Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon. Les mer.

Et aktivt angrep er et farlig nettangrep fordi det forsøker å endre datanettverkets ressurser eller operasjoner. Aktive angrep resulterer ofte i uoppdaget tap av data, merkevareskade og økt risiko for identitetstyveri og svindel.

Aktive angrep representerer den høyest prioriterte trusselen bedrifter står overfor i dag. Heldigvis er det ting du kan gjøre for å forhindre disse angrepene og dempe effektene hvis de oppstår.

Hva er aktive angrep?

I et aktivt angrep utnytter trusselaktører svakheter i målets nettverk for å få tilgang til dataene der. Disse trusselaktørene kan forsøke å injisere nye data eller kontrollere spredningen av eksisterende data.

Aktive angrep innebærer også å gjøre endringer i data på målets enhet. Disse endringene spenner fra tyveri av personlig informasjon til en fullstendig nettverksovertakelse. Du blir ofte varslet om at systemet har blitt kompromittert siden disse angrepene er lett å oppdage, men å stoppe dem når de har startet kan være ganske krevende.

instagram viewer

Små og mellomstore bedrifter, ofte kjent som SMB-er, bærer vanligvis hovedtyngden av aktive angrep. Dette er fordi de fleste SMB-er ikke har ressurser til å anskaffe avanserte cybersikkerhetstiltak. Og ettersom aktive angrep fortsetter å utvikle seg, må disse sikkerhetstiltakene oppdateres regelmessig, ellers gjør de nettverket sårbart for avanserte angrep.

Hvordan fungerer et aktivt angrep?

Det første trusselaktørene vil gjøre etter å ha identifisert målet er å se etter sårbarheter i målets nettverk. Dette er et forberedende stadium for den typen angrep de planlegger.

De bruker også passive skannere for å få informasjon om typen programmer som kjører på målets nettverk. Når svakhetene er oppdaget, kan hackerne bruke en av følgende former for aktive angrep for å undergrave nettverkssikkerheten:

1. Sesjonskapringangrep

I en øktkapringsangrep, også kjent som sesjonsreplay, avspillingsangrep eller replay-angrep, kopierer trusselaktørene Internett-sesjons-ID-informasjonen til målet. De bruker denne informasjonen til å hente påloggingsinformasjon, etterligne målene og stjele andre sensitive data fra enhetene deres.

Denne etterligningen gjøres ved hjelp av øktinformasjonskapsler. Disse informasjonskapslene fungerer sammen med HTTP-kommunikasjonsprotokollen for å identifisere nettleseren din. Men de forblir i nettleseren etter at du har logget ut eller avsluttet nettlesingsøkten. Dette er en sårbarhet som trusselaktører utnytter.

De gjenoppretter disse informasjonskapslene og lurer nettleseren til å tro at du fortsatt er tilkoblet. Nå kan hackere få den informasjonen de vil ha fra nettleserloggen din. De kan enkelt få kredittkortdetaljer, økonomiske transaksjoner og kontopassord på denne måten.

Det er andre måter hackere kan få sesjons-IDen til målet deres på. En annen vanlig metode involverer bruk av ondsinnede lenker, som fører til nettsteder med en ferdig ID som hackeren kan bruke til å kapre nettleserøkten din. Når de først er beslaglagt, vil det ikke være mulig for serverne å oppdage noen forskjell mellom den opprinnelige sesjons-IDen og den andre som er replikert av trusselaktørene.

2. Meldingsmodifikasjonsangrep

Disse angrepene er hovedsakelig e-postbaserte. Her redigerer trusselaktøren pakkeadresser (som inneholder avsender og mottakers adresse) og sender e-posten til et helt annet sted eller endrer innholdet for å komme inn på målet Nettverk.

Hackerne sender post mellom målet og en annen part. Når denne avskjæringen er fullført, har de friheten til å utføre hvilken som helst operasjon på den, inkludert å injisere ondsinnede lenker eller fjerne meldinger innenfor. Posten vil deretter fortsette på sin reise, med målet som ikke vet at det har blitt tuklet med.

3. Maskeradeangrep

Dette angrepet utnytter svakheter i autentiseringsprosessen til målets nettverk. Trusselaktørene bruker stjålne påloggingsdetaljer for å etterligne en autorisert bruker, ved å bruke brukerens ID for å få tilgang til deres målrettede servere.

I dette angrepet kan trusselaktøren, eller maskeraden, være en ansatt i organisasjonen eller en hacker som bruker en tilkobling til det offentlige nettverket. Slappe autorisasjonsprosesser kan tillate disse angriperne adgang, og mengden data de vil ha tilgang til avhenger av rettighetsnivået til den etterligne brukeren.

Det første trinnet i et maskeradeangrep er å bruke en nettverkssniffer for å hente IP-pakker fra målets enheter. Disse falske IP-adresser lure målets brannmurer, omgå dem og få tilgang til nettverket deres.

4. Denial-of-Service (DoS) angrep

I dette aktive angrepet gjør trusselaktørene nettverksressurser utilgjengelige for de tiltenkte, autoriserte brukerne. Hvis du opplever et DoS-angrep, vil du ikke kunne få tilgang til nettverkets informasjon, enheter, oppdateringer og betalingssystemer.

Det finnes ulike typer DoS-angrep. En type er bufferoverløpsangrep, der trusselaktørene oversvømmer målets servere med mye mer trafikk enn de kan håndtere. Dette fører til at serverne krasjer, og som et resultat vil du ikke kunne få tilgang til nettverket.

Det er også smurfeangrepet. Trusselaktørene vil bruke fullstendig feilkonfigurerte enheter for å sende ICMP-pakker (internet control message protocol) til flere nettverksverter med en forfalsket IP-adresse. Disse ICMP-pakkene brukes vanligvis til å bestemme om data når nettverket på en ryddig måte.

Vertene som er mottakere av disse pakkene vil sende meldinger til nettverket, og med mange svar som kommer inn, er resultatet det samme: krasjet servere.

Slik beskytter du deg selv mot aktive angrep

Aktive angrep er vanlig, og du bør beskytte nettverket ditt mot disse ondsinnede operasjonene.

Det første du bør gjøre er å installere en avansert brannmur og inntrengningsforebyggende system (IPS). Brannmurer bør være en del av ethvert nettverks sikkerhet. De hjelper til med å skanne etter mistenkelig aktivitet og blokkere alle som oppdages. IPS overvåker nettverkstrafikk som brannmurer og tar skritt for å beskytte nettverket når et angrep blir identifisert.

Bildekreditt: Anatolir/Shutterstock

En annen måte å beskytte mot aktive angrep på er å bruke tilfeldige sesjonsnøkler og engangspassord (OTP). Sesjonsnøkler brukes til å kryptere kommunikasjon mellom to parter. Når kommunikasjonen avsluttes, forkastes nøkkelen, og en ny genereres tilfeldig når en annen kommunikasjon starter. Dette sikrer maksimal sikkerhet, siden hver nøkkel er unik og ikke kan replikeres. Videre, når en økt er avsluttet, kan ikke nøkkelen for den perioden brukes til å vurdere dataene som utveksles under økten.

OTP-er fungerer på samme premiss som sesjonsnøkler. De er tilfeldig genererte alfanumeriske/numeriske tegn som kun er gyldige for ett formål og utløper etter en bestemt periode. De brukes ofte i kombinasjon med et passord for å oppgi to-faktor autentisering.

Hackere og angripere, brannmurer og 2FA

Aktive angrep utnytter svakhetene i et nettverks autentiseringsprotokoller. Derfor er den eneste beviste måten å forhindre disse angrepene på å bruke brannmurer, IPS, tilfeldige øktnøkler og, viktigst av alt, tofaktorautentisering. Slik autentisering kan være en kombinasjon av en tilfeldig generert nøkkel, et brukernavn og et passord.

Dette kan virke kjedelig, men etter hvert som aktive angrep utvikler seg og blir enda mer hensynsløse, bør verifiseringsprosesser ta utfordringen og stå vakt mot disse innkommende angrepene. Husk at når trusselaktørene er i nettverket ditt, vil det være vanskelig å skylle dem ut.