Các cuộc tấn công mạng không ngừng gia tăng và phát triển nhưng, bất kể mức độ phức tạp mà tin tặc sử dụng để truy cập, có được chỗ đứng, che giấu phần mềm độc hại, thực thi tải trọng hoặc lấy cắp dữ liệu của chúng, cuộc tấn công của chúng sẽ bắt đầu bằng do thám. Họ sẽ cố gắng hết sức để phát hiện ra các tài sản bị lộ và thăm dò bề mặt tấn công của mục tiêu để tìm ra những khoảng trống có thể được sử dụng làm điểm vào.

Vì vậy, tuyến phòng thủ đầu tiên là hạn chế càng nhiều càng tốt thông tin hữu ích có thể có đối với kẻ tấn công tiềm năng. Như mọi khi, cuộc chiến giữa nhu cầu vận hành và các lo ngại về bảo mật cần được tính đến, điều này đòi hỏi bạn phải hiểu rõ hơn về loại thông tin thường được sử dụng.

Tin tặc đang tìm kiếm thông tin gì trong quá trình trinh sát?

Khi điều hành một tổ chức, tin tặc - dù là mũ trắng hay mũ đen - đều đang “bao bọc một mối quan hệ”. Để lập kế hoạch tấn công, họ sẽ cố gắng và khám phá càng nhiều thông tin càng tốt về:

Cơ sở hạ tầng của bạn

• Các loại công nghệ bạn sử dụng - Vì không có công nghệ hoàn hảo nên việc tìm hiểu về những công nghệ được sử dụng để xây dựng và quản lý cơ sở hạ tầng của bạn là bước đầu tiên của tin tặc. Mục đích của họ là tìm ra các lỗ hổng để xâm nhập vào cơ sở hạ tầng của bạn và che chắn cho bản thân khỏi bị phát hiện. Tin tặc có thể lấy thông tin về các công nghệ của bạn và cách chúng được sử dụng thông qua việc lắng nghe các cuộc trò chuyện trong các diễn đàn công nghệ. Các DevOps tham gia vào các cuộc thảo luận như vậy không nên tiết lộ danh tính thực của họ hoặc thông tin có thể xác định tổ chức.
• Máy chủ hướng tới internet của bạn - máy chủ lưu giữ thông tin quan trọng của tổ chức bạn. Tin tặc sẽ cố gắng tìm ra các lỗ hổng từ các dịch vụ không được sử dụng hoặc chưa được vá cho đến các cổng đang mở.
• Bất kỳ hệ thống nào được sử dụng làm máy chủ trên mạng công cộng đều là mục tiêu, vì vậy quản trị viên hệ thống phải hết sức thận trọng trong việc:
• Luôn cập nhật tất cả các dịch vụ
• Chọn các giao thức an toàn bất cứ khi nào có thể
• Giới hạn loại mạng trên mỗi máy ở mức tối thiểu nghiêm ngặt, tốt nhất là một mạng cho mỗi máy
• Giám sát tất cả các máy chủ để tìm hoạt động đáng ngờ
• Hệ điều hành (OS) của bạn - Mỗi HĐH đều có lỗ hổng riêng. Windows, Linux, Apple và các hệ điều hành khác thường xuyên xuất bản các lỗ hổng và bản vá mới được phát hiện. Thông tin công khai này bị khai thác bởi những kẻ tấn công mạng khi chúng biết bạn sử dụng hệ điều hành nào.
• Ví dụ: một cuộc trò chuyện trên diễn đàn trong đó Joe Blog, kế toán của bạn, giải thích cách sử dụng một hàm trên Bảng tính Excel Windows 8 nói với tin tặc rằng Joe Blog sử dụng Windows và đã không cập nhật hệ điều hành của mình trong nhiều năm.
• Tidbit này khuyến khích kẻ tấn công mạng đào sâu hơn nữa vì nếu một nhân viên có quyền truy cập vào thông tin tài chính của tổ chức của bạn được phép làm việc trên một thiết bị đầu cuối hiếm khi được cập nhật, bảo mật điểm cuối của nhân viên là lỏng lẻo.
• Đáo hạn bảo mật của bạn - Tin tặc là con người và do đó, có xu hướng lười biếng. Một tin tặc trong nhiệm vụ trinh sát phát hiện ra rằng bạn đang sử dụng XSPM (Quản lý tư thế an ninh mở rộng) nền tảng biết rằng, ngay cả khi có một điểm vào có thể khai thác, việc leo thang sẽ bị cản trở ở mỗi bước và việc đạt được hành động độc hại sẽ yêu cầu mức độ lập kế hoạch cao hơn. Điều này không khuyến khích hầu hết những kẻ tấn công mạng tiềm năng.

Credentials

• Địa chỉ email - vì tâm trí con người là phần mềm khó nâng cấp và vá lỗi nhất, nên lừa đảo vẫn là phương tiện xâm nhập số một đối với tin tặc. Mặc dù một số địa chỉ email, chẳng hạn như thông tin, hỗ trợ, bán hàng, v.v., phải ở chế độ công khai, nhưng email cá nhân của nhân viên có thể bị tin tặc lợi dụng cho các thư lừa đảo chung và lừa đảo trực tuyến.
• Tên người dùng và mật khẩu - Các trung tâm mua sắm của tin tặc Darknet có đầy đủ thông tin đăng nhập để bán với giá rẻ đến mức nực cười, do đó bạn nên thay đổi mật khẩu thường xuyên.
• Đối với quản trị viên hệ thống và những người dùng khác có quyền truy cập đặc quyền cao, duy trì vệ sinh mật khẩu xuất sắc - và MFA! - là điều tuyệt đối bắt buộc, nếu thông tin đăng nhập của họ rơi vào tay tin tặc, toàn bộ hệ thống có thể bị xâm phạm không thể khắc phục được.

Bạn có thể phát hiện ra một tin tặc do thám không?

Đã báo trước là được trang bị trước, vì vậy có thể là một ý tưởng thông minh để lắng nghe các dấu hiệu của hoạt động do thám thù địch. Hoạt động Recon có thể được phân thành hai loại:

• Đang hoạt động lại: tin tặc sử dụng các công cụ hoặc phần mềm gián điệp để xâm nhập vào hệ thống của bạn. Điều này sẽ kích hoạt các cảnh báo từ các công cụ phát hiện được định cấu hình đúng cách, thông báo cho các nhóm thông tin bảo mật rằng tin tặc đang “bao che” cho họ.
• Điều này sẽ nhanh chóng khởi động một bài tập xác thực bảo mật để đảm bảo rằng các lỗ hổng bảo mật tiềm ẩn được theo dõi đầy đủ và lên lịch cho các bản vá ưu tiên.
• Trinh sát thụ động: tin tặc “theo dõi” bạn bằng cách thu thập thông tin công khai về chi tiết công nghệ hoặc địa chỉ email của cơ sở hạ tầng của bạn. Điều này, trên thực tế, không thể phát hiện được.

Hacker làm gì với thông tin Thu thập được trong quá trình Recon?

Mục tiêu của những kẻ tấn công mạng thuộc bốn loại chính:

• Trộm - cho đến nay là loại lớn nhất về số lượng, các cuộc tấn công nhằm mục đích ăn cắp có thể được chia thành nhiều loại hơn phù hợp với mục đích trộm cắp là:
• Ngày - dữ liệu là đơn vị tiền tệ của thế kỷ 21 và bất kỳ dữ liệu nào ở bên phải đều có thể được chuyển thành giá trị. Từ chi tiết Thẻ tín dụng đến thông tin cá nhân của người dùng đến dữ liệu chung như thói quen đi du lịch, tất cả dữ liệu có thể bị chiếm đoạt cho các mục đích thương mại, chiến lược hoặc thậm chí quân sự.
• Sở hữu trí tuệ - Sở hữu trí tuệ mang lại lợi thế cho nhiều tổ chức và doanh nghiệp. Ví dụ, đối thủ cạnh tranh có hứng thú ngay lập tức với việc thu thập thông tin đó.
• Tài nguyên máy tính - các nguồn lực được sử dụng để cung cấp năng lượng cho cơ sở hạ tầng của bạn rất tốn kém, do đó rất hấp dẫn. Ngày nay, cách sử dụng chính của tài nguyên bị đánh cắp là khai thác tiền điện tử.
• Tống tiền - được biết đến nhiều nhất là ransomware, ransomware chiếm đoạt các bộ phận hoặc tất cả cơ sở hạ tầng, mã hóa dữ liệu và yêu cầu thanh toán bằng tiền điện tử để giải mã dữ liệu bị ảnh hưởng. Lấy cắp dữ liệu và đe dọa bán chúng cũng là một phần của các mối đe dọa ransomware.
• Thu thập thông tin - một kiểu tấn công lén lút có thể không bị phát hiện trong thời gian dài. Thông thường, chúng được chỉ huy bởi các quốc gia, đối thủ chính trị hoặc đối thủ cạnh tranh kinh doanh.
• Phá hủy / chiếm dụng cơ sở hạ tầng - các cuộc tấn công nhằm mục đích vượt qua hoặc phá hủy thường được dẫn đầu bởi các quốc gia nhắm mục tiêu vào cơ sở hạ tầng quan trọng, các đối thủ cạnh tranh đặc biệt hung hãn hoặc những kẻ tấn công.

Với phạm vi thiệt hại có thể gây ra từ một cuộc tấn công mạng, việc trinh sát những kẻ tấn công mạng không có kết quả hoặc gây khó khăn nhất có thể là một chính sách tốt. Điều này giải thích xu hướng hiện tại là tốt hơn Quản lý bề mặt tấn công (ASM).

Lưu ý: Bài báo này được viết bởi Sasha Gohman, VP Research tại Cymulate.

• Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. TRUY CẬP MIỄN PHÍ.
• CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
• Nguồn: https://thehackernews.com/2022/03/undilities-how-hackers-recon.html