Kebanyakan orang berpikir bahwa hacker harus dicegah, tapi begitu Anda hacking ke internal, bagaimana mereka mendapatkan data keluar Trustwave SpiderLabs perusahaan penelitian menunjukkan? kepada kita jawabannya sering sangat sederhana.
Cyber penjahat untuk menyerang metode ini menjadi lebih kompleks. Kami juga cenderung untuk menyelinap ke metode ini setara dengan data. Meskipun perangkat selular atau pencuri fisik juga dapat digunakan, namun data yang biasanya menyelinap masuk ke atau saluran output dalam jaringan data pada sistem yang terjadi selama replikasi.
SpiderLabs 2009 24 tahun dari 200 negara yang berbeda, data kejanggalan diselidiki. Meskipun lingkungan jaringan bagi penjahat untuk mendapatkan data dari ketidakpatuhan dalam banyak hal, tetapi mereka sering metode invasif dari lingkungan melalui akses jarak jauh ke target perusahaan yang menggunakan aplikasi. Dalam survei SpiderLabs, 45% pelanggaran yang meninggalkan sistem karena aplikasi akses remote telah pelanggaran. Dan bukan merupakan kerentanan zero-day atau kerentanan aplikasi yang kompleks, serangan fenomena staf TI dan CEO terlihat keluar saat sambungan terpencil di jaringan tidak banyak perbedaan. Seorang penyerang tidak perlu mengakses kekerasan ke rekening. SpiderLabs menemukan bahwa 90% dari serangan berhasil karena default pemasok atau password mudah ditebak, seperti "temp: temp" atau "admin: Nimda".
Setelah mendirikan pijakan, penyerang sering dikutip penggunaan alat jaringan. Internet penyerang sering dikutip alat yang digunakan untuk menggali target yang sama atau lain dalam lingkungan sistem temu kembali informasi yang digunakan, seperti nama pengguna, hak akses grup, berbagi jaringan, dan layanan yang tersedia. Jika alat yang tercantum untuk mengumpulkan kebisingan dapat dikesampingkan kemungkinan serangan. Lebih buruk lagi, kami menemukan bahwa agen-agen sebagian besar tidak benar memonitor sistem mereka, itu tidak bisa menyadari fenomena ini.
Sebagai alat, yang memungkinkan penyerang untuk masuk ke rangkaian melalui sistem properti hotel otentik pribadi lainnya. Penjahat kemudian gunakan sambungan internal, sehingga distribusi fisik situs tersebut data yang tersebar adalah ilegal.
Setelah penyerang untuk mendapatkan akses ke perusahaan target, mereka akan menggunakan manual atau metode pengumpulan data otomatis. Gunakan metode manual dapat mencuri database rentan dan file, menggunakan kata kunci untuk lebih menentukan sistem operasi tertentu, data dapat dilakukan pencarian.
metode otomatis adalah menulis malware secara khusus, penggunaan aplikasi yang menangani celah informasi rahasia dalam kontrol keamanan untuk mencapai tujuan mereka. Secara umum, desain keselamatan banyak aplikasi tidak berlaku untuk kontrol lain, komponen pengolahan data-fungsi alarm tidak jelas. Meskipun data tersebut diproses oleh sistem target, namun dapat menerima, menyimpan data dienkripsi dan hulu transmisi data ke sistem host target rentan terhadap pelanggaran data. Hal ini karena sistem untuk mengolah data harus didekripsi ke RAM, agar aplikasi dapat digunakan. Dalam proses ini, berkali-kali pada tahun 2009 cybercriminals menggunakan parser RAM. 67% dari penyelidikan SpiderLabs dan perangkat lunak berbahaya yang terkait, bahwa alat bantu otomatis digunakan untuk mendapatkan data non-RAM.
Bagaimana menangani
Rata-rata, penjahat cyber akses ke sistem target atau waktu akses data adalah 156 hari. Selama waktu ini, penyerang ke lingkungan, set alat-alat mereka untuk memindahkan data dan TI personil atau departemen untuk tindakan mereka untuk memperoleh data sebelum mengambil tindakan. Beberapa survei 2009, penjahat cyber beberapa sering kegiatan sering dalam waktu tiga tahun. 2009, khas pengujian jangka panjang, tampaknya mereka juga menggunakan beberapa pengetahuan tentang kegiatan penjahat cyber tidak terlihat.
Dalam 38 kasus, penjahat cyber menggunakan program akses remote untuk memfasilitasi pertama kali ke dalam data diekstraksi. layanan yang telah ada lainnya, seperti FTP klien lokal dan fungsi HTTP, juga sering digunakan untuk kebocoran data. Terutama ketika perangkat lunak berbahaya digunakan ketika data kebocoran, FTP, SMTP, dan fungsi IRC akan secara teratur diamati. Dalam analisis khusus dari perangkat lunak berbahaya untuk membalikkan proses, biner akan mengungkapkan adanya fungsi FTP, termasuk alamat IP keras-kode dan sertifikat. Dengan perangkat lunak berbahaya siap pakai seperti keystroke logger, penyerang sering menggunakan built-in FTP dan email fungsi data kebocoran. Ketika layanan mail akan digunakan untuk mengambil data, penyerang sering akan menginstal server SMTP berbahaya langsung mengalami pelanggaran sistem untuk memastikan bahwa data dapat ditransmisikan dengan baik.
Hanya kasus-kasus individu saluran kebocoran data menggunakan enkripsi untuk lebih lanjut menunjukkan bahwa penjahat tidak peduli tentang keberadaan peringatan. Karena keberadaan layanan jaringan lokal yang tersedia, dan kurangnya sistem ekspor yang sesuai filter dan deteksi menggunakan cara yang tidak sesuai, penjahat sering menggunakan layanan jaringan yang tersedia atau menginstal layanan mereka sendiri dasar.
Jelas, dalam semua kasus, data sensitif ditransfer ke luar lingkungan sasaran. Dalam proses ini, tim keamanan TI tidak akan dipantau timbulnya kebocoran data.
Ketika mencari tanda-tanda serangan, tim keamanan TI tampaknya mengharapkan situasi yang kompleks. Penyerang seringkali sangat sederhana, mungkin bahkan meninjau rutin kinerja log sebagai "jinak." Data tidak meninggalkan lingkungan target, itu tidak akan menjadi indikasi bahwa pelanggaran. perhatian Dekat dengan sistem "standar" perilaku "normal" Kegiatan ini penting untuk menghindari langkah-langkah perbaikan. Perspektif harus curiga setiap perilaku abnormal dan praktek melalui penyelidikan internal untuk memecahkan masalah, jika perlu, ahli eksternal juga harus ulangan.
