Ligesom at udføre rekognoscering før et fysisk overfald, indsamler overfaldsmænd ofte oplysninger før et cyberangreb.
Cyberkriminelle går ikke rundt og annoncerer deres tilstedeværelse. De slår til på de mest beskedne måder. Du kan give en hacker oplysninger om dit system uden selv at vide det.
Og hvis du ikke giver dem oplysningerne, kan de få dem andre steder uden din tilladelse – nej tak til rekognosceringsangreb. Sikre dit system ved at lære mere om rekognosceringsangreb, hvordan de virker, og hvordan du kan forhindre dem.
Hvad er et rekognosceringsangreb?
Rekognoscering er en proces med at indsamle information om et system for at identificere sårbarheder. Oprindeligt en etisk hackingteknik, det gjorde det muligt for netværksejere at sikre deres systemer bedre efter at have identificeret deres sikkerhedshuller.
Gennem årene er rekognoscering vokset fra en etisk hackingprocedure til en cyberangrebsmekanisme. Et rekognosceringsangreb er en proces, hvorved en hacker spiller rollen som en undercover-detektiv til at fiske efter oplysninger om deres målsystemer og derefter bruge disse oplysninger til at identificere sårbarheder forud for deres angreb.
Typer af rekognosceringsangreb
Der er to typer rekognosceringsangreb: aktive og passive.
1. Aktiv rekognoscering
Ved aktiv rekognoscering engagerer angriberen sig aktivt med målet. De kommunikerer med dig blot for at få information om dit system. Aktiv rekognoscering er ret effektiv, da den giver angriberen værdifuld information om dit system.
Følgende er aktive rekognosceringsteknikker.
Social Engineering
Social engineering er en proces, hvor en cybertrusselsaktør manipulerer mål for at afsløre fortrolige oplysninger til dem. De kan kontakte dig online via øjeblikkelige chats, e-mails og andre interaktive midler for at opbygge en forbindelse med dig. Når de vinder dig, vil de få dig til at videregive følsomme oplysninger om dit system eller lokke dig til at åbne en malware-inficeret fil, der vil kompromittere dit netværk.
Active footprinting er en metode, der involverer en ubuden gæst, der tager bevidste skridt for at indsamle oplysninger om dit system, dets sikkerhedsinfrastruktur og brugerengagement. De henter dine IP-adresser, aktive e-mail-adresser, oplysninger om domænenavnesystem (DNS) osv.
Aktivt fodaftryk kan automatiseres. I dette tilfælde bruger trusselsaktøren værktøjer såsom en netværksmapper (Nmap), en open source-platform, der giver indsigt i de tjenester og værter, der kører på et netværk, for at få vital information om din system.
Port scanning
Porte er områder, hvorigennem information går fra et computerprogram eller en enhed til en anden. I havnescanning er trusselsaktøren scanner portene i dit netværk at identificere de åbne. De bruger en portscanner til at registrere de aktive tjenester på dit netværk såsom værter og IP-adresser og derefter bryde ind gennem de åbne porte.
En grundig portscanning giver en angriber al den nødvendige information om dit netværks sikkerhedsstatus.
2. Passiv rekognoscering
Ved passiv rekognoscering engagerer angriberen sig ikke direkte med dig eller dit system. De udfører deres undersøgelse på afstand og overvåger trafikken og interaktionerne på dit netværk.
En trusselsaktør i passiv rekognoscering henvender sig til offentlige platforme såsom søgemaskiner og onlinedepoter for at få information om dit system.
Passive rekognosceringsstrategier omfatter følgende.
Open Source Intelligence
Open source intelligens (OSINT), ikke at være forveksles med open source-software, henviser til indsamling og analyse af data fra offentlige steder. Mennesker og netværk spreder deres information på tværs af nettet enten bevidst eller utilsigtet. En rekognosceringsaktør kunne bruge OSINT til at hente værdifuld information om dit system.
Søgemaskiner som Google, Yahoo og Bing er de første værktøjer, der kommer til at tænke på, når du taler om open source-platforme, men open source går ud over dem. Der er mange onlineressourcer, som søgemaskiner ikke dækker på grund af login-begrænsninger og andre sikkerhedsfaktorer.
Som tidligere nævnt er footprinting en teknik til at indsamle information om et mål. Men i dette tilfælde er aktiviteterne passive, hvilket betyder, at der ikke er nogen direkte interaktion eller engagement. Angriberen udfører deres efterforskning langvejs fra og tjekker dig ud på søgemaskiner, sociale medier og andre online-depoter.
For at få konkret information fra passivt fodaftryk er en angriber ikke kun afhængig af populære platforme som søgemaskiner og sociale medier. De bruger værktøjer som Wireshark og Shodan til at få yderligere oplysninger, som muligvis ikke er tilgængelige på populære platforme.
Hvordan fungerer rekognosceringsangreb?
Uanset hvilken type rekognosceringsstrategi en angriber bruger, fungerer de efter et sæt retningslinjer. De første to trin er passive, mens de resterende er aktive.
1. Indsaml data om målet
Indsamling af data om målet er det første skridt i et rekognosceringsangreb. Den ubudne gæst er passiv i denne fase. De gør deres resultater langvejs fra og får information om dit system i det offentlige rum.
2. Definer målnetværkets rækkevidde
Dit system kan være større eller mindre, end det ser ud. At definere dens rækkevidde giver angriberen en klar idé om dens størrelse og guider dem i at udføre deres planer. De noterer sig de forskellige områder af dit netværk og skitserer de ressourcer, de har brug for til at dække deres interesseområder.
På dette stadium leder trusselsaktøren efter aktive værktøjer i dit system og engagerer dig via disse værktøjer for at få vigtig information fra dig. Eksempler på aktive værktøjer omfatter funktionelle e-mailadresser, konti på sociale medier, telefonnumre osv.
4. Find åbne havne og adgangspunkter
Angriberen forstår, at de ikke på magisk vis kan komme ind i dit system, så de finder de adgangspunkter og åbne porte, de kan komme ind igennem. De implementerer teknikker som portscanning for at identificere åbne porte og andre adgangspunkter for at få uautoriseret adgang.
5. Identificer målets operativsystem
Da forskellige operativsystemer har forskellige sikkerhedsinfrastrukturer, skal cyberkriminelle identificere det specifikke operativsystem, de har med at gøre. På den måde kan de implementere de rigtige teknikker til at omgå eventuelle sikkerhedsforsvar på plads.
6. Oversigtstjenester på havnene
Tjenesterne på dine porte har autoriseret adgang til dit netværk. Angriberen opsnapper disse tjenester og kommer ind, som disse tjenester normalt ville gøre. Hvis de klarer dette effektivt, vil du muligvis ikke bemærke nogen indtrængen.
7. Kortlæg netværket
På dette stadium er angriberen allerede inde i dit system. De bruger netværkskortlægning for at få fuldstændig synlighed af dit netværk. Med denne mekanisme kan de lokalisere og hente dine kritiske data. Angriberen har fuld kontrol over dit netværk på dette tidspunkt og kan gøre, hvad de vil.
Sådan forhindres rekognosceringsangreb
Rekognosceringsangreb er ikke uovervindelige. Der er foranstaltninger, du kan tage for at forhindre dem. Disse foranstaltninger omfatter følgende.
1. Sikre dine endepunkter med EDR
De porte, hvorigennem en rekognosceringsaktør får adgang til dit netværk, er en del af dets endepunkter. Implementering af strammere sikkerhed i de områder med slutpunktssikkerhedssystemer såsom endpoint detection and response (EDR) vil gøre dem mindre tilgængelige for ubudne gæster.
Da en effektiv EDR har automatiseret realtidsovervågning og dataanalyse for at afværge trusler, vil den modstå angriberens rekognosceringsbestræbelser for at få uautoriseret adgang via dine porte.
2. Identificer sårbarheder med penetrationstest
Cyberangribere trives med sårbarheder i systemer. Tag initiativ til at opdage sårbarheder, der kan eksistere i dit system, før de kriminelle opdager dem. Det kan du gøre med en penetrationstest.
Bær hackerens sko og indled et etisk angreb på dit system. Dette vil hjælpe dig med at opdage sikkerhedshuller, der normalt ville være i dine blinde vinkler.
3. Adopter integrerede cybersikkerhedssystemer
Trusselaktører implementerer alle slags teknologier for at iværksætte cyberangreb med succes. En effektiv måde at forhindre disse angreb på er at drage fordel af integrerede cybersikkerhedsløsninger.
Avancerede systemer som sikkerhedsinformation og event management (SIEM) tilbyder komplet sikkerhed for at sikre dine digitale aktiver. De er programmeret til at opdage og stoppe trusler, før de forårsager væsentlig skade på dit netværk.
Vær proaktiv for at forhindre rekognosceringsangreb
Cyberkriminelle kan have perfektioneret deres krumspring i rekognosceringsangreb, men du kan skubbe tilbage ved at styrke dit forsvar. Som med de fleste angreb er du bedre stillet at sikre dit system mod rekognosceringsangreb ved at være proaktiv med din sikkerhed.