En aktiv attack är en farlig cyberattack eftersom den försöker ändra ditt datornätverks resurser eller verksamhet. Aktiva attacker resulterar ofta i oupptäckt dataförlust, varumärkesskador och en ökad risk för identitetsstöld och bedrägeri.
Aktiva attacker representerar det högst prioriterade hotet som företag står inför idag. Lyckligtvis finns det saker du kan göra för att förhindra dessa attacker och mildra effekterna om de inträffar.
Vad är aktiva attacker?
I en aktiv attack utnyttjar hotaktörer svagheter i målets nätverk för att få tillgång till data däri. Dessa hotaktörer kan försöka injicera ny data eller kontrollera spridningen av befintlig data.
Aktiva attacker innebär också att man gör ändringar i data i målets enhet. Dessa förändringar sträcker sig från stöld av personlig information till ett komplett nätverksövertagande. Du blir ofta varnad om att systemet har äventyrats eftersom dessa attacker är lätta att upptäcka, men att stoppa dem när de väl har startat kan vara ganska svårt.
Små och medelstora företag, allmänt kända som små och medelstora företag, drabbas vanligtvis av aktiva attacker. Detta beror på att de flesta små och medelstora företag inte har resurserna att införskaffa avancerade cybersäkerhetsåtgärder. Och eftersom aktiva attacker fortsätter att utvecklas måste dessa säkerhetsåtgärder uppdateras regelbundet, annars gör de nätverket sårbart för avancerade attacker.
Hur fungerar en aktiv attack?
Det första hotaktörer kommer att göra efter att ha identifierat målet är att leta efter sårbarheter i målets nätverk. Detta är ett förberedande stadium för den typ av attack de planerar.
De använder också passiva skannrar för att få information om vilken typ av program som körs på målets nätverk. När svagheterna har upptäckts kan hackarna använda någon av följande former av aktiva attacker för att undergräva nätverkssäkerheten:
1. Session kapning attack
I en session kapning attack, även känd som session replay, playback attacks, eller replay attacks, hotaktörerna kopierar internetsessionens ID-information för målet. De använder denna information för att hämta inloggningsuppgifter, imitera målen och ytterligare stjäla annan känslig data från deras enheter.
Denna personifiering görs med hjälp av sessionscookies. Dessa cookies arbetar tillsammans med HTTP-kommunikationsprotokoll för att identifiera din webbläsare. Men de finns kvar i webbläsaren efter att du har loggat ut eller avslutat surfsessionen. Detta är en sårbarhet som hotaktörer utnyttjar.
De återställer dessa cookies och lurar webbläsaren att tro att du fortfarande är online. Nu kan hackare få vilken information de vill från din webbhistorik. De kan enkelt få kreditkortsuppgifter, finansiella transaktioner och kontolösenord på detta sätt.
Det finns andra sätt som hackare kan få sitt måls sessions-ID. En annan vanlig metod är att använda skadliga länkar, vilket leder till webbplatser med ett färdigt ID som hackaren kan använda för att kapa din surfsession. När de väl tagits i beslag skulle det inte finnas något sätt för servrarna att upptäcka någon skillnad mellan det ursprungliga sessions-ID: t och det andra som replikeras av hotaktörerna.
2. Meddelande Modifiering Attack
Dessa attacker är huvudsakligen e-postbaserade. Här redigerar hotaktören paketadresser (som innehåller avsändarens och mottagarens adress) och skickar e-postmeddelandet till en helt annan plats eller ändrar innehållet för att komma in på målet nätverk.
Hackarna beordrar post mellan målet och en annan part. När denna avlyssning är klar har de friheten att utföra vilken som helst operation på den, inklusive injicera skadliga länkar eller ta bort meddelanden inom. Posten kommer sedan att fortsätta på sin resa, med målet att inte veta att det har manipulerats.
3. Maskerad attack
Denna attack utnyttjar svagheter i autentiseringsprocessen för målets nätverk. Hotaktörerna använder stulna inloggningsuppgifter för att utge sig för att vara en auktoriserad användare och använder användarens ID för att få åtkomst till deras riktade servrar.
I denna attack kan hotaktören, eller maskeraden, vara en anställd inom organisationen eller en hackare som använder en anslutning till det offentliga nätverket. Släppa auktoriseringsprocesser kan tillåta dessa angripare att komma in, och mängden data de skulle ha tillgång till beror på behörighetsnivån för den personifierade användaren.
Det första steget i en maskeradattack är att använda en nätverkssniffer för att få IP-paket från målets enheter. Dessa falska IP-adresser lura målets brandväggar, kringgå dem och få tillgång till deras nätverk.
4. Denial-of-Service (DoS) attack
I denna aktiva attack gör hotaktörerna nätverksresurser otillgängliga för de avsedda, auktoriserade användarna. Om du upplever en DoS-attack kommer du inte att kunna komma åt nätverkets information, enheter, uppdateringar och betalningssystem.
Det finns olika typer av DoS-attacker. En typ är buffertspillattack, där hotaktörerna översvämmer målets servrar med mycket mer trafik än de kan hantera. Detta gör att servrarna kraschar, och som ett resultat kommer du inte att kunna få åtkomst till nätverket.
Det finns också smurfattacken. Hotaktörerna kommer att använda helt felkonfigurerade enheter för att skicka ICMP-paket (Internet Control Message Protocol) till flera nätverksvärdar med en falsk IP-adress. Dessa ICMP-paket används vanligtvis för att avgöra om data når nätverket på ett ordnat sätt.
Värdarna som är mottagare av dessa paket kommer att skicka meddelanden till nätverket, och med många svar som kommer in blir resultatet detsamma: kraschade servrar.
Hur du skyddar dig mot aktiva attacker
Aktiva attacker är vanliga och du bör skydda ditt nätverk från dessa skadliga operationer.
Det första du bör göra är att installera en avancerad brandvägg och Inbrottsskyddssystem (IPS). Brandväggar bör vara en del av alla nätverks säkerhet. De hjälper till att söka efter misstänkt aktivitet och blockera alla som upptäcks. IPS övervakar nätverkstrafik som brandväggar och vidtar åtgärder för att skydda nätverket när en attack identifieras.
Ett annat sätt att skydda mot aktiva attacker är att använda slumpmässiga sessionsnycklar och engångslösenord (OTP). Sessionsnycklar används för att kryptera kommunikation mellan två parter. När kommunikationen avslutas kasseras nyckeln och en ny genereras slumpmässigt när en annan kommunikation påbörjas. Detta garanterar maximal säkerhet, eftersom varje nyckel är unik och inte kan replikeras. Dessutom, när en session har avslutats, kan nyckeln för den perioden inte användas för att bedöma data som utbyts under sessionen.
OTP fungerar på samma premiss som sessionsnycklar. De är slumpmässigt genererade alfanumeriska/numeriska tecken som endast är giltiga för ett ändamål och förfaller efter en viss period. De används ofta i kombination med ett lösenord att tillhandahålla tvåfaktorsautentisering.
Hackare och angripare, brandväggar och 2FA
Aktiva attacker utnyttjar svagheterna i ett nätverks autentiseringsprotokoll. Därför är det enda bevisade sättet att förhindra dessa attacker att använda brandväggar, IPS, slumpmässiga sessionsnycklar och, viktigast av allt, tvåfaktorsautentisering. Sådan autentisering kan vara en kombination av en slumpmässigt genererad nyckel, ett användarnamn och ett lösenord.
Detta kan tyckas tråkigt, men när aktiva attacker utvecklas och blir ännu mer hänsynslösa bör verifieringsprocesser anta utmaningen och stå vakt mot dessa inkommande attacker. Kom ihåg att när hotaktörerna väl finns i ditt nätverk skulle det vara svårt att spola bort dem.
