Een actieve aanval is een gevaarlijke cyberaanval omdat deze probeert de bronnen of activiteiten van uw computernetwerk te wijzigen. Actieve aanvallen leiden vaak tot onopgemerkt gegevensverlies, merkschade en een verhoogd risico op identiteitsdiefstal en -fraude.
Actieve aanvallen vertegenwoordigen de bedreiging met de hoogste prioriteit waarmee ondernemingen tegenwoordig worden geconfronteerd. Gelukkig zijn er dingen die u kunt doen om deze aanvallen te voorkomen en de effecten te verminderen als ze zich voordoen.
Wat zijn actieve aanvallen?
Bij een actieve aanval maken dreigingsactoren gebruik van zwakheden in het netwerk van het doelwit om toegang te krijgen tot de gegevens daarin. Deze bedreigingsactoren kunnen proberen nieuwe gegevens te injecteren of de verspreiding van bestaande gegevens te beheersen.
Actieve aanvallen omvatten ook het aanbrengen van wijzigingen in gegevens op het apparaat van het doelwit. Deze veranderingen variëren van diefstal van persoonlijke informatie tot een volledige overname van het netwerk. U wordt vaak gewaarschuwd dat het systeem is gecompromitteerd, omdat deze aanvallen gemakkelijk kunnen worden opgespoord, maar het stoppen ervan als ze eenmaal zijn begonnen, kan een behoorlijke opgave zijn.
Kleine en middelgrote bedrijven, beter bekend als het MKB, zijn meestal het slachtoffer van actieve aanvallen. Dit komt omdat de meeste MKB-bedrijven niet over de middelen beschikken om hoogwaardige cyberbeveiligingsmaatregelen aan te schaffen. En aangezien actieve aanvallen blijven evolueren, moeten deze beveiligingsmaatregelen regelmatig worden bijgewerkt, anders maken ze het netwerk kwetsbaar voor geavanceerde aanvallen.
Hoe werkt een actieve aanval?
Het eerste wat bedreigingsactoren zullen doen nadat ze het doelwit hebben geïdentificeerd, is zoeken naar kwetsbaarheden in het netwerk van het doelwit. Dit is een voorbereidende fase voor het type aanval dat ze plannen.
Ze gebruiken ook passieve scanners om informatie te krijgen over het type programma's dat op het netwerk van het doelwit draait. Zodra de zwakke punten zijn ontdekt, kunnen de hackers een van de volgende vormen van actieve aanvallen gebruiken om de netwerkbeveiliging te ondermijnen:
1. Sessie kaping aanval
In een sessie kaping aanval, ook wel sessie-replay, playback-aanvallen of replay-aanvallen genoemd, kopiëren de bedreigingsactoren de internetsessie-ID-informatie van het doelwit. Ze gebruiken deze informatie om inloggegevens op te halen, zich voor te doen als doelwitten en verder andere gevoelige gegevens van hun apparaten te stelen.
Deze imitatie wordt gedaan met behulp van sessiecookies. Deze cookies werken samen met het HTTP-communicatieprotocol om uw browser te identificeren. Maar ze blijven in de browser nadat u bent uitgelogd of de browsersessie hebt beëindigd. Dit is een kwetsbaarheid die bedreigingsactoren misbruiken.
Ze herstellen deze cookies en houden de browser voor de gek door te denken dat je nog steeds online bent. Nu kunnen hackers alle gewenste informatie uit uw browsegeschiedenis halen. Op deze manier kunnen ze gemakkelijk creditcardgegevens, financiële transacties en accountwachtwoorden krijgen.
Er zijn andere manieren waarop hackers de sessie-ID van hun doelwit kunnen achterhalen. Een andere veelgebruikte methode is het gebruik van kwaadaardige koppelingen, die leiden naar sites met een kant-en-klare ID die de hacker kan gebruiken om uw browsersessie te kapen. Eenmaal in beslag genomen, zouden de servers op geen enkele manier enig verschil kunnen detecteren tussen de oorspronkelijke sessie-ID en de andere die door de bedreigingsactoren is gerepliceerd.
2. Bericht wijziging aanval
Deze aanvallen zijn voornamelijk gebaseerd op e-mail. Hier bewerkt de bedreigingsactor pakketadressen (met het adres van de afzender en de ontvanger) en stuurt de e-mail naar een geheel andere locatie of past de inhoud aan om bij het doelwit te komen netwerk.
De hackers vorderen mail tussen het doelwit en een andere partij. Wanneer deze onderschepping is voltooid, hebben ze de vrijheid om er elke bewerking op uit te voeren, inclusief het injecteren van kwaadaardige links of het verwijderen van berichten erin. De post gaat dan verder met zijn reis, zonder dat het doelwit weet dat er mee is geknoeid.
3. Maskerade aanval
Deze aanval maakt gebruik van zwakheden in het authenticatieproces van het netwerk van het doelwit. De aanvallers gebruiken gestolen inloggegevens om zich voor te doen als een geautoriseerde gebruiker en gebruiken de gebruikers-ID om toegang te krijgen tot hun gerichte servers.
Bij deze aanval kan de bedreigingsactor, of maskerade, een werknemer binnen de organisatie zijn of een hacker die gebruik maakt van een verbinding met het openbare netwerk. Door lakse autorisatieprocessen kunnen deze aanvallers toegang krijgen, en de hoeveelheid gegevens waartoe ze toegang hebben, hangt af van het privilegeniveau van de geïmiteerde gebruiker.
De eerste stap in een maskerade-aanval is het gebruik van een netwerksnuffelaar om IP-pakketten van de apparaten van het doelwit te verkrijgen. Deze vervalste IP-adressen de firewalls van het doelwit voor de gek houden, ze omzeilen en toegang krijgen tot hun netwerk.
4. Denial-of-Service-aanval (DoS).
Bij deze actieve aanval maken de bedreigingsactoren netwerkbronnen onbeschikbaar voor de beoogde, geautoriseerde gebruikers. Als u een DoS-aanval ervaart, heeft u geen toegang tot de informatie, apparaten, updates en betalingssystemen van het netwerk.
Er zijn verschillende soorten DoS-aanvallen. Een soort is de buffer overflow aanval, waar de bedreigingsactoren de servers van het doelwit overspoelen met veel meer verkeer dan ze aankunnen. Hierdoor crashen de servers, waardoor u geen toegang tot het netwerk kunt krijgen.
Er is ook de smurfenaanval. De aanvallers zullen volledig verkeerd geconfigureerde apparaten gebruiken om ICMP-pakketten (Internet Control Message Protocol) naar verschillende netwerkhosts te sturen met een vervalst IP-adres. Deze ICMP-pakketten worden meestal gebruikt om te bepalen of gegevens het netwerk op een ordelijke manier bereiken.
De hosts die de ontvangers van deze pakketten zijn, sturen berichten naar het netwerk en met veel reacties die binnenkomen, is het resultaat hetzelfde: gecrashte servers.
Hoe u uzelf kunt beschermen tegen actieve aanvallen
Actieve aanvallen zijn schering en inslag en u moet uw netwerk beschermen tegen deze kwaadaardige operaties.
Het eerste dat u moet doen, is een geavanceerde firewall installeren en inbraakpreventie systeem (IPS). Firewalls zouden deel moeten uitmaken van de beveiliging van elk netwerk. Ze helpen bij het scannen op verdachte activiteiten en blokkeren alle gedetecteerde activiteiten. IPS bewaakt netwerkverkeer zoals firewalls en onderneemt stappen om het netwerk te beschermen wanneer een aanval wordt geïdentificeerd.
Een andere manier om je te beschermen tegen actieve aanvallen is het gebruik van willekeurige sessiesleutels en eenmalige wachtwoorden (OTP's). Sessiesleutels worden gebruikt om de communicatie tussen twee partijen te versleutelen. Zodra de communicatie is beëindigd, wordt de sleutel weggegooid en wordt willekeurig een nieuwe gegenereerd wanneer een nieuwe communicatie begint. Dit zorgt voor maximale veiligheid, aangezien elke sleutel uniek is en niet kan worden gerepliceerd. Wanneer een sessie is beëindigd, kan de sleutel voor die periode bovendien niet worden gebruikt om de tijdens de sessie uitgewisselde gegevens te beoordelen.
OTP's werken op hetzelfde uitgangspunt als sessiesleutels. Het zijn willekeurig gegenereerde alfanumerieke/numerieke tekens die slechts voor één doel geldig zijn en na een bepaalde periode verlopen. Ze worden vaak gebruikt in combinatie met een wachtwoord om te verstrekken tweefactorauthenticatie.
Hackers en aanvallers, firewalls en 2FA
Actieve aanvallen maken gebruik van de zwakheden in de authenticatieprotocollen van een netwerk. Daarom is de enige beproefde manier om deze aanvallen te voorkomen het gebruik van firewalls, IPS, willekeurige sessiesleutels en vooral tweefactorauthenticatie. Dergelijke authenticatie kan een combinatie zijn van een willekeurig gegenereerde sleutel, een gebruikersnaam en een wachtwoord.
Dit lijkt misschien vervelend, maar naarmate actieve aanvallen evolueren en nog meedogenlozer worden, zouden verificatieprocessen de uitdaging aan moeten gaan en op hun hoede moeten zijn voor deze inkomende aanvallen. Onthoud dat als de bedreigingsactoren zich eenmaal in uw netwerk bevinden, het moeilijk zal zijn om ze weg te spoelen.
