Etkin bir saldırı, bilgisayar ağınızın kaynaklarını veya işlemlerini değiştirmeye çalıştığı için tehlikeli bir siber saldırıdır. Aktif saldırılar genellikle tespit edilemeyen veri kaybına, marka hasarına ve artan kimlik hırsızlığı ve dolandırıcılık riskine neden olur.
Aktif saldırılar, günümüzde işletmelerin karşı karşıya olduğu en yüksek öncelikli tehdidi temsil etmektedir. Neyse ki, bu saldırıları önlemek ve meydana gelmeleri durumunda etkilerini azaltmak için yapabileceğiniz şeyler var.
Aktif Saldırılar Nedir?
Aktif bir saldırıda, tehdit aktörleri, buradaki verilere erişmek için hedefin ağındaki zayıflıklardan yararlanır. Bu tehdit aktörleri, yeni veriler enjekte etmeye veya mevcut verilerin yayılmasını kontrol etmeye çalışabilir.
Aktif saldırılar, hedefin cihazındaki verilerde değişiklik yapılmasını da içerir. Bu değişiklikler, kişisel bilgilerin çalınmasından ağın tamamen ele geçirilmesine kadar uzanmaktadır. Bu saldırılar kolayca tespit edilebildiğinden, genellikle sistemin güvenliğinin aşıldığı konusunda uyarı alırsınız, ancak başladıktan sonra onları durdurmak oldukça zahmetli olabilir.
Genellikle KOBİ'ler olarak bilinen küçük ve orta ölçekli işletmeler, genellikle aktif saldırıların yükünü taşır. Bunun nedeni, çoğu KOBİ'nin üst düzey siber güvenlik önlemleri alacak kaynaklara sahip olmamasıdır. Aktif saldırılar gelişmeye devam ettikçe, bu güvenlik önlemlerinin düzenli olarak güncellenmesi gerekir, aksi takdirde ağı gelişmiş saldırılara karşı savunmasız bırakırlar.
Aktif Saldırı Nasıl Çalışır?
Tehdit aktörlerinin hedefi belirledikten sonra yapacakları ilk şey, hedefin ağındaki güvenlik açıklarını aramak olacaktır. Bu, planladıkları saldırı türü için bir hazırlık aşamasıdır.
Hedefin ağında çalışan programların türü hakkında bilgi almak için pasif tarayıcılar da kullanırlar. Zayıflıklar keşfedildikten sonra, bilgisayar korsanları ağ güvenliğini baltalamak için aşağıdaki aktif saldırı biçimlerinden herhangi birini kullanabilir:
1. Oturum Ele Geçirme Saldırısı
İçinde oturum ele geçirme saldırısıoturum tekrarı, kayıttan oynatma saldırıları veya tekrar saldırıları olarak da bilinen tehdit aktörleri, hedefin internet oturum kimlik bilgilerini kopyalar. Bu bilgileri oturum açma kimlik bilgilerini almak, hedeflerin kimliğine bürünmek ve ayrıca cihazlarından diğer hassas verileri çalmak için kullanırlar.
Bu kimliğe bürünme, oturum tanımlama bilgileri kullanılarak yapılır. Bu çerezler, tarayıcınızı tanımlamak için HTTP iletişim protokolü ile birlikte çalışır. Ancak siz oturumu kapattıktan veya tarama oturumunu sonlandırdıktan sonra tarayıcıda kalırlar. Bu, tehdit aktörlerinin yararlandığı bir güvenlik açığıdır.
Bu tanımlama bilgilerini kurtarırlar ve tarayıcıyı hala çevrimiçi olduğunuzu düşünmeleri için kandırırlar. Artık bilgisayar korsanları tarama geçmişinizden istedikleri bilgileri alabilirler. Bu sayede kredi kartı bilgilerini, finansal işlemleri ve hesap şifrelerini kolayca alabilirler.
Bilgisayar korsanlarının hedeflerinin oturum kimliğini elde etmesinin başka yolları da vardır. Başka bir yaygın yöntem, bilgisayar korsanının tarama oturumunuzu ele geçirmek için kullanabileceği hazır kimliğe sahip sitelere yönlendiren kötü amaçlı bağlantıları kullanmayı içerir. Bir kez ele geçirildikten sonra, sunucuların orijinal oturum kimliği ile tehdit aktörleri tarafından kopyalanan diğer oturum kimliği arasındaki herhangi bir farkı algılamasının hiçbir yolu olmayacaktır.
2. Mesaj Değiştirme Saldırısı
Bu saldırılar çoğunlukla e-posta tabanlıdır. Burada, tehdit aktörü paket adreslerini (gönderen ve alıcının adresini içeren) düzenler ve postayı tamamen farklı bir konuma gönderir veya hedefin alanına girmek için içeriği değiştirir. ağ.
Bilgisayar korsanları, hedef ile başka bir taraf arasındaki postalara el koyar. Bu engelleme tamamlandığında, kötü amaçlı bağlantılar eklemek veya içindeki herhangi bir mesajı kaldırmak da dahil olmak üzere üzerinde herhangi bir işlem yapma özgürlüğüne sahip olurlar. Posta daha sonra hedefin kurcalandığını bilmeden yolculuğuna devam edecek.
3. maskeli balo saldırısı
Bu saldırı, hedefin ağının kimlik doğrulama sürecindeki zayıflıklardan yararlanır. Tehdit aktörleri, hedeflenen sunucularına erişim elde etmek için kullanıcının kimliğini kullanarak yetkili bir kullanıcının kimliğine bürünmek için çalınan oturum açma bilgilerini kullanır.
Bu saldırıda, tehdit aktörü veya maskeli balo, kuruluş içindeki bir çalışan veya genel ağ bağlantısını kullanan bir bilgisayar korsanı olabilir. Gevşek yetkilendirme süreçleri, bu saldırganların giriş yapmasına izin verebilir ve erişebilecekleri veri miktarı, kimliğine bürünen kullanıcının ayrıcalık düzeyine bağlıdır.
Maskeli balo saldırısındaki ilk adım, hedefin cihazlarından IP paketleri elde etmek için bir ağ dinleyicisi kullanmaktır. Bunlar sahte IP adresleri hedefin güvenlik duvarlarını kandırın, onları atlayın ve ağlarına erişim sağlayın.
4. Hizmet Reddi (DoS) Saldırısı
Bu aktif saldırıda, tehdit aktörleri ağ kaynaklarını hedeflenen, yetkili kullanıcılar için kullanılamaz hale getirir. Bir DoS saldırısı yaşarsanız, ağın bilgilerine, cihazlarına, güncellemelerine ve ödeme sistemlerine erişemezsiniz.
DoS saldırılarının çeşitli türleri vardır. Bir tür tampon taşma saldırısı, tehdit aktörlerinin hedefin sunucularını kaldırabileceklerinden çok daha fazla trafikle doldurduğu yer. Bu, sunucuların çökmesine neden olur ve sonuç olarak ağa erişemezsiniz.
Bir de smurf saldırısı var. Tehdit aktörleri, sahte bir IP adresine sahip birkaç ağ ana bilgisayarına ICMP (internet kontrol mesajı protokolü) paketleri göndermek için tamamen yanlış yapılandırılmış cihazlar kullanacak. Bu ICMP paketleri tipik olarak verilerin ağa düzenli bir şekilde ulaşıp ulaşmadığını belirlemek için kullanılır.
Bu paketlerin alıcıları olan ana bilgisayarlar, ağa mesajlar gönderir ve gelen birçok yanıtla sonuç aynıdır: çöken sunucular.
Aktif Saldırılara Karşı Kendinizi Nasıl Korursunuz?
Aktif saldırılar yaygındır ve ağınızı bu kötü niyetli işlemlerden korumalısınız.
Yapmanız gereken ilk şey, üst düzey bir güvenlik duvarı kurmak ve izinsiz giriş önleme sistemi (IPS). Güvenlik duvarları, herhangi bir ağın güvenliğinin bir parçası olmalıdır. Şüpheli etkinliklerin taranmasına ve tespit edilenlerin engellenmesine yardımcı olurlar. IPS, ağ trafiğini güvenlik duvarları gibi izler ve bir saldırı belirlendiğinde ağı korumak için adımlar atar.
Aktif saldırılara karşı korunmanın bir başka yolu da rastgele oturum anahtarları ve tek seferlik şifreler (OTP'ler) kullanmaktır. Oturum anahtarları, iki taraf arasındaki iletişimi şifrelemek için kullanılır. İletişim sona erdiğinde, anahtar atılır ve başka bir iletişim başladığında rastgele yeni bir tane oluşturulur. Bu, her anahtar benzersiz olduğundan ve kopyalanamayacağından maksimum güvenlik sağlar. Ayrıca, bir oturum sona erdiğinde, o döneme ait anahtar, oturum sırasında değiş tokuş edilen verileri değerlendirmek için kullanılamaz.
OTP'ler, oturum anahtarlarıyla aynı öncül üzerinde çalışır. Yalnızca tek bir amaç için geçerli olan ve belirli bir süre sonra sona eren rastgele oluşturulmuş alfasayısal/sayısal karakterlerdir. sağlamak için genellikle bir parola ile birlikte kullanılırlar. iki faktörlü kimlik doğrulama.
Bilgisayar Korsanları ve Saldırganlar, Güvenlik Duvarları ve 2FA
Aktif saldırılar, bir ağın kimlik doğrulama protokollerindeki zayıflıklardan yararlanır. Bu nedenle, bu saldırıları önlemenin kanıtlanmış tek yolu güvenlik duvarları, IPS, rastgele oturum anahtarları ve en önemlisi iki faktörlü kimlik doğrulama kullanmaktır. Bu tür bir kimlik doğrulama, rastgele oluşturulmuş bir anahtarın, bir kullanıcı adının ve bir parolanın birleşimi olabilir.
Bu can sıkıcı görünebilir, ancak aktif saldırılar geliştikçe ve daha da acımasız hale geldikçe, doğrulama süreçleri bu gelen saldırılara karşı koruma sağlayarak zorluğun üstesinden gelmelidir. Tehdit aktörleri ağınıza girdikten sonra onları temizlemenin zor olacağını unutmayın.
