Video: Jaha Tum Rahoge | Maheruh | Amit Dolawat & Drisha More | Altamash Faridi | Kalyan Bhardhan (Nobyembre 2024)
Ang pariralang "Advanced na Patuloy na pagbabanta" ay nagdadala sa aking isip ng isang partikular na imahe, isang kadre ng mga nakatuong hacker, walang tigil na paghuhukay para sa mga bagong pag-atake ng zero-day, malapit na pagsubaybay sa network ng biktima, at tahimik na pagnanakaw ng data o pagsasagawa ng lihim na pagsabotahe. Pagkatapos ng lahat, ang nakahihiyang Stuxnet worm ay nangangailangan ng maramihang zero-day na kahinaan upang maisakatuparan ang layunin nito, at ang Stuxnet spinoff Duqu ay gumagamit ng hindi bababa sa isa. Gayunpaman, ang isang bagong ulat mula sa Imperva ay nagpapakita na posible na hilahin ang ganitong uri ng pag-atake gamit ang hindi gaanong sopistikadong paraan.
Isang Paa sa Pintuan
Ang ulat ay napunta sa malubhang detalye tungkol sa isang partikular na pag-atake na napupunta pagkatapos ng kumpidensyal na impormasyon na nakaimbak sa mga server ng Enterprise. Ang pangunahing takeaway ay ito. Ang mga pag-atake ay ganap na hindi naka-mount ang isang pag-atake sa server. Sa halip, hinahanap nila ang hindi bababa sa mga ligtas na aparato sa network, kompromiso ang mga ito, at unti-unting ibigay ang limitadong pag-access sa antas ng pribilehiyo na kailangan nila.
Ang unang pag-atake ay karaniwang nagsisimula sa isang pag-aaral ng samahan ng biktima, hinahanap ang impormasyong kinakailangan upang likhain ang isang naka-target na "sibat phishing" email. Kapag ang isang kawalang-kasiyahan na empleyado o isa pang pag-click sa link, ang mga masasamang tao ay nakakuha ng paunang talampakan.
Gamit ang limitadong pag-access sa network, binabantayan ng mga umaatake ang trapiko, partikular na naghahanap ng mga koneksyon mula sa mga pribadong lokasyon hanggang sa nakompromiso na pagtatapos. Ang isang kahinaan sa isang pangkaraniwang ginagamit na protocol ng pagpapatunay na tinatawag na NTLM ay maaaring pahintulutan silang makuha ang mga password, o mga hashes ng password, at sa gayon ay makakakuha ng access sa susunod na lokasyon ng network.
Isang Tao na Nakapinsala sa Hole ng Tubig!
Ang isa pang pamamaraan para sa karagdagang pag-infiltrate sa network ay nagsasangkot ng pagbabahagi ng mga corporate network. Karaniwan para sa mga organisasyon na maipasa ang impormasyon nang paulit-ulit sa mga pagbabahagi ng network. Ang ilang mga pagbabahagi ay hindi inaasahan na magkaroon ng sensitibong impormasyon, kaya hindi gaanong protektado. At, tulad ng lahat ng mga hayop na bumibisita sa butas ng tubig ng gubat, lahat ay dumadalaw sa mga pagbabahagi ng network na ito.
"Lason ang balon" sa pamamagitan ng pagpasok ng mga espesyal na ginawa na mga link ng shortcut na pinipilit ang komunikasyon sa mga makina na nakompromiso na nila. Ang pamamaraan na ito ay tungkol sa advanced tulad ng pagsulat ng isang file ng batch. Mayroong tampok na Windows na nagbibigay-daan sa iyo na magtalaga ng isang pasadyang icon para sa anumang folder. Ang mga masasamang tao ay gumagamit lamang ng isang icon na matatagpuan sa nakompromiso na makina. Kapag binuksan ang folder, kailangang pumunta ang Windows Explorer na icon. Iyon ay sapat ng isang koneksyon upang hayaan ang nakompromiso na pag-atake ng makina sa pamamagitan ng proseso ng pagpapatunay.
Maaga o huli, ang mga umaatake ay nakakakuha ng kontrol sa isang system na may access sa target na database. Sa puntong iyon, ang kailangan lang nilang gawin ay siphon out ang data at takpan ang kanilang mga track. Ang organisasyon ng biktima ay maaaring hindi alam kung ano ang tumama sa kanila.
Ano ang Maaaring Magawa?
Ang buong ulat ay talagang napupunta sa malawak na mas detalyado kaysa sa aking simpleng paglalarawan. Gusto ng mga security winks na basahin ito, sigurado. Ang mga hindi nanalo na handang lumampas sa mga mahirap na bagay ay maaari pa ring malaman mula dito.
Ang isang mahusay na paraan upang i-shut down ang partikular na pag-atake na ito ay ang ganap na ihinto ang paggamit ng protocol ng pagpapatunay ng NTLM at lumipat sa mas ligtas na protina ng Kerberos. Ang pabalik na mga isyu sa pagiging tugma ay ginagawang imposible ang paglipat na ito.
Ang pangunahing rekomendasyon ng ulat ay ang mga organisasyon na malapit na subaybayan ang trapiko sa network para sa mga paglihis mula sa normal. Iminumungkahi din nito ang paglilimita sa mga sitwasyon kung saan kumokonekta ang mga proseso ng mataas na pribilehiyo sa mga pagtatapos. Kung ang sapat na malalaking mga network ay gumawa ng mga hakbang upang hadlangan ang ganitong uri ng medyo simpleng pag-atake, ang mga umaatake ay maaaring talagang magbagsak at magkaroon ng isang bagay na tunay na advanced.
