Angrep – målrettet eller ikke målrettet

 

Angrepet.

Det er mange veier inn i et nettverk og det er et hav av mulige angrepsformer. En kan grovt kategorisere de på to måter. Målrettede og ikke målrettede angrep. En kan også grovt dele Angripere eller «hackere» i to kategorier, de profesjonelle hackerne som blir betalt for å utføre et rettet angrep og de «late» hackerne som ønsker å tjene lette penger.

La oss se litt på de to kategoriene av angrep og hvem som potensielt kan utfører dem.

Målrettet angrep.

Denne typen angrep krever mye planlegging og innsikt av målet og utføres ved at et spesifikt mål blir utsatt for et designet angrep for å oppnå et konkret resultat. Slike angrep er regnet som en mer alvorlig trussel da angriperen er villig til å legge en formidabel innsats i å oppnå ønsket resultat. Angrepet blir da mer fokusert, komplisert og unikt. Det er vanskelig å oppdage et slikt angrep som benytter seg av en blanding av kjente og ukjente sårbarheter. I tillegg kan angriperen også benytte seg av svakheter hos ansatte og personer som er i relasjon til disse, for å samle informasjon som benyttes til å utforme angrepet. Slike angrep kan bli utført av en profesjonell hacker og er svært vanskelig å oppdage.

Ikke målrettet angrep

Denne typen angrep er mindre sofistikerte og målgruppen er egentlig helt tilfeldig. Det eneste som er felles for målene, er at de er åpne for den eller de sårbarhetene som utnyttes. Angriperen automatiserer prosessen og angriper store samlinger av mål samtidig. De vanligste angrepene kan benytte seg av epost-lister eller store volum av ip-adresser. Angriperen behøver nødvendigvis ikke å ha spesiell dyp kompetanse og kan for eksempel kjøpe et slikt angrep på nett «al a carte» eller benytte seg av programmer som er utviklet av andre.Slike angrep blir typisk utført av den late hackeren eller en «script-kiddie», de lager ofte mye støy i logger noe som gjør de enklere å oppdage.

Hvordan beskytte seg mot cyberangrep?

Det største volumet av cyberangrep er Ikke målrettede angrep. For å hindre at dine brukere og systemer blir rammet så må applikasjoner og systemer patches regelmessig. Brukere av systemene må få opplæring slik at de lettere kan identifisere falske henvendelser som er konstruerte for å få brukere til å for eksempel klikke på en link eller åpne og kjøre en fil. I tillegg må sikkerhetsavdelingen ha tilgang på rett verktøy og sikkerhetskomponenter som selv kan identifisere og nøytralisere angrep som er rettet mot systemets brukere. Slike verktøy kan for eksempel være en avansert epost gateway, en Next Generation FireWall (NGFW) eller endepunktsagenter.

Den store fordelen ved å benytte verktøy fra samme leverandør er korrelering av telemetridata. Dersom et uønsket element oppdages vil det lages forsvarsregler på tvers av sikkerhetsarkitekturen. Ta et eksempel hvor endepunktagenten oppdager unormal programoppførsel fra et program som åpnes. Agenten sender hashsignaturen til NGFW slik at lignende filer stanses allerede ved perimeteret.

Bedrifter og organisasjoner som er i faresonen for å bli rammet av målrettede angrep, kan i tillegg til den normale sikkerhetsinfrastrukturen benytte seg av eksterne profesjonelle sikkerhetsaktører som kontinuerlig kan overvåke systemet. De eksterne aktørene kan i tillegg til å overvåke, agere og varsle dersom en trussel eller et angrep blir identifisert.

Conscia, våre partnere og leverandører har lang erfaring med sikkerhetsprodukter og SOC tjenester. Møt oss på SEC2019

 


Jon-Anders Frigård er Senior IT Architect og sikkerhetsekspert hos Conscia Norge.