Ръководство за подправяне на нападения и как да ги предотвратим

Кибер атаките се предлагат в най-различни форми, от груби сили DDoS атаки до осакатяващи инфекции, но има малко кибер заплахи, които са толкова недвусмислени, колкото измамни атаки. Измамни атаки са позволили на безброй киберпрестъпници тайно да нарушават корпоративните мрежи, без да бъдат открити.

Шокиращо, Microsoft изчислява, че нападателите се крият в мрежа средно 146 дни преди откриването. Това предполага, че нападателите на измама разполагат с достатъчно време, за да се запознаят с важни данни. Цената на пренебрегването на тези атаки може да бъде катастрофална. Всъщност се изчислява, че киберпрестъпленията струват на организациите над 600 милиарда долара през [year] г..

Значителен процент от тези атаки ще бъдат нападения от подлога. В тази статия ще разгледаме атаките за подправяне и мерките, които можете да предприемете, за да не им откраднат данните.

Какво е Spoofing Attack?

А измама атака е вид кибератака когато натрапник имитира друго законно устройство или потребител, за да започне атака срещу мрежата. С други думи, нападател изпраща съобщение от устройство, прикрито като законно устройство. Има много различни начини, чрез които атаките на подправяне могат да бъдат опитани от атаки за подправяне на IP адрес до атаки за подправяне на ARP.

Защо измамите атакуват такава заплаха?

Пристъпите на подправяне са широко разпространен проблем, защото те не привличат същото ниво на внимание като другите атаки. Докато ransomware привлича вниманието на организации по целия свят по време на атаката на WannaCry, много организации подлагат на щети, които могат да бъдат причинени от успешна атака на подправка.

Атаките на подправяне са сложна цялост, защото могат да възникнат по толкова различни начини. от ARP измама да се IP spoofing и DNS spoofing, има много опасения да се следи, че не е изненадващо, че много организации не успяват да покрият всичко. Една подправяне по имейл атака може да бъде стартирана просто като отговори на грешен имейл!

В много случаи това се изостря, тъй като собствениците на фирми правят опасното погрешно схващане, че тяхната компания е малка риба в голямо езерце. за жалост, никой не е в безопасност от подправяне на IP. Без подходящо обучение или оборудване, умерено квалифициран нападател може да заобиколи защитата си и да получи достъп до вашите данни по желание.

Осъзнаването на всички основни форми на подправяне на атаки и прилагането на мерки за запазване срещу тях е единственият начин да защитите вашата организация. В следващия раздел ще разгледаме някои от видовете измамнически атаки, които можете да изпитате.

Видове атаки на измама

Както бе споменато по-горе, атаките на измама се получават в много различни форми. Ще разгледаме най-често срещаните видове атаки на измама, с които организациите се срещат ежедневно. Също така ще разгледаме как могат да бъдат открити тези атаки, преди да разгледаме как да ги предотвратим напълно в следващия раздел. Ето списък на видовете атаки за подправяне:

• ARP Spoofing Attack
• IP Spoofing Attack
• Spoofing Attack
• DNS Spoofing Attack

ARP Spoofing Attack

ARP спуфинг атака е атака, която използва Протокол за разрешаване на адрес да ловят риба за информация. При атака за подправяне на ARP нападателят изпраща ARP съобщения през мрежата в опит да свържете своя MAC адрес с IP адреса на член на персонала. Нападателят чака тихо в мрежата, докато не успеят да пропукат IP адреса.

След като IP адресът се пропука, нападателят може да прихване данни между компютъра и рутера. Тогава данните, изпратени до члена на персонала, всъщност се изпращат на IP адреса на нападателя. Крайният резултат са данни в ръцете на нападателя. След това нападателят може да използва IP адреси в цялата мрежа срещу вас да стартирате DOS атака за отказ от обслужване. Едно от най-важните неща, които трябва да отбележите при ARP атаките за подправяне е, че те може да работи само в локални мрежи, които използват протокола ARP.

Как да открием ARP Spoofing Attack

Има редица начини, по които можете да откриете ARP атака на подправяне. Един прост начин да проверите дали нежелан нарушител се подлъгва във вашата мрежа е да отворите командния ред и да въведете следното:

ARP-а

Тази команда ще ви покаже таблицата ARP на вашето устройство. Искате да погледнете през масата и вижте дали някой IP адреси споделят един и същ MAC адрес. Ако два IP адреса споделят един и същ MAC адрес, това означава, че има нарушител в мрежата.

IP Spoofing Attack

Една IP атака на подправяне е мястото, където нападател се опитва да се представи като IP адрес, за да може да се преструва на друг потребител. По време на атака за подправяне на IP адрес, нападателят изпраща пакети от фалшив източник. Тези пакети се изпращат до устройства в мрежата и действат подобно на DoS атака. Нападателят използва множество адреси на пакети, за да затрупа устройство с твърде много пакети.

Как да разпознаете атака на IP Spoofing Attack

Като един от най-популярните видове атака на измамите, IP атаките за подправяне могат да бъдат открити чрез използването на a мрежов анализатор или инструмент за наблюдение на честотната лента. Наблюдението на вашата мрежа ще ви позволи да наблюдавате нормалното използване на трафика и да разпознавате, когато има аномален трафик. Това ви дава информация, че нещо не е наред, за да можете да разследвате по-нататък.

По-специално, което търсите обърнете внимание на IP адресите и поточните данни, които могат да ви насочат към нелегитимен трафик. Улавянето на атаки за подправяне на IP рано е особено важно, защото те често идват като част от DDoS (Директно отказване на услуга) атаки, които могат да отнемат цялата мрежа офлайн.

Вижте също: Разбиране на DoS и DDoS атаки

Изпращане на имейли за подправяне

Изпратете имейл подправки са къде нападателят изпраща имейл, имитиращ друг подател. При тези атаки полето на подателя се излъчва, за да показва фалшиви данни за контакт. Нападателят се представя за този субект и след това ви изпраща имейл с искане за информация. Тези атаки често се използват, за да представляват администратори и да питат други членове на персонала за подробности за акаунта.

Как да открием атака за подправяне на имейл

Атаките на подправяне на имейл са може би най-рисковите, защото са насочени директно към персонала. Реагирането на грешен имейл може да доведе до настъпване на нападател върху важни данни. В случай че подправен имейл го въведе във входящата ви поща, първата ви защита трябва да бъде останете скептични към показваните имена на имейли.

Нападателите измамите показват имена през цялото време, така че ще трябва да проверите имейл адреса. Ако има линкове в имейла, можете да ги напишете в нов прозорец, за да проверите дали са легитимни. Също така може да ви помогне да проверите за правописни грешки и други неточности, които могат да покажат, че подателят не е легитимен.

Вижте също: Чести фишинг измами и как да ги разпознаем и избегнем

DNS Spoofing Attack

Атаки на DNS или домейн имена са къде нападателите вдигат списъка с публичните IP адреси. DNS сървърите имат база данни с публични IP адреси и имена на хостове, които се използват за помощ при навигация в мрежата. Когато възникне DNS атака, атакуващият променя имената на домейни, така че да бъдат пренасочени към нов IP адрес.

Един пример за това е, ако въведете URL адрес на уебсайт и след това ще бъдете изпратени до измамен домейн вместо уебсайта, на който първоначално сте искали да отидете. Това е популярен начин за нападателите да разпространяват червеи и вируси в мрежи.

Как да разпознаете атаките на DNS Spoofing

За да откриете DNS атака на подправяне е добра идея да използвате инструмент като dnstraceroute. DNS атаките за спуфинг зависят от атакуващия фалшификатор на DNS отговора. Използването на dnstraceroute ще ви позволи да видите къде е отговорен на DNS заявката. Ще можете да видите местоназначението на DNS сървъра и да видите дали някой е измамил DNS отговора.

Свързани: Преглед на инструменти на SolarWinds Traceroute (с безплатни опити)

Вижте също: Най-добри инструменти за мониторинг и отстраняване на проблеми с DNS сървъра

Как да се предотвратят нападения от измама

Да можеш да предотвратиш атака на подправка зависи изцяло от типа атака, която преживяваш. Има много различни видове атаки и всяка от тях използва различни уязвимости във вашата мрежа, за да влезе в сила. Като такъв, ние ще обсъдим как можете да предотвратите всеки вид атака на измама поотделно (както и общо ръководство за предотвратяване на атаки на подправяне).

Като универсално правило, единственият начин да се защитите от атаки на измама е да бъдете бдителни и прилагайте политиките на компанията, които включват мерки за откриване и реагиране на подправни атаки, когато се появят. В крайна сметка най-добрата политика в областта на киберсигурността в света е безполезна, ако не се приложи на практика.

Общи съвети за предотвратяване на често срещани нападения

Противопоставянето на атаките за подправяне е свързано с инициативата. Има редица стъпки, които можете да внедрите във вашата организация, за да се предпазите от атаки на измама. Някои от основните начини са показани по-долу:

• Филтриране на пакети – Пакетните филтри инспектират пакетите в транзит. Филтрирането на пакети може да ви помогне да предотвратите атаки на подправяне на IP адреси, тъй като те блокират пакетите с неправилна информация за източника на адрес.
• Спрете да използвате доверителни отношения – Доверителните отношения са там, където мрежите използват само IP адреси за удостоверяване на устройства. Елиминирането на доверителните отношения осигурява допълнителен слой сигурност.
• Разположете инструмент за откриване на подвод – Много от доставчиците са произвели инструменти за откриване на измама в опит да ограничат разпространението на ARP подправки атаки. Тези инструменти са предназначени за проверка на данни и блокиране на данни, което не е законно.
• Използвайте криптирани протоколи – Шифроването на данни при транспортиране може да бъде чудесен начин да се предотврати възможността на нападателите да могат да преглеждат или взаимодействат с данните. HTTP Secure (HTTPS), сигурност на транспортния слой (TLS) и сигурна обвивка (SSH) са протоколи, които могат да пазят кибер атакуващите далеч.
• Разгърнете антивирусен софтуер на вашите устройства – Използването на антивирусен софтуер на вашите устройства ще гарантира, че те могат да се справят с всеки нанесен злонамерен софтуер.
• Инсталирайте защитни стени във вашата мрежа – Защитната стена ще ви помогне да предпазите нежеланите натрапници и да гарантира, че вашата мрежа остава защитена.
• Започнете да използвате VPN – VPN или виртуална частна мрежа криптира данни, така че да не могат да бъдат прочетени от външна страна.

Един от ключовите елементи на превенцията е осъзнаването. За да останете защитени от атаки на измама, трябва бъдете наясно с свързаните рискове с тях. Това идва с признаването на това довереното удостоверяване е отговорност. По същия начин, ако не следите мрежовия си трафик, можете само да гадаете, че мрежата ви се държи както трябва.

Как да се предотврати ARP Spoofing Attack

ARP подправящите атаки изглеждат доста сложни на повърхността, но методите, които можете да използвате, за да ги предотвратите, всъщност са доста прости. Използването на комбинация от VPN, анти ARP подправки инструменти и филтриране на пакети е от ключово значение за поддържането на тези атаки в резерва:

• Използвайте виртуална частна мрежа (VPN) – Използването на VPN ще ви позволи да запазите трафика си защитен чрез криптиране. Това означава, че дори ако мрежата ви стане жертва на измама с ARP, нападателят няма да има достъп до която и да е от вашите данни, тъй като е бил шифрован.
• Anti ARP Spoofing Tools – Можете също да изтеглите анти ARP инструмент за подправяне. Инструментите за изкривяване на ARP могат да помогнат за откриване и борба с входящите ARP атаки. Инструменти като ARP AntiSpoofer и shARP са два популярни средства за защита от измама.
• Филтриране на пакети – Филтрирането на пакети се използва за филтриране на входящи пакети и предотвратяване на компрометирани пакети от съмнителни източници. Това означава, че ако някой се опита да стартира ARP атака, вие ще можете да се преборите с нея.

Как да се предотврати атака на IP Spoofing Attack

Гарантирането, че всички IP адреси, присъстващи във вашата мрежа, са законни, може да бъде висока задача, но тя е управляема. Справянето с IP атаки на подправяне зависи от извършването на редица ключови промени в ежедневните ви операции:

• Използвайте списък за контрол на достъпа – Списък за контрол на достъпа ви позволява да откажете личните IP адреси да взаимодействат с вашата мрежа. Това ще попречи на много атаки да слезе от земята.
• Филтриране на пакети – Филтрирането на пакети продължава да се появява, но е един от най-добрите начини да контролирате какъв трафик е разрешен във вашата мрежа. Чрез филтриране на трафика можете да блокирате трафика от подозрителни източници.
• заверка – Удостоверяването на взаимодействията между устройствата в мрежата ви ще помогне да се уверите, че нищо не е било подправено.
• Промяна на конфигурациите на маршрутизатора и комутатора – Конфигурирайте маршрутизаторите и превключвателите си, за да отхвърляте входящите пакети извън локалната мрежа, които излъгват вътрешно начало.

Как да се предотвратят атаки за подправяне на имейл

Въпреки че много от горните съвети ще ви помогнат да предотвратите атаките с подправки по имейл, има и редица други притеснения, които също трябва да вземете под внимание. За да предотвратите увреждането на електронната поща от имейл, е добре да направите следното:

• Не отваряйте поща от неразпознати податели – Ако не разпознаете подателя, не отваряйте имейла. Това ще ви помогне да не ви комуникира с потенциални нападатели
• Игнорирайте имейлите, изпратени с вашето име във формата за подател – Понякога нападателите ще имат дързостта да ви съобщят, използвайки собственото си име. Игнорирането на тези съобщения е единственият безопасен отговор.
• Игнорирайте имейлите, изпратени без името на подателя – Ако имейл не съдържа името на изпращача, не го отваряйте и не отговаряйте. Това е признак на атака с подвод.
• Филтрирайте съобщенията във входящата си поща – В настройките на входящата си поща конфигурирайте филтър, който да блокира празните изпращачи от вашата кутия. Това ще намали риска от случайно щракване върху подправен имейл.
• Игнорирайте имейлите, които просто имат връзка в текстовото тяло – Единично мастило в текстовото тяло е показателно за злонамерена връзка, така че не го отваряйте!
• Използвайте система за удостоверяване на имейл – Система за удостоверяване на имейл като SenderID или Send Policy Framework може да гарантира, че потребителят, с когото разговаряте, е легитимен.

Как да предотвратите атака на DNS Spoofing Attack

DNS атаките за подправяне разчитат на възможността да заснемат пакети и след това да създават подправени версии, използвайки един и същ идентификационен номер, за да летят под радара. Въпреки това, като въведете няколко мерки, можете драстично да намалите шансовете за успешна атака.

• Използвайте антивирусен инструмент – Антивирусен инструмент ще ви помогне да сведете до минимум шанса на натрапник да има достъп до вашата мрежа. Затварянето на този прозорец прави много по-трудно за нападателите да ги улавят и модифицират, без да забелязвате.
• Използвайте защитна стена на шлюза или IDS – Можете също да предотвратите атаки, като инвестирате в защитна стена на шлюза или IDS. Използването на защитна стена ще ви позволи да се преборите с атаки, като инспектирате ARP, за да идентифицирате DNS измама или отравяне с DNS.
• Шифровайте мрежовия трафик – Шифроването на мрежовия трафик затруднява взаимодействието на нападателя с вашата мрежа, защото защитава данните.

Ръководство за подправяне на атаки: останете една крачка напред от нападателите

Атаките с подправки са едни от най-разнообразните заплахи, с които се сблъскват съвременните организации. Докато много атаки всички имат определени модели, призрачните атаки се предлагат в много различни форми всеки със собствените си заплахи и крайни цели. Понякога нападателят е на лов за информация, а друг път атакуващият иска да ДОС вашите ключови услуги в забвение.

Въпреки че не можете да спрете всяка атака да проправя път, като сте наясно със заплахите и предприемете стъпки за ограничаване на рисковете от атакуващия го, ще помогне да поддържате мрежата си онлайн. Освобождаването от сляпо доверие и анализирането на пакетите ще направят много по-трудно за нападателите да се промъкнат през неоткрити.

Най-важната част от предотвратяването на атаки с подправки е да сте сигурни, че вие определете политика за киберсигурност, съобразена с тези атаки. Предоставянето на информация на персонала за атаките на измама и предпазните мерки, които трябва да предприемат, ще помогне да се предотвратят атаките на измама, които идват по ваш начин.

Свързани: 25 най-добри инструменти и софтуер за мониторинг на мрежата за [year] г.