05 lip Z jakimi cyberatakami nie poradzi sobie firewall i antywirus?
Od początku istnienia Internetu starcie między „hakerami” a inżynierami cyberbezpieczeństwa polegało na znajdowaniu nowych rozwiązań dla wspólnych wynalazków – oto spojrzenie na niektóre z ataków, które pokonują jedne z najlepszych broni w walce z cyberprzestępczością, czyli firewalle i antywirusy. Czy ochrona DNS i rozwiązanie Immunity może nam pomóc?
Phishing i Spear Phishing
Coraz bardziej powszechne w dzisiejszych czasach ataki phishingowe nie próbują bezpośrednio instalować złośliwego oprogramowania na urządzeniu końcowym, ale próbują nakłonić użytkownika do podania swoich haseł, danych bankowych, danych osobowych lub innych informacji.
Należące do kategorii inżynierii społecznej, ataki te wykorzystują użytkownika jako najsłabsze ogniwo i często obejmują strony internetowe udające bank, firmę kurierską czy też inną zaufaną witrynę.
Wielu użytkowników ma jedno hasło robocze do wszystkiego, w tym CRM, baz danych klientów lub profili społecznościowych i reklamowych firmy. Obecnie większość usług jest oparta na chmurze – a ataki w chmurze zyskują na popularności. Co więcej, otwiera to drogę do innych ataków, które mogą sparaliżować całą firmę, takich jak ransomware.
Szansa na powodzenie ataku spearphishingowego gwałtownie wzrasta dzięki „autentyczności”, którą atakujący mogą naśladować. Wszystko, od nazwisk osób na LinkedIn, po stylizację wiadomości e-mail (kolor, czcionki, logo) i podobieństwo domeny linku phishingowego. Dla resolwera jest to jednak łatwe do wykrycia i blokuje on wszelkie żądania DNS podobne do rzeczywistej domeny, którą chroni Immunity.
Ataki IoT
Urządzenia IoT są wszędzie – drukarki, telewizory, asystenci osobiści, nowoczesne oświetlenie i systemy bezpieczeństwa są podłączone do Internetu i mają w większości lepszą moc obliczeniową niż komputer, który wysłał pierwszych ludzi na Księżyc. Niemniej jednak istnieje powód, dla którego wiele osób z branży IT nie ufa im i odmawia zakupu inteligentnych gadżetów do domu: mogą one być celem ataków i służyć jako brama do sieci.
Urządzenia IoT mogą mieć własne wbudowane oprogramowanie lub system operacyjny, który – jak każde oprogramowanie – jest podatny na ataki. Ponadto są one połączone z serwerem w podobny sposób, jak urządzenia użytkownika, co stanowi potencjalną drogę dla atakującego. Atakujący mogą wykorzystać błąd w oprogramowaniu, spróbować zaatakować jego starsze wersje, w których jakaś luka nie została załatana (jak często odkładałeś aktualizację oprogramowania?) lub wykorzystać lukę w połączeniu między urządzeniem a serwerem.
Whalebone chroni urządzenia niezależnie od systemu operacyjnego i wbudowanego oprogramowania. Jeśli jakaś domena generuje złośliwą komunikację, ruch jest blokowany bez względu na to, które urządzenie wysłało żądanie.
Podszywanie się pod DNS / zatruwanie pamięci podręcznej DNS
Za każdym razem, gdy próbujesz uzyskać dostęp do jakiejś strony internetowej po raz pierwszy za pośrednictwem adresu URL, komputer musi najpierw zapytać serwer systemu nazw domen, z jakim adresem IP ma się połączyć. Problem pojawia się, gdy komuś uda się podszyć pod serwer DNS i przekierować ruch na inną stronę internetową, często taką, która wygląda jak oryginalna.
Komputer nie chce pytać serwera DNS o właściwy adres IP za każdym razem, gdy chcesz sprawdzić pocztę e-mail – zamiast tego przechowuje informacje w pamięci podręcznej DNS przez określony czas (Time To Live, TTL). Następnie ponownie pyta DNS, aby sprawdzić, czy wszystko jest nadal takie samo. W tym czasie atakujący próbują zatruć pamięć podręczną DNS – zasadniczo przekazując urządzeniu fałszywe informacje, zanim zrobi to autorytatywny serwer DNS.
Jak Immunity ratuje sytuację? Osiąga się to poprzez wdrożenie odpowiednich RFC – a mianowicie tych, które określają użycie DNSSEC. Egzekwując je, pamięć podręczna Whalebone nie może być łatwo zatruta.
Zagrożenia 0-day
Zagrożenia 0-day to ogólny termin określający zagrożenia, które nie zostały jeszcze powszechnie wykryte i uwzględnione w bazach danych zagrożeń lub luki, które wykorzystują, nie zostały jeszcze załatane. Mogą one przybierać różne formy i atakować różne części sieci. Ich wspólną cechą jest to, że są szybkie.
Wykorzystują fakt, że bazy danych oprogramowania antywirusowego lub zapór ogniowych wymagają aktualizacji i może to zająć im trochę czasu. Gdy atak znajdzie się na celowniku inżynierów bezpieczeństwa, staje się mniej skuteczny. Wisienką na torcie zagrożeń 0-day jest to, że trudno powiedzieć, co zrobią i jak im zapobiec.
Żaden firewall oparty na regułach nie jest w stanie objąć ogromnej liczby domen, które mogą być generowane przez DGA. Gdyby było to możliwe, liczba reguł musiałaby być nieskończona, a zatem żadna ilość miejsca na dysku nie byłaby wystarczająca. Filtrowanie Immunity jest zasilane przez sztuczną inteligencję, która ocenia domeny dzięki danym z zagrożeń dla milionów naszych użytkowników i dlatego może blokować domeny, o których nie wie jeszcze żadna lista wywiadowcza.
Ataki na hasła i ataki z użyciem haseł
Zapamiętywanie wielu haseł jest żmudnym zadaniem i atakujący o tym wiedzą. Istnieją ogromne bazy danych haseł i ich fragmentów, które są często używane lub procesy używane do ich tworzenia (adres budynku, data urodzenia itp.). Mogą one zostać wykorzystane do uzyskania dostępu do profilu użytkownika w dowolnej witrynie bez odpowiedniej ochrony przed botami. W przypadku ataków typu password spray, ataki te są stosowane w krótkich seriach, zwykle przeciwko konkretnej firmie, aby zmaksymalizować skuteczność „zgadywania” haseł.
Wspomniane bazy danych, psychologia i potężna sztuczna inteligencja pomagają hakerom odgadnąć, jakie może być hasło. Zwłaszcza jeśli dotyczy to firmowych e-maili i innych loginów związanych z pracą, gdzie ludzie mogą używać słów związanych z firmą, lokalizacją i stanowiskiem.
Dzięki zespołowi Dark Web Scouting, funkcja Identity Protection Immunity identyfikuje wycieki haseł i innych poufnych informacji związanych z Twoją domeną w dark web i na forach hakerskich pod kątem historycznych i nowych wycieków. Dzięki funkcji Identity Protection możesz powiadomić pracowników, których dane uwierzytelniające zostały naruszone, a oni mogą je zmienić, zapobiegając w ten sposób konsekwencjom.
Jak możesz się bronić przed cyberzagrożeniami?
Najlepszymi dostępnymi narzędziami są ostrożność, edukacja i jeszcze raz ostrożność. Nie klikaj żadnych podejrzanych linków, używaj menedżera haseł, zabezpiecz swoją sieć, aktualizuj oprogramowanie, gdy tylko pojawi się taka potrzeba, zainstaluj odpowiednie oprogramowanie antywirusowe i użyj odpowiedniej zapory ogniowej. Jeśli jesteś menedżerem IT lub sieci, odpowiednio edukuj swoich pracowników.
My też możemy pomóc. Zabezpieczenia oparte na DNS mogą chronić Twoją sieć na poziomie DNS, upewniając się, że Ty lub Twoi współpracownicy nie zawędrujecie do podejrzanej części sieci. A jeśli Ty lub Twoi użytkownicy to zrobią, zablokuje to komunikację między Twoją siecią a atakującym, dając Ci czas na zajęcie się problemem (głęboki wgląd w ruch DNS w twojej sieci, który zapewniamy, również bardzo pomoże).