Hogyan dolgoznak a kiberbűnözők?
Több mint 40 éve hangzott el a Hegedűs a háztetőn című filmben a Ha én gazdag lennék című dal, amelynek sorai azóta szállóigévé váltak. Manapság a kiberbűnözőket ugyanezek a szavak motiválják, így folyamatosan keresik a leghatékonyabb és a legtöbb profitot termelő módszereket. A Cisco szakemberei összegyűjtöttek néhány példát, amelyek bemutatják, hogyan dolgoznak a kiberbűnözők napjainkban, és miként védekezhetünk ellenük.
Az Angler exploit kit az egyik legnagyobb és leghatékonyabb exploit kit a piacon. Számos nagy horderejű támadásban használták és a zsarolóvírusok robbanásszerű elterjedésében is komoly szerepet játszott. Az Angler a szolgáltatók szerverein elhelyezett proxy szervereket használ a kártevők terjesztéséhez. Az egyik legaktívabb példány 90 ezer áldozatott fertőzött meg naponta, és több mint 30 millió dolláros bevételt termelt a bűnözőknek évente.
Az SSHPsychos (vagy más néven Group 93) az egyik legnagyobb DDos hálózat a világon. Mielőtt felfedezték és leállították, több tízezer internethez kapcsolódó gépet használt a támadások végrehajtásához. A brute-force támadások, amelyeket a megszokott eszközalapú módszerekkel nem lehetett megállítani, kiterjedtek az SSH (secure shell) forgalomra is. Előfordult, hogy a csoport generálta a teljes internetes SSH forgalom 35 százalékát.
A támadók egyre többször használják az internetes böngészők kiegészítőit a támadásaikhoz. A felhasználók megbíznak a bővítményekben, és a biztonsági részlegek is alacsony kockázatúként kezelik ezeket a programokat. A rosszindulatú böngésző kiegészítők azonban képesek az adatlopásra, és az üzleti adatszivárgások egyik fő forrásaivá válhatnak. Minden egyes alkalommal, amikor a felhasználók új weboldalt nyitnak meg egy fertőzött böngészővel, a beépült kártevők adatokat gyűjtenek. Ezek lehetnek hitelesítési vagy az ügyfelekhez kapcsolódó adatok, valamint a szervezet belső infrastruktúrájáról árulkodó információk.
A kiberbűnözők a DNS (Domain Name Service) rendszert is felhasználják egyre kifinomultabb akcióik során. A tartománynévrendszer támadása három célt szolgál: az irányítás és az ellenőrzés átvételét, az adatok megszerzését és a forgalom átirányítását. A DNS használatával a bűnözők rosszindulatú vagy gyanús oldalakhoz kapcsolódhatnak, azonban a vállalatok egyelőre nem fordítanak elég figyelmet a rendszer biztonsági ellenőrzésére.
Az interneten rengeteg elhanyagolt WordPress platformon műkő weboldalt találni, amelyeken már nem végeznek rendszeres biztonsági karbantartást. Ezek az oldalak egyre népszerűbbek a kiberbűnözők körében, akik kihasználva a honlapok sebezhetőségét, felhasználják ezeket akcióikhoz: például a szerverkapacitások kezelése során olyan infrastruktúrát hoznak létre a weboldalak révén, amely támogatást nyújt a zsarolóvírusoknak, a banki átveréseknek, vagy az adathalász támadásoknak.
Hogyan védekezhetünk? Sokkal hatékonyabb együttműködésre, kommunikációra és egyeztetésre van szükség, hogy megnöveljük a rendszerek ellenálló képességét az ilyen jellegű támadásokkal szemben. Az IT-biztonsági iparág szereplőinek meg kell találniuk az együttműködés hatékony módját, ha olyan támadásokkal szembesülnek, mint az Angler, vagy a SSHPsychos. A legnagyobb domain szolgáltatók, internetszolgáltatók, tárhely szolgáltatók, DNS analizátorok és biztonsági cégek nem tétlenkedhetnek egymásra várva, amikor a kiberbűnözők kártevőkkel árasztják el a hálózatokat vagy szervereket. Ha a támadók ilyen nyíltan használják fel ezeket az infrastruktúrákat saját céljaikra, akkor az iparág kötelessége letiltani hozzáférésüket a rendszerekhez. Ugyanez érvényes a vállalatokon belül: a különböző informatikai csoportoknak együtt kell működniük, hogy kiszűrjék azokat a vakfoltokat, amelyeket a bűnözők felhasználhatnak a biztonsági megoldások kikerüléséhez.
A szervezeteknek az integrált védelmi architektúrák használatára kell törekedniük. Egy ilyen rendszer átláthatóságot, ellenőrzést és megfelelő információkat biztosít, illetve lehetővé teszi a különböző biztonsági megoldások hatékony együttműködését. A gyanús tevékenység, vagy a szabályok megszegésének esetén nem csak értesíti a biztonsági részleget, hanem automatikusan és hatékonyan összegyűjti a telepített infrastruktúrákból származó adatokat, valamint a fenyegetések blokkolása mellett lecsökkenti a felderítés, elszigetelés és a helyreállítás idejét.
A pénz hajszolása közben a kiberbűnözők egyre pimaszabb és hatékonyabb módszereket alkalmaznak támadásaik során. Sokat tehetünk az eredményes védekezés érdekében, azonban ehhez együttműködésre, kommunikációra és folyamatos egyeztetésre van szükség – az egész iparágban, a belső informatikai részlegek között, illetve a különböző biztonsági megoldások esetében.
A Cisco, mint a hálózati piac vezetője, komoly fejlesztéseket és felvásárlásokat hajtott végre és teljesen megújította IT-biztonsági portfólióját. A Cisco informatikai biztonsággal foglalkozó weboldalán felveheti a kapcsolatot a cég szakembereivel, illetve információt kaphat az egyre komplexebb támadásokról és a hatékony védelmi eszközökről is.
[A Cisco megbízásából készített anyag.]