Laistīšanas caurumu uzbrukumi: kā APT un kibernoziedznieki iefiltrējas drošās infrastruktūrās

Mana pirmā sastapšanās ar kibernoziedznieku pasauli notika pirms daudziem gadiem, izmantojot "dzirdināšanas caurumu" uzbrukuma kampaņu. Es apmeklēju persiešu vietni un atklāju, ka tā lejupielādē ļaunprātīgu programmatūru apmeklētājiem’ Pārlūkprogrammas. Es nekavējoties sazinājos ar vietnes administratoru, kas mani informēja, ka viņiem nav tehnisku zināšanu par šo jautājumu. Kļuva skaidrs, ka viņi izmanto novecojušu CMS ar labi zināmām drošības ievainojamībām, kurus noziedznieki izmantoja, lai uzrunātu konkrētu auditoriju un izplatītu ļaunprogrammatūru;.

Laistīšanas caurumu uzbrukumi ir dažas no kibernoziedznieku atbalstītajām metodēm un progresīviem pastāvīgiem draudiem (APT). Šajos uzbrukumos, kibernoziedznieki izmanto taktiku, ko sauc par “stratēģisks kompromiss tīmeklī,” (SWC) lai piekļūtu upura organizācijas tīklam. Identificējot tīmekļa vietnes, kuras bieži apmeklē mērķa lietotāji, Uzbrucējs var inficēt šīs vietnes ar ļaunprātīgu programmatūru un lejupielādēt to lietotājiem, kuri nenojauš’ ierīce.

Ļaunprātīga programmatūra, ko izmanto caurumu uzbrukumos, ir paredzēta, lai izvairītos no atklāšanas un paliktu neatklāta mērķa ierīcē, nodrošināt uzbrucējiem pastāvīgu piekļuvi sensitīvai informācijai,. Šāda veida uzbrukums rada īpašas bažas, jo tas var palikt neatklāts ilgu laiku, ļaujot uzbrucējiem laika gaitā vākt sensitīvu informāciju,.

Viens no biežāk izmantotās ļaunprogrammatūras veidiem laistīšanas caurumu uzbrukumos ir polimorfā ļaunprogrammatūra. Polimorfā ļaunprogrammatūra ir ļaunprātīgas programmatūras veids, kas paredzēts, lai pastāvīgi mainītu tās kodu un izskatu, lai izvairītos no atklāšanas ar pretvīrusu programmatūru un citiem drošības pasākumiem. Šāda veida ļaunprātīga programmatūra ir īpaši bīstama, jo tā var mutēt daudzās dažādās formās, apgrūtinot tradicionālās antivīrusu / ļaunprogrammatūras novēršanas programmatūras atklāšanu un noņemšanu. Polimorfā ļaunprātīga programmatūra var mainīt savu izskatu, izmantojot dažādas metodes, ieskaitot šifrēšanu, Saspiešanas, un randomizācija.

Laistīšanas caurumu uzbrukumi ir īpaši bīstami mazajiem uzņēmumiem, jo tie bieži tiek mērķtiecīgi vērsti vājāku drošības pasākumu dēļ salīdzinājumā ar lielākiem uzņēmumiem;. Tomēr, Pat lielas organizācijas un valdības aģentūras ir kļuvušas par upuriem uzbrukumiem ūdens caurumiem.

Tālāk ir norādītas dažas darbības, kuras varat veikt, lai samazinātu risku kļūt par šāda veida uzbrukumu upuri:

1. Tīmekļa filtrēšanas izmantošana: Tīmekļa filtrēšanas rīki var bloķēt piekļuvi ļaunprātīgām vai nezināmām vietnēm un tīmekļa lapām. Tas neļauj lietotājiem nejauši lejupielādēt ļaunprātīgu programmatūru no laistīšanas atveres.
2. Izmantojiet nākamās paaudzes antivīrusu (NGAV): NGAV risinājumi izmanto uzlabotas atklāšanas metodes, piemēram, mašīnmācīšanās algoritmus un uzvedības analīzi, lai identificētu jaunus un iepriekš nezināmus draudus un reaģētu uz tiem.
3. Galapunktu noteikšanas un reaģēšanas ieviešana (EDR): EDR risinājumi uzrauga galapunktus, piemēram, klēpjdatorus un galddatorus, lai konstatētu aizdomīgu rīcību, un var reaģēt uz draudiem reāllaikā.
4. Uz tīklu balstītas atklāšanas un reaģēšanas ieviešana (NDR): NDR risinājumi uzrauga tīkla trafiku aizdomīgām darbībām un var atklāt un reaģēt uz draudiem, ko tradicionālie pretvīrusu risinājumi var palaist garām.
5. Izmantojiet draudu izlūkdatus: Draudu informācijas dienesti var sniegt informāciju par jauniem apdraudējumiem, ieskaitot polimorfu ļaunprogrammatūru. Varat izmantot šo informāciju, lai identificētu iespējamos draudus un veiktu atbilstošas darbības tīkla aizsardzībai
6. Nulles uzticamības tīkla ieviešana: Nulles uzticamības tīkls ir drošības modelis, kas pieņem, ka katrs tīkla lietotājs un ierīce ir potenciāls drauds. Lietotāji ir jāautentificē, pirms viņi piekļūst resursiem tīklā, un piekļuve ir ierobežota līdz nepieciešamajam.
7. Tīkla segmentācijas izmantošana: Tīkla segmentācija palīdz atdalīt kritiskās sistēmas un sensitīvos datus no pārējā tīkla. Tas novērš ļaunprātīgas programmatūras izplatīšanos veiksmīga uzbrukuma gadījumā.