Et aktivt angreb er et farligt cyberangreb, fordi det forsøger at ændre dit computernetværks ressourcer eller operationer. Aktive angreb resulterer ofte i uopdaget datatab, brandskade og en øget risiko for identitetstyveri og svindel.
Aktive angreb repræsenterer den højest prioriterede trussel, som virksomheder står over for i dag. Heldigvis er der ting, du kan gøre for at forhindre disse angreb og afbøde virkningerne, hvis de opstår.
Hvad er aktive angreb?
I et aktivt angreb udnytter trusselsaktører svagheder i målets netværk til at få adgang til dataene deri. Disse trusselsaktører kan forsøge at tilføre nye data eller kontrollere spredningen af eksisterende data.
Aktive angreb involverer også ændringer af data i målets enhed. Disse ændringer spænder fra tyveri af personlige oplysninger til en komplet netværksovertagelse. Du bliver ofte advaret om, at systemet er blevet kompromitteret, da disse angreb let kan spores, men at stoppe dem, når de først er startet, kan være ret besværligt.
Små og mellemstore virksomheder, almindeligvis kendt som SMB'er, bærer normalt hovedparten af aktive angreb. Dette skyldes, at de fleste SMB'er ikke har ressourcerne til at anskaffe avancerede cybersikkerhedsforanstaltninger. Og efterhånden som aktive angreb fortsætter med at udvikle sig, skal disse sikkerhedsforanstaltninger opdateres regelmæssigt, ellers efterlader de netværket sårbart over for avancerede angreb.
Hvordan fungerer et aktivt angreb?
Den første ting, trusselsaktører vil gøre efter at have identificeret målet, er at lede efter sårbarheder i målets netværk. Dette er en forberedelse til den type angreb, de planlægger.
De bruger også passive scannere til at få information om typen af programmer, der kører på målets netværk. Når svaghederne er blevet opdaget, kan hackerne bruge enhver af følgende former for aktive angreb for at underminere netværkssikkerheden:
1. Session hijacking angreb
I en session kapring angreb, også kendt som session replay, playback-angreb eller replay-angreb, kopierer trusselsaktørerne målets internetsessions-id-oplysninger. De bruger disse oplysninger til at hente login-legitimationsoplysninger, efterligne målene og yderligere stjæle andre følsomme data fra deres enheder.
Denne personefterligning udføres ved hjælp af sessionscookies. Disse cookies arbejder sammen med HTTP-kommunikationsprotokol for at identificere din browser. Men de forbliver i browseren, efter du har logget ud eller afsluttet browsing-sessionen. Dette er en sårbarhed, som trusselsaktører udnytter.
De gendanner disse cookies og narre browseren til at tro, at du stadig er online. Nu kan hackere få den information, de ønsker, fra din browserhistorik. De kan nemt få kreditkortoplysninger, finansielle transaktioner og kontoadgangskoder på denne måde.
Der er andre måder, hvorpå hackere kan få sessions-id'et for deres mål. En anden almindelig metode involverer at bruge ondsindede links, hvilket fører til websteder med et færdigt ID, som hackeren kan bruge til at kapre din browsersession. Når først de er blevet beslaglagt, ville der ikke være nogen måde for serverne at opdage nogen forskel mellem det originale sessions-id og det andet, der er replikeret af trusselsaktørerne.
2. Meddelelsesændring Angreb
Disse angreb er hovedsageligt e-mail-baserede. Her redigerer trusselsaktøren pakkeadresser (indeholder afsender og modtagers adresse) og sender mailen til et helt andet sted eller ændrer indholdet for at komme ind i målets netværk.
Hackerne sender post mellem målet og en anden part. Når denne aflytning er fuldført, har de frihed til at udføre enhver handling på den, inklusive indsprøjtning af ondsindede links eller fjerne enhver meddelelse indeni. Posten vil derefter fortsætte på sin rejse, hvor målet ikke ved, at der er blevet manipuleret med det.
3. Maskeradeangreb
Dette angreb udnytter svagheder i godkendelsesprocessen for målets netværk. Trusselsaktørerne bruger stjålne loginoplysninger til at efterligne en autoriseret bruger ved at bruge brugerens ID til at få adgang til deres målrettede servere.
I dette angreb kan trusselsaktøren, eller maskeraden, være en medarbejder i organisationen eller en hacker, der bruger en forbindelse til det offentlige netværk. Lamme godkendelsesprocesser kan tillade disse angribere adgang, og mængden af data, de vil have adgang til, afhænger af privilegieniveauet for den efterlignede bruger.
Det første trin i et maskeradeangreb er at bruge en netværkssniffer til at hente IP-pakker fra målets enheder. Disse forfalskede IP-adresser narre målets firewalls, omgå dem og få adgang til deres netværk.
4. Denial-of-Service (DoS) angreb
I dette aktive angreb gør trusselsaktørerne netværksressourcer utilgængelige for de tilsigtede, autoriserede brugere. Hvis du oplever et DoS-angreb, vil du ikke kunne få adgang til netværkets informationer, enheder, opdateringer og betalingssystemer.
Der er forskellige typer af DoS-angreb. Den ene type er bufferoverløbsangreb, hvor trusselsaktørerne oversvømmer målets servere med meget mere trafik, end de kan håndtere. Dette får serverne til at gå ned, og som følge heraf vil du ikke kunne få adgang til netværket.
Der er også smølfeangrebet. Trusselsaktørerne vil bruge fuldstændigt forkert konfigurerede enheder til at sende ICMP-pakker (internet control message protocol) til flere netværksværter med en forfalsket IP-adresse. Disse ICMP-pakker bruges typisk til at bestemme, om data når netværket på en ordnet måde.
De værter, der er modtagere af disse pakker, vil sende beskeder til netværket, og med mange svar, der kommer ind, er resultatet det samme: nedbrudte servere.
Sådan beskytter du dig selv mod aktive angreb
Aktive angreb er almindelige, og du bør beskytte dit netværk mod disse ondsindede operationer.
Den første ting du skal gøre er at installere en high-end firewall og system til forebyggelse af indtrængen (IPS). Firewalls bør være en del af ethvert netværks sikkerhed. De hjælper med at scanne for mistænkelig aktivitet og blokere enhver, der opdages. IPS overvåger netværkstrafik som firewalls og tager skridt til at beskytte netværket, når et angreb identificeres.
En anden måde at beskytte mod aktive angreb på er at bruge tilfældige sessionsnøgler og engangsadgangskoder (OTP'er). Sessionsnøgler bruges til at kryptere kommunikation mellem to parter. Når kommunikationen er afsluttet, kasseres nøglen, og en ny genereres tilfældigt, når en anden kommunikation begynder. Dette sikrer maksimal sikkerhed, da hver nøgle er unik og ikke kan replikeres. Desuden, når en session er afsluttet, kan nøglen for den pågældende periode ikke bruges til at vurdere de data, der udveksles under sessionen.
OTP'er arbejder ud fra samme forudsætning som sessionsnøgler. De er tilfældigt genererede alfanumeriske/numeriske tegn, der kun er gyldige til ét formål og udløber efter en bestemt periode. De bruges ofte i kombination med en adgangskode to-faktor autentificering.
Hackere og angribere, firewalls og 2FA
Aktive angreb udnytter svaghederne i et netværks godkendelsesprotokoller. Derfor er den eneste beviste måde at forhindre disse angreb på at bruge firewalls, IPS, tilfældige sessionsnøgler og, vigtigst af alt, to-faktor-godkendelse. En sådan godkendelse kan være en kombination af en tilfældigt genereret nøgle, et brugernavn og en adgangskode.
Dette kan virke kedeligt, men efterhånden som aktive angreb udvikler sig og bliver endnu mere hensynsløse, bør verifikationsprocesser tage udfordringen op og stå vagt mod disse indkommende angreb. Husk, at når trusselsaktørerne først er i dit netværk, ville det være svært at skylle dem ud.
