Поскольку все мы знаем, что мы находимся в мире, окруженном информацией, которая требует более высокого уровня безопасности каждый день, мы, как менеджеры и ИТ-менеджеры, несем прямую ответственность за обеспечение безопасности, чтобы обеспечить безопасность данных нашей организации или наших.,
Наша информация может быть не такой ценной или столь важной, если она будет потеряна или украдена, но у нас может быть очень специальная информация, такая как банковские счета, выписки со счета, информация о персонале и т. Д., Которая должна оставаться «безопасной» в наши системы, и мы не можем отрицать, что взлом сегодня стал очень отличаться от того, что было раньше, сегодня есть больше механизмов атаки и различных методов для такой деятельности.
На этот раз мы поговорим о злоумышленниках, проанализируем некоторые способы, которыми хакеры могут получить доступ к информации с использованием уязвимостей, которые могут существовать.
Мы понимаем, что несанкционированный доступ к системе представляет собой серьезную проблему безопасности, поскольку этот человек или программное обеспечение могут извлекать ценную информацию из нашей базы данных и впоследствии наносить ущерб организации различными способами, когда мы говорим о программном обеспечении, которое может войти без разрешения. Мы можем думать, что это червь, троян или вообще вирус.
Далее мы сосредоточимся на следующих областях:
- 1. Типы злоумышленников
- 2. Методы вторжения
- 3. Обнаружение вторжения
- 4. Типы атак
1. Типы злоумышленников
Мы можем выделить три (3) типа злоумышленников:
Мошеннический пользователь
Это относится к пользователю, который незаконно получает доступ к ресурсам организации или который, имея разрешения, злоупотребляет доступной информацией.
проныра
Это человек, который не имеет никакого отношения к легальному доступу в организации, но ему удается достичь уровня принятия личности законного пользователя для доступа и нанесения ущерба.
Тайный пользователь
Это человек, который может взять под контроль аудит системы организации.
Обычно подражатель является внешним лицом, мошеннический пользователь является внутренним, а подпольный пользователь может быть внешним или внутренним. Атаки злоумышленников, независимо от их типа, могут быть классифицированы как серьезные или доброкачественные, при доступе только к доброму доступу, чтобы увидеть, что находится в сети, в то время как в могиле вы можете украсть информацию и / или изменить внутри то же самое.
2. Методы вторжения
Как мы знаем, общий способ доступа к системе - через пароли, и именно на это указывает злоумышленник, получая пароли с использованием различных методов для достижения своей цели нарушения доступа и получения информации. Рекомендуется защитить наш файл паролей одним из следующих способов:
Однонаправленное шифрование
Эта опция хранит только зашифрованную форму пароля пользователя, поэтому, когда пользователь вводит свой пароль, система шифрует его и сравнивает со значением, которое он сохранил, и, если он идентичен, он разрешает доступ, в противном случае он его запрещает.
Контроль доступа
При этом методе доступ к паролю очень ограничен, только для одной или нескольких учетных записей.
Методы, которые обычно используют хакеры, согласно некоторым анализам:
- Проверка словарных слов или списков возможных паролей, доступных на хакерских страницах
- Попробуйте телефонные номера пользователя или документы, удостоверяющие личность
- Тест с номерами автомобилей
- Получать личную информацию от пользователей, среди прочего
3. Обнаружение вторжения
Как администраторы мы должны проанализировать возможные уязвимости, которые наша система должна избежать, чтобы избежать головной боли в будущем, мы можем проанализировать эти сбои с помощью следующих концепций:
- Если мы изучим, как злоумышленник может атаковать, эта информация поможет нам усилить предотвращение вторжения в нашу систему.
- Если мы незамедлительно обнаружим пользователя нарушителя, мы можем помешать этому человеку выполнять свои действия в нашей системе и, таким образом, избежать повреждений.
Как администраторы мы можем анализировать поведение пользователей в нашей организации и с помощью большого анализа выявлять, проявляет ли он какое-либо странное поведение, такое как доступ через интрасеть к компьютерам или папкам, к которым нет доступа, изменение файлов и т. Д. Одним из инструментов, который нам очень поможет в анализе злоумышленников, является журнал аудита, поскольку он позволяет нам отслеживать действия, выполняемые пользователями.
Мы можем использовать два (2) типа планов аудита :
Конкретные записи аудита для обнаружения
Мы можем реализовать эти записи так, чтобы они показывали нам только информацию, требуемую системой обнаружения вторжений.
$config[ads_text6] not foundСобственные журналы аудита
Это инструмент, который поставляется по умолчанию в операционных системах и сохраняет всю активность пользователя, например, средство просмотра событий Microsoft Windows.
Мы можем обнаружить аномалии, основываясь на профилях, то есть на поведении пользователей, для этого мы можем использовать следующие переменные:
- Счетчик : это значение, которое можно увеличивать, но не уменьшать, пока оно не будет инициировано каким-либо действием
- Калибр : это число, которое может увеличиваться или уменьшаться, и измеряет текущую стоимость объекта
- Временной интервал : относится к периоду времени между двумя событиями.
- Использование ресурсов : подразумевает количество ресурсов, потребленных в данный момент времени.
Существует другой тип обнаружения, основанный на правилах, который обнаруживает вторжение на основе событий, происходящих в системе, и применяет ряд определенных правил, чтобы определить, является ли действие подозрительным или нет.
Некоторые из примеров этих правил:
Одним из интересных методов привлечения внимания злоумышленников является использование honeypot, которые являются просто инструментами безопасности, где создаются системы, которые кажутся уязвимыми или слабыми и в которых есть ложная информация, но с приятным внешним видом для злоумышленника, очевидно, что honeypot не имеет и не будет иметь доступа к законному пользователю организации.
$config[ads_text6] not foundВ качестве меры безопасности для предотвращения атак злоумышленников, без сомнения, существует правильное управление паролями, мы знаем, что пароль позволяет:
- Предоставлять или нет пользователю доступ к системе
- Предоставьте привилегии, которые были назначены пользователю
- Предложить политики безопасности в компании
В исследовании, проведенном организацией в США на основе трех (3) миллионов учетных записей, был сделан вывод о том, что пользователи регулярно используют следующие параметры для своих паролей (которые вообще не являются безопасными) ):
- Имя учетной записи
- Идентификационные номера
- Общие имена
- Местные названия
- словарь
- Имена машин
Важно, чтобы в качестве администраторов, координаторов или ИТ-менеджеров мы обучали пользователей нашей организации, чтобы они знали, как установить безопасный пароль, мы могли бы использовать следующие методы:
- Реактивная проверка пароля
- Проактивная проверка пароля
- Обучение наших пользователей
- Сгенерированные компьютером пароли
Как видим, среди всех (администраторов и пользователей) мы можем заниматься любой деятельностью злоумышленников.
4. Типы атак
Далее мы рассмотрим некоторые типы атак, которые могут быть совершены в разных системах, мы проведем этот анализ с помощью этического хакерского подхода.$config[ads_text6] not found
угон самолета
Этот тип атаки состоит из взятия части устройства для связи с другим устройством, существует два (2) типа угона:
- Активный : это когда часть хоста берется и используется для компрометации цели
- Пассивный : это происходит, когда часть устройства занята, и весь трафик между двумя устройствами зарегистрирован
У нас есть инструменты для угона страниц, таких как:
- IP Watcher
Как мы можем защитить себя от угона ? Мы можем использовать любой из следующих методов в зависимости от протокола или функции, например:
- FTP: давайте использовать sFTP
- Удаленное соединение: давайте использовать VPN
- HTTP: давайте использовать HTTPS
- Telnet или rlogin: давайте использовать OpenSSH или SSH
- IP: давайте использовать IPsec
Атака на веб-сервер
Наиболее распространенные серверы для реализации веб-сервисов имеют Apache и IIS. Злоумышленники или хакеры, намеревающиеся атаковать эти серверы, должны обладать знаниями по крайней мере в трех (3) языках программирования, таких как HTML, ASP и PHP. Чтобы заботиться о наших веб-серверах, мы можем использовать инструменты, называемые Brute Force Attack, такие как:
- Брут для Windows
- Гидра для Linux
- NIX для Linux
Наиболее распространенные атаки, которые мы обнаруживаем на уровне веб-сервера, следующие:
- ScriptAttack
- Пароли в одном коде
- Уязвимости в веб-приложениях
- Проверка имени пользователя
Как администраторы мы можем реализовать следующие практики :
- Установите и / или обновите антивирус
- Используйте сложные пароли
- Изменить учетные записи по умолчанию
- Удалить тестовые коды
- Обновите систему и пакет обновления
- Постоянное управление и мониторинг системных журналов
Мы можем использовать инструмент Acunetix, который позволяет нам проверить, уязвим ли наш сайт к атакам, мы можем скачать его по ссылке.
Бэкдоры и трояны
Многие из троянов запускаются в тестовом режиме для проверки способности организации реагировать на возможную атаку, но не на 100% из внутренних тестов, но в других случаях злоумышленники используют злые намерения.
Некоторые из наиболее распространенных троянов :
- Netbus
- ProRat
- рай
- Duckfix
- Netcat
Для предотвращения троянских атак важно, чтобы в качестве администраторов мы выполняли некоторые задачи, такие как:
- Установите и обновите антивирус
- Запустите и активируйте брандмауэр
- Используйте троянский анализатор
- Обновление системных патчей
Атака на беспроводные сети
Наши беспроводные сети могут быть подвержены атакам злоумышленника, мы знаем, что современными технологиями беспроводных сетей являются 802.11a, 802.11b, 802.11n и 802.11g, они основаны на их частоте.
Для предотвращения атак на наши беспроводные сети мы можем выполнять следующие задачи:
- Избегайте использования пустого SSID
- Избегайте использования SSID по умолчанию
- Используйте IPsec для повышения безопасности в нашей IPS
- Выполните фильтры MAC, чтобы избежать ненужных адресов
Вот некоторые из инструментов, используемых для беспроводного взлома :
- кисмет
- В приборе GPSMAP
- NetStumbler
- AirSnort
- Dstumbler
Хотя мы не используем беспроводные сети в нашей компании постоянно, целесообразно реализовать политики безопасности для предотвращения атак на них, но было бы идеально сделать следующее (при использовании только беспроводных сетей):
- Отключить DHCP
- Обновление прошивки
- Используйте безопасность WPA2 и выше
- В случае удаленного подключения используйте VPN
Атаки отказа в обслуживании (DoS)
Этот тип атаки имеет своей главной целью повлиять на все сервисы нашей системы, либо останавливая их, насыщая их, устраняя их и т. Д.
Мы можем предотвратить DoS-атаку, используя следующие действия:
- Воспользуйтесь услугами, которые нам действительно нужны
- Отключить ответ ICMP в брандмауэре
- Обновите операционную систему
- Обновите наш брандмауэр с помощью опции DoS-атак.
Вот некоторые инструменты, которые мы можем найти в Интернете для DoS-атак :
- FSM FSMax
- Некоторые проблемы
- Толчок 2
- Blast20
- Panther2
- Сумасшедший Пингер и др.
Инструменты взлома паролей
Другой распространенной атакой, которой мы можем подвергнуться в наших организациях, является атака на пароли, как мы уже упоминали, иногда установленный пароль недостаточно силен, поэтому мы склонны к тому, что злоумышленник украдет пароль и получит доступ к нашей системе Мы знаем, что безопасность наших паролей основана на:
- Аутентификация : авторизует доступ к системе или приложениям компании.
- Авторизация : Если введенный пароль правильный, система проверит его и авторизует ввод
Наиболее распространенные типы атак, которые мы обнаруживаем для кражи наших паролей :
$config[ads_text6] not foundАтаки словарями
Это списки установленных слов, которые синхронизируются и проверяются, если в них включен наш пароль.
Атака грубой силы
Это одна из самых эффективных атак, потому что она содержит буквы, цифры и специальные символы, и они образуют комбинации, пока не будет найден правильный пароль
Гибридные атаки
Это комбинация двух (2) выше.
Некоторые инструменты для взлома паролей :
- pwdump3
- Джон Потрошитель
- Бозон GetPass
- Elcomsoft
Помните, что если наш пароль или пароль любого пользователя организации будет обнаружен злоумышленником, у нас могут возникнуть серьезные проблемы, поэтому важно помнить, что большинство следующих условий для наших паролей включены :
- Строчные буквы
- Прописные буквы
- Специальные символы
- чисел
- Сложные слова
Мы рекомендуем просмотреть это руководство, чтобы иметь полностью безопасные пароли.
Мы можем определить, становимся ли мы жертвами взлома пароля, проверяя системные журналы, постоянно отслеживая сетевой трафик и т. Д. На странице sectools мы можем найти различные инструменты, которые помогут нам в нашей работе по мониторингу сети и ее возможных атак, приглашение состоит в том, чтобы узнать это и выполнить тесты.
$config[ads_text6] not foundЕще одна страница, которую мы можем посетить - это Foundstone, которая принадлежит McAffe и содержит интересную группу полезных инструментов.
Подделка (Спуфинг)
В этом типе злоумышленник будет выдавать себя за другую сущность, для этого он будет фальсифицировать данные, отправленные в сообщениях. Этот тип атаки может происходить в разных протоколах, у нас есть IP-спуфинг, ARP-спуфинг, DNS-спуфинг, DHCP-спуфинг и т. Д.
Вот некоторые распространенные атаки :
- Не слепой спуфинг
- Слепой спуфинг
- Человек в середине
- Отказ в обслуживании (DOS)
- Кража порта
Некоторые контрмеры, которые мы можем предпринять :
- Используйте шифрование и аутентификацию
- Применить входящую и исходящую фильтрацию на маршрутизаторе
Внедрение кода
Он основан на использовании ошибки, вызванной обработкой неверных данных. Он используется злоумышленником для ввода или внедрения кода в уязвимую компьютерную программу и изменения хода выполнения. Успешная инъекция может иметь катастрофические последствия.
Некоторые места, где мы можем создать инъекционную атаку :
- SQL
- LDAP
- XPath
- Запросы NoSQL
- HTML
- скорлупа
Некоторые меры, которые мы можем предпринять при программировании :
- Фильтруйте записи
- Параметризация операторов SQL
- Escape-переменные
Поскольку мы видим, что у нас есть много альтернатив для противодействия возможным атакам злоумышленников на нашу организацию, наша задача (при необходимости) провести подробный анализ и принять меры по этим вопросам.
Как уже упоминалось ранее, и, к счастью, не всегда найдется хакер или злоумышленник, заинтересованный в проникновении в нашу систему и краже информации, но мы никогда не узнаем в будущем, какую позицию займет наша организация или мы сами.
$config[ads_text6] not found
СТАТЬИ