Hva er rekognoseringsangrep og hvordan fungerer de?

Nettkriminelle går ikke rundt og kunngjør sin tilstedeværelse. De slår til på de mest beskjedne måter. Du kan gi en angriper informasjon om systemet ditt uten å vite det.

Og hvis du ikke gir dem informasjonen, kan de få den andre steder uten din tillatelse – nei takk til rekognoseringsangrep. Sikre systemet ditt ved å lære mer om rekognoseringsangrep, hvordan de fungerer og hvordan du kan forhindre dem.

Hva er et rekognoseringsangrep?

Rekognosering er en prosess for å samle informasjon om et system for å identifisere sårbarheter. Opprinnelig en etisk hacking-teknikk, tillot det nettverkseiere å sikre systemene sine bedre etter å ha identifisert sikkerhetshullene deres.

Gjennom årene har rekognosering vokst fra en etisk hacking-prosedyre til en cyberangrepsmekanisme. Et rekognoseringsangrep er en prosess der en hacker spiller rollen som en undercover-detektiv å fiske etter informasjon om deres målsystemer og deretter bruke denne informasjonen til å identifisere sårbarheter foran deres angrep.

Typer rekognoseringsangrep

Det finnes to typer rekognoseringsangrep: aktive og passive.

1. Aktiv rekognosering

Ved aktiv rekognosering engasjerer angriperen seg aktivt med målet. De kommuniserer med deg bare for å få informasjon om systemet ditt. Aktiv rekognosering er ganske effektiv ettersom den gir angriperen verdifull informasjon om systemet ditt.

Følgende er aktive rekognoseringsteknikker.

Sosialteknikk

Sosial engineering er en prosess hvor en cybertrusselaktør manipulerer mål for å avsløre konfidensiell informasjon til dem. De kan kontakte deg online via umiddelbare chatter, e-poster og andre interaktive midler for å bygge en forbindelse med deg. Når de vinner over deg, vil de få deg til å røpe sensitiv informasjon om systemet ditt eller lokke deg til å åpne en skadelig programvare-infisert fil som vil kompromittere nettverket ditt.

Active footprinting er en metode som innebærer at en inntrenger tar bevisste skritt for å samle informasjon om systemet ditt, dets sikkerhetsinfrastruktur og brukerengasjement. De henter dine IP-adresser, aktive e-postadresser, informasjon om domenenavnsystem (DNS), etc.

Aktiv fotavtrykk kan automatiseres. I dette tilfellet bruker trusselaktøren verktøy som en nettverkskartlegging (Nmap), en åpen kildekode-plattform som gir innsikt i tjenestene og verter som kjører på et nettverk, for å få viktig informasjon om din system.

Portskanning

Porter er områder der informasjon går fra ett dataprogram eller enhet til et annet. I portskanning, trusselaktøren skanner portene i nettverket ditt for å identifisere de åpne. De bruker en portskanner for å oppdage de aktive tjenestene på nettverket ditt som verter og IP-adresser og bryter deretter inn gjennom de åpne portene.

En grundig portskanning gir en angriper all nødvendig informasjon om sikkerhetsstatusen til nettverket ditt.

2. Passiv rekognosering

Ved passiv rekognosering engasjerer ikke angriperen deg eller systemet ditt direkte. De gjør sin undersøkelse på avstand, overvåker trafikken og interaksjonene på nettverket ditt.

En trusselaktør innen passiv rekognosering henvender seg til offentlige plattformer som søkemotorer og nettlager for informasjon om systemet ditt.

Passive rekognoseringsstrategier inkluderer følgende.

Åpen kildekode etterretning

Åpen kildekode-intelligens (OSINT), ikke å være forveksles med åpen kildekode-programvare, refererer til innsamling og analyse av data fra offentlige steder. Folk og nettverk sprer informasjonen sin over nettet enten med vilje eller utilsiktet. En rekognoseringsaktør kan bruke OSINT for å hente verdifull informasjon om systemet ditt.

Søkemotorer som Google, Yahoo og Bing er de første verktøyene du tenker på når du snakker om åpen kildekode-plattformer, men åpen kildekode går utover disse. Det er mange nettressurser som søkemotorer ikke dekker på grunn av påloggingsbegrensninger og andre sikkerhetsfaktorer.

Som nevnt tidligere er fotavtrykk en teknikk for å samle informasjon om et mål. Men i dette tilfellet er aktivitetene passive, noe som betyr at det ikke er noen direkte interaksjon eller engasjement. Angriperen gjør sin etterforskning langveis fra, sjekker deg ut på søkemotorer, sosiale medier og andre nettbaserte arkiver.

For å få konkret informasjon fra passive fotavtrykk, stoler en angriper ikke bare på populære plattformer som søkemotorer og sosiale medier. De bruker verktøy som Wireshark og Shodan for å få tilleggsinformasjon som kanskje ikke er tilgjengelig på populære plattformer.

Hvordan fungerer rekognoseringsangrep?

Uavhengig av hvilken type rekognoseringsstrategi en angriper bruker, opererer de etter et sett med retningslinjer. De to første trinnene er passive mens de resterende er aktive.

1. Samle inn data om målet

Innsamling av data om målet er det første trinnet i et rekognoseringsangrep. Inntrengeren er passiv i dette stadiet. De gjør funnene sine langveisfra, og får informasjon om systemet ditt i det offentlige rom.

2. Definer målnettverkets rekkevidde

Systemet ditt kan være større eller mindre enn det ser ut til. Å definere rekkevidden gir angriperen en klar idé om størrelsen og veileder dem i å utføre planene sine. De legger merke til de ulike områdene i nettverket ditt og skisserer ressursene de trenger for å dekke interesseområdene deres.

På dette stadiet ser trusselaktøren etter aktive verktøy i systemet ditt og engasjerer deg via disse verktøyene for å få viktig informasjon fra deg. Eksempler på aktive verktøy inkluderer funksjonelle e-postadresser, sosiale medier-kontoer, telefonnumre osv.

4. Finn åpne porter og tilgangspunkter

Angriperen forstår at de på magisk vis ikke kan komme inn i systemet ditt, så de finner tilgangspunktene og åpne portene de kan komme inn gjennom. De implementerer teknikker som portskanning for å identifisere åpne porter og andre tilgangspunkter for å få uautorisert tilgang.

5. Identifiser målets operativsystem

Siden ulike operativsystemer har ulike sikkerhetsinfrastrukturer, må nettkriminelle identifisere det spesifikke operativsystemet de har å gjøre med. På den måten kan de implementere de riktige teknikkene for å omgå eventuelle sikkerhetsforsvar på plass.

6. Oversiktstjenester på havnene

Tjenestene på portene dine har autorisert tilgang til nettverket ditt. Angriperen avskjærer disse tjenestene og tar seg inn som disse tjenestene normalt ville gjort. Hvis de klarer dette effektivt, kan det hende du ikke merker noe inntrenging.

7. Kartlegg nettverket

På dette stadiet er angriperen allerede inne i systemet ditt. De bruker nettverkskartlegging for å få fullstendig synlighet av nettverket ditt. Med denne mekanismen kan de finne og hente dine kritiske data. Angriperen har full kontroll over nettverket ditt på dette tidspunktet og kan gjøre hva de vil.

Hvordan forhindre rekognoseringsangrep

Rekognoseringsangrep er ikke uovervinnelige. Det er tiltak du kan ta for å forhindre dem. Disse tiltakene inkluderer følgende.

1. Sikre endepunktene dine med EDR

Portene som en rekognoseringsaktør får tilgang til nettverket ditt gjennom, er en del av endepunktene. Implementere strammere sikkerhet i de områdene med endepunktsikkerhetssystemer slik som endepunktdeteksjon og -respons (EDR) vil gjøre dem mindre tilgjengelige for inntrengere.

Siden en effektiv EDR har automatisert sanntidsovervåking og dataanalyse for å avverge trusler, vil den motstå angriperens rekognoseringsforsøk for å få uautorisert tilgang via portene dine.

2. Identifiser sårbarheter med penetrasjonstesting

Cyberangripere trives med sårbarheter i systemer. Ta initiativ til å oppdage sårbarheter som kan eksistere i systemet ditt før de kriminelle oppdager dem. Det kan du gjøre med en penetrasjonstest.

Bruk hackerens sko og utfør et etisk angrep på systemet ditt. Dette vil hjelpe deg å oppdage sikkerhetshull som vanligvis vil være i blindsonene dine.

3. Ta i bruk integrerte cybersikkerhetssystemer

Trusselaktører bruker alle slags teknologier for å starte cyberangrep på en vellykket måte. En effektiv måte å forhindre disse angrepene på er å dra nytte av integrerte cybersikkerhetsløsninger.

Avanserte systemer som sikkerhetsinformasjon og hendelsesadministrasjon (SIEM) tilbyr fullstendig sikkerhet for å sikre dine digitale eiendeler. De er programmert til å oppdage og stoppe trusler før de forårsaker betydelig skade på nettverket ditt.

Vær proaktiv for å forhindre rekognoseringsangrep

Nettkriminelle kan ha perfeksjonert sine krumspring i rekognoseringsangrep, men du kan presse tilbake ved å styrke forsvaret ditt. Som med de fleste angrep, er det bedre å sikre systemet ditt mot rekognoseringsangrep ved å være proaktiv med sikkerheten din.