Proprio come condurre una ricognizione prima di un attacco fisico, gli aggressori spesso raccolgono informazioni prima di un attacco informatico.
I criminali informatici non vanno in giro ad annunciare la loro presenza. Colpiscono nei modi più modesti. Potresti fornire a un utente malintenzionato informazioni sul tuo sistema senza nemmeno saperlo.
E se non fornisci loro le informazioni, possono ottenerle altrove senza il tuo permesso, no grazie agli attacchi di ricognizione. Proteggi il tuo sistema imparando di più sugli attacchi di ricognizione, su come funzionano e su come prevenirli.
Cos'è un attacco di ricognizione?
La ricognizione è un processo di raccolta di informazioni su un sistema per identificare le vulnerabilità. Originariamente una tecnica di hacking etico, ha consentito ai proprietari di rete di proteggere meglio i propri sistemi dopo aver identificato le proprie falle nella sicurezza.
Nel corso degli anni, la ricognizione è passata da una procedura di hacking etico a un meccanismo di attacco informatico. Un attacco di ricognizione è un processo in cui un hacker interpreta il ruolo di un detective sotto copertura da pescare informazioni sui loro sistemi di destinazione e quindi utilizzare tali informazioni per identificare le vulnerabilità prima del loro attacchi.
Tipi di attacchi di ricognizione
Esistono due tipi di attacchi di ricognizione: attivi e passivi.
1. Ricognizione attiva
Nella ricognizione attiva, l'attaccante si impegna attivamente con il bersaglio. Comunicano con te solo per ottenere informazioni sul tuo sistema. La ricognizione attiva è piuttosto efficace in quanto fornisce all'attaccante preziose informazioni sul tuo sistema.
Le seguenti sono tecniche di ricognizione attiva.
Ingegneria sociale
L'ingegneria sociale è un processo in cui un attore di minacce informatiche manipola i bersagli per rivelare informazioni riservate a loro. Potrebbero contattarti online tramite chat istantanee, e-mail e altri mezzi interattivi per stabilire una connessione con te. Una volta conquistati, ti faranno divulgare informazioni sensibili sul tuo sistema o ti indurranno ad aprire un file infetto da malware che comprometterà la tua rete.
Il footprinting attivo è un metodo che prevede che un intruso adotti misure deliberate per raccogliere informazioni sul sistema, sulla sua infrastruttura di sicurezza e sul coinvolgimento degli utenti. Recuperano i tuoi indirizzi IP, indirizzi e-mail attivi, informazioni sul sistema dei nomi di dominio (DNS), ecc.
Il footprinting attivo può essere automatizzato. In questo caso, l'autore della minaccia utilizza strumenti come un network mapper (Nmap), una piattaforma open source che fornisce approfondimenti sui servizi e sugli host in esecuzione su una rete, per ottenere informazioni vitali sul tuo sistema.
Scansione delle porte
Le porte sono aree attraverso le quali le informazioni passano da un programma o dispositivo per computer a un altro. Nella scansione delle porte, l'attore della minaccia esegue la scansione delle porte all'interno della rete identificare quelli aperti. Usano uno scanner di porte per rilevare i servizi attivi sulla tua rete come gli host e gli indirizzi IP e poi irrompono attraverso le porte aperte.
Una scansione completa delle porte fornisce a un utente malintenzionato tutte le informazioni necessarie sullo stato di sicurezza della tua rete.
2. Ricognizione passiva
Nella ricognizione passiva, l'attaccante non interagisce direttamente con te o con il tuo sistema. Fanno le loro indagini a distanza, monitorando il traffico e le interazioni sulla tua rete.
Un attore di minacce in ricognizione passiva si rivolge a piattaforme pubbliche come motori di ricerca e repository online per ottenere informazioni sul tuo sistema.
Le strategie di ricognizione passiva includono quanto segue.
Intelligenza open source
Intelligenza open source (OSINT), non essere confuso con il software open source, si riferisce alla raccolta e all'analisi di dati da luoghi pubblici. Le persone e le reti diffondono le proprie informazioni sul Web, intenzionalmente o meno. Un attore di ricognizione potrebbe utilizzare OSINT per recuperare preziose informazioni sul tuo sistema.
I motori di ricerca come Google, Yahoo e Bing sono i primi strumenti che vengono in mente quando si parla di piattaforme open source, ma l'open source va oltre. Ci sono molte risorse online che i motori di ricerca non coprono a causa di restrizioni di accesso e altri fattori di sicurezza.
Come accennato in precedenza, il footprinting è una tecnica per raccogliere informazioni su un obiettivo. Ma in questo caso, le attività sono passive, il che significa che non c'è interazione o coinvolgimento diretto. L'attaccante svolge le sue indagini da lontano, controllandoti su motori di ricerca, social media e altri repository online.
Per ottenere informazioni concrete dal footprinting passivo, un utente malintenzionato non si affida solo a piattaforme popolari come motori di ricerca e social media. Usano strumenti come Wireshark e Shodan per ottenere informazioni aggiuntive che potrebbero non essere disponibili su piattaforme popolari.
Come funzionano gli attacchi di ricognizione?
Indipendentemente dal tipo di strategia di ricognizione utilizzata da un attaccante, opera secondo una serie di linee guida. I primi due passaggi sono passivi mentre i restanti sono attivi.
1. Raccogli dati sull'obiettivo
La raccolta di dati sull'obiettivo è il primo passo in un attacco di ricognizione. L'intruso è passivo in questa fase. Fanno le loro scoperte da lontano, ottenendo informazioni sul tuo sistema nello spazio pubblico.
2. Definisci l'intervallo della rete di destinazione
Il tuo sistema potrebbe essere più grande o più piccolo di quanto sembri. Definirne la portata dà all'attaccante un'idea chiara delle sue dimensioni e lo guida nell'esecuzione dei suoi piani. Prendono nota delle varie aree della tua rete e delineano le risorse di cui hanno bisogno per coprire le loro aree di interesse.
In questa fase, l'autore della minaccia cerca strumenti attivi nel tuo sistema e ti coinvolge tramite questi strumenti per ottenere informazioni importanti da te. Esempi di strumenti attivi includono indirizzi e-mail funzionali, account di social media, numeri di telefono, ecc.
4. Individua porte aperte e punti di accesso
L'attaccante capisce che non può entrare magicamente nel tuo sistema, quindi individua i punti di accesso e apre le porte attraverso cui può entrare. Implementano tecniche come la scansione delle porte per identificare le porte aperte e altri punti di accesso per ottenere l'accesso non autorizzato.
5. Identifica il sistema operativo del target
Poiché vari sistemi operativi hanno infrastrutture di sicurezza diverse, i criminali informatici devono identificare il sistema operativo specifico con cui hanno a che fare. In questo modo, possono implementare le tecniche appropriate per aggirare qualsiasi difesa di sicurezza in atto.
6. Delineare i servizi sui porti
I servizi sulle tue porte hanno accesso autorizzato alla tua rete. L'attaccante intercetta questi servizi e si fa strada come farebbero normalmente questi servizi. Se riescono a farlo in modo efficace, potresti non notare alcuna intrusione.
7. Mappa la rete
In questa fase, l'attaccante è già all'interno del tuo sistema. Usano la mappatura della rete per avere una visibilità completa della tua rete. Con questo meccanismo, possono individuare e recuperare i tuoi dati critici. L'attaccante ha il pieno controllo della tua rete a questo punto e può fare quello che vuole.
Come prevenire gli attacchi di ricognizione
Gli attacchi di ricognizione non sono invincibili. Ci sono misure che puoi adottare per prevenirli. Queste misure includono quanto segue.
1. Proteggi i tuoi endpoint con EDR
Le porte attraverso le quali un attore di ricognizione accede alla tua rete fanno parte dei suoi endpoint. Implementazione di una sicurezza più rigorosa in quelle aree con sistemi di sicurezza degli endpoint come il rilevamento e la risposta degli endpoint (EDR) li renderanno meno accessibili agli intrusi.
Poiché un EDR efficace ha automatizzato il monitoraggio in tempo reale e l'analisi dei dati per scongiurare le minacce, resisterà agli sforzi di ricognizione dell'attaccante per ottenere l'accesso non autorizzato tramite le tue porte.
2. Identifica le vulnerabilità con i test di penetrazione
Gli aggressori informatici prosperano sulle vulnerabilità nei sistemi. Prendi l'iniziativa per scoprire le vulnerabilità che potrebbero esistere nel tuo sistema prima che i criminali le scoprano. Puoi farlo con un test di penetrazione.
Indossa i panni dell'hacker e lancia un attacco etico al tuo sistema. Questo ti aiuterà a scoprire scappatoie di sicurezza che normalmente sarebbero nei tuoi punti ciechi.
3. Adotta sistemi di sicurezza informatica integrati
Gli attori delle minacce stanno implementando tutti i tipi di tecnologie per lanciare con successo attacchi informatici. Un modo efficace per prevenire questi attacchi è sfruttare le soluzioni di sicurezza informatica integrate.
Sistemi avanzati come le informazioni sulla sicurezza e la gestione degli eventi (SIEM) offrono una sicurezza completa per proteggere le tue risorse digitali. Sono programmati per rilevare e bloccare le minacce prima che causino danni significativi alla rete.
Sii proattivo per prevenire gli attacchi di ricognizione
I criminali informatici possono aver perfezionato le loro buffonate negli attacchi di ricognizione, ma puoi respingere rafforzando le tue difese. Come con la maggior parte degli attacchi, è meglio proteggere il proprio sistema dagli attacchi di ricognizione essendo proattivi con la propria sicurezza.
