W jaki sposób działają hakerzy — 9 kroków do przejęcia kontroli nad firmą

15 marca, 2019

Cyberprzestępcy są w stanie w krótkim czasie wykraść z firmowej sieci znaczące ilości cennych danych. Zrozumienie tego, jak przebiega cyberatak i jakie podatności są wykorzystywane przez hakerów, może zminimalizować ryzyko, że firma padnie jego ofiarą. Świadomość tych zagrożeń pozwala organizacjom wdrożyć odpowiednie rozwiązania ochronne. Aby to ułatwić, organizacja non-profit mitre.org (zajmująca się m.in. cyberbezpieczeństwem) zaproponowała klasyfikację przebiegu ataku hakerskiego. Jego kluczowe elementy to:

1. Uzyskanie wstępnego dostępu: wykorzystanie znanych podatności, tworzenie fałszywych stron internetowych i aplikacji lub skutecznie przeprowadzony atak phishingowy pozwalają przestępcom ustanowić punkt zaczepienia do dalszego ruchu wewnątrz sieci.

2. Rozpoczęcia działania: na tym etapie atakujący uruchamia plik, komendę lub skrypt, aby rozpocząć rekonesans sieci i proces wykrywania kolejnych luk w zabezpieczeniach.

3. Utrzymanie się w sieci: kiedy cyberprzestępca ustanowił już punkt zaczepienia, jego następnym krokiem jest uniknięcie wykrycia. Pozwala mu to nadal poszukiwać potencjalnych celów w sieci.

4. Rozszerzanie uprawnień: uzyskanie podstawowego dostępu nie pozwala hakerom dowolnie przeszukiwać sieci. Aby poruszać się po niej i dostać się do zasobów wartych kradzieży, zdobywają wyższe uprawnienia.

5. Omijanie zabezpieczeń: atakujący muszą omijać rozwiązania ochronne w trakcie poruszania się po sieci, zwłaszcza podczas wykradania danych. Korzystają więc z takich działań jak np. imitowanie standardowych zachowań ruchu sieciowego lub dezaktywowanie rozwiązań zabezpieczających.

6. Uzyskanie uwierzytelnienia: wiele organizacji chroni kluczowe informacje i inne zasoby za pomocą odpowiednio rozbudowanego uwierzytelnienia. Dane są przechowywane w rejestrze lub w plikach, które atakujący mogą wykorzystać do swoich celów. Niestety dotarcie do nich nie zawsze jest trudne.

7. Wyszukiwanie zasobów: nie wszystkie dane znajdują się w tym segmencie sieci, do którego się włamano. Wiele dotychczasowych kroków jest przez cyberprzestępcę powtarzanych, dzięki czemu jest on w stanie określić lokalizację najbardziej wartościowych zasobów i poruszać się pomiędzy różnymi segmentami sieci w fizycznych oraz wirtualnych centrach danych.

8. Gromadzenie i wykradanie danych: atakujący dotarł już do poszukiwanych przez siebie zasobów. Na tym etapie chce wydostać je z sieci bez wykrycia swojej aktywności. Jest to często najbardziej skomplikowany etap całego procesu i może dotyczyć ogromnych ilości danych. Jeśli jednak cyberprzestępca do tego momentu dokładnie wykonał każdy element ataku, jest w stanie pozostać w firmowej sieci przez miesiące. W tym czasie będzie powoli przesyłał dane do innych lokalizacji w jej obrębie, będących pod mniej rygorystycznym nadzorem, by ostatecznie przenieść je poza sieć.

9. Zarządzanie i kontrola: Ostatnim krokiem atakującego jest całkowite zatarcie śladów. Cyberprzestępcy chcą być pewni, że nie będzie można ich namierzyć, podążając śladem skradzionych informacji. Wykorzystują w tym celu np. odpowiednie serwery proxy czy maskowanie danych.

Naruszenie bezpieczeństwa prowadzące do utraty danych może nastąpić w ciągu kilku minut lub godzin, a jego wykrycie często zajmuje tygodnie i miesiące. Do tego czasu sprawcom uda się zniknąć, a skradzione informacje już dawno przepadną lub zostaną sprzedane na czarnym rynku. Skutecznym sposobem, aby sprostać temu wyzwaniu, jest porzucenie tradycyjnego podejścia opartego na pojedynczych narzędziach ochronnych i wprowadzenie zintegrowanej architektury zabezpieczeń.

– tłumaczy Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]