Strategiile hackerilor – concluziile unui studiu realizat chiar in randul acestora

Un studiu pe baza de chestionare adresat hackerilor, preluat de cert.ro,  realizat la conferința DEFCON din Las Vegas în 2016 și intitulat The Black Report, a identificat atât strategiile actuale ale acestora cât și posibile metode de contracarare.

Dacă în peisajul securității cibernetice abundă studiile și chestionarele adresate managerilor de IT din companii, studiul de față, axat pe punctul de vedere al hackerului, constituie un element de noutate. În afara hackerilor, studiul cuprinde și răspunsuri oferite de „pentesteri”, în total un număr de 70 de respondenți.

Concluziile principale ale studiului:

Perioada de timp pentru intruziune scade

Daca în mod obișnuit unei companii îi sunt necesare 250-300 zile pentru a depista pătrunderea în rețelele și sistemele sale, unui hacker îi trebuiesc de regulă mai puțin de 24 de ore pentru a pătrunde cu succes și a exfiltra datele din sistemele și rețelele țintă. Studiul mai relevă faptul că aproximativ o treime din atacuri nu sunt depistate niciodată.

Anumite măsuri tradiționale de protecție nu sunt de ajutor

Studiul arată faptul că în ciuda încrederii publice în măsurile de securitate tradiționale precum firewall-uri și soluții antivirus, hackerii intervievați susțin faptul că acestea nu sunt aproape niciodată eficiente în a preveni sau încetini intruziunile. Într-o notă ceva mai pozitivă totuși, soluțiile de securitate de tip endpoint au dovedit o eficiență mai mare.

Hackerii nu utilizează aceleași metode la toate atacurile

Contrar concepției comune conform căreia în momentul în care un hacker descoperă o metodă eficientă de atac, o reutilizează permanent, studiul arată faptul că mai mult de 50% din infractorii cibernetici își schimbă metodele când abordează o nouă țintă. Acest lucru semnifică faptul că atacatorii inovează și adoptă metode de atac posibil necunoscute anterior, reducând mult șansele de a fi depistați prin metode ce se bazează pe tipuri de atacuri cunoscute anterior. Totodată, schimbarea metodelor de atac crește șansele ca o companie să cadă victimă vulnerabilităților zero-day.

Exploit-kit-urile nu sunt atât de populare pe cât se crede

O altă surpriză avută de cercetători a constituit-o constatarea faptului că kiturile de exploit nu sunt în topul preferințelor hackerilor ca instrumente de atac. În realitate, în timp ce majoritatea repondenților (72%) utilizează ingineria socială pentru a culege detaliile necesare pregătirii intruziunii, instrumentele comerciale și kiturile de exploit sunt utilizate doar în 3% dintre atacuri. Majoritatea atacatorilor preferă instrumente open-source (60%) sau instrumente dezvoltate special (21%).

Înțelegerea etapelor unui atac tipic
Dacă instrumentele utilizate pentru a desfășura un atac cibernetic și metodele de intruziune se pot schimba, multe dintre atacurile ce au în vizor o anumită țintă urmează același ciclu de activități.

Conform Trend Micro, un atac asupra unei ținte începe prin colectarea de informații (de regulă prin inginerie socială) despre compania sau organizația țintă și pe cât posibil despre persoane individuale precum angajații sau conducerea entității vizate.

Ulterior, atacatorul are ca țintă un anumit dispozitiv deținut și utilizat de angajat. Acesta poate fi un terminal aparținând organizației sau chiar un dispozitiv personal al angajatului în situația în care este permisă utilizarea lor în rețeaua organizației. Ambele tipuri vor permite atacatorului accesul necesar la rețeaua internă a organizației.
De îndată ce dispozitivul țintă a fost identificat și infectat, atacatorul va stabili un server de comandă și control și va crea o cale de acces către rețeaua victimă.

Atacatorul va parcurge apoi rețeaua căutând date valoroase pe care să le trimită către serverul de comandă și control. În final, datele sunt extrase. De regulă această etapă nu este și ultima din cadrul atacului, atacatorul putând rămâne nedepistat în rețea zile sau luni întregi, identificând și extrăgând noi date importante.

Sursa: From hackers’ point of views: New study exposes their strategies