Tinklų inžinieriai iš pirmo žvilgsnio tėra „techniniai darbuotojai“, kurie kuria, optimizuoja ir šalina tinklus, tačiau iš tikrųjų mes esame „pirmoji gynybos linija“ kibernetinio saugumo srityje. 2024 m. „CrowdStrike“ ataskaitoje teigiama, kad pasaulinių kibernetinių atakų padaugėjo 30 %, o Kinijos įmonės dėl kibernetinio saugumo problemų patyrė daugiau nei 50 milijardų juanių nuostolių. Klientams nesvarbu, ar esate operacijų, ar saugumo specialistas; įvykus tinklo incidentui, pirmasis kaltas yra inžinierius. Jau nekalbant apie plačiai paplitusį dirbtinio intelekto, 5G ir debesų tinklų diegimą, dėl kurio įsilaužėlių atakų metodai tapo vis sudėtingesni. Kinijoje „Zhihu“ yra populiarus įrašas: „Tinklo inžinieriai, kurie nesimoko saugumo, patys užkerta kelią savo pabėgimui!“ Šis teiginys, nors ir griežtas, yra teisingas.
Šiame straipsnyje pateiksiu išsamią aštuonių dažniausiai pasitaikančių tinklo atakų analizę, pradedant jų principais ir atvejų analizėmis, baigiant gynybos strategijomis, stengiantis kuo praktiškiau pateikti informaciją. Nesvarbu, ar esate naujokas, ar patyręs veteranas, norintis patobulinti savo įgūdžius, šios žinios suteiks jums daugiau kontrolės savo projektuose. Pradėkime!
Nr. 1 DDoS ataka
Paskirstytos paslaugų trikdymo (angl. DDoS) atakos užtvindo tikslinius serverius ar tinklus didžiuliu kiekiu netikro srauto, todėl jie tampa neprieinami teisėtiems vartotojams. Įprasti metodai apima SYN ir UDP užtvindymą. 2024 m. „Cloudflare“ ataskaita parodė, kad DDoS atakos sudarė 40 % visų tinklo atakų.
2022 m., prieš Vienišių dieną, el. prekybos platforma patyrė DDoS ataką, kurios metu didžiausias srautas pasiekė 1 Tbps, dėl to svetainė dviem valandoms neveikė ir buvo patirta dešimčių milijonų juanių nuostolių. Mano draugas buvo atsakingas už reagavimą į ekstremalias situacijas ir vos neišprotėjo dėl spaudimo.
Kaip to išvengti?
○Srauto valymas:Įdiekite CDN arba DDoS apsaugos paslaugas (pvz., „Alibaba Cloud Shield“), kad filtruotumėte kenkėjišką srautą.
○Pralaidumo perteklius:Rezervuokite 20–30 % pralaidumo staigiems srauto padidėjimams.
○Stebėjimo signalizacija:Naudokite įrankius (pvz., „Zabbix“), kad stebėtumėte eismą realiuoju laiku ir įspėtumėte apie bet kokius nukrypimus.
○Avarinis planasBendradarbiaukite su interneto paslaugų teikėjais, kad greitai perjungtumėte linijas arba blokuotumėte atakų šaltinius.
Nr. 2 SQL injekcija
Įsilaužėliai į svetainių įvesties laukus arba URL įterpia kenkėjišką SQL kodą, kad pavogtų duomenų bazės informaciją arba sugadintų sistemas. 2023 m. OWASP ataskaitoje teigiama, kad SQL injekcija išlieka viena iš trijų dažniausių žiniatinklio atakų.
Įsilaužėlis, įvedęs sakinį „1=1“, lengvai gavo administratoriaus slaptažodį, nes svetainė nesugebėjo filtruoti vartotojo įvedimo. Vėliau paaiškėjo, kad kūrimo komanda visiškai neįdiegė įvesties patvirtinimo.
Kaip to išvengti?
○Parametrinė užklausa:Serverio programų kūrėjai turėtų naudoti paruoštus sakinius, kad išvengtų tiesioginio SQL sujungimo.
○WAF departamentas:Žiniatinklio programų užkardos (pvz., „ModSecurity“) gali blokuoti kenkėjiškas užklausas.
○Reguliarus auditas:Prieš diegdami pataisymus, naudokite įrankius (pvz., „SQLMap“), kad nuskaitytumėte pažeidžiamumus ir sukurtumėte duomenų bazės atsarginę kopiją.
○Prieigos kontrolė:Duomenų bazės vartotojams turėtų būti suteiktos tik minimalios teisės, kad būtų išvengta visiško kontrolės praradimo.
Nr. 3 Tarpsvetainių scenarijų (XSS) ataka
Skirtingų svetainių scenarijų (XSS) atakos vagia vartotojų slapukus, sesijos ID ir kitus kenkėjiškus scenarijus, įterpdamos juos į tinklalapius. Jos skirstomos į atspindėtas, saugomas ir DOM pagrįstas atakas. 2024 m. XSS sudarė 25 % visų žiniatinklio atakų.
Forumas nesugebėjo filtruoti vartotojų komentarų, todėl įsilaužėliai galėjo įterpti scenarijaus kodą ir pavogti tūkstančių vartotojų prisijungimo informaciją. Mačiau atvejų, kai iš klientų dėl to buvo išviliota 500 000 Kinijos juanių.
Kaip to išvengti?
○Įvesties filtravimas: vartotojo įvesties kodavimas (pvz., HTML).
○CSP strategija:Įjunkite turinio saugumo strategijas, kad apribotumėte scenarijų šaltinius.
○Naršyklės apsauga:Nustatykite HTTP antraštes (pvz., X-XSS-Protection), kad blokuotumėte kenkėjiškus scenarijus.
○Įrankio nuskaitymas:Norėdami reguliariai tikrinti, ar nėra XSS pažeidžiamumų, naudokite „Burp Suite“.
Nr. 4 Slaptažodžių nulaužimas
Įsilaužėliai gauna vartotojo arba administratoriaus slaptažodžius naudodami „brute-force“ atakas, žodynų atakas arba socialinę inžineriją. 2023 m. „Verizon“ ataskaitoje nurodoma, kad 80 % kibernetinių įsilaužimų buvo susiję su silpnais slaptažodžiais.
Prie įmonės maršrutizatoriaus, naudodamas numatytąjį slaptažodį „admin“, lengvai prisijungė įsilaužėlis, įdiegęs galines duris. Vėliau įsilaužęs inžinierius buvo atleistas, o vadovas taip pat buvo patrauktas atsakomybėn.
Kaip to išvengti?
○Sudėtingi slaptažodžiai:Privaloma naudoti 12 ar daugiau simbolių, didžiąsias ir mažąsias raides, skaičius ir simbolius.
○Daugiafaktorinis autentifikavimas:Įjunkite daugiafaktorinį autentifikavimą (pvz., SMS patvirtinimo kodą) svarbiausioje įrangoje.
○Slaptažodžių valdymas:Naudokite įrankius (pvz., „LastPass“), kad galėtumėte juos valdyti centralizuotai ir reguliariai keisti.
○Bandymų apribojimas:IP adresas užrakinamas po trijų nepavykusių prisijungimo bandymų, siekiant užkirsti kelią „brute-force“ atakoms.
Nr. 5 „Žmogaus viduryje“ ataka (MITM)
Įsilaužėliai įsiterpia tarp vartotojų ir serverių, perimdami arba klastodami duomenis. Tai įprasta viešajame „Wi-Fi“ tinkle arba nešifruotame ryšyje. 2024 m. MITM atakos sudarė 20 % tinklo šnipinėjimo.
Kavinės „Wi-Fi“ ryšį pažeidė įsilaužėliai, dėl ko vartotojai prarado dešimtis tūkstančių dolerių, kai buvo perimti jų duomenys, kai jie jungėsi prie banko svetainės. Vėliau inžinieriai išsiaiškino, kad nebuvo taikomas HTTPS protokolas.
Kaip to išvengti?
○Priverstinai naudoti HTTPS:Svetainė ir API yra šifruojamos naudojant TLS, o HTTP yra išjungtas.
○Sertifikato patvirtinimas:Norėdami įsitikinti sertifikato patikimumu, naudokite HPKP arba CAA.
○VPN apsauga:Jautrioms operacijoms srautui šifruoti reikėtų naudoti VPN.
○ARP apsauga:Stebėkite ARP lentelę, kad išvengtumėte ARP klastojimo.
Nr. 6. Sukčiavimo ataka
Įsilaužėliai naudoja suklastotus el. laiškus, svetaines ar tekstinius pranešimus, kad apgautų vartotojus ir priverstų juos atskleisti informaciją arba spustelėti kenkėjiškas nuorodas. 2023 m. sukčiavimo atakos sudarė 35 % kibernetinio saugumo incidentų.
Įmonės darbuotojas gavo el. laišką iš asmens, kuris apsimetė jo viršininku, su prašymu pervesti pinigus ir prarado milijonus. Vėliau paaiškėjo, kad el. pašto domenas buvo netikras; darbuotojas jo nepatvirtino.
Kaip to išvengti?
○Darbuotojų mokymai:Reguliariai rengkite kibernetinio saugumo mokymus, kad išmokytumėte atpažinti sukčiavimo el. laiškus.
○El. pašto filtravimas:Įdiekite apsaugos nuo sukčiavimo apsimetant sistemą (pvz., „Barracuda“).
○Domeno patvirtinimas:Patikrinkite siuntėjo domeną ir įjunkite DMARC politiką.
○Dvigubas patvirtinimas:Dėl neskelbtinų operacijų reikalingas patvirtinimas telefonu arba asmeniškai.
Nr. 7 Išpirkos reikalaujanti programa
Išpirkos reikalaujanti programinė įranga užšifruoja aukų duomenis ir reikalauja išpirkos už iššifravimą. 2024 m. „Sophos“ ataskaitoje nurodoma, kad 50 % įmonių visame pasaulyje patyrė išpirkos reikalaujančių programų atakas.
Ligoninės tinklą užpuolė išpirkos reikalaujanti „LockBit“ programa, paralyžiavusi sistemą ir sustabdžiusi operacijas. Inžinieriai savaitę atkūrė duomenis, patirdami didelių nuostolių.
Kaip to išvengti?
○Reguliarus atsarginių kopijų kūrimas:Svarbiausių duomenų atsarginės kopijos kūrimas nuotoliniu būdu ir atkūrimo proceso testavimas.
○Pataisų valdymas:Nedelsiant atnaujinkite sistemas ir programinę įrangą, kad pašalintumėte pažeidžiamumus.
○Elgesio stebėjimas:Naudokite EDR įrankius (pvz., „CrowdStrike“), kad aptiktumėte anomalų elgesį.
○Izoliacijos tinklas:Jautrių sistemų segmentavimas siekiant užkirsti kelią virusų plitimui.
Nr. 8 Nulinės dienos ataka
Nulinės dienos atakos išnaudoja neatskleistas programinės įrangos pažeidžiamumus, todėl jų išvengti itin sunku. 2023 m. „Google“ pranešė apie 20 didelės rizikos nulinės dienos pažeidžiamumų atradimą, iš kurių daugelis buvo panaudotos tiekimo grandinės atakoms.
„SolarWinds“ programinę įrangą naudojusią įmonę užpuolė nulinės dienos pažeidžiamumas, paveikusis visą jos tiekimo grandinę. Inžinieriai buvo bejėgiai ir galėjo tik laukti pataisos.
Kaip to išvengti?
○Įsilaužimo aptikimas:Įdiekite IDS/IPS (pvz., „Snort“), kad stebėtumėte neįprastą srautą.
○Smėlio dėžės analizė:Naudokite smėlio dėžę įtartiniems failams izoliuoti ir jų elgesiui analizuoti.
○Grėsmių žvalgyba:Prenumeruokite paslaugas (pvz., „FireEye“), kad gautumėte naujausią informaciją apie pažeidžiamumus.
○Mažiausios privilegijos:Apribokite programinės įrangos teises, kad sumažintumėte atakų paviršių.
Kolegos tinklo nariai, su kokiomis atakomis susidūrėte? Ir kaip su jomis susitvarkėte? Aptarkime tai kartu ir dirbkime kartu, kad mūsų tinklai būtų dar stipresni!
Įrašo laikas: 2025 m. lapkričio 5 d.
