درست مانند انجام شناسایی قبل از حمله فیزیکی، مهاجمان اغلب اطلاعات را قبل از حمله سایبری جمع آوری می کنند.
مجرمان سایبری برای اعلام حضور خود به اطراف نمی روند. آنها به بی ادعاترین شیوه ها ضربه می زنند. شما ممکن است بدون اینکه بدانید به مهاجم اطلاعاتی درباره سیستم خود بدهید.
و اگر اطلاعات را در اختیار آنها قرار ندهید، آنها می توانند بدون اجازه شما آن را در جای دیگری دریافت کنند – نه به لطف حملات شناسایی. با یادگیری بیشتر در مورد حملات شناسایی، نحوه عملکرد آنها و نحوه جلوگیری از آنها، سیستم خود را ایمن کنید.
حمله شناسایی چیست؟
شناسایی فرآیند جمع آوری اطلاعات در مورد یک سیستم برای شناسایی آسیب پذیری ها است. این روش در اصل یک تکنیک هک اخلاقی بود و به صاحبان شبکه اجازه می داد تا پس از شناسایی نقاط ضعف امنیتی سیستم خود را بهتر ایمن کنند.
در طول سال ها، شناسایی از یک روش هک اخلاقی به یک مکانیسم حمله سایبری تبدیل شده است. حمله شناسایی فرآیندی است که در آن یک هکر نقش یک کارآگاه مخفی را بازی میکند تا اطلاعات مربوط به سیستمهای هدف خود را جستجو کند و سپس از آن اطلاعات برای شناسایی آسیبپذیریها قبل از حملات خود استفاده کند.
انواع حملات شناسایی
دو نوع حمله شناسایی وجود دارد: فعال و غیرفعال.
1. شناسایی فعال
در شناسایی فعال، مهاجم به طور فعال با هدف درگیر می شود. آنها فقط برای دریافت اطلاعات در مورد سیستم شما با شما ارتباط برقرار می کنند. شناسایی فعال کاملاً مؤثر است زیرا اطلاعات ارزشمندی در مورد سیستم شما به مهاجم می دهد.
در زیر تکنیک های شناسایی فعال آورده شده است.
مهندسی اجتماعی
مهندسی اجتماعی فرآیندی است که در آن یک عامل تهدید سایبری اهداف را دستکاری می کند تا اطلاعات محرمانه را برای آنها فاش کند. آنها ممکن است از طریق چتهای فوری، ایمیلها و دیگر ابزارهای تعاملی به صورت آنلاین با شما تماس بگیرند تا با شما ارتباط برقرار کنند. هنگامی که آنها شما را به دست آوردند، شما را وادار می کنند اطلاعات حساس سیستم خود را فاش کنید یا شما را فریب می دهند تا یک فایل آلوده به بدافزار باز کنید که شبکه شما را به خطر می اندازد.
ردپای فعال
رد پای فعال روشی است که متضمن اقداماتی عمدی برای جمعآوری اطلاعات در مورد سیستم شما، زیرساخت امنیتی آن و تعامل کاربر توسط مهاجم انجام میشود. آنها آدرس های IP، آدرس های ایمیل فعال، اطلاعات سیستم نام دامنه (DNS) و غیره را بازیابی می کنند.
ردپای فعال می تواند خودکار باشد. در این مورد، عامل تهدید از ابزارهایی مانند نقشهبردار شبکه (Nmap)، یک پلتفرم منبع باز که اطلاعاتی در مورد سرویسها و میزبانهای در حال اجرا در یک شبکه ارائه میدهد، استفاده میکند تا اطلاعات حیاتی در مورد سیستم شما به دست آورد.
اسکن پورت
پورت ها مناطقی هستند که از طریق آنها اطلاعات از یک برنامه یا دستگاه کامپیوتری به دیگری منتقل می شود. در اسکن پورت، عامل تهدید، پورت های موجود در شبکه شما را اسکن می کند تا پورت های باز را شناسایی کند. آنها از یک پورت اسکنر برای شناسایی سرویس های فعال در شبکه شما مانند هاست ها و آدرس های IP استفاده می کنند و سپس از طریق پورت های باز نفوذ می کنند.
یک اسکن کامل پورت تمام اطلاعات لازم در مورد وضعیت امنیتی شبکه شما را به مهاجم می دهد.
2. شناسایی غیرفعال
در شناسایی غیرفعال، مهاجم مستقیماً با شما یا سیستم شما درگیر نمی شود. آنها تحقیقات خود را از راه دور انجام می دهند و ترافیک و تعاملات شبکه شما را زیر نظر دارند.
یک عامل تهدید در شناسایی غیرفعال به سیستم عامل های عمومی مانند موتورهای جستجو و مخازن آنلاین برای اطلاعات در مورد سیستم شما روی می آورد.
استراتژی های شناسایی غیرفعال شامل موارد زیر است.
هوش منبع باز
هوش منبع باز (OSINT) که نباید با نرم افزار منبع باز اشتباه گرفته شود، به جمع آوری و تجزیه و تحلیل داده ها از مکان های عمومی اشاره دارد. افراد و شبکه ها اطلاعات خود را عمدا یا ناخواسته در سراسر وب پخش می کنند. یک بازیگر شناسایی می تواند از OSINT برای بازیابی اطلاعات ارزشمند در مورد سیستم شما استفاده کند.
موتورهای جستجو مانند گوگل، یاهو و بینگ اولین ابزارهایی هستند که وقتی در مورد پلتفرم های منبع باز صحبت می کنید، به ذهن خطور می کنند، اما منبع باز فراتر از آن ها است. منابع آنلاین زیادی وجود دارد که موتورهای جستجو به دلیل محدودیت های ورود و سایر عوامل امنیتی پوشش نمی دهند.
ردپای منفعل
همانطور که قبلا ذکر شد، ردپای تکنیکی برای جمع آوری اطلاعات در مورد یک هدف است. اما در این مورد، فعالیتها منفعل هستند، به این معنی که هیچ تعامل یا تعامل مستقیمی وجود ندارد. مهاجم تحقیقات خود را از راه دور انجام می دهد و شما را در موتورهای جستجو، رسانه های اجتماعی و دیگر مخازن آنلاین بررسی می کند.
برای به دست آوردن اطلاعات ملموس از ردپای غیرفعال، مهاجم فقط به پلتفرم های محبوب مانند موتورهای جستجو و رسانه های اجتماعی متکی نیست. آنها از ابزارهایی مانند Wireshark و Shodan برای دریافت اطلاعات اضافی استفاده می کنند که ممکن است در سیستم عامل های محبوب در دسترس نباشد.
حملات شناسایی چگونه کار می کنند؟
صرف نظر از نوع استراتژی شناسایی که مهاجم استفاده می کند، آنها بر اساس مجموعه ای از دستورالعمل ها عمل می کنند. دو مرحله اول غیرفعال و بقیه فعال هستند.
1. جمع آوری داده ها در مورد هدف
جمع آوری اطلاعات در مورد هدف اولین گام در حمله شناسایی است. مزاحم در این مرحله منفعل است. آنها یافته های خود را از راه دور انجام می دهند و اطلاعاتی درباره سیستم شما در فضای عمومی به دست می آورند.
2. محدوده شبکه هدف را تعریف کنید
سیستم شما ممکن است بزرگتر یا کوچکتر از آن چیزی باشد که به نظر می رسد. تعریف برد آن به مهاجم ایده روشنی از اندازه آن می دهد و آنها را در اجرای برنامه های خود راهنمایی می کند. آنها از حوزه های مختلف شبکه شما یادداشت می کنند و منابعی را که برای پوشش حوزه های مورد علاقه خود نیاز دارند، مشخص می کنند.
3. ابزارهای فعال را شناسایی کنید
در این مرحله، عامل تهدید به دنبال ابزارهای فعال در سیستم شما می گردد و شما را از طریق این ابزارها درگیر می کند تا اطلاعات مهمی را از شما دریافت کند. نمونه هایی از ابزارهای فعال عبارتند از آدرس های ایمیل کاربردی، حساب های رسانه های اجتماعی، شماره تلفن و غیره.
4. پورت های باز و نقاط دسترسی را پیدا کنید
مهاجم میداند که نمیتواند به طور جادویی وارد سیستم شما شود، بنابراین نقاط دسترسی را پیدا میکند و پورتهایی را باز میکند که میتوانند از طریق آن وارد شوند. آنها تکنیک هایی مانند اسکن پورت را برای شناسایی پورت های باز و سایر نقاط دسترسی برای دسترسی غیرمجاز به کار می گیرند.
5. سیستم عامل هدف را شناسایی کنید
از آنجایی که سیستم عامل های مختلف زیرساخت های امنیتی متفاوتی دارند، مجرمان سایبری باید سیستم عامل خاصی را که با آن سروکار دارند شناسایی کنند. به این ترتیب، آنها می توانند تکنیک های مناسب را برای دور زدن هرگونه دفاع امنیتی در محل اجرا کنند.
6. خطوط کلی خدمات در پورت ها
سرویسهای موجود در پورتهای شما مجوز دسترسی به شبکه شما را دارند. مهاجم این سرویس ها را رهگیری می کند و مانند این سرویس ها به طور معمول راه خود را باز می کند. اگر آنها این کار را به طور موثر انجام دهند، ممکن است متوجه هیچ نفوذی نشوید.
7. نقشه شبکه
در این مرحله، مهاجم از قبل در داخل سیستم شما قرار دارد. آنها از نقشه شبکه برای مشاهده کامل شبکه شما استفاده می کنند. با این مکانیسم، آنها می توانند داده های حیاتی شما را بیابند و بازیابی کنند. مهاجم در این مرحله کنترل کامل شبکه شما را دارد و می تواند هر کاری که بخواهد انجام دهد.
چگونه از حملات شناسایی جلوگیری کنیم
حملات شناسایی شکست ناپذیر نیستند. اقداماتی وجود دارد که می توانید برای جلوگیری از آنها انجام دهید. این اقدامات شامل موارد زیر است.
1. نقاط پایانی خود را با EDR ایمن کنید
پورت هایی که یک عامل شناسایی از طریق آنها به شبکه شما دسترسی پیدا می کند بخشی از نقاط پایانی آن هستند. اجرای امنیت شدیدتر در آن مناطق با سیستمهای امنیتی نقطه پایانی مانند تشخیص و پاسخ نقطه پایانی (EDR) باعث میشود دسترسی به آنها برای متجاوزان کمتر شود.
از آنجایی که یک EDR موثر نظارت و تجزیه و تحلیل دادهها را در زمان واقعی برای دفع تهدیدات خودکار میکند، در برابر تلاشهای شناسایی مهاجم برای دستیابی به دسترسی غیرمجاز از طریق پورتهای شما مقاومت میکند.
2. آسیب پذیری ها را با تست نفوذ شناسایی کنید
مهاجمان سایبری با آسیبپذیریهای سیستمها رشد میکنند. برای کشف آسیب پذیری هایی که ممکن است در سیستم شما وجود داشته باشد قبل از اینکه مجرمان آن ها را کشف کنند، ابتکار عمل را به کار بگیرید. شما می توانید این کار را با تست نفوذ انجام دهید.
کفش های هکر را بپوشید و یک حمله اخلاقی به سیستم خود انجام دهید. این به شما کمک می کند تا حفره های امنیتی را که معمولاً در نقاط کور شما هستند، کشف کنید.
3. سیستم های یکپارچه امنیت سایبری را بپذیرید
عوامل تهدید در حال استفاده از انواع فناوری ها برای راه اندازی موفقیت آمیز حملات سایبری هستند. یک راه موثر برای جلوگیری از این حملات استفاده از راهکارهای یکپارچه امنیت سایبری است.
سیستم های پیشرفته مانند اطلاعات امنیتی و مدیریت رویداد (SIEM) امنیت کاملی را برای ایمن سازی دارایی های دیجیتال شما ارائه می دهند. آنها به گونه ای برنامه ریزی شده اند که تهدیدها را قبل از اینکه آسیب قابل توجهی به شبکه شما وارد کنند شناسایی و متوقف کنند.
برای جلوگیری از حملات شناسایی فعال باشید
مجرمان سایبری ممکن است در حملات شناسایی، شیطنت های خود را کامل کرده باشند، اما شما می توانید با استحکام بخشیدن به دفاع خود عقب نشینی کنید. مانند بسیاری از حملات، بهتر است سیستم خود را در برابر حملات شناسایی با فعال بودن در زمینه امنیت خود ایمن کنید.