it-swarm.com.de

Was ist anders daran, von einem professionellen Angreifer angegriffen zu werden?

Es wird oft gesagt, dass Sicherheitstools wie Firewalls, Antivirenprogramme usw. nur gegen zufällige, nicht zielgerichtete Angriffe wirksam sind. Wenn Sie gezielt von einem absichtlichen, professionellen Angreifer angegriffen werden (z. B. staatlich geförderte, NSA, chinesische staatliche Angreifer oder Konkurrenten, die Geschäftsgeheimnisse stehlen möchten), sind die meisten dieser Schutzmaßnahmen nutzlos. Ist das wahr?

Wenn es stimmt, welche Tools oder Techniken unterscheiden einen gezielten Angriff von einem professionellen Angreifer? Hat der Angreifer einen erheblichen Vorteil gegenüber mir? Welche Strategien kann ich anwenden, um das Risiko eines erfolgreichen Angriffs zu verringern?

85
user2174870

Haftungsausschluss: Ich arbeite in einem Unternehmen, das Sicherheitssoftware entwickelt, um gezielte Angriffe abzuwehren.

Einige der von uns verwendeten Methoden ähneln denen von Angreifern (wenn Clients ihre Systeme testen möchten).

Zum Beispiel hat uns ein Kunde gebeten, seine Sicherheit durch gezielte [Spear] Phishing-Angriffe zu testen. Wir haben nur der IT-Abteilung eine E-Mail mit einer Kombination aus 2 E-Mails gesendet. Eine davon war eine anscheinend falsch adressierte E-Mail an das Board mit einem Link zu einem PDF mit dem Namen Executive bonus summary.pdf, das andere soll ein neues externes Portal sein, das das Unternehmen während der Olympischen Spiele nutzen kann. Mit einer schnellen Suche in sozialen Medien hätten wir benutzerspezifische E-Mails erstellen können, aber das wäre zeitaufwändig und letztendlich nicht notwendig.

Wir haben einen Domainnamen registriert, der dem des Ziels visuell ähnlich war, und dann gefälschte Seiten (identisch mit den echten) gehostet und DKIM signierte E-Mails gesendet (um Spamfilter zu vermeiden).

Von den angesprochenen Technikern gaben 43% ihre Unternehmensanmeldedaten an, 54% versuchten, das gefälschte PDF herunterzuladen (das PDF bestand nur aus Müllbytes, sodass es wie ein korrupter Download aussah. Ein Mann versuchte es 5 Mal mit Firefox, IE und schließlich wget).

Uns wurde gesagt, dass nur ein Benutzer den Angriff erkannt hatte und ihn dem Management gemeldet hatte (aber erst nach geben Sie uns ihre Anmeldeinformationen).

Also ... in die Firma einzusteigen ist nicht unmöglich. Um Informationen zu erhalten, enthält unser normales Verkaufsgespräch eine Demo, in der wir Firmenfirewalls/traditional DLP umgehen. Ich glaube nicht, dass wir jemals gescheitert sind, es sei denn, sie haben einen Luftspalt oder verwenden eine gute Datendiode (obwohl die Exfiltrationsrate variiert. In einem Fall hatten wir eine restriktive White-Listing-Firewall So hatte die Software Dokumente in Bilder verschlüsselt und ein Profilbild bei Google ständig aktualisiert. Dann haben wir das Profil extern angesehen und jeden Block heruntergeladen.

Trotzdem haben wir immer wieder festgestellt, dass Software umgangen werden kann, aber Benutzer sind durchweg das schwächste Glied.

Um Ihre Frage zu beantworten, beinhaltet ein gezielter Angriff die persönliche Note. Benutzerdefinierte Websites, die Benutzer austricksen, untersuchen, welche Software (und welche Version) verwendet wird, um nach bekannten Schwachstellen zu suchen, Untersuchungen in sozialen Medien, Social Engineering usw. durchführen.

Eine andere, die erwägenswert ist, obwohl sie weniger verbreitet ist, ist Bestechung/Erpressung. Wenn Sie über staatliche Akteure sprechen, ist das nicht unvorstellbar.

98
Basic

Die gesamte Sicherheit kann auf Bedrohungsmodellierung, Risikobewertung, Risikomanagement und Risikominderung reduziert werden. Nein, Verteidigungen zum Schutz vor nicht zielgerichteten Angriffen sind gegen gezielte Angriffe wahrscheinlich nicht gut.

Was unterscheidet einen gezielten Angreifer (oder was Sie als "professionellen Angreifer" bezeichnen)? Einfach die Intelligenz und das Geld, die sie bereit sind, um Sie gezielt anzugreifen.

Also, ja, wenn jemand bereit ist, das Geld und die Zeit und Mühe aufzuwenden, um Sie gezielt anzugreifen, dann hat er einen Vorteil. Die zu verteidigende Strategie besteht darin, zu erkennen, dass diese Art von Angriffen ein realistisches Bedrohungsszenario in Ihrem Risikomodell darstellt, und Kontrollen zu implementieren, um diese Risiken zu verwalten und zu mindern.

57
Xander

Der Unterschied zwischen einem zufälligen Angriff und einem gezielten Angriff lässt sich gut zusammenfassen:

  • Der Angreifer möchte N Remote-Knoten für DDoSing/Spamming/Phishing/etc.

oder

  • Der Angreifer möchte speziell XYZ-Daten auf dem Computer von user2174870.

Wenn der Angreifer nur versucht, ein Botnetz aufzubauen (>> 99% der Angriffe), reicht es normalerweise aus, einfach schwerer zu knacken als der nächste (== --- ==) . Ich versuche, um zwei Größenordnungen zu schießen, die schwerer zu knacken sind, und selbst dann setze ich IDS ein, um zu wissen, wann ich geknackt wurde. Hoffnungsvoll.

Wenn der Angreifer jedoch speziell Ihre Daten haben möchte, wird die Situation zu einem Wettrüsten und der einzige Gewinnzug ist, nicht zu spielen (shutdown -h now). Bevor Sie den Computer ausschalten, müssen Sie davon ausgehen, dass der Angreifer abhängig von seinen Ressourcen Zero-Day-Schwachstellen für Ihren Anwendungsstapel, Netzwerk-Sniffer und Malware auf Ihrem anderen Gerät aufweist, das auf das Ziel zugreift Box und möglicherweise $ 5 Schraubenschlüssel auch. Oh, und er ist möglicherweise mit 50 Leuten besetzt, die klüger sind als Sie, mit unbegrenztem Budget. Doppelt so, wenn Sie Geschäftsgeheimnisse , Staatsgeheimnisse oder abfällige Kommentare zum Herrscher de Jour haben.

Ich bin ehrlich, Sie können sich nicht gegen die gezielten Angriffe verteidigen. Möglicherweise können Sie einen erheblichen Teil Ihres [Unternehmens persönlichen] Budgets budgetieren, um Mitarbeiter einzustellen, die möglicherweise eine kurze Wartezeit haben, aber selbst dann nicht. Am besten ziehen Sie den Stecker aus der Steckdose und sogar --- (das ist keine Garantie .

Das heißt, sei nicht "kein Ziel". Zu viele Menschen, die Angst haben, ein Ziel zu sein, halten die NSA an der Macht. Seien Sie ein kluges Ziel. Wenn Ihre Spezialität politischer Dissens ist, dann versuchen Sie nicht, einen Krieg der Technologie zu gewinnen. Erkennen Sie dass Ihre elektronische Kommunikation unsicher ist und planen Sie Ihren Dissens entsprechend.

27
dotancohen

Es wäre völlig anders, wenn Sie von staatlich geförderten Akteuren angesprochen würden. Wenn Sie ein hochwertiges Ziel sind, können sie nicht nur Ressourcen wie Zero-Day-Malware hacken, sondern auch Videoüberwachung, Abhören, Bestechung Ihrer Freunde, E-Mail-Spear-Phishing, Keylogging, Einbruch in Ihr Haus oder sogar Entführung und Folter Sie nur um einige Informationen zu erhalten.

Werfen Sie einen Blick auf die Menge an Ressourcen, mit denen die CIA jagt - Osama Bin Laden auch wenn er keinen direkten Zugang zum Internet oder zur Telefonleitung hat. Die einzige Strategie besteht darin, sich nicht in ein Ziel zu malen.

20

Normalerweise ist der nervigste Ort, an dem versucht werden kann, ein vollständig benutzerdefiniertes System auf einem vollständig benutzerdefinierten Kernel zu verwenden (keine vertrauten Befehle, Io-Paradigmen, Prozessmanagement-Infrastruktur usw. - diese Dinge existieren natürlich in irgendeiner Form, aber nur auf dem einen System/Ziel und Sie haben keine Einsicht). Zum Glück für Penetratoren gibt es sehr wenige in freier Wildbahn.

Das Gegenteil ist im Allgemeinen auch der Fall: Die am schwierigsten zu verteidigenden (oder sogar zu erkennenden) Angriffe sind die vollständig benutzerdefinierten. Nahezu alle gebräuchlichen Systeme halten sich aus Gründen der Benutzerfreundlichkeit zumindest an eine "Standard-Ja" -Richtlinie irgendwo, da Benutzer alles ablehnen, was tatsächlich sicher ist, da "tatsächlich sicher" auch "Rip-Your" bedeutet -haar-out frustrierend zu bedienen ". Da dies eine Selbstverständlichkeit ist und die meisten Angreifer keine Zeit haben, etwas anderes zu tun, als vorhandene Tools und Frameworks zu verwenden, basieren die uns zur Verfügung stehenden allgemeinen Sicherheitstools auf dem Mehrheitsangriffsfall: einem Angriff, der auf Tools zum Knacken von Waren basiert .

Bei einem vollständig benutzerdefinierten Angriff (der gut ausgeführt wird) fehlen alle verräterischen Anzeichen, nach denen Warenverteidigungsinstrumente suchen, sodass Sie häufig nur begrenzte Möglichkeiten haben, den Wind eines Angriffs zu fangen, der ausschließlich auf Heuristiken basiert (selbst oft nur auf (y) unser bestes Verständnis dessen, was "normale" historische Netzwerk- oder Systemressourcenmuster sein sollten). Dieses Fenster wird natürlich geschlossen, sobald das System gerootet ist, da die verwendeten Erkennungstools normalerweise als erstes ein böswilliges Upgrade erhalten.

Aber der Aufwand dieser Art von fortgeschrittenem Angriff ist immens. Man muss entweder enorm unglücklich oder als Ziel enorm wertvoll sein, um Gegenstand einer solchen Aufmerksamkeit zu sein. Diese Kosten sind vergleichbar mit den Kosten für die Bereitstellung eines vollständig benutzerdefinierten Systems (die Kosten für ein benutzerdefiniertes System sind natürlich normalerweise höher, werden jedoch durch die Bereitstellungsbasis verbessert - die Wirtschaftlichkeit eines Angriffs ist genau umgekehrt). Die Kosten für die Sicherheit sind immer wie folgt ausgeglichen:

  • Ärger, den die tatsächliche Sicherheit mit sich bringt
  • Die steuerlichen/aufwändigen/zeitlichen Kosten für die Entwicklung einer ernsthaften Verteidigung

VS

  • Die Kritikalität eines tatsächlichen Angriffs vom Typ X.

Wenn man bedenkt, wie viele Systeme davon ausgehen, dass Dinge wie http -> https-Weiterleitungen, DNS, IPSec, eine der Milliarden gefälschten Zertifizierungsstellen im Internet Explorer usw. keine Kompromisse eingehen können (har har!), Scheint die Kritikalität zweifellos zu sein Element wird sehr wenig Gewicht gegeben. Daher scheinen spät gepatchte Warensysteme mit den geringsten Tools zur Erkennung von Minimalen im Allgemeinen an der Tagesordnung zu sein. Alles, was Sie darüber hinaus tun können, erhöht die Kosten, um Sie zu knacken, und selbst eine Regierung wird zu einem einfacheren Ziel übergehen, es sei denn, sie hat einen bestimmten Grund, Sie ins Visier zu nehmen. Ich nehme an, es ist kein sehr glücklicher Rat, aber es ist die Welt, in der wir ab sofort leben.

13
zxq9

Ich werde nur in einem Zitat von Jacob Appelbaum antworten, über den ich wahrscheinlich nicht sprechen muss.

Während des ersten Kongress für Datenschutz und Überwachung , der an der EPFL in der Schweiz stattfand, sagte Applebaum (ich transkribiere):

"Wenn die NSA) in eine Maschine oder ein System auf der Welt eindringen möchte, müssen wir davon ausgehen, dass sie sich in einer befinden . "

"Hacking" ist einfach. Es gibt Tools, die eine schöne Benutzeroberfläche bieten, mit der Sie eine Bibliothek mit Exploits ausführen können, Tools, die in WiFi eindringen, MiTM ausführen usw. Dies zusammen mit ungeschickten, allgemeinen Phishing-Versuchen und anderen sozialen Problemen Engineering macht einen großen Teil der nicht zielgerichteten Angriffe aus. Kurz gesagt, sie sind unoriginal. Dies bedeutet, dass die meisten guten AVs vor den meisten allgemeinen Angriffen schützen - was den Angreifern nichts ausmacht, da sie nur jemanden ohne AV finden müssen. Ein individueller, gezielter Angriff ist viel gefährlicher, da ein erfahrener Angreifer nicht nur die Topographie Ihres Netzwerks untersucht und versucht, Ihre Sicherheitsmaßnahmen zu verstehen, sondern auch Ihre Mitarbeiter beobachtet, um herauszufinden, wie sie die sogenannten angreifen können "8. Schicht" (Menschen). Eines der berüchtigtsten Beispiele dafür war Kevin Mitnick. Ich bin mir sicher, dass er auf dem Gebiet der Computer talentiert war, aber er hat sich im Bereich Social Engineering wirklich hervorgetan - so sehr, dass er einmal in eine sichere Einrichtung eingebrochen ist, GOT CAUGHT, und es trotzdem geschafft hat, den Sicherheitsbeamten zu überreden, ihn gehen zu lassen.

AV-Unternehmen haben alle "Hacking-Tools" und tun ihr Bestes, um das Risiko für ihre Kunden zu negieren. Die Angriffe, die eine weitaus bessere Chance auf Arbeit haben, sind diejenigen, die jemand schneidet, um an IHREN Firewalls vorbeizukommen, von IHREM AV unentdeckt zu bleiben und IHRE Protokolle zu löschen, wenn sie fertig sind.

5
KnightOfNi

Einen anderen Winkel habe ich in den Antworten nicht gefunden. http://lasec.epfl.ch/keyboard/

Wir haben 4 verschiedene Möglichkeiten gefunden (einschließlich des Kuhn-Angriffs), um Tastenanschläge von kabelgebundenen Tastaturen in einer Entfernung von bis zu 20 Metern sogar durch Wände ganz oder teilweise wiederherzustellen. Wir haben 12 verschiedene kabelgebundene und kabellose Tastaturmodelle getestet, die zwischen 2001 und 2008 gekauft wurden (PS/2, USB und Laptop). Sie sind alle anfällig für mindestens einen unserer 4 Angriffe.

Dies ist von einem zivilen Forschungsinstitut vor fünf Jahren . Lesen Sie hier die aufgeführten Abschirmungsstandards http://www.wikiwand.com/de/Tempest_ (Codename) .

5
chx

FWs, Antivirenprogramme und andere Abwehrmaßnahmen, die auf Prävention ausgerichtet sind, können Angriffe, die sich als schlecht erwiesen haben, nur effektiv blockieren. IE Wenn eine bestimmte Art von Datenverkehr oder eine bestimmte Datei 100% der Zeit fehlerhaft ist, kann sie effektiv blockiert werden. Während Präventionstools bei fortgeschritteneren Bedrohungen möglicherweise nicht helfen, haben sie eine Verwendung in Blockieren von bekanntermaßen fehlerhaftem Datenverkehr. Es gibt viele fehlerhafte Datenverkehr/Dateien, die blockiert werden müssen, um Ihr Unternehmen effektiv zu verteidigen. Dies ist sehr wertvoll, aber nicht gegen fortgeschrittene Bedrohungen. Es ist möglich, Dateien zu erstellen, die gut erscheinen, und schlechten Datenverkehr in guten zu verbergen Verkehr. Das erfordert Differenzverteidigungen zu erkennen.

Wenn Sie in staatlich geförderte und fortgeschrittene Angriffe geraten, müssen Sie die Dinge ganzheitlich angehen. Sie müssen Sie möglicherweise nicht direkt ansprechen, um Ihre Daten zu erhalten, wenn sie an anderer Stelle gespeichert sind. Wenn die Drittanbieter, mit denen Sie arbeiten, einfachere Ziele sind, sind sie wahrscheinlich die ersten, die angegriffen werden. Dies hängt davon ab, dass Sie den einfachsten Weg finden, um Ihre Daten zu erhalten, und Abhilfemaßnahmen treffen, um dieses Risiko zu managen.

Der beste Weg, um sich gegen fortgeschrittene Bedrohungen zu verteidigen, besteht darin, sich auf die Erkennung zu konzentrieren. Angreifer werden vorbeugende Abwehrmaßnahmen überwinden, aber ihre Aktionen im Netzwerk sollten für Sie sichtbar sein. Hier kommt der Vorteil des Verteidigers ins Spiel. Beleidigung hat den Vorteil, dass sie nur eine Schwachstelle finden muss, um sie auszunutzen. Verteidigung hat den Vorteil innerhalb des Netzwerks. Dies ist Ihr Heimatfeld. Sie sollten es gut wissen. Es sollten mehrere Verteidigungsschichten vorhanden sein, um Angreifer zu verlangsamen, sodass Sie Zeit haben, sie zu erkennen, zu isolieren und zu blockieren. Wenn Sie wieder ganzheitlich denken, sollten Sie die wahrscheinlichen Ziele und Schwachstellen in Ihrem Unternehmen kennen. Sie sollten Schichten von Abschwächungen um sich herum haben.

Die Erkennung läuft darauf hinaus, abnormales Verhalten zu finden und zu erkennen. Möglicherweise gab es eine Warnung für einen Angriff, der nicht im Stapel anderer Warnungen gefunden wurde. Ein Angreifer sollte nicht in der Lage sein, seine Spuren in Ihrem Netzwerk zu löschen. Ihre Aktivität befindet sich irgendwo in Ihrer Infrastruktur. Sie benötigen Augen, um diese Aktivität zu sehen, und das Wissen über Ihre Infrastruktur, um zu wissen, wo Sie suchen müssen. Eine Organisation sollte über ein Asset-Inventar verfügen, um zu wissen, wann neue Geräte hinzugefügt werden, Baselines, um zu wissen, welches Verhalten normal ist, damit abnormales Verhalten auffällt, Konfigurationsverwaltung/-überwachung, um zu wissen, wann Systemdateien manipuliert werden, netzwerk- und hostbasierte Überwachung, um Datenverkehr zu sehen und Aktivitäten, starke Zugangskontrollen, um die seitliche Bewegung innerhalb Ihrer Infrastruktur zu verlangsamen, ich denke, Sie verstehen es. Je mehr Steuerelemente Sie haben, desto besser ist Ihre Sichtbarkeit. Siehe SANS Critical Security Controls. In Ihrem Netzwerk muss jeder Angreifer Beweise für seine Aktivitäten hinterlassen. Es liegt an Ihnen, Tools bereitzustellen, mit denen Sie diese Aktivitäten anzeigen und wissen, wo Sie suchen müssen.

Wenn Sie nichts anderes über einen Angreifer wissen, können Sie davon ausgehen, dass er die Persistenz herstellen möchte, sobald er eintritt, Daten findet und Daten exfiltriert. Beim Einsteigen kommen Ihre defensiven Tools ins Spiel. Es muss gültiger Datenverkehr zugelassen werden, damit Sie sich darauf konzentrieren können, wie Sie einen Angreifer aussetzen, der nach Daten sucht und Daten herausfiltert. Beobachten Sie Ihre wahrscheinlichen Zieldaten und Austrittspunkte. Dies sind die einfachsten Punkte, um sie zu finden, da ein fortgeschrittener Angreifer alles daran setzt, sich in gültigen Datenverkehr einzufügen und unsichtbar zu sein.

4
Paraplastic2

Um es so kurz und bündig wie möglich zu halten: (obwohl ich später Details hinzufügen kann, wenn die Community dies verlangt)


Zufällige Angriffe

Im Allgemeinen auf eine bestimmte Sicherheitsanfälligkeit in einer bestimmten Version einer bestimmten Software abzielen. Das Ziel hier ist es, es gegen jeden möglichen Computer zu versuchen, und nicht jeder Computer weist die Sicherheitsanfälligkeit auf, und IDS/IPS-Lösungen lassen nicht zu, dass dieselbe Art von Angriff gegen den Rest ihrer Clients ausgeführt wird, sobald er erkannt wird. Diese Art von "Hagel Mary" -Angriff wird von den Guten schnell vereitelt.

Gezielte Angriffe

Sind über das Endziel, das in der Regel eins zu einer Handvoll Computer ist, die alle zu einer bestimmten Entität gehören. Ein Angreifer, der m Sie zu bekommen, wird Zeit und Geld aufwenden, um Informationen über Ihre gesamte Hardware und Software zu sammeln. Sie kaufen die gleiche Ausrüstung, die Ihre Fabrik betreibt, wenn sie müssen. Sie werden unzählige Stunden damit verbringen, nach Fehlern in jedem einzelnen Teil Ihres Systems zu suchen. Sobald sie diesen Fehler gefunden und auf ihrer Replik oder Emulation Ihres Systems getestet haben, werden sie ihn einmal ausführen und schnell handeln, weil sie wissen, wonach sie suchen. Dies wird in Protokollen wahrscheinlich unbemerkt bleiben, da es nicht auf Hunderten von Computern auf der ganzen Welt auftaucht. Es werden keine Scans in großen Bereichen von IP-Adressen durchgeführt, die ein ISP erkennen kann. Im Wesentlichen hat der Angriff nie stattgefunden , es sei denn, Sie behalten Ihre Protokolle sehr genau im Auge und stellen fest, dass einige wichtige Daten von Ihrem Ende hochgeladen wurden, die nicht hätten sein dürfen.


Nebenbei: Wenn Sie es nicht sehr wert sind, ist es unwahrscheinlich, dass ein solcher Angriff stattfindet. Wenn dies jedoch der Fall ist, können Sie ihn nur erkennen und nicht verhindern. Andererseits gibt es auch immer Möglichkeiten, die Erkennung zu umgehen.

3
zenware

Es ist technisch möglich, genügend Steuerelemente einzurichten, um sicherzustellen, dass Sie aus IT-Sicht keine Kompromisse eingehen.

Im Extremfall müssen alle Computergeräte ausgeschaltet und entfernt werden. Sehen? Kein Computer bedeutet, dass kein Computer gefährdet wird. OK, wie wäre es, wenn wir Computer zulassen, aber keine Netzwerke: alles mit Luftspalt. Wir sind nicht garantiert unverwundbar, aber wir sind nah dran. OK, wie wäre es, wenn wir Netzwerke zulassen, aber nur auf Computern ohne vertraulichen Inhalt und ohne dauerhaften Speicher jeglicher Art. Keine Downloads oder Ausführung von nicht signiertem Code. Oder erlauben Sie Downloads, die Whitelist der Anwendung beizubehalten. Und so weiter.

Es gibt ein Kontinuum an Sicherheit zwischen "Absolut undurchdringlich und völlig nutzlos" und "äußerst bequem und höllisch unsicher", wobei die Sicherheit immer im Widerspruch zur Bequemlichkeit steht. Wenn eine Sicherheitsmaßnahme nicht im Widerspruch zur Bequemlichkeit steht, wird sie nicht als "Sicherheit" betrachtet - Sie nennen sie einfach "Standardpraxis".

Aber hier ist der wichtige Punkt: Sofern Ihre IT-Sicherheit keine Home Depot - Katastrophe ist, sind Ihre Mitarbeiter Ihre schwächste Komponente, nicht Ihre Systeme . Sicherheit funktioniert nur, wenn sie tatsächlich implementiert ist, und die Systeme eines Unternehmens entsprechen selten den eigenen Standards.

Auch Social Engineering gewinnt immer. Phishing ist bei weitem der effektivste Angriff gegen gehärtete Ziele, und es wird wenig unternommen, um diese Bedrohung zu mindern. Der Angreifer hatte immer den Vorteil; Der Angreifer muss nur einmal gewinnen, während der Verteidiger jedes Mal gewinnen muss, um sicher zu bleiben. Und Social Engineering bedeutet, dass der Angreifer den Kampf aus der IT nehmen und die menschliche Interaktion nutzen kann, um seinen Sieg zu erringen.

Ja, Sie können sicher sein, aber es bedeutet, Ihre Technologie als feindlich und Ihre Mitarbeiter als Angreifer zu behandeln. Es bedeutet, Hindernisse für Interaktionen und Interoperationen zu schaffen. Es bedeutet, die kleinen Dinge, die Menschen für selbstverständlich halten, nicht zuzulassen. Und es bedeutet, dass Ihr Betrieb einen hohen Preis für diese Sicherheit zahlt. Aber es ist möglich.

3
tylerl

Die Techniken sind die gleichen wie bei zufälligen, nicht zielgerichteten Angriffen. Was IMHO diese Art von Angriffen wirklich unterscheidet, sind:

  • verfügbare Zeit
  • verfügbares Geld, um einen unbekannten Exploit zu kaufen
  • aufwand aufgewendet
  • angegriffene Angriffsfläche
  • nachnutzung funktioniert

Im Allgemeinen mit zufälligen, nicht zielgerichteten Angriffen:

  • sein Aufwand in Bezug auf Zeit wird hauptsächlich auf ein einzelner Versuch beschränkt sein
  • es wird versucht, ein einzelner Aspekt Ihrer gesamten Angriffsfläche auszunutzen
  • Sobald die Angriffe erfolgreich sind, wird die Arbeit hauptsächlich erledigt
  • es wird einfacher sein, das Ziel von den Angriffen zu reinigen

Stattdessen mit einem professionellen gezielten Angriff:

  • sein zeitlicher Aufwand wird länger und kontinuierlich im Laufe der Zeit sein
    • Es wird wahrscheinlich mehr als eine Person als Angreifer beteiligt sein
  • die Zielangriffsfläche ist die gesamte Angriffsfläche
    • alle einzelnen Schwachstellen der Angriffsfläche werden getestet
  • Sobald es in Ihren Perimetern einbrechen kann, ist die Arbeit nicht mehr erledigt
    • die Angriffe werden intern fortgesetzt, um einen weiteren einfachen Zugriff zu gewährleisten
  • es wird wirklich schwierig sein, den weiteren Zugriff auf die Systeme/Netzwerke wie nach dem Einbruch zu verweigern:
    • hintertüren werden ringsum platziert
    • anmeldeinformationen werden gestohlen
    • interne Schwachstellen und weitere Kenntnisse des Netzwerks/der Systeme werden verstärkt, um die Angriffsfläche zu erhöhen (d. h. WAN von Geschäftspartnern usw.)
3
boos