Videó: Lexikai konkretizáció és generalizáció (2. előadás) - Bevezetés a fordítás gyakorlatába (November 2024)
Az "előrehaladott tartós fenyegetés" kifejezés eszébe jut egy bizonyos kép, egy odaadó hackerek kádere, fáradhatatlanul ásni az új nulla napos támadásokat, szorosan figyelemmel kíséri az áldozatok hálózatát, és csendben ellopja az adatokat, vagy titkos szabotázsot folytat. Végül is a hírhedt Stuxnet féregnek több nulla napos sebezhetőségre volt szüksége a cél eléréséhez, és a Stuxnet spinoff Duqu legalább egyet használt. Az Imperva új jelentése azonban rámutat arra, hogy sokkal kevésbé kifinomult eszközökkel el lehet távolítani ezt a támadást.
Egy láb az ajtóban
A jelentés komoly részleteket mutat egy adott támadásról, amely az Enterprise szerverein tárolt bizalmas információk után következik. A legfontosabb elvitel ez. A támadók egyáltalán nem tesznek támadást a szerverre. Inkább a legkevésbé biztonságos eszközöket keresik a hálózatban, veszélyeztetik őket, és apránként emelik ezt a korlátozott hozzáférést a szükséges jogosultsági szinthez.
A kezdeti támadás általában az áldozati szervezet tanulmányozásával kezdődik, amelynek célja a célzott "lándzsás adathalász" e-mail elkészítéséhez szükséges információk megkeresése. Amint valamelyik szerencsétlen alkalmazott rákattint a linkre, a rossz fiúk megszerezték a kezdeti lábát.
A hálózathoz való korlátozott hozzáférés révén a támadók figyelemmel kísérik a forgalmat, különös tekintettel a privilegizált helyekről a kompromittált végponthoz való kapcsolatokra. Az NTLM-nek nevezett nagyon gyakran használt hitelesítési protokoll gyengesége lehetővé teszi számukra jelszavak vagy jelszó-kivonatok elfogását, és így hozzáférést a következő hálózati helyhez.
Valaki mérgezte a vízlyukat!
A hálózat további beszivárgásának másik módszere a vállalati hálózatok megosztása. Nagyon gyakori, hogy a szervezetek ezen hálózati megosztáson keresztül továbbítják az információkat oda-vissza. Egyes részvények várhatóan nem tartalmaznak érzékeny információkat, így kevésbé védettek. És ugyanúgy, ahogy az összes állat meglátogatja a dzsungel vízlyukját, mindenki meglátogatja ezeket a hálózati megosztásokat.
A támadók "megmérgezik a kutakat" speciálisan kialakított parancsikonokkal, amelyek kikényszerítik a kommunikációt a már veszélyeztetett gépekkel. Ez a technika ugyanolyan fejlett, mint egy kötegelt fájl írása. Van egy Windows szolgáltatás, amely lehetővé teszi, hogy egyedi mappát rendeljen bármelyik mappához. A rossz fiúk egyszerűen csak egy ikont használnak, amely a veszélyeztetett gépen található. A mappa megnyitásakor a Windows Intézőnek meg kell szereznie ezt az ikont. Ez elegendő egy kapcsolathoz, hogy a sérült gép támadást végezzen a hitelesítési folyamaton keresztül.
Előbb vagy utóbb a támadók megszerezik az irányítást egy olyan rendszer felett, amely hozzáféréssel rendelkezik a cél adatbázishoz. Ezen a ponton csak annyit kell tennie, hogy eloszlatja az adatokat, és lefedi a zeneszámokat. Az áldozatok szervezete soha nem tudja, mi sújtotta őket.
Mit lehet tenni?
A teljes jelentés valójában sokkal részletesebb részletekbe megy, mint az egyszerű leírásom. A biztonsági katonák biztosan el akarják olvasni. Azok a nem csodálatos személyek, akik hajlandók elkerülni a kemény dolgokat, még mindig tanulhatnak belőle.
Ennek a támadásnak az egyik nagyszerű módja az NTLM hitelesítési protokoll használatának teljes leállítása, és a sokkal biztonságosabb Kerberos protokollra való átállás. A visszamenőleges kompatibilitási problémák miatt ez a lépés rendkívül valószínűtlen.
A jelentés fő ajánlása az, hogy a szervezetek szigorúan ellenőrizzék a hálózati forgalmat a normálistól való eltérés szempontjából. Azt is javasolja, hogy korlátozzuk azokat a helyzeteket, amikor a magas privilégiumú folyamatok kapcsolódnak a végpontokhoz. Ha elég nagy hálózatok lépéseket tesznek az ilyen, viszonylag egyszerű támadások megakadályozására, akkor a támadóknak valószínűleg csatolniuk kell és valami igazán fejlett megoldást kell kidolgozniuk.
