Technologie i Firma

Etapy cyberataku na firmę

opublikowano przez Wojciech Kulik w dniu 2019-03-16

Oto jak przebiega atak, w wyniku którego cyberprzestępca chce wydobyć cenne informacje z serwerów przedsiębiorstwa.

Obok wielu innych tematów amerykańska organizacja non-profit MITRE zajmuje się również cyberbezpieczeństwem. Niedawno zaproponowała złożoną z dziewięciu etapów klasyfikację przebiegu ataku cyberprzestępczego wymierzonego w przedsiębiorstwo. 

Etap pierwszy to uzyskanie wstępnego dostępu. Cyberprzestępcy wykorzystują luki w zabezpieczeniach firmowych systemów albo też w inny sposób dostają się „do środka”, na przykład stosując phishing (czyli podszywanie się pod inne osoby lub organizacje).

Etap drugi to rozpoczęcie działania. Gdy cyberprzestępcy są już „w środku”, mogą zdalnie uruchomić skrypt lub złośliwe oprogramowanie, przede wszystkim po to, by rozejrzeć się za innymi lukami, które można by wykorzystać.

Etap trzeci to utrzymanie się w sieci. Najgorszym, co może przytrafić się cyberprzestępcy, to oczywiście wykrycie i zniwelowanie miesięcy prac, które zaowocowały wdarciem się do systemu ofiary. Szuka więc sposobów na utrzymanie się wewnątrz.

Etap czwarty to rozszerzenie uprawnień. Cyberprzestępcy są już wprawdzie w sieci, ale początkowo nie mogą swobodnie się po niej poruszać. Dlatego właśnie próbują uzyskać większe uprawnienia, aby dotrzeć do materiałów wartych tego, by je wykraść.

Etap piąty to omijanie zabezpieczeń. Gdy już wiedzą co i jak wykraść, cyberprzestępcy stosują rozmaite metody, by uniknąć kontaktu z rozwiązaniami obronnymi – to między innymi imitowanie standardowych zachowań.

Etapy haker

Etap szósty to uzyskanie uwierzytelnienia. Manipulacja kontami w celu modyfikacji ich uprawnień czy też przechwycenie ruchu sieciowego dla wykradzenia danych uwierzytelniających to kolejny krok cyberprzestępców chcących dostać się do kluczowych informacji organizacji.

Etap siódmy to wyszukiwanie zasobów. Gdy już mogą poruszać się coraz swobodniej, cyberprzestępcy dokładnie przeszukują różne segmenty sieci w fizycznych i wirtualnych centrach danych, aby określić lokalizację tych zasobów, które mają największą wartość.

Etap ósmy to gromadzenie i wykradanie danych. Cyberprzestępcy zlokalizowali kluczowe dane i znaleźli sposób na ominięcie zabezpieczeń, teraz więc nadszedł czas na działanie. W tym momencie rozpoczyna się przesyłanie danych z pilnie strzeżonych sektorów do innych miejsc, a następnie wydostawanie ich „na zewnątrz”.

Etap dziewiąty to zarządzanie i kontrola. Po wykradzeniu zgromadzonych informacji cyberprzestępcy zacierają ślady, aby upewnić się, że nikt ich nie namierzy. Dzięki serwerom proxy i maskowaniu danych uniemożliwiają podążanie za skradzionymi zasobami.

Po co organizacja MITRE przygotowała tę klasyfikację? Otóż wychodzi ona z założenia, że podstawą jest poznanie przeciwnika. Świadomość zagrożenia pozwalać ma bowiem organizacjom sprawniej wdrażać odpowiednie zabezpieczenia i minimalizować ryzyko.

„Naruszenie bezpieczeństwa prowadzące do utraty danych może nastąpić w ciągu kilku minut lub godzin, a jego wykrycie często zajmuje tygodnie i miesiące. Do tego czasu sprawcom uda się zniknąć, a skradzione informacje już dawno przepadną lub zostaną sprzedane na czarnym rynku” – skomentował Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

„Skutecznym sposobem, aby sprostać temu wyzwaniu, jest porzucenie tradycyjnego podejścia opartego na pojedynczych narzędziach ochronnych i wprowadzenie zintegrowanej architektury zabezpieczeń” – dodał Robert Dąbrowski.

Źródło: Sarota, Fortinet, MITRE, inf. własna. Ilustracje: Sarota/Fortinet (1), TheDigitalArtist/Pixabay (2)

marketplace

Komentarze

0
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!