Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Wykorzystanie ataku komputerowego do budowania bezpieczeństwa IT organizacji

Data publikacji: 25-05-2017 Autor: Ireneusz Tarnowski

Ewolucja cyberataków wymaga zamiany klasycznego modelu obrony infrastruktury IT na model bazujący na informacjach o zagrożeniach, w którym skupiamy się zarówno na jej słabościach, jak i zagrożeniach zewnętrznych i wewnętrznych. Należy bronić nie tylko słabych elementów systemu czy systemu jako takiego w całości, ale przede wszystkim zabezpieczać się przed znanymi i nieznanymi zagrożeniami w sposób kompleksowy.

Konwencjonalne narzędzia obrony sieciowej, takie jak systemy detekcji zagrożeń (IDS), zapory ogniowe (firewall) czy oprogramowanie antywirusowe, wykorzystują statyczną wiedzę o istniejących zagrożeniach i słabościach systemu. Stosowanie ich jako jedynych elementów ochrony sprawia, że dowiadujemy się o kolejnych udanych atakach komputerowych, których efektem są spektakularne wycieki danych.

Ewolucja celów cyberprzestępców oraz wykorzystywanie wyszukanych narzędzi sprawia, że podejście tradycyjne nie jest już wystarczające. Techniki obrony sieciowej wykorzystujące wiedzę o przeciwnikach, modelowanie zagrożeń oraz scenariuszy ataków znacząco mogą zmniejszyć prawdopodobieństwo każdorazowej próby włamania. Wykorzystanie modelu cybernetycznego łańcucha śmierci (kill chain) pomaga zrozumieć cel oraz metody ataku, dzięki czemu zespołom ds. cyberbezpieczeństwa i reagowania na incydenty łatwiej określić uczestników kampanii skierowanej przeciw organizacji oraz określić kierunki i metody obrony.

> PRZEBIEG ATAKU KOMPUTEROWEGO

Żeby zrozumieć, jak przebiega atak komputerowy, a co za tym idzie, móc we właściwy sposób reagować na incydent, należy przeanalizować proces ataku w każdej fazie jego istnienia. Poszczególne fazy ataku tworzą łańcuch przyczynowo-skutkowy, tzw. zabójczy łańcuch, czyli wspomniany kill chain. Określenie to, jak i nazwy faz składowych łańcucha wywodzą się z terminologii wojskowej.

Skuteczny atak, czyli taki, którego skutkiem może być kompromitacja systemu lub kradzież danych, jest łańcuchem zdarzeń: od początkowej fazy rozpoznania, mającej na celu poznanie ofiary, przez włamanie, dwustronny przepływ danych w sieci komputerowej, wykorzystanie podatności, aż po zainfekowanie systemu i przejęcie nad nim kontroli. Warto przeanalizować każde z tych zdarzeń, zdobyć wiedzę i wykorzystać ją, aby przerwać ten łańcuch tak wcześnie, jak to tylko możliwe. Im głębiej analizujemy te zdarzenia, tym więcej uczymy się od autorów ataku, a właściwe rozpoznanie staje się kluczem do obrony.

W modelu ataku komputerowego wyróżniamy następujące fazy (rys. 1):

1. Rozpoznanie (Reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad).
2. Uzbrojenie (Weaponization) – przygotowanie narzędzi ataku, takich jak konie trojańskie, exploity wraz z danymi. Zazwyczaj jest to zbiór narzędzi automatyzujących uzbrojenie. Umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu użyje ofiara (np. pliki PDF lub dokumenty Office).
3. Dostarczenie (Delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-mail, stronę WWW, nośnik mediów USB).
4. Włamanie (Exploitation) – po dostarczeniu „narzędzi ataku” do zaatakowanego komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego środowiska. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika.
5. Instalacja (Installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku.
6. Kontrola (Command and Control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj skompromitowany komputer łączy się na zewnątrz do komputera kontrolującego (Command and Contro, C2) poprzez specjalnie utworzony kanał komunikacyjny.
7. Akcja (Actions on Objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Zazwyczaj jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.

Każda z faz powinna zostać przeanalizowana, tak aby broniący się mógł ustalić, jakie podejmie działania. Mogą one przybrać różny charakter. Przede wszystkim może nastąpić wykrycie ataku. I nie chodzi tu o to, że odbędzie się to bardzo wcześnie z punktu widzenia faz modelu, a raczej o to, że takie wykrycie może nastąpić w każdej fazie ataku, począwszy od prowadzonych przez atakującego działań rozpoznawczych, kończąc na realizacji tego, co oznaczono jako „akcja”, a co w praktyce oznacza realizację przez atakującego docelowego zadania, czyli działań najbardziej destrukcyjnych dla atakowanej organizacji. Kroki podejmowane przez zespoły ds. reagowania na incydenty zależą od momentu wykrycia i rozpoznania ataku. Niestety, taki schemat łańcucha ataku wprowadza w błąd potencjalnego obrońcę. Problemem jest właściwe przedstawienie skali czasu. Otóż cały atak można podzielić na etapy: przygotowań (faza 1 – rekonesans oraz faza 2 – uzbrojenie), wtargnięcia (faza 3 – dostarczenie, faza 4 – włamanie, faza 5 – instalacja) oraz etap aktywnego włamania (faza 6 – kontrola i faza 7 – akcja).

[...]

Specjalista we Wrocławskim Centrum Sieciowo-Superkomputerowym zajmujący się administracją systemami IT oraz bezpieczeństwem usług sieciowych. Miłośnik defensywnego podejścia do cyberbezpieczeństwa. Niezależny konsultant i analityk cyberbezpieczeństwa.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"