Precis som att utföra spaning före ett fysiskt övergrepp, samlar angripare ofta in information innan en cyberattack.
Cyberkriminella går inte runt och tillkännager sin närvaro. De slår till på de mest anspråkslösa sätt. Du kan ge en angripare information om ditt system utan att ens veta det.
Och om du inte ger dem informationen kan de få den någon annanstans utan din tillåtelse – nej tack vare spaningsattacker. Säkra ditt system genom att lära dig mer om spaningsattacker, hur de fungerar och hur du kan förhindra dem.
Vad är en spaningsattack?
Spaning är en process för att samla in information om ett system för att identifiera sårbarheter. Ursprungligen en etisk hackningsteknik, gjorde det möjligt för nätverksägare att bättre säkra sina system efter att ha identifierat sina kryphål i säkerheten.
Under åren har spaning vuxit från ett etiskt hackningsförfarande till en cyberattackmekanism. En spaningsattack är en process där en hacker spelar rollen som en undercover-detektiv att fiska efter information om sina målsystem och sedan använda den informationen för att identifiera sårbarheter framför deras attacker.
Typer av spaningsattacker
Det finns två typer av spaningsattacker: aktiva och passiva.
1. Aktiv spaning
Vid aktiv spaning engagerar angriparen sig aktivt med målet. De kommunicerar med dig bara för att få information om ditt system. Aktiv spaning är ganska effektiv eftersom den ger angriparen värdefull information om ditt system.
Följande är aktiva spaningstekniker.
Social ingenjörskonst
Social ingenjörskonst är en process där ett cyberhot aktör manipulerar mål för att avslöja konfidentiell information till dem. De kan kontakta dig online via omedelbara chattar, e-postmeddelanden och andra interaktiva sätt för att skapa en förbindelse med dig. När de väl vinner över dig kommer de att få dig att avslöja känslig information om ditt system eller locka dig att öppna en skadlig programvara-infekterad fil som kommer att äventyra ditt nätverk.
Active footprinting är en metod som innebär att en inkräktare vidtar avsiktliga åtgärder för att samla in information om ditt system, dess säkerhetsinfrastruktur och användarengagemang. De hämtar dina IP-adresser, aktiva e-postadresser, information om domännamnssystem (DNS), etc.
Aktivt fotavtryck kan automatiseras. I det här fallet använder hotaktören verktyg som en nätverksmappare (Nmap), en öppen källkodsplattform som ger insikter i de tjänster och värdar som körs på ett nätverk, för att få viktig information om din systemet.
Portskanning
Portar är områden genom vilka information passerar från ett datorprogram eller enhet till en annan. I hamnskanning, hotaktören skannar portarna i ditt nätverk för att identifiera de öppna. De använder en portskanner för att upptäcka de aktiva tjänsterna på ditt nätverk, såsom värdar och IP-adresser, och bryter sedan in genom de öppna portarna.
En grundlig portskanning ger en angripare all nödvändig information om ditt nätverks säkerhetsställning.
2. Passiv spaning
Vid passiv spaning engagerar angriparen inte dig eller ditt system direkt. De gör sin undersökning på avstånd, övervakar trafiken och interaktionerna på ditt nätverk.
En hotaktör inom passiv spaning vänder sig till offentliga plattformar som sökmotorer och onlineförråd för information om ditt system.
Passiva spaningsstrategier inkluderar följande.
Open Source Intelligence
Öppen källkod intelligens (OSINT), inte att vara förväxlas med programvara med öppen källkod, hänvisar till insamling och analys av data från offentliga platser. Människor och nätverk sprider sin information över webben antingen avsiktligt eller oavsiktligt. En spaningsaktör kan använda OSINT för att hämta värdefull information om ditt system.
Sökmotorer som Google, Yahoo och Bing är de första verktygen som kommer att tänka på när du pratar om plattformar med öppen källkod, men öppen källkod går längre än dessa. Det finns många onlineresurser som sökmotorer inte täcker på grund av inloggningsbegränsningar och andra säkerhetsfaktorer.
Som nämnts tidigare är fotavtryck en teknik för att samla information om ett mål. Men i det här fallet är aktiviteterna passiva, vilket betyder att det inte finns någon direkt interaktion eller engagemang. Angriparen gör sin undersökning på långt håll och kollar in dig på sökmotorer, sociala medier och andra onlineförråd.
För att få konkret information från passivt fotavtryck förlitar sig en angripare inte bara på populära plattformar som sökmotorer och sociala medier. De använder verktyg som Wireshark och Shodan för att få ytterligare information som kanske inte är tillgänglig på populära plattformar.
Hur fungerar spaningsattacker?
Oavsett vilken typ av spaningsstrategi en angripare använder, fungerar de enligt en uppsättning riktlinjer. De två första stegen är passiva medan de återstående är aktiva.
1. Samla in data om målet
Att samla in data om målet är det första steget i en spaningsattack. Inkräktaren är passiv i detta skede. De gör sina upptäckter på långt håll och får information om ditt system i det offentliga rummet.
2. Definiera målnätverkets räckvidd
Ditt system kan vara större eller mindre än det ser ut. Att definiera dess räckvidd ger angriparen en tydlig uppfattning om dess storlek och vägleder dem i att genomföra sina planer. De noterar de olika områdena i ditt nätverk och beskriver de resurser de behöver för att täcka sina intresseområden.
I detta skede letar hotaktören efter aktiva verktyg i ditt system och engagerar dig via dessa verktyg för att få viktig information från dig. Exempel på aktiva verktyg är funktionella e-postadresser, konton i sociala medier, telefonnummer etc.
4. Leta upp öppna portar och åtkomstpunkter
Angriparen förstår att de inte kan komma in på magiskt sätt i ditt system, så de hittar åtkomstpunkterna och öppna portar de kan komma in genom. De använder tekniker som portskanning för att identifiera öppna portar och andra åtkomstpunkter för att få obehörig åtkomst.
5. Identifiera målets operativsystem
Eftersom olika operativsystem har olika säkerhetsinfrastruktur måste cyberbrottslingar identifiera det specifika operativsystem de har att göra med. På så sätt kan de implementera de rätta teknikerna för att kringgå alla säkerhetsförsvar på plats.
6. Översiktstjänster på hamnarna
Tjänsterna på dina portar har auktoriserad åtkomst till ditt nätverk. Angriparen fångar upp dessa tjänster och tar sig in som dessa tjänster normalt skulle göra. Om de lyckas med detta effektivt, kanske du inte märker något intrång.
7. Kartlägg nätverket
I detta skede är angriparen redan inne i ditt system. De använder nätverkskartläggning för att få fullständig synlighet av ditt nätverk. Med denna mekanism kan de lokalisera och hämta dina kritiska data. Angriparen har full kontroll över ditt nätverk vid denna tidpunkt och kan göra vad de vill.
Hur man förhindrar spaningsattacker
Spaningsattacker är inte oövervinnerliga. Det finns åtgärder du kan vidta för att förhindra dem. Dessa åtgärder inkluderar följande.
1. Säkra dina slutpunkter med EDR
De portar genom vilka en spaningsaktör kommer åt ditt nätverk är en del av dess slutpunkter. Genomföra skärpt säkerhet i de områden med slutpunktssäkerhetssystem som slutpunktsdetektering och -svar (EDR) kommer att göra dem mindre tillgängliga för inkräktare.
Eftersom en effektiv EDR har automatiserad realtidsövervakning och dataanalys för att avvärja hot, kommer den att motstå angriparens spaningsansträngningar för att få obehörig åtkomst via dina portar.
2. Identifiera sårbarheter med penetrationstestning
Cyberattackare trivs med sårbarheter i system. Ta initiativ till att upptäcka sårbarheter som kan finnas i ditt system innan brottslingarna upptäcker dem. Det kan du göra med ett penetrationstest.
Bär hackarens skor och gör en etisk attack mot ditt system. Detta kommer att hjälpa dig att upptäcka säkerhetsluckor som vanligtvis skulle finnas i dina döda vinklar.
3. Adoptera integrerade cybersäkerhetssystem
Hotaktörer använder alla typer av tekniker för att framgångsrikt lansera cyberattacker. Ett effektivt sätt att förhindra dessa attacker är att dra fördel av integrerade cybersäkerhetslösningar.
Avancerade system som säkerhetsinformation och händelsehantering (SIEM) erbjuder fullständig säkerhet för att säkra dina digitala tillgångar. De är programmerade att upptäcka och stoppa hot innan de orsakar betydande skada på ditt nätverk.
Var proaktiv för att förhindra spaningsattacker
Cyberkriminella kan ha fulländat sina upptåg i spaningsattacker, men du kan trycka tillbaka genom att stärka ditt försvar. Som med de flesta attacker är det bättre för dig att säkra ditt system mot spaningsattacker genom att vara proaktiv med din säkerhet.