Aktivní obrana nebo protiútok? – 2. díl
V minulém dílu jsme si definovali zásadní problém a to kybernetický útok přicházející z jiného státu.
V tomto příspěvku se podíváme, jak by mohla ČR, a potažmo i jakákoliv jiná malá otevřená ekonomika na tento kybernetický útok reagovat.
Cíl protiútoku je jasný, identifikovat útočníka, anebo zničit jeho systémy, smazat mu data, shodit jeho servery, aby nemohl v útoku pokračovat. Jenže v drtivé většině případů útok probíhá z nebo skrz hacknuté systémy, na kterých běží legitimní business a jejich napadení znamená, že někdo jiný, v zásadě vinný jen tím, že své systémy dostatečně nezabezpečil, utrpí škodu.
Následující seznam možných protiútoků je inspirován tzv. Dagstuhlskou taxonomií a prezentuje některé techniky, nebo chcete-li kybernetické represálie, které by mohly být použity v rámci reakce na kybernetický útok a vést k zastavení právě probíhajícího útoku anebo k zabránění jeho opakování. Je však otázka, o jaký kybernetický útok by se vůbec muselo jednat, aby tyto techniky mělo vůbec smysl použít.
Hacknutí útočníka – v okamžiku, kdyby se podařilo zjistit identitu útočníka, tak by bylo možné na něj zaútočit, proniknout do jeho počítače, a následně předat důkazy policii a orgánům činným v trestním řízení, které by jej mohly sledovat a usvědčit. Útočník by nemohl ve své trestné činnosti pokračovat, způsobovat škody dalším subjektům a jeho dopadení a potrestání by působilo i odstrašujícím způsobem pro ty, co by jej chtěli následovat.
Zkopírování dat – útočník si odcizené soubory ukládá do tzv. drop zóny, ta se může nacházet prakticky na jakémkoliv serveru, třeba i v cloudu. Pokud se podaří zjistit, kde jsou data ukládána, je možné se pokusit získat k těmto datům přístup, to již ale bude znamenat zneužití nějaké zranitelnosti a získání neoprávněného přístupu k serveru a k uloženým datům, přičemž v úložišti mohou být uložena i citlivá data. Tato technika by měla smysl v případě, kdy by nebylo zřejmé, k jakým datům se útočník dostal, a získáním těchto zcizených dat zpět by bylo možné ochránit zájmy těch, kterým byla data zcizena.
Smazání dat – v okamžiku, kdy by se podařilo získat informace o tom, kde jsou data uložena, bylo by možné se pokusit data zkopírovat anebo alespoň smazat, ale i k tomu by bylo nutné zneužít nějaké zranitelnosti a stejně jako v přechozím případě by se jednalo o neoprávněný přístup do systému. Tato technika by měla smysl v okamžiku, kdy by se data nedalo získat zpět, ale bylo by je možné díky odhalené zranitelnosti smazat a tím zabránit jejich zneužití útočníkem.
Zašpinění dat – v okamžiku, kdy se podaří zjistit, jakým způsobem funguje odesílání dat, tak by bylo možné začít odesílat obrovské množství nesmyslných dat a data uložená v drop zóně tak znehodnotit, protože útočník nebude vědět, která jsou to ta správná a vzrostou mu náklady a útok se mu pak nevyplatí. Tato technika by měla smysl jen v okamžiku, kdy by získání data zpět nebo jejich smazání nebylo možné a postup útočníka by tak bylo možné zpomalit anebo mu jejich znehodnocením ve zneužití zabránit.
DoS útok – v souvislosti s předchozím bodem pak může být vedlejším efektem kromě učinění databáze zcizených informací nepoužitelnou i vyčerpání zdrojů a pád systému. To je možné obzvlášť v případě, kdy útočník neošetřuje data na vstupu a nekontroluje jejich typ a velikost. V okamžiku, kdy se povede způsobit nefunkčnost infrastruktury útočníka, tak ten nemůže v útoku dál pokračovat.
DDoS útok – klasický útok na cílový systém je komplikovaný, protože vyžaduje, aby útočník disponoval botnetem, i když pravda, někdy stačí vést útok z jednoho stroje, protože útočník nemá nasazenou ochranu proti DDoS. V okamžiku, kdy se povede způsobit nefunkčnost infrastruktury útočníka, tak ten nemůže v útoku dál pokračovat.
Přesměrování provozu – ve spolupráci s poskytovatelem připojení, správcem DNS nebo výrobcem OS by bylo možné přesměrovat komunikaci s C&C serverem na vlastní server.
Blokování – přístupy na servery útočníka, kde se nachází C&C server, drop zóna, ze kterých chodí spam, z kterých je veden DoS nebo DDoS útok, či se nachází phishingový web je možné za použití různých technik blokovat. Běžně se blokují a ruší nově založené domény. Blokovat by se dal i přístup z IP adresních rozsahů náležících konkrétnímu státu, ze kterého opakovaně probíhají kybernetické útoky. Dalo by se předpokládat, že buď se jedná o záměr, anebo daný stát situaci v kyberprostoru nezvládá. Mohlo by se stát, že si někdo bude stěžovat, že je omezován ve svých právech a že s danou zemí nemůže komunikovat.
Šíření dezinformací – šíření dezinformací je další možnost jak reagovat na probíhající kybernetický útok. K oslabení protivníka je možné záměrně šířit dezinformace, vytvářet fabulace a postupně je podporovat a rozvíjet a využít i přirozeného zapojení konspirátorů z vlastních řad protivníka, a reflexivního uvažování.
Řízené uvolňování informací – obzvláště v případě déle trvajícího anebo opakujícího útoku se vyplatí uvažovat o záměrném, cíleném a řízeném uvolňování informací s cílem poškodit daný subjekt a učinit jej nedůvěryhodným a případně jej zcela vyřadit ze hry.
Znovu je třeba připomenout, že za mnohými kybernetickými útoky nestojí stát, nýbrž soukromé společnosti sledující čistě své obchodní zájmy a snažící si zachovat čistý štít, takže k likvidaci, oslabení a převzetí konkurence používají takové techniky, jako jsou kybernetické útoky a šíření dezinformací.
Máte ještě nějaký tip? Napište.
Štítky: cyberwar
K článku “Aktivní obrana nebo protiútok? – 2. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
