CERT-RO: Hackerii dezvăluie care le sunt strategiile
CERT-RO precizează că un studiu realizat la conferința DEFCON din Las Vegas în 2016 și adresat hackerilor identifica strategiile actuale ale acestora și posibile metode de contracarare.
Un studiu pe baza de chestionare realizat la conferința DEFCON din Las Vegas în 2016 și intitulat The Black Report s-a adresat hackerilor, în încercarea de a identifica atât strategiile actuale ale acestora cât și posibile metode de contracarare, relatează Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO).
Dacă în peisajul securității cibernetice abundă studiile și chestionarele adresate managerilor de IT din companii, studiul de față, axat pe punctul de vedere al hackerului, constituie un element de noutate.
În afara hackerilor, studiul cuprinde și răspunsuri oferite de pentesteri, în total un număr de 70 de respondenți.
Concluziile principale ale studiului:
- Perioada de timp pentru intruziune scade: Daca în mod obișnuit unei companii îi sunt necesare 250-300 zile pentru a depista pătrunderea în rețelele și sistemele sale, unui hacker îi trebuiesc de regulă mai puțin de 24 de ore pentru a pătrunde cu succes și a exfiltra datele din sistemele și rețelele țintă. Studiul mai relevă faptul că aproximativ o treime din atacuri nu sunt depistate niciodată.
- Anumite măsuri tradiționale de protecție nu sunt de ajutor. Studiul arată faptul că în ciuda încrederii publice în măsurile de securitate tradiționale precum firewall-uri și soluții antivirus, hackerii intervievați susțin faptul că acestea nu sunt aproape niciodată eficiente în a preveni sau încetini intruziunile. Într-o notă ceva mai pozitivă totuși, soluțiile de securitate de tip endpoint au dovedit o eficiență mai mare.
- Hackerii nu utilizează aceleași metode la toate atacurile: Contrar concepției comune conform căreia în momentul în care un hacker descoperă o metodă eficientă de atac, o reutilizează permanent, studiul arată faptul că mai mult de 50% din infractorii cibernetici își schimbă metodele când abordează o nouă țintă. Acest lucru semnifică faptul că atacatorii inovează și adoptă metode de atac posibil necunoscute anterior, reducând mult șansele de a fi depistați prin metode ce se bazează pe tipuri de atacuri cunoscute anterior. Totodată, schimbarea metodelor de atac crește șansele ca o companie să cadă victimă vulnerabilităților zero-day.
- Exploit-kit-urile nu sunt atât de populare pe cât se crede: O altă surpriză avută de cercetători a constituit-o constatarea faptului că kiturile de exploit nu sunt în topul preferințelor hackerilor ca instrumente de atac. În realitate, în timp ce majoritatea repondenților (72%) utilizează ingineria socială pentru a culege detaliile necesare pregătirii intruziunii, instrumentele comerciale și kiturile de exploit sunt utilizate doar în 3% dintre atacuri. Majoritatea atacatorilor preferă instrumente open-source (60%) sau instrumente dezvoltate special (21%).
Conform Trend Micro, un atac asupra unei ținte urmează anumiți pași:
- Colectarea de informații (de regulă prin inginerie socială) despre compania sau organizația țintă și pe cât posibil despre persoane individuale precum angajații sau conducerea entității vizate.
- Ulterior, atacatorul are ca țintă un anumit dispozitiv deținut și utilizat de angajat. Acesta poate fi un terminal aparținând organizației sau chiar un dispozitiv personal al angajatului în situația în care este permisă utilizarea lor în rețeaua organizației.
- De îndată ce dispozitivul țintă a fost identificat și infectat, atacatorul va stabili un server de comandă și control și va crea o cale de acces către rețeaua victimă.
- Atacatorul va parcurge apoi rețeaua căutând date valoroase pe care să le trimită către serverul de comandă și control.
- În final, datele sunt extrase.