad įsilaužimas šiandien tapo labai kitoks nei buvo anksčiau, šiandien yra daugiau atakos mechanizmų ir skirtingų tokios veiklos metodų.
Šį kartą kalbėsime apie įsibrovėlius, išanalizuosime kai kuriuos būdus, kuriais įsilaužėliai gali pasiekti informaciją, pasinaudodami galimomis spragomis.
Mes tai suprantame neteisėta prieiga prie sistemos yra rimta saugumo problema Kadangi tas asmuo ar programinė įranga gali išgauti vertingos informacijos iš mūsų duomenų bazės ir vėliau pakenkti organizacijai įvairiais būdais, kai kalbame apie programinę įrangą, kuri gali patekti be leidimo, galime manyti, kad tai yra kirminas, Trojos arklys ar apskritai virusas.
Toliau mes sutelksime dėmesį į šias sritis:
- 1. Įsibrovėlių tipai
- 2. Įsibrovimo būdai
- 3. Įsibrovėlio aptikimas
- 4. Išpuolių tipai
1. Įsibrovėlių tipai
Galime nustatyti tris (3) įsibrovėlių tipus:
Apgaulingas vartotojasTai reiškia vartotoją, kuris neteisėtai prieina prie organizacijos išteklių arba kuris, turėdamas leidimus, netinkamai naudoja turimą informaciją.
ApsimetėlisTai asmuo, kuris neturi nieko bendra su teisėta prieiga organizacijoje, tačiau sugeba pasiekti teisėto vartotojo tapatybės lygį ir prieiti prie žalos.
Slaptas vartotojasTai asmuo, kuris gali kontroliuoti organizacijos sistemos auditą.
Paprastai apsimetėlis yra išorinis asmuo, apgaulingas vartotojas yra vidinis, o slaptas vartotojas gali būti išorinis arba vidinis. Įsibrovėlių atakos, neatsižvelgiant į jų tipą, gali būti klasifikuojamos kaip sunkios ar gerybinės, nes gerybinės jos leidžia tik pamatyti, kas yra tinkle, o rimtose - informacija gali būti pavogta ir (arba) pakeista tinkle.
2. Įsibrovimo būdai
Kaip žinome, įprastas būdas patekti į sistemą yra slaptažodžiai, ir to siekia įsilaužėlis, įsigydamas slaptažodžius, naudodamas skirtingus metodus, kad pasiektų savo tikslą pažeisti prieigą ir gauti informaciją. Rekomenduojama, kad mūsų slaptažodžio failas būtų apsaugotas vienu iš šių būdų:
Vienpusis šifravimasŠi parinktis saugo tik užšifruotą vartotojo slaptažodžio formą, todėl kai vartotojas įveda savo slaptažodį, sistema jį užšifruoja ir lygina su jo išsaugota verte ir, jei jis yra identiškas, įgalina prieigą, priešingu atveju tai paneigia.
Prieigos kontrolėTaikant šį metodą slaptažodžio prieiga yra labai ribota, tik vienai ar kelioms paskyroms.
The metodai, kuriuos dažniausiai naudoja įsilaužėliaiRemiantis kai kuriomis analizėmis, jie yra:
- Išbandykite žodyno žodžius ar galimų slaptažodžių sąrašus, kuriuos galima rasti įsilaužėlių svetainėse
- Bandoma su vartotojų telefonais ar tapatybės dokumentais
- Bandymas su valstybiniais numeriais
- Gauti asmeninę informaciją iš vartotojų, be kita ko
3. Įsibrovėlių aptikimas
Kaip administratoriai, turime išanalizuoti galimus mūsų sistemos pažeidžiamumus, kad ateityje išvengtume galvos skausmo, mes galime analizuoti šiuos gedimus pagal šias sąvokas:
- Jei ištirsime, kaip įsibrovėlis gali atakuoti, ši informacija padės mums geriau užkirsti kelią įsilaužimui į mūsų sistemą
- Jei greitai aptinkame įkyrų naudotoją, galime užkirsti kelią šiam asmeniui atlikti savo darbą mūsų sistemoje ir taip išvengti žalos.
Kaip administratoriai, mes galime išanalizuoti vartotojų elgseną mūsų organizacijoje ir, daug analizuodami, aptikti, ar jie elgiasi keistai, pvz., Prieiga per intranetą prie kompiuterių ar aplankų, kurių negalima pasiekti, failų keitimas ir pan. Vienas iš įrankių, kurie mums labai padės analizuojant įsibrovėlius, yra audito žurnalas, nes jis leidžia mums sekti naudotojų vykdomą veiklą.
Mes galime naudoti dviejų (2) tipų audito planai:
Konkretūs aptikimo audito žurnalaiMes galime įdiegti tokius žurnalus, kad jie parodytų mums tik informaciją, kurios reikalauja įsilaužimo aptikimo sistema.
Savieji audito žurnalaiTai įrankis, kuris pagal numatytuosius nustatymus yra operacinėse sistemose ir saugo visą vartotojo veiklą, pavyzdžiui, „Microsoft Windows“ įvykių peržiūros priemonė.
Mes galime aptikti anomalijas pagal profilius, tai yra pagal vartotojų elgseną, tam galime naudoti šiuos kintamuosius:
- Skaitliukas: Tai vertė, kurią galima padidinti, bet nesumažinti, kol nepradedama tam tikro veiksmo
- Kalibras: Tai skaičius, kuris gali padidėti arba sumažėti ir matuoja dabartinę įmonės vertę
- Laiko intervalas: Nurodo laikotarpį tarp dviejų įvykių
- Išteklių naudojimas: Tai reiškia išteklių, sunaudotų per tam tikrą laiką, kiekį
Yra ir kitas aptikimo tipas, pagrįstas taisyklėmis, kurios nustato įsilaužimą pagal sistemoje įvykius ir taiko keletą apibrėžtų taisyklių, kad nustatytų, ar veikla yra įtartina, ar ne.
Kai kurie šių taisyklių pavyzdžiai:
Vienas iš įdomių būdų, kaip atkreipti įsibrovėlių dėmesį, yra medaus puodų naudojimas, kurios yra tiesiog saugumo priemonės, kuriant sukurtos sistemos, kurios atrodo pažeidžiamos arba silpnos ir kuriose yra melagingos informacijos, tačiau įsibrovėliui atrodo maloniai, akivaizdu, kad medaus puodas neturi arba neturės prieigos prie teisėto organizacija.
Ką saugumo priemonė, skirta užkirsti kelią įsibrovėlių atakoms Be jokios abejonės, yra teisingas slaptažodžių valdymas, mes žinome, kad slaptažodis leidžia:
- Suteikite arba nesuteikite prieigos prie sistemos vartotojui
- Pateikite naudotojui suteiktas privilegijas
- Siūlykite įmonės saugumo politiką
Jungtinių Valstijų organizacijos atliktame tyrime, pagrįstame trimis (3) milijonais paskyrų, buvo padaryta išvada, kad vartotojai savo slaptažodžiams (kurie nėra visiškai saugūs) reguliariai naudoja šiuos parametrus:
- Paskyros vardas
- Identifikavimo numeriai
- Įprasti pavadinimai
- Vietų pavadinimai
- Žodynas
- Mašinų pavadinimai
Svarbu, kad kaip administratoriai, koordinatoriai ar IT vadovai mes mokytume savo organizacijos vartotojus, kad jie žinotų kaip nustatyti stiprų slaptažodį, galime naudoti šiuos metodus:
- Reaktyvaus slaptažodžio tikrinimas
- Aktyvus slaptažodžio tikrinimas
- Mūsų vartotojų švietimas
- Kompiuterio sukurti slaptažodžiai
Kaip matome, tarp mūsų visų (administratorių ir vartotojų) galime susidoroti su bet kokia įsibrovėlių veikla.
4. Išpuolių tipai
Toliau apžvelgsime kai kuriuos išpuolių tipus, kurie gali būti įvykdyti skirtingose sistemose, šią analizę atliksime laikydamiesi etinio įsilaužėlių požiūrio.
Pagrobimas
Šio tipo ataka susideda iš įrenginio dalies paėmimo bendrauti su kitu įrenginiu, yra du (2) užgrobimo tipai:
- Aktyvus: Tai yra tada, kai dalis šeimininko yra paimta ir naudojama tikslui pakenkti
- pasyvus: Atsitinka, kai užfiksuojama tam tikra įrenginio dalis ir įrašomas visas srautas tarp dviejų įrenginių
Mes turime užgrobimo įrankiai iš tokių puslapių:
- IP stebėtojas
¿Kaip mes galime apsisaugoti nuo užgrobimo? Priklausomai nuo protokolo ar funkcijos, galime naudoti bet kurį iš šių metodų, pavyzdžiui:
- FTP: Naudokime sFTP
- Nuotolinis ryšys: naudokime VPN
- HTTP: Naudokime HTTPS
- „Telnet“ arba „rlogin“: naudokime „OpenSSH“ arba „SSH“
- IP: Naudokime IPsec
Ataka žiniatinklio serveryje
Dažniausiai pasitaikantys serveriai, skirti diegti žiniatinklio paslaugas, yra „Apache“ ir IIS. Įsibrovėliai ar įsilaužėliai, ketinantys atakuoti šiuos serverius, turi mokėti bent tris (3) programavimo kalbas, tokias kaip Html, ASP ir PHP. Į pasirūpinkite mūsų žiniatinklio serveriais, galime naudoti įrankius, vadinama „Brute Force Attack“, tokia kaip:
- „Brutus“, skirtas „Windows“
- „Hydra“, skirta „Linux“
- „NIX“, skirtas „Linux“
The dažniausiai pasitaikančias atakas žiniatinklio serverio lygiu yra tokie:
- „ScriptAttack“
- Slaptažodžiai tame pačiame kode
- Pažeidžiamumas žiniatinklio programose
- Vartotojo vardo patvirtinimas
Mes, administratoriai, galime įgyvendinti toliau nurodytas praktikas:
- Įdiekite ir (arba) atnaujinkite antivirusinę programą
- Naudokite sudėtingus slaptažodžius
- Pakeiskite numatytas paskyras
- Ištrinkite bandymo kodus
- Atnaujinkite sistemą ir paslaugų paketą
- Nuolat valdykite ir stebėkite sistemos žurnalus
Galime naudoti „Acunetix“ įrankį, kuris leidžia mums patikrinti, ar mūsų svetainė yra pažeidžiama atakų, ir ją atsisiųsti iš nuorodos.
Užpakalinės durys ir Trojos arklys
Daugelis Trojos arklių paleidžiami bandymo režimu, siekiant patikrinti, ar organizacija reaguoja į galimą išpuolį, tačiau ne 100% yra vidinių bandymų rezultatas, tačiau kitais atvejais jie yra kenkėjiško įsibrovėlio ketinimų.
Keletas iš dažniausiai pasitaikantys trojanai yra:
- „Netbus“
- Proratas
- Rojus
- Duckfix
- „Netcat“
Į užkirsti kelią Trojos atakoms Svarbu, kad kaip administratoriai atliktume kai kurias užduotis, pavyzdžiui:
- Įdiekite ir atnaujinkite antivirusinę
- Paleiskite ir suaktyvinkite ugniasienę
- Naudokite Trojos skaitytuvą
- Atnaujinkite sistemos pataisas
Ataka belaidžiams tinklams
Mūsų belaidžiai tinklai gali būti atakuojami įsibrovėlių, mes žinome, kad šiuolaikinės belaidžių tinklų technologijos yra 802.11a, 802.11b, 802.11n ir 802.11g, jos yra pagrįstos jų dažniu.
Į užkirsti kelią išpuoliams prieš mūsų belaidžius tinklus galime atlikti šias užduotis:
- Venkite tuščio SSID
- Venkite naudoti numatytąjį SSID
- Norėdami pagerinti mūsų IPS saugumą, naudokite IPsec
- Atlikite MAC filtrus, kad išvengtumėte nereikalingų adresų
Kai kurie įrankiai, naudojami belaidžiam įsilaužimui atlikti yra:
- Kismetas
- GPS žemėlapis
- „NetStumbler“
- „AirSnort“
- DStumbler
Nors mūsų įmonėje mes nuolat nenaudojame belaidžių tinklų, tai gerai įgyvendinti saugumo politiką, kad būtų užkirstas kelias atakoms jiems būtų idealu atlikti šiuos veiksmus (jei naudojate tik belaidį ryšį):
- Išjungti DHCP
- Atnaujinkite programinę -aparatinę įrangą
- Naudokite WPA2 ir aukštesnį saugumą
- Nuotolinio ryšio atveju naudokite VPN
Paslaugų atsisakymo (DoS) atakos
Pagrindinis šio tipo atakos tikslas yra paveikti visas mūsų sistemos paslaugas, jas sustabdant, prisotinant, pašalinant ir pan.
Mes galime užkirsti kelią DoS atakai naudojant šias veiklas:
- Naudokitės paslaugomis, kurių mums tikrai reikia
- Išjunkite ICMP atsakymą užkardoje
- Atnaujinkite operacinę sistemą
- Atnaujinkite mūsų užkardą naudodami „DoS“ atakos parinktį
Kai kurie įrankiai, kuriuos galime rasti tinkle DoS atakoms yra:
- FSM FSMax
- Kažkokia bėda
- Šūvis 2
- 20
- Pantera2
- Pašėlęs Pingeris ir kt.
Slaptažodžio krekingo įrankiai
Kitas įprastas išpuolis, kurį galime patirti savo organizacijose, yra ataka prieš slaptažodžius, kaip jau minėjome, kartais nustatyti slaptažodžiai nėra pakankamai stiprūs, todėl esame linkę į įsibrovėlį, pavogiantį mūsų slaptažodį ir turintį prieigą prie mūsų sistema. Mes žinome, kad mūsų slaptažodžių saugumas grindžiamas:
- Autentifikavimas: Suteikia prieigą prie sistemos ar įmonės programų
- Leidimas: Jei įvestas teisingas slaptažodis, sistema jį patvirtins ir suteiks leidimą įvesti
Tipai dažniausiai pasitaikančios atakos, kuriomis pavogta mūsų slaptažodžiai yra:
Žodyno atakosTai yra sinchronizuotų žodžių sąrašai, kurie patvirtinami, jei ten yra mūsų slaptažodis.
Žiaurios jėgos puolimasTai viena iš efektyviausių atakų, nes joje yra raidės, skaičiai ir specialieji simboliai ir jie sudaro derinius, kol randa tinkamą raktą
Hibridinės atakosTai dviejų aukščiau (2) derinys.
Kai kurie slaptažodžio įsilaužimo įrankiai yra:
- Pwdump3
- Džonas plėšikas
- „Boson GetPass“
- „Elcomsoft“
Atminkite, kad jei įsibrovėlis aptiks mūsų ar organizacijos vartotojo slaptažodį, galime turėti rimtų problemų, todėl svarbu nepamirškite, kad dauguma jų apima šias slaptažodžių sąlygas:
- Mažosios raidės
- Didžiosios raidės
- Specialūs personažai
- Skaičiai
- Sudėtingi žodžiai
Rekomenduojame peržiūrėti šią mokymo programą, kad gautumėte visiškai stiprius slaptažodžius.
Mes galime nustatyti, ar mes nesame slaptažodžio nulaužimo aukos sistemos žurnalų tikrinimas, nuolatinis tinklo srauto stebėjimas ir kt. „Sectools“ puslapyje galime rasti įvairių įrankių, kurie mums padės stebėti mūsų tinklą ir jo galimas atakas, kviesti jį pažinti ir atlikti bandymus.
Kitas puslapis, kurį galime aplankyti, yra „McAffe“ priklausantis „Foundstone“ ir jame yra įdomi naudingų įrankių grupė.
Apgaulė
Šio tipo užpuolikas apsimeta kitu subjektu, todėl suklastoja ryšiuose siunčiamus duomenis. Šio tipo ataka gali įvykti skirtinguose protokoluose, turime IP klastojimą, ARP klastojimą, DNS klastojimą, DHCP klastojimą ir kt.
Stai keleta dažni išpuoliai:
- Ne aklas sukčiavimas
- Aklas šmeižtas
- Žmogus viduryje
- Paslaugos atsisakymas (DOS)
- Uosto vagystė
Kai kurie atsakomųjų priemonių, kurių galime imtis:
- Naudokite šifravimą ir autentifikavimą
- Taikykite maršrutizatoriaus įvesties ir išvesties filtravimą
Kodo injekcija
Jis pagrįstas klaidos, kurią sukėlė netinkamų duomenų tvarkymas, panaudojimu. Jį naudoja užpuolikas, norėdamas įterpti arba įvesti kodą į pažeidžiamą kompiuterinę programą ir pakeisti vykdymo eigą. Sėkminga injekcija gali turėti pražūtingų padarinių.
Kaikurios vietos kur galime surengti injekcijos priepuolį:
- SQL
- LDAP
- XPath
- NoSQL užklausos
- HTML
- „Shell“
Kai kurie priemonių, kurių galime imtis planuodami:
- Filtruokite įrašus
- Parametruokite SQL sakinius
- Pabėgimo kintamieji
Kaip matome, turime daug alternatyvų, kaip atremti galimus įsibrovėlių išpuolius prieš mūsų organizaciją, mūsų užduotis (jei taip yra) yra atlikti išsamią analizę ir imtis veiksmų šiais klausimais.
Kaip jau minėjome anksčiau, ir, laimei, ne visada bus įsilaužėlių ar įsibrovėlių, besidominčių įsiskverbimu į mūsų sistemą ir vagystės, tačiau ateityje niekada nežinome, kur bus mūsų organizacija ar mes patys.