بيت Securitywatch التهديدات المستمرة المتقدمة لم تتقدم بعد

التهديدات المستمرة المتقدمة لم تتقدم بعد

فيديو: الفضاء - علوم الفلك للقرن الØادي والعشرين (شهر نوفمبر 2024)

فيديو: الفضاء - علوم الفلك للقرن الØادي والعشرين (شهر نوفمبر 2024)
Anonim

إن عبارة "Advanced Persistent Threat" تضع في ذهني صورة معينة ، وكادر من المتسللين المخلصين ، والحفر بلا كلل لشن هجمات جديدة في يوم الصفر ، ومراقبة شبكة الضحايا عن كثب ، وسرقة البيانات بصمت أو القيام بأعمال تخريبية سرية. بعد كل شيء ، تحتاج دودة Stuxnet سيئة السمعة إلى نقطة ضعف متعددة في يوم الصفر لتحقيق هدفها ، واستخدمت دوامة Stuxnet Duin واحدة على الأقل. ومع ذلك ، يكشف تقرير جديد من Imperva أنه من الممكن شن هذا النوع من الهجوم باستخدام وسائل أقل تطوراً.

قدم في الباب

يتطرق التقرير إلى تفاصيل جدية حول هجوم معين يتبع المعلومات السرية المخزنة على خوادم المؤسسة. الوجبات الجاهزة الرئيسية هي هذا. لا يقوم المهاجمون مطلقًا بشن هجوم على الخادم. بدلاً من ذلك ، فإنهم يبحثون عن أقل الأجهزة أمانًا في الشبكة ، ويعرضونها للخطر ، ولا يطالبون شيئًا فشيئًا بالوصول المحدود إلى مستوى الامتياز الذي يحتاجون إليه.

يبدأ الهجوم الأولي عادةً بدراسة المنظمة الضحية ، والبحث عن المعلومات اللازمة لصياغة بريد إلكتروني مستهدف "تصيّد الرمح". بمجرد أن ينقر أحد الموظفين التعساء أو آخر على الرابط ، اكتسب الأشرار موطئ قدم أولي.

باستخدام هذا الوصول المحدود إلى الشبكة ، يراقب المهاجمون حركة المرور ، ويبحثون على وجه التحديد عن الاتصالات من المواقع المميزة إلى نقطة النهاية الشبهة. يمكن لضعف بروتوكول المصادقة شائع الاستخدام والمسمى NTLM أن يسمح لهم بالتقاط كلمات المرور أو تجزئة كلمات المرور ، وبالتالي الوصول إلى موقع الشبكة التالي.

شخص ما تسمم حفرة المياه!

أسلوب آخر لمزيد من التسلل إلى الشبكة يتضمن مشاركات شبكات الشركات. من الشائع جدًا أن تقوم المنظمات بتمرير المعلومات ذهابًا وإيابًا من خلال مشاركات الشبكة هذه. لا يُتوقع أن تحتوي بعض المشاركات على معلومات حساسة ، لذا فهي أقل حماية. ومثلما تزور جميع الحيوانات حفرة مياه الغاب ، يقوم الجميع بزيارة هذه المشاركات عبر الشبكة.

يقوم المهاجمون "بتسميم البئر" عن طريق إدخال روابط مختصرة تم إعدادها خصيصًا والتي تفرض التواصل مع الأجهزة التي تعرضوا لها بالفعل. هذه التقنية متقدمة مثل كتابة ملف دفعي. هناك ميزة Windows تتيح لك تعيين رمز مخصص لأي مجلد. الأشرار ببساطة يستخدمون أيقونة موجودة على الجهاز الشبحي. عند فتح المجلد ، يتعين على مستكشف Windows الانتقال للحصول على هذا الرمز. هذا يكفي للاتصال للسماح للهجوم الجهاز للخطر من خلال عملية المصادقة.

عاجلاً أم آجلاً ، يتحكم المهاجمون في نظام يمكنه الوصول إلى قاعدة البيانات الهدف. في تلك المرحلة ، كل ما يحتاجون إليه هو مسح البيانات وتغطية مساراتهم. المنظمة الضحية قد لا تعرف أبدًا ما الذي أصابهم.

ماذا يمكن ان يفعل؟

يتطرق التقرير الكامل إلى تفاصيل أكثر من وصفي البسيط. سوف الرابحين الأمن ترغب في قراءتها ، بالتأكيد. غير الرابحين الذين هم على استعداد للتخلي عن الأشياء الصعبة لا يزال بإمكانهم التعلم منها.

إحدى الطرق الرائعة لإيقاف هذا الهجوم المحدد هي التوقف الكامل عن استخدام بروتوكول مصادقة NTLM والتبديل إلى بروتوكول Kerberos الأكثر أمانًا. مشاكل التوافق مع الإصدارات السابقة تجعل هذه الخطوة غير مرجحة للغاية ، رغم ذلك.

التوصية الرئيسية للتقرير هي أن المنظمات تراقب عن كثب حركة مرور الشبكة بحثًا عن الانحرافات عن المعتاد. ويقترح أيضًا تحديد المواقف التي تتصل فيها العمليات ذات الامتيازات العالية بنقاط النهاية. إذا اتخذت عدد كبير من الشبكات الكبيرة خطوات لمنع هذا النوع من الهجوم البسيط نسبيًا ، فقد يضطر المهاجمون في الواقع إلى الإبطاء والتوصل إلى شيء متقدم حقًا.

التهديدات المستمرة المتقدمة لم تتقدم بعد