top of page
Anchor 100

Kybernetické útoky

Aktéři hrozeb využívají kybernetické útoky k provádění škodlivých aktivit proti počítačovým systémům, zařízením nebo sítím. Útok kybernetické bezpečnosti může využít jeden nebo několik vektorů útoku k zacílení na jednotlivce nebo organizace a k dosažení cílů od finančního zisku po sabotáž a terorismus.

Aktéři hrozeb mohou například používat útoky hrubou silou, vycpávání pověření nebo jiné formy sociálního inženýrství k získání neoprávněného přístupu k počítačovým systémům. Sofistikovanější útoky, jako jsou pokročilé perzistentní hrozby (APT), využívají různé techniky a vektory k získání neoprávněného přístupu do podnikové sítě a zůstávají neodhaleny, dokud nedosáhnou svých cílů.

Úspěšný útok na kybernetickou bezpečnost může mít za následek únik dat. Dále se mohou herci pokusit ukrást data, upravit je, prodat nebo držet za výkupné. Techniky prevence zahrnují zálohování dat, penetrační testování, bounty školení a řešení bezpečnostních slabin.

Běžné typy hrozeb pro kybernetickou bezpečnost

Únik dat

Únik dat je kybernetický útok, při kterém jsou ohrožena nebo zveřejněna citlivá, citlivá nebo chráněná data. Únik dat se může stát organizacím všech velikostí. Odcizená data mohou zahrnovat osobně identifikovatelné informace (PHI), chráněné zdravotní informace (PHI), obchodní tajemství, zákaznická data nebo jiná citlivá data.

Pokud má porušení dat za následek krádež osobních údajů nebo porušení povinností vlády či odvětví, může organizace, která se dopustila porušení, čelit pokutám, soudním sporům, poškození dobré pověsti a narušení provozu.

SSRF

Server-side request forgery (SSRF) je zranitelnost webového zabezpečení, která umožňuje útočníkovi odeslat požadavek do neočekávaného umístění v aplikaci na straně serveru.

Při typickém útoku SSRF může útočník přesvědčit server, aby navázal připojení k interní soukromé službě v rámci infrastruktury organizace. Může také donutit server, aby se připojil k externím systémům, a vystavit tak citlivá data, jako jsou přihlašovací údaje.

XXE

XML External Entity Injection (XXE) je zranitelnost webového zabezpečení, která umožňuje útočníkovi kompromitovat aplikaci zneužitím způsobu, jakým zpracovává data XML. Ve většině útoků XXE mohou útočníci prohlížet soubory v souborovém systému aplikačního serveru a interagovat s backendy nebo externími systémy, ke kterým má samotná aplikace přístup.

V některých případech mohou útočníci zneužít zranitelnosti XXE ke spuštění útoků na server-side request forgery (SSRF), které ohrozí základní servery nebo jinou backendovou infrastrukturu.

XSS

Skriptování mezi weby (také známé jako XSS) je zranitelnost webového zabezpečení, která může ohrozit interakci uživatele se zranitelnými aplikacemi. Umožňuje útočníkům obejít zásady stejného původu určené k izolaci příkazů pocházejících z různých webových stránek. 

Chyba zabezpečení XSS umožňuje útočníkovi vydávat se za uživatele aplikace, provádět jakékoli akce, ke kterým má uživatel oprávnění, a získat přístup k datům uživatele. Pokud má uživatel oběti administrativní přístup k aplikaci, XSS umožňuje kompletní kompromitaci aplikace a jejích dat.

Vstřikování kódu

Vložení kódu je obecný termín pro útok, při kterém útočníci vloží kód, který aplikace přijímá jako neškodný vstup a který je aplikací interpretován nebo spuštěn, ale ve skutečnosti obsahuje škodlivé pokyny. 

Tento typ útoku využívá nesprávné ověření nedůvěryhodných dat v aplikaci. Mezi běžné typy vkládání kódu patří vkládání příkazů, vkládání SQL a vkládání PHP.

Příkazová injekce

Vkládání příkazů je útok určený k provádění libovolných příkazů na hostitelském operačním systému prostřednictvím zranitelné aplikace. K útokům vkládání příkazů může dojít, když aplikace předá systémovému shellu nezabezpečená data zadaná uživatelem, jako jsou formuláře, soubory cookie nebo hlavičky HTTP. 

Při útoku vložení příkazu jsou příkazy operačního systému dodané útočníkem obvykle prováděny s oprávněními zranitelné aplikace. Útoky vkládání příkazů jsou způsobeny nedostatečným ověřením vstupu.

SQL Injection

SQL injection je technika používaná útočníky k získání neoprávněného přístupu k databázím webových aplikací přidáváním řetězců škodlivého kódu do databázových dotazů.

Útočníci manipulují s kódem SQL, aby poskytli přístup k chráněným zdrojům, jako jsou citlivá data, a provádějí škodlivé příkazy SQL. Správně provedená injekce SQL může odhalit duševní vlastnictví, zákaznická data nebo přihlašovací údaje správce soukromé společnosti. Většina technik používá příkazové znaky, které přepínají kontext dotazu SQL k provádění neočekávaných akcí v databázi.

Útoky SQL injection se mohou zaměřit na jakoukoli aplikaci, která používá databázi SQL, a weby jsou nejčastějším cílem útoků. Mezi běžné SQL databáze patří MySQL, Oracle a SQL Server. S příchodem databází NoSQL objevili útočníci podobné techniky pro provádění injekce NoSQL.

Vzdálené spuštění kódu

Vzdálené spuštění kódu (RCE) umožňuje útočníkovi spouštět škodlivý kód vzdáleně na počítači. Tato chyba zabezpečení umožňuje útočníkovi převzít úplnou kontrolu nad postiženým systémem s oprávněními uživatele spouštějícího aplikaci. Po získání přístupu do systému se útočníci často pokoušejí eskalovat oprávnění. 

Mnoho dalších typů zde uvedených útoků může za určitých okolností vést k RCE a řada zranitelností v operačních systémech a aplikacích RCE umožňuje. Jakýkoli útok nebo zneužití, které umožňuje RCE, je považováno za velmi závažné a může mít katastrofální následky. 

Plnění pověření

Plnění přihlašovacích údajů je automatické vkládání odcizených přihlašovacích údajů do přihlašovacích formulářů webových stránek za účelem získání neoprávněného přístupu k uživatelským účtům.

Mnoho uživatelů opakovaně používá stejné páry hesla a uživatelského jména, takže pokud jsou tyto přihlašovací údaje odhaleny při narušení dat nebo prostřednictvím phishingových útoků, mohou útočníkům umožnit přístup do více systémů. Útočníci se pokoušejí odeslat stejné přihlašovací údaje stovkám webových stránek, aby získali přístup k dalším účtům. 

Vyplňování pověření je podobné útoku hrubou silou, ale místo zkoušení náhodných řetězců nebo slovníků běžných hesel používá známá hesla získaná při předchozích porušeních.

Pokročilá trvalá hrozba

Pokročilá trvalá hrozba (APT) je široký pojem používaný k popisu útoku, při kterém narušitel nebo tým narušitelů získá dlouhodobou přítomnost v síti, obvykle s cílem ukrást citlivá data.

Cíle těchto útoků jsou pečlivě vybírány a vyšetřovány a často zahrnují velké firemní nebo vládní sítě. Mnoho útočníků APT je součástí skupin organizovaného kyberzločinu nebo může být podporováno nepřátelskými národními státy, což znamená, že mají zdroje, technologie a čas k provádění vysoce sofistikovaných útoků.

APT útočníci mohou použít různé metody k proniknutí do sítě, aniž by byli detekováni. Provádějí laterální pohyb, eskalují oprávnění a nasazují malware, jako jsou trojské koně nebo rootkity, který jim umožňuje získat trvalou kontrolu. Útočníci mohou v síti přebývat měsíce nebo roky a neustále získávat cenná data. 

Útoky na dodavatelský řetězec

Útok na dodavatelský řetězec využívá slabého článku v dodavatelském řetězci organizace. Dodavatelský řetězec je síť všech jednotlivců, organizací, zdrojů, činností a technologií zapojených do tvorby a prodeje produktu. Dodavatelský řetězec zahrnuje všechny aspekty dodávky materiálu, od dodavatele k výrobci až po dodávku koncovému uživateli. 

V několika nedávných útocích se sofistikovaní útočníci zaměřovali na dodavatelský řetězec softwaru tím, že kompromitovali softwarové komponenty nebo systémy, kterým důvěřovaly a nasazovaly je tisíce organizací po celém světě. Proto je pro organizace zásadní, aby pečlivě prověřily bezpečnostní standardy svých dodavatelů, softwarových komponent třetích stran a IT systémů.

Otrava mezipaměti

Otrava mezipaměti je síťový útok, při kterém útočník vloží nesprávné informace do systému DNS (Domain Name System) nebo webové mezipaměti, aby poškodil uživatele. Útočníci používají webový server a mezipaměť k šíření nesprávných informací na server DNS nebo do mezipaměti cílového systému s cílem doručit uživatelům škodlivé odpovědi protokolu HTTP (Hypertext Transfer Protocol).

Otrava mezipaměti DNS obvykle odvádí provoz z legitimních webových stránek na škodlivé webové stránky kontrolované útočníkem. Uživatelé jsou tak zranitelní vůči rizikům, jako je napadení malwarem a krádež dat. 

Pašování požadavků HTTP

Útoky na pašování požadavků HTTP využívají nekonzistenci ve způsobu, jakým dva servery HTTP analyzují požadavek HTTP, který není v souladu s RFC. Obvykle se jedná o server typu back-end a firewall nebo proxy s povoleným HTTP. Útočník vytvoří několik vlastních požadavků HTTP, které skryjí nebo „propašují“ škodlivý požadavek ve zdánlivě neškodném požadavku.

Prostřednictvím zranitelností v oblasti pašování HTTP mohou útočníci obejít bezpečnostní opatření, získat přístup k citlivým informacím a unést uživatelské relace. Tento útok může také vést k sekundárním zneužitím, jako je obcházení brány firewall, částečné otravy mezipaměti a skriptování mezi stránkami (XSS).

LFI a RFI

Local file inclusion (LFI) je webová chyba, která může útočníkovi umožnit spuštění nebo přístup k souboru na zranitelném webu nebo webové aplikaci. To může útočníkovi umožnit číst citlivé soubory, přistupovat k citlivým informacím a provádět libovolné příkazy na serveru typu back-end.

Vzdálené zahrnutí souborů (RFI) je proces zahrnutí vzdálených souborů využitím zranitelného procesu zahrnutí zahrnutí souboru implementovaného v aplikaci. Liší se od LFI, protože umožňuje útočníkovi spouštět škodlivý kód z externího zdroje namísto přístupu k souborům, které se již nacházejí na místním webovém serveru.

Při útoku RFI využívá hacker k nahrání škodlivého externího souboru nebo skriptu schopnost dynamického vkládání souborů, která je přítomná v mnoha webových rámcích. Pokud webová aplikace přijme uživatelský vstup (jako jsou adresy URL a hodnoty parametrů) a předá jej mechanismu začlenění souborů bez řádného ověření, útočníci mohou provést RFI, aby vložili škodlivý skript nebo spustitelný soubor.

IDOR

K útoku na nezabezpečený přímý odkaz na objekt (IDOR) dochází, když aplikace poskytuje přímý přístup k objektu na základě vlastního vstupu od uživatele. Útočníci mohou získat přímý, neoprávněný přístup ke zdrojům změnou hodnoty parametru tak, aby přímo ukazoval na objekt – což může být položka databáze nebo jakýkoli soubor v místním systému. 

To může útočníkovi umožnit obejít ověřování a přímo přistupovat k citlivým zdrojům v systému, jako jsou databázové záznamy a soubory. 

Chybná konfigurace cloudu

Chybné konfigurace zabezpečení jsou v cloudových prostředích běžné. Stávají se, když nejsou správně definována nastavení zabezpečení nebo jsou použity nezabezpečené výchozí hodnoty. Jednoduchým příkladem je cloudový bucket obsahující citlivá data, která jsou vystavena internetu bez ověření.

Většinu cloudových služeb lze konfigurovat bezpečně, ale to vyžaduje ostražitost ze strany cloudového zákazníka. K nesprávné konfiguraci často dochází, když uživatelé nastaví cloudový prostředek, aniž by jej řádně zabezpečili, takže jej mohou útočníci zneužít. V jiných případech mohly být cloudové zdroje v té době správně zabezpečeny, ale mohly se stát nezabezpečenými kvůli nové zranitelnosti nebo změně cloudového prostředí. 

Špatně nakonfigurované výpočetní instance, úložiště, cloudové databáze, kontejnery nebo aplikace softwaru jako služba (SaaS) (abychom jmenovali jen několik typů cloudových zdrojů) mohou útočníci snadno odhalit pomocí různých skenovacích nástrojů. Mnoho rozsáhlých a vysoce medializovaných porušení bylo důsledkem chybné konfigurace cloudu, která nebyla organizací včas odhalena a napravena. To vyvolává potřebu nepřetržitého skenování cloudových systémů a rychlé nápravy chybných bezpečnostních konfigurací.


 

Jak zabránit kyberbezpečnostním útokům
 

Penetrační testování

Penetrační test (pen test) je autorizovaná simulace kybernetického útoku proti počítačovému systému nebo síti. Cílem penetračního testování je identifikovat zneužitelná zranitelnost a zkontrolovat bezpečnostní pozici organizace. Etičtí hackeři provádějí penetrační testy, aby organizacím pomohli proaktivně najít a opravit kritická zneužití, která mohou vést k narušení bezpečnosti.

 

Průběžné testování aplikací: programy odměn a programy zpřístupnění zranitelnosti (VDP)

VDP vyzývá třetí strany, aby pomohly organizaci odhalit slabá místa zabezpečení. Stanovuje jasné pokyny pro etické hackery, výzkumníky a další, jak odhalit a předat organizaci zranitelná místa. To pomáhá chránit organizace před veřejně známými zranitelnostmi a umožňuje bezpečnostním výzkumníkům pracovat bez obav ze soudních žalob. 

Ve VDP mohou organizace příležitostně odměňovat výzkumníky, ale neexistuje žádný organizovaný kompenzační mechanismus. Program bug bounty je naproti tomu organizovaný systém odměn nabízený etickým hackerům za odhalení a odhalení chyb. Bounty programy platí za každou objevenou zranitelnost. Etičtí účastníci v programech odměn za chyby mohou vydělávat příjmy na plný úvazek a organizace mohou programy podle potřeby zapínat a vypínat.

Vytvořte školicí program pro zvyšování povědomí o kybernetické bezpečnosti

Výzkum ukazuje, že dodavatel nebo zaměstnanec může iniciovat dva ze tří incidentů s hrozbou zevnitř, kterým lze předejít. Organizace se mohou chránit vytvořením školicího programu pro zvyšování povědomí o kybernetické bezpečnosti. Pomáhá identifikovat rizikové chování zaměstnanců, sledovat metriky zlepšování a poskytuje zaměstnancům potřebné vzdělání, dovednosti a znalosti pro kulturu bezpečnosti na prvním místě.

Zaměřte se na 10 hlavních zranitelností OWASP

Open Web Application Security Project (OWASP) je nezisková organizace, jejímž cílem je pomáhat zlepšovat zabezpečení aplikací a na svých webových stránkách poskytuje bezplatnou a důvěryhodnou znalostní základnu. Seznam 10 hlavních zranitelností OWASP zahrnuje kritická zranitelnosti webových aplikací. Seznam je podle potřeby revidován a aktualizován. Je celosvětově uznáván jako základní průvodce osvědčenými postupy pro zabezpečení webových aplikací.

Používejte databáze CVE

Databáze Common Vulnerabilities and Exposures (CVE) poskytují seznam veřejně zveřejněných informací o bezpečnostních slabinách a ohroženích. Umožňuje stranám snadno sdílet informace o známých zranitelnostech a rychle aktualizovat bezpečnostní strategie pomocí nejnovějších bezpečnostních chyb. CVE poskytuje standardizovaný identifikátor a název/číslo pro každou expozici nebo zranitelnost. Každý identifikátor nabízí přístup ke konkrétním hrozbám napříč několika informačními zdroji.  

Sledujte přístup třetích stran k vašim datům

Většina organizací umožňuje přístup třetích stran ke svým datům. Vzdálení zaměstnanci, obchodní dodavatelé, prodejci a subdodavatelé mají přístup k firemním informacím a zdrojům, aby mohli vykonávat svou práci a podnikat. Přístup třetích stran však otevírá organizace různým vnitřním hrozbám, jako je malware a úniky přihlašovacích údajů. Organizace mohou chránit své informace monitorováním aktivit třetích stran a omezením rozsahu přístupu uživatelů třetích stran.

Zálohujte svá data

Zálohování pomáhá chránit vaše data. Pokud v organizaci dojde k narušení, ztrátě nebo výpadku dat, můžete obnovit informace ze záloh dat. Pomocí záloh dat můžete obnovit přepsaný soubor a obnovit smazané soubory. Pokud je útok ransomwaru zacílen na vaši organizaci, můžete místo placení výkupného použít své záložní kopie. 
 

Závěr

V tomto článku jsme se zabývali 16 běžnými útoky na kybernetickou bezpečnost, včetně:

  • Úniky dat – neoprávněný přístup a krádež dat aktéry hrozeb.

  • Cross site scripting (XSS) – umožňuje útočníkům vydávat se za uživatele aplikace a provádět jejich jménem nežádoucí akce.

  • SQL injection – spočívá v tom, že útočníci vkládají škodlivé SQL dotazy do uživatelských vstupů.

  • Pokročilé trvalé hrozby – umožňují útočníkům získat trvalý přístup k chráněné síti nebo systému.

  • Útoky dodavatelského řetězce – umožňují útočníkům zneužít důvěryhodné vztahy mezi společností a jejími prodejci nebo dodavateli.

  • Chybná konfigurace cloudu – zahrnuje zneužití cloudových systémů, které nebyly řádně zabezpečeny jejich uživateli.

K zabezpečení vaší organizace proti těmto a dalším útokům použijte kombinaci interních ochranných opatření a externí pomoci. Interně byste měli sjednotit vývojáře, provozní personál a bezpečnostní týmy podle osvědčených postupů, abyste zabránili zranitelnosti webových aplikací a dalších kritických systémů, přezkoumali vztahy s dodavateli třetích stran a zajistili, že máte solidní strategii zálohování. 

Kromě toho je skvělý nápad zapojit do vaší strategie kybernetické bezpečnosti externí odborníky na bezpečnost. Penetrační testování a odměny za chyby jsou jen dva způsoby, jak můžete využít talent etických hackerů k odhalení a vyřešení vašich nejkritičtějších zranitelností.

Anchor 200
bottom of page