Aktivní obrana nebo protiútok? – 2. díl

V minulém dílu jsme si definovali zásadní problém a to kybernetický útok přicházející z jiného státu.

V tomto příspěvku se podíváme, jak by mohla ČR, a potažmo i jakákoliv jiná malá otevřená ekonomika na tento kybernetický útok reagovat.

Cíl protiútoku je jasný, identifikovat útočníka, anebo zničit jeho systémy, smazat mu data, shodit jeho servery, aby nemohl v útoku pokračovat. Jenže v drtivé většině případů útok probíhá z nebo skrz hacknuté systémy, na kterých běží legitimní business a jejich napadení znamená, že někdo jiný, v zásadě vinný jen tím, že své systémy dostatečně nezabezpečil, utrpí škodu.

Následující seznam možných protiútoků je inspirován tzv. Dagstuhlskou taxonomií a prezentuje některé techniky, nebo chcete-li kybernetické represálie, které by mohly být použity v rámci reakce na kybernetický útok a vést k zastavení právě probíhajícího útoku anebo k zabránění jeho opakování. Je však otázka, o jaký kybernetický útok by se vůbec muselo jednat, aby tyto techniky mělo vůbec smysl použít.

Hacknutí útočníka – v okamžiku, kdyby se podařilo zjistit identitu útočníka, tak by bylo možné na něj zaútočit, proniknout do jeho počítače, a následně předat důkazy policii a orgánům činným v trestním řízení, které by jej mohly sledovat a usvědčit. Útočník by nemohl ve své trestné činnosti pokračovat, způsobovat škody dalším subjektům a jeho dopadení a potrestání by působilo i odstrašujícím způsobem pro ty, co by jej chtěli následovat.

Zkopírování dat – útočník si odcizené soubory ukládá do tzv. drop zóny, ta se může nacházet prakticky na jakémkoliv serveru, třeba i v cloudu. Pokud se podaří zjistit, kde jsou data ukládána, je možné se pokusit získat k těmto datům přístup, to již ale bude znamenat zneužití nějaké zranitelnosti a získání neoprávněného přístupu k serveru a k uloženým datům, přičemž v úložišti mohou být uložena i citlivá data. Tato technika by měla smysl v případě, kdy by nebylo zřejmé, k jakým datům se útočník dostal, a získáním těchto zcizených dat zpět by bylo možné ochránit zájmy těch, kterým byla data zcizena.

Smazání dat – v okamžiku, kdy by se podařilo získat informace o tom, kde jsou data uložena, bylo by možné se pokusit data zkopírovat anebo alespoň smazat, ale i k tomu by bylo nutné zneužít nějaké zranitelnosti a stejně jako v přechozím případě by se jednalo o neoprávněný přístup do systému. Tato technika by měla smysl v okamžiku, kdy by se data nedalo získat zpět, ale bylo by je možné díky odhalené zranitelnosti smazat a tím zabránit jejich zneužití útočníkem.

Zašpinění dat – v okamžiku, kdy se podaří zjistit, jakým způsobem funguje odesílání dat, tak by bylo možné začít odesílat obrovské množství nesmyslných dat a data uložená v drop zóně tak znehodnotit, protože útočník nebude vědět, která jsou to ta správná a vzrostou mu náklady a útok se mu pak nevyplatí. Tato technika by měla smysl jen v okamžiku, kdy by získání data zpět nebo jejich smazání nebylo možné a postup útočníka by tak bylo možné zpomalit anebo mu jejich znehodnocením ve zneužití zabránit.

DoS útok – v souvislosti s předchozím bodem pak může být vedlejším efektem kromě učinění databáze zcizených informací nepoužitelnou i vyčerpání zdrojů a pád systému. To je možné obzvlášť v případě, kdy útočník neošetřuje data na vstupu a nekontroluje jejich typ a velikost. V okamžiku, kdy se povede způsobit nefunkčnost infrastruktury útočníka, tak ten nemůže v útoku dál pokračovat.

DDoS útok – klasický útok na cílový systém je komplikovaný, protože vyžaduje, aby útočník disponoval botnetem, i když pravda, někdy stačí vést útok z jednoho stroje, protože útočník nemá nasazenou ochranu proti DDoS. V okamžiku, kdy se povede způsobit nefunkčnost infrastruktury útočníka, tak ten nemůže v útoku dál pokračovat.

Přesměrování provozu – ve spolupráci s poskytovatelem připojení, správcem DNS nebo výrobcem OS by bylo možné přesměrovat komunikaci s C&C serverem na vlastní server.

Blokování – přístupy na servery útočníka, kde se nachází C&C server, drop zóna, ze kterých chodí spam, z kterých je veden DoS nebo DDoS útok, či se nachází phishingový web je možné za použití různých technik blokovat. Běžně se blokují a ruší nově založené domény. Blokovat by se dal i přístup z IP adresních rozsahů náležících konkrétnímu státu, ze kterého opakovaně probíhají kybernetické útoky. Dalo by se předpokládat, že buď se jedná o záměr, anebo daný stát situaci v kyberprostoru nezvládá. Mohlo by se stát, že si někdo bude stěžovat, že je omezován ve svých právech a že s danou zemí nemůže komunikovat.

Šíření dezinformací – šíření dezinformací je další možnost jak reagovat na probíhající kybernetický útok. K oslabení protivníka je možné záměrně šířit dezinformace, vytvářet fabulace a postupně je podporovat a rozvíjet a využít i přirozeného zapojení konspirátorů z vlastních řad protivníka, a reflexivního uvažování.

Řízené uvolňování informací – obzvláště v případě déle trvajícího anebo opakujícího útoku se vyplatí uvažovat o záměrném, cíleném a řízeném uvolňování informací s cílem poškodit daný subjekt a učinit jej nedůvěryhodným a případně jej zcela vyřadit ze hry.

Znovu je třeba připomenout, že za mnohými kybernetickými útoky nestojí stát, nýbrž soukromé společnosti sledující čistě své obchodní zájmy a snažící si zachovat čistý štít, takže k likvidaci, oslabení a převzetí konkurence používají takové techniky, jako jsou kybernetické útoky a šíření dezinformací.

Máte ještě nějaký tip? Napište.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Aktivní obrana nebo protiútok? – 2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: