Så går en nätverksattack till – tre vanliga tillvägagångssätt

Bild: Cisco

Sårbarheter i nätverk – ofta på grund av gammal och ouppdaterad mjukvara – kan få enorma konsekvenser. Men hur går de egentligen till? Cisco Talos har beskrivit de vanligaste sätten att kringgå nätverksskydd och hur man snabbt kan göra sig mindre sårbar.

Även om det stora flertalet av cyberattacker idag inleds med att man angriper en individ genom nätfiske eller annan social ingenjörskonst, blir inte nätverksskyddet mindre viktigt – för hur stark säkerhet nätverket har är ofta avgörande för hur mycket skada ett intrång kan göra, framhåller Cisco.

Cisco Talos, Ciscos organisation för cyberhotsforskning och analys, hanterar dagligen cyberattacker och säkerhetsincidenter över hela världen. Nu har man summerat de vanligaste angreppsteknikerna.

De flesta attackerna utförs mot åldrande nätverksinfrastruktur, enheter som sedan länge passerat bäst före-datum och/eller har kritiska, opatchade sårbarheter inbyggda. Många av de gamla enheterna utvecklades inte med säkerhet i fokus, eftersom nätverksinfrastrukturen historiskt inte betraktats som en del av cybersäkerhetsekosystemet. Även om detta förändrats blir den föråldrade utrustningen svaga länkar i säkerhetskedjan. Dels är det svårare att övervaka vilka som försöker få tillgång till nätverket, och dels ger det angriparen frihet att hitta de sämst bevakade svagheterna.

”Man kan tänka på det som en inbrottstjuv som tar sig in i huset via vattenledningsrören. De använder inte de förväntade metoderna, att bryta upp en dörr eller slå sönder ett fönster, utan en ovanlig väg, som ingen någonsin hade förväntat sig skulle användas. Deras mål är att stanna på insidan oupptäckta, medan de tar sig tid att hitta de dyrbaraste värdesakerna”, skriver Hazel Burton, informationsredaktör på Cisco Talos, i ett blogginlägg.

När man väl tagit sig in i systemet genom en sårbarhet finns det en mängd möjliga tillvägagångssätt för att ta sig djupare in i nätverksinfrastrukturen och skapa bakdörrar. Ett av de vanligaste sätten är att antingen manipulera enhetens befintliga firmware – den fasta programvara som styr själva enhetens system. Ett första steg kan till exempel vara att stänga av registreringen av ändringar, och sedan stänga av enhetens skyddsfunktioner för att oupptäckt kunna ladda upp andra skadeprogram.

 

Ett annat sätt är att ersätta enhetens befintliga firmware med en annan version, exempelvis en ännu äldre utgåva som har säkerhetshål som den senaste versionen saknar.

 

Det tredje sättet som sticker ut i de incidenter som Talos granskar är att sabotera olika säkerhetsverktyg. Vanliga exempel är att en angripare manipiulerar eller raderar listor för tillgångshantering och loggning, eller lägga in falska användarkonton med utökade rättigheter.