اكتشف سيناريوهات الهجوم
من يهاجمني؟
يتم تصنيف المهاجمين أحيانًا من الطالب المتقطع في مرآبه الذي يستمتع بأنظمة القرصنة في عطلة عيد الميلاد ، إلى الولاية مع مجموعة من الجنود الرقميين والموارد والوقت المهمين ، كل هذا بهدف تحقيق هدف متحمس.
ما لم تكن وكالة استخبارات ، فنادراً ما يكون السؤال المهم هو ما إذا كان المهاجم دولة عديمة الضمير أو مافيا أو منافسًا صناعيًا. في الواقع ، إن معرفة مهاجمك لن يغير الطريقة التي تحمي بها نفسك. خاصة وأن المهاجم خلال شهر ، سنة أو عشر سنوات لن تكون هي نفسها دائمًا. غالبًا ما ستتعرف على هويتها بعد فوات الأوان ، وأحيانًا على وجه التحديد عندما يكون نظام المعلومات الخاص بك قد تعرض بالفعل للخطر!
بدلاً من الدخول في فهم معقد للمهاجم ، أقترح أن تنظروا معًا إلى ما يجب حمايته ، والتفكير في آثار الهجوم وفقًا لمكوناتك أو تطبيقات الأعمال المستهدفة ، ثم تحديد الإجراءات التي ستمنع نواقل الهجوم . 'الهجمات المحددة.
ما الأثر؟
في معظم الأوقات ، ستحميك بنية النظام الجيدة وممارسات التقوية من معظم الهجمات. غالبًا ما تكون هذه الإجراءات بسيطة وغير مكلفة ... طالما أنك تخطط لها من البداية!
في حالات معينة ، لا يكفي أحدث ما توصل إليه العلم وسيكون من الضروري مواءمة التدابير التي تسمح بتحقيق هدف السلامة:
ضع جهودك في المكان المناسب للحد من أهم التأثيرات ،
كن راضيًا عن التدابير العامة للأنظمة التي تكون آثارها منخفضة ومقبولة.
يمكن أن يتخذ التأثير أشكالًا مختلفة اعتمادًا على الأنظمة وأنواع البيانات التي يتم التعامل معها وأغراض العمل. لإعطاء بعض الأمثلة:
ستهتم الشركات الصغيرة والمتوسطة التي تقوم بعمليات البيع عبر الإنترنت بسرية قاعدة عملائها وبياناتها الشخصية والدفع عن طريق البطاقة المصرفية. بالإضافة إلى ذلك ، سيكون توفر موقع البيع عبر الإنترنت أمرًا بالغ الأهمية ، لأنه في حالة وقوع حادث ، فإنه يخسر المبيعات التي لا يتم تأجيلها لاحقًا ، مما يؤثر بشكل مباشر على حجم مبيعاتها وهامشها.
يجب على كاتب العدل التأكد من سلامة وثائقه. إن توفر محطة العمل الخاصة به سيفيده ، لكنه سيعرف كيفية التعامل مع المستندات الورقية إذا كان لديه عطل لبضع ساعات.
يجب أن تضمن الشركة المصنعة للدفاع سرية البيانات المصنفة ، بالإضافة إلى إمكانية تتبع الوصول.
توضح هذه الأمثلة التخطيطية القليلة أن كل عمل سيكون له اهتمامه الخاص ، والذي قد يتعلق بالتوافر أو النزاهة أو السرية أو التتبع. اعتمادًا على الهجمات ، يمكن أن يتضرر أحدها أو كلها. لن يكون لرفض الخدمة تأثير إلا على التوافر. لن يؤثر فقد محرك أقراص USB غير مشفر على الخصوصية فقط. ولكن في كثير من الأحيان ، يكون لتسوية النظام تأثير على توفره وسلامة وسرية بياناته ، فضلاً عن إمكانية تتبع الوصول إلى البيانات أو تعديلها!
ما أنواع الهجمات؟
دعنا نلقي نظرة على أكثر ثلاث هجمات شيوعًا.
الحرمان من الخدمة
يهدف رفض الخدمة إلى جعل النظام أو خدمة الشبكة غير متوفرة. يحدث على مرحلتين: استنفاد الموارد ، ثم جعل النظام المستهدف غير متاح.
موارد العادم
تتمثل الهجمات الأولى في إغراق النظام المستهدف بطلبات لاستنفاد موارده. من الممكن القيام بذلك عن طريق إرسال حزم TCP SYN و UDP وحزم TCP مجزأة بدون إكمال التبادل ، إلخ. يُسمح بذلك عن طريق استغلال عيوب تنفيذ بعض البروتوكولات: بإرسال حزم مشوهة ، يقوم المهاجم ببساطة بتعطيل خدمة الشبكة أو مكدس الاتصالات المعاكس.
جعل النظام المستهدف غير متاح
نظرًا لتصحيح عيوب التنفيذ الأكثر شيوعًا ، يتكيف المهاجمون لجعل النظام المستهدف غير متاح فقط من خلال الاتصالات التي تشبه تمامًا تلك الخاصة بالعملاء الشرعيين. ومع ذلك ، فإن هذا يفرض على المهاجم أن يكون لديه القدرة على إرسال الرسائل ، ولا سيما النطاق الترددي ، أكبر من الخادم المستهدف. يصبح الأمر أكثر صعوبة في الإقامة المهنية.
رفض الخدمة الموزع: الإصدار من خلال العديد من الأنظمة المخترقة
لزيادة قدرتها على الإرسال ، يشن المهاجمون هجمات من آلاف الأنظمة المخترقة (يشار إليها غالبًا باسم "الزومبي") ، مما يؤدي إلى "رفض موزع للخدمة". في هذه الحالة ، يمكن أن تكون الأنظمة المخترقة المستخدمة لإصدار الطلبات عبارة عن محطات عمل ، ولكن أيضًا معدات متصلة (IoT). يحدث ، على سبيل المثال ، أن الهجمات يتم تنفيذها من الكاميرات المتصلة بالإنترنت التي تُركت واجهة الإدارة بكلمة مرور افتراضية.
بعض حالات رفض الخدمة أكثر دقة ، حيث تستفيد من عدم التوازن بين الطلبات الخفيفة واستجابات الخادم الأثقل ، سواء في الحجم أو في وقت المعالجة لبناءها.
يحدث هذا على سبيل المثال على خوادم الألعاب عبر الإنترنت حيث يكون البروتوكول الأساسي هو UDP. إنه يجعل من السهل تزوير مصدر المهاجم ، بطلبات صغيرة جدًا ، ولكن استجابات خادم أكبر بكثير ، مما يستهلك النطاق الترددي بشكل أسرع!
يمكن أن يحدث هذا النوع من الهجوم أيضًا ببساطة على خوادم الويب التي من خلالها يؤدي الاتصال بصفحات معينة أو وظائف معينة إلى إنشاء معالجة كبيرة ، على سبيل المثال الطلبات الكثيفة على قاعدة البيانات.
التشويه
يقوم المهاجم الذي يقوم بعملية "تشويه" بتعديل محتوى موقع ويب ، في معظم الأحيان لعرض رسالة سياسية أو دينية أو احتجاجية تجاه منتجات الشركة. للقيام بذلك ، يمكن للمهاجم تنفيذ هجمات مختلفة:
ابحث عن الحساب وكلمة المرور للوصول إلى واجهة الإدارة أو خدمة تبادل الملفات (على سبيل المثال FTP أو WebDav) التي تسمح بإيداع البيانات من موقع الويب على الخادم ،
استغلال ثغرة أمنية في خادم الويب أو خادم التطبيق أو نظام إدارة المحتوى المستخدم أو التطبيق نفسه ،
حل وسط مضيف ويب لهزيمة مواقع جميع عملائه.
وفوق كل شيء ، فإن التشويه يضر بصورة الشركة والثقة التي يضعها عملاؤها فيها.
حل وسط من موقع على شبكة الإنترنت
اختراق موقع ويب يستخدم نفس موجهات الهجوم مثل التشويه المذكور أعلاه ، ولكن المهاجم سيكون له أغراض أخرى. لذلك لن يكون التأثير مجرد عدم نزاهة الموقع. من بين الإجراءات المحتملة للمهاجم ، يمكننا أن نذكر:
سرقة البيانات المخزنة على الخادم وقاعدة البيانات الخاصة به ، على سبيل المثال بيانات المستخدمين الشخصية (بما في ذلك حساباتهم وكلمات المرور والبريد الإلكتروني والعناوين المادية ، إلخ). يجوز له إعادة بيع هذه البيانات الشخصية (يدفع له السوق مقابل حجم البيانات ونوعها وحداثتها). باستخدام الحسابات وكلمات المرور الأساسية ، يمكنه محاولة الوصول إلى مواقع أخرى على الإنترنت يمكن أن يكون نفس المستخدمين عملاء لها. بشكل عام ، يمكن للمهاجم أيضًا سرقة بيانات الدفع ببطاقة الائتمان من الخوادم.
حجز الصفحات المستضافة على الموقع لإضافة رمز سيحاول استغلال واحدة أو أكثر من نقاط الضعف في متصفحات الويب (أو مكوناتها الإضافية) التي تتصل بالموقع. سيسمح ذلك لمهاجم موقع الويب بخرق عدد كبير من محطات العمل. وبالتالي ، يمكنه بعد ذلك سرقة بياناتهم أو تنفيذ عمليات رفض موزعة للخدمة ، كما رأينا من قبل.
جعل موقع الويب غير متاح أو إزالة المحتوى أو إضافة أخطاء إلى الموقع أو إعادة التوجيه إلى موقع منافس.
إتقان سيناريوهات الهجوم المتقدمة
أقدم لكم مبدأ ومراحل "التهديد المستمر المتقدم" وآثاره من حيث سرقة البيانات ، أو حتى تخريب نظام المعلومات أو البنية التحتية الصناعية.
الهجمات المذكورة حتى الآن هي هجمات لمرة واحدة. في أوائل العقد الأول من القرن الحادي والعشرين ، ظهر مهاجمون أكثر تنظيماً برؤية بعيدة المدى. لم يعودوا راضين عن المساومة على نظام أو آخر والبدء من جديد نحو هدف آخر. لقد استفادوا من وجود موطئ قدم أول في نظام المعلومات ، بعد اختراق النظام الأول ، ثم ارتدوا أكبر عدد ممكن ، وأحيانًا عشرات الآلاف من محطات العمل ، أو مئات أو آلاف الخوادم.
بعد اختراق هذا المحيط الشاسع ، ينظم المهاجم توهجه في نظام المعلومات. سيرغب في البقاء لأطول فترة ممكنة ومقاومة إعادة تثبيت أو تنظيف بعض الأنظمة التي تعرض للاختراق. هذا ما يفسر تعريف مصطلح APT ، التهديد المستمر المتقدم: هجوم متقدم ومستمر على محيط كبير من نظام المعلومات.
مراحل APT بشكل عام هي:
- تسوية أولية.
- الانتشار الجانبي ، غالبًا حتى الوصول إلى المكونات الأكثر تميزًا.
- إنشاء الشفق.
- إنشاء قنوات التحكم من الخارج وناقلات استخراج البيانات.
التسوية الأولية
قد يكون الاختراق الأولي عبارة عن خادم مكشوف على الإنترنت ، ولكن في معظم الأحيان ، يقوم المهاجم ببساطة باختراق محطة عمل على الشبكة الداخلية. الحجم الكبير لمحطات العمل واليقظة العشوائية للمستخدمين سيجعل وظيفته أسهل!
عن طريق إرسال رسائل البريد الإلكتروني العشوائية
يمكن إجراء هذا الحل الوسط الأولي على وجه الخصوص عن طريق إرسال رسائل بريد إلكتروني عالقة إلى مستخدمي الشركة (التصيد بالرمح) ، إما إلى أكبر عدد ، والذي يمكن أن يتضح أنه وقح ، أو بطريقة مستهدفة للغاية مع محتوى الرسائل الذي يتم الالتزام به. الموظف المعني. يمكن إجراء عملية التراكب إما عن طريق مرفق ضار أو عن طريق إعادة التوجيه إلى موقع ويب يقدم رموز استغلال لخرق متصفح الويب أو أحد مكوناته الإضافية (على سبيل المثال ، مشغلات الفيديو أو PDF).
من خلال اختراق موقع خارجي
يمكن في بعض الحالات استبدال إرسال رسائل البريد الإلكتروني بالمهاجم باختراق موقع ويب من المتوقع أن يقوم موظفو الشركة بتسجيل الدخول إليه. تنوع هذه الأهداف واسع جدًا ، يمكن أن يكون موقع CE ، أو اتحاد ، أو اتحاد شركات ، أو موقع إخباري متخصص في مجال النشاط ، إلخ.
عن طريق محاصرة منتج المورد
في حالات قليلة ، يتضمن الحل الوسط الأولي محاصرة المنتج مع المورد. كان هذا هو الحال بالنسبة لموجة هجوم Havex / Dragonfly ، حيث تم اختراق 4 من موردي معدات الطاقة ، ووضع المهاجم حصان طروادة في منتجهم. ثم انتظر حتى يتم تثبيت المنتج في مشغلين مختلفين لتعريضهم بدورهم للخطر.
انتشار الجانبي
الهدف من هذه الخطوة هو استرداد أكبر قدر ممكن من بيانات المصادقة من أجل الاتصال بأكبر عدد ممكن من الأنظمة لاسترداد البيانات منها مرة أخرى.
المنصب يمكن للمهاجم بعد ذلك إعادة استخدام بيانات المصادقة هذه للاتصال بمحطات عمل أخرى وتثبيت حصان طروادة الخاص به هناك.
كلما زاد عدد المقاعد التي يتنازل عنها المهاجم ، زادت احتمالية عثوره على بيانات اعتماد المسؤول على أحدها بأعلى مستوى من الامتياز ، مثل مسؤول مجال Windows.
بخلاف ذلك ، يمكنه أيضًا استهداف محطات العمل الحساسة ، مثل تلك الخاصة بالمسؤولين أو مكونات البنية التحتية الحيوية ، مثل خادم النسخ الاحتياطي ، والبرنامج ، وخادم التوزيع المحدث ، وخادم المراقبة ، وما إلى ذلك. غالبًا ما يُسمح لهذه الأنظمة بتسجيل الدخول إلى جميع المكونات الأخرى لنظام المعلومات ، في معظم الأحيان بمستوى عالٍ من الامتياز.
الشفق
بمجرد امتلاك مفاتيح المنزل ، سيتمكن المهاجم من تثبيت برامج ضارة تسمح له بالبقاء لأطول فترة ممكنة.
قد يتضمن ذلك تثبيت حصان طروادة على أنظمة مختلفة. في بعض الأحيان قم بإعداد عدة أنواع مختلفة لمقاومة تحديد وتنظيف واحد منهم.
يمكن للمهاجم أيضًا إضافة أبواب خلفية في التطبيقات المفتوحة للخارج ، وإنشاء حسابات إدارة أو خدمة محددة ، بما في ذلك على الشبكة أو معدات الأمان.
القيادة والتحكم
يتحكم المهاجم الآن في معظم نظام المعلومات ، كل ما تبقى هو تنظيم كيفية التحكم في الأنظمة واستخراج البيانات المسروقة.
في أغلب الأحيان ، تتواصل أحصنة طروادة عبر HTTP أو HTTPS. غالبًا ما تستخدم أيضًا ناقلات إخراج أخرى ، مثل الوصول إلى VPN ، ونقاط وصول إضافية للإنترنت ، والتي يتم تحديدها في بعض الأحيان بشكل سيئ ولا يتحكم فيها قسم تكنولوجيا المعلومات.
يمكنه أيضًا إرسال المستندات عبر البريد الإلكتروني ، واستخدام "صندوق ميت" في بريد الويب. على سبيل المثال ، وجود مسودات بريدية ، مع مرفق ، تم إنشاؤها من داخل الشبكة ، ولم يتم إرسالها مطلقًا ، واستردادها عن طريق الوصول إلى بريد الويب الخارجي ثم حذفها.
يمكن أن يكون الوصول إلى Sharepoint مفيدًا جدًا لإيداع أرشيفات المستندات واستعادتها من خلال الوصول الذي سيكون مفتوحًا من الإنترنت. كما هو الحال مع المثابرة ، سيكون أحد التحديات التي يواجهها المهاجم هو تنويع قنواته للسيطرة وتهريب المستندات. ويمكن أن تنفجر أحيانًا لأشهر وأشهر عدة مئات من الجيجابايت!
تخريب النظام
المزيد والمزيد من الحالات تبين لنا أن APT لا تؤثر بالضرورة على سرقة البيانات فحسب ، بل يمكن أن تصل إلى حد تخريب نظام المعلومات أو البنية التحتية الصناعية!
مثال صارخ على Stuxnet
بالنسبة للأنظمة الصناعية ، كانت القضية التي أبرزت ذلك في البداية هي Stuxnet ، الهجوم الذي استهدف حتى عام 2010 أجهزة الطرد المركزي الإيرانية لتخصيب اليورانيوم. نمط الهجوم معقد:
- ذكاء بشري
- اختراق الموردين
- الإصابة الأولية عبر وسائط قابلة للإزالة باستخدام ثغرة أمنية غير معروفة سابقًا
- إعادة برمجة الآلات التي تتحكم في شلالات أجهزة الطرد المركزي لجعلها تدور بتردد دوران يؤدي إلى إتلافها
- اختراق مشرف SCADA ليعرض مع ذلك التردد العادي وليس التردد الخارج عن حدود التشغيل ...
باختصار ، كوكتيل متفجر في سيناريو الهجوم المتقدم هذا ، الذي تسبب في أضرار بمئات الملايين من اليورو وتأخير عدة سنوات في برنامج التخصيب الإيراني!
أنواع الهجمات الأخرى
حدثت العديد من الحالات الأخرى ، مما أدى إلى إغلاق مصنع الصلب الألماني ، وانهيار شبكة الكهرباء الأوكرانية ، وإغلاق خطوط إنتاج السيارات ، والقضاء على عشرات الآلاف من محطات العمل والخوادم.منتج نفط خليجي ، إلخ.
ينتشر التخريب أيضًا من خلال أدوات قفل التشفير ، وهي برامج ضارة تقوم ، بعد الانتشار الجانبي ، بتشفير جميع الأنظمة المخترقة وتطلب فدية لمفتاح فك التشفير.
إرسال تعليق