Ein aktiver Angriff ist ein gefährlicher Cyberangriff, da er versucht, die Ressourcen oder Vorgänge Ihres Computernetzwerks zu verändern. Aktive Angriffe führen häufig zu unentdecktem Datenverlust, Markenschäden und einem erhöhten Risiko für Identitätsdiebstahl und Betrug.
Aktive Angriffe stellen heute die Bedrohung mit der höchsten Priorität für Unternehmen dar. Glücklicherweise gibt es Dinge, die Sie tun können, um diese Angriffe zu verhindern und die Auswirkungen zu mildern, wenn sie auftreten.
Was sind aktive Angriffe?
Bei einem aktiven Angriff nutzen Bedrohungsakteure Schwachstellen im Netzwerk des Ziels aus, um Zugriff auf die darin enthaltenen Daten zu erhalten. Diese Bedrohungsakteure können versuchen, neue Daten einzuschleusen oder die Verbreitung vorhandener Daten zu kontrollieren.
Bei aktiven Angriffen werden auch Änderungen an Daten auf dem Gerät des Ziels vorgenommen. Diese Änderungen reichen vom Diebstahl persönlicher Daten bis hin zu einer vollständigen Netzwerkübernahme. Sie werden oft gewarnt, dass das System kompromittiert wurde, da diese Angriffe leicht zu erkennen sind, aber sie zu stoppen, sobald sie begonnen haben, kann ziemlich anstrengend sein.
Kleine und mittelständische Unternehmen, allgemein bekannt als SMBs, tragen normalerweise die Hauptlast aktiver Angriffe. Dies liegt daran, dass die meisten KMU nicht über die Ressourcen verfügen, um High-End-Cybersicherheitsmaßnahmen zu beschaffen. Und da sich aktive Angriffe weiterentwickeln, müssen diese Sicherheitsmaßnahmen regelmäßig aktualisiert werden, oder sie machen das Netzwerk anfällig für fortgeschrittene Angriffe.
Wie funktioniert ein aktiver Angriff?
Das erste, was Bedrohungsakteure tun, nachdem sie das Ziel identifiziert haben, ist, nach Schwachstellen im Netzwerk des Ziels zu suchen. Dies ist eine Vorbereitungsphase für die Art des Angriffs, den sie planen.
Sie verwenden auch passive Scanner, um Informationen über die Art der Programme zu erhalten, die im Netzwerk des Ziels ausgeführt werden. Sobald die Schwachstellen entdeckt wurden, können die Hacker eine der folgenden Formen aktiver Angriffe verwenden, um die Netzwerksicherheit zu untergraben:
1. Session-Hijacking-Angriff
In einem Session-Hijacking-Angriff, auch bekannt als Sitzungswiederholung, Wiedergabeangriffe oder Replay-Angriffe, kopieren die Bedrohungsakteure die Internetsitzungs-ID-Informationen des Ziels. Sie verwenden diese Informationen, um Anmeldeinformationen abzurufen, sich als Ziele auszugeben und weitere sensible Daten von ihren Geräten zu stehlen.
Dieser Identitätswechsel erfolgt mithilfe von Sitzungscookies. Diese Cookies arbeiten mit dem HTTP-Kommunikationsprotokoll zusammen, um Ihren Browser zu identifizieren. Sie verbleiben jedoch im Browser, nachdem Sie sich abgemeldet oder die Browsersitzung beendet haben. Dies ist eine Schwachstelle, die Angreifer ausnutzen.
Sie stellen diese Cookies wieder her und täuschen den Browser vor, dass Sie noch online sind. Jetzt können Hacker alle gewünschten Informationen aus Ihrem Browserverlauf abrufen. Auf diese Weise können sie problemlos Kreditkartendaten, Finanztransaktionen und Kontopasswörter abrufen.
Es gibt andere Möglichkeiten, wie Hacker die Sitzungs-ID ihres Ziels erhalten können. Eine weitere gängige Methode ist die Verwendung bösartiger Links, die zu Websites mit einer vorgefertigten ID führen, die der Hacker verwenden kann, um Ihre Browsersitzung zu kapern. Nach der Beschlagnahme hätten die Server keine Möglichkeit mehr, einen Unterschied zwischen der ursprünglichen Sitzungs-ID und der anderen, von den Bedrohungsakteuren replizierten Sitzungs-ID zu erkennen.
2. Nachrichtenänderungsangriff
Diese Angriffe erfolgen hauptsächlich per E-Mail. Hier bearbeitet der Bedrohungsakteur Paketadressen (die die Absender- und Empfängeradresse enthalten) und sendet die Mail an einen völlig anderen Ort oder ändert den Inhalt, um an das Ziel zu gelangen Netzwerk.
Die Hacker beschlagnahmen Post zwischen dem Ziel und einer anderen Partei. Wenn dieses Abfangen abgeschlossen ist, haben sie die Freiheit, alle Operationen daran durchzuführen, einschließlich des Einfügens bösartiger Links oder des Entfernens von darin enthaltenen Nachrichten. Die Post wird dann ihre Reise fortsetzen, ohne dass das Ziel weiß, dass sie manipuliert wurde.
3. Maskerade-Angriff
Dieser Angriff nutzt Schwachstellen im Authentifizierungsprozess des Netzwerks des Ziels aus. Die Angreifer verwenden gestohlene Anmeldedaten, um sich als autorisierter Benutzer auszugeben, indem sie die ID des Benutzers verwenden, um Zugriff auf ihre Zielserver zu erhalten.
Bei diesem Angriff kann der Angreifer oder die Maskerade ein Mitarbeiter innerhalb der Organisation oder ein Hacker sein, der eine Verbindung zum öffentlichen Netzwerk nutzt. Laxe Autorisierungsprozesse könnten diesen Angreifern den Zugriff ermöglichen, und die Datenmenge, auf die sie Zugriff hätten, hängt von der Berechtigungsstufe des imitierten Benutzers ab.
Der erste Schritt bei einem Masquerade-Angriff besteht darin, einen Netzwerk-Sniffer zu verwenden, um IP-Pakete von den Geräten des Ziels zu erhalten. Diese gefälschte IP-Adressen die Firewalls des Ziels zu täuschen, sie zu umgehen und Zugriff auf ihr Netzwerk zu erhalten.
4. Denial-of-Service (DoS)-Angriff
Bei diesem aktiven Angriff machen die Bedrohungsakteure Netzwerkressourcen für die beabsichtigten, autorisierten Benutzer nicht verfügbar. Wenn Sie einen DoS-Angriff erleben, können Sie nicht auf die Informationen, Geräte, Updates und Zahlungssysteme des Netzwerks zugreifen.
Es gibt verschiedene Arten von DoS-Angriffen. Eine Art ist die Pufferüberlaufangriff, bei dem die Bedrohungsakteure die Server des Ziels mit viel mehr Datenverkehr überfluten, als sie bewältigen können. Dies führt dazu, dass die Server abstürzen und Sie keinen Zugriff auf das Netzwerk erhalten.
Es gibt auch die Schlumpf-Attacke. Die Bedrohungsakteure verwenden völlig falsch konfigurierte Geräte, um ICMP-Pakete (Internet Control Message Protocol) an mehrere Netzwerkhosts mit einer gefälschten IP-Adresse zu senden. Diese ICMP-Pakete werden normalerweise verwendet, um festzustellen, ob Daten das Netzwerk ordnungsgemäß erreichen.
Die Hosts, die die Empfänger dieser Pakete sind, senden Nachrichten an das Netzwerk, und bei vielen eingehenden Antworten ist das Ergebnis dasselbe: abgestürzte Server.
So schützen Sie sich vor aktiven Angriffen
Aktive Angriffe sind an der Tagesordnung, und Sie sollten Ihr Netzwerk vor diesen böswilligen Operationen schützen.
Als erstes sollten Sie eine High-End-Firewall installieren und Angrifferkennungssystem (IPS). Firewalls sollten Teil der Sicherheit eines jeden Netzwerks sein. Sie helfen bei der Suche nach verdächtigen Aktivitäten und blockieren alle erkannten Aktivitäten. IPS überwacht den Netzwerkverkehr wie Firewalls und ergreift Maßnahmen zum Schutz des Netzwerks, wenn ein Angriff erkannt wird.
Eine weitere Möglichkeit, sich vor aktiven Angriffen zu schützen, ist die Verwendung von zufälligen Sitzungsschlüsseln und Einmalkennwörtern (OTPs). Sitzungsschlüssel werden verwendet, um die Kommunikation zwischen zwei Parteien zu verschlüsseln. Sobald die Kommunikation endet, wird der Schlüssel verworfen und ein neuer zufällig generiert, wenn eine andere Kommunikation beginnt. Dies gewährleistet maximale Sicherheit, da jeder Schlüssel einzigartig ist und nicht repliziert werden kann. Darüber hinaus kann der Schlüssel dieses Zeitraums nach Beendigung einer Sitzung nicht zur Auswertung der während der Sitzung ausgetauschten Daten verwendet werden.
OTPs funktionieren auf der gleichen Prämisse wie Sitzungsschlüssel. Sie sind zufällig generierte alphanumerische/numerische Zeichen, die nur für einen Zweck gültig sind und nach einer bestimmten Zeit verfallen. Sie werden oft in Kombination mit einem Passwort zur Verfügung gestellt Zwei-Faktor-Authentifizierung.
Hacker und Angreifer, Firewalls und 2FA
Aktive Angriffe nutzen die Schwachstellen in den Authentifizierungsprotokollen eines Netzwerks aus. Daher ist der einzige bewährte Weg, diese Angriffe zu verhindern, die Verwendung von Firewalls, IPS, zufälligen Sitzungsschlüsseln und vor allem der Zwei-Faktor-Authentifizierung. Eine solche Authentifizierung kann eine Kombination aus einem zufällig generierten Schlüssel, einem Benutzernamen und einem Passwort sein.
Dies mag mühsam erscheinen, aber da sich aktive Angriffe weiterentwickeln und noch rücksichtsloser werden, sollten Verifizierungsprozesse der Herausforderung gewachsen sein und sich vor diesen eingehenden Angriffen schützen. Denken Sie daran, dass es schwierig wäre, die Bedrohungsakteure aus Ihrem Netzwerk zu entfernen, sobald sie sich einmal in Ihrem Netzwerk befinden.
