Las vulnerabilidades de seguridad recién descubiertas se duplican cada año. Los administradores deben parchear constantemente estas vulnerabilidades con los parches más recientes, ya que cada año se descubren muchas vulnerabilidades de seguridad nuevas. Los intrusos suelen encontrar sus objetivos antes de que los fabricantes solucionen estas vulnerabilidades.
Las herramientas de ataque son cada vez más sofisticadas.
Los desarrolladores de herramientas de ataque están utilizando tecnologías más avanzadas para armar sus herramientas de ataque. Las firmas de las herramientas de ataque son más difíciles que nunca de descubrir y detectar. Las herramientas de ataque tienen las siguientes características:
◆Antidetección y comportamiento dinámico
Los adversarios utilizan técnicas para ocultar las características de las herramientas de ataque, lo que aumenta la capacidad de los expertos en seguridad para analizar nuevos ataques. herramientas y comprender nuevos comportamientos de ataque; las primeras herramientas de ataque realizaron los pasos de ataque en un orden claro. Las herramientas de ataque automatizadas actuales pueden cambiar sus patrones y comportamiento basándose en una selección aleatoria, rutas de decisión predefinidas o gestión directa por parte del intruso.
◆Madurez de las herramientas de ataque
A diferencia de las primeras herramientas de ataque, las herramientas de ataque actuales pueden cambiar rápidamente actualizando o reemplazando algunas herramientas, lanzando ataques que cambian rápidamente y cada uno Habrá muchos diferentes. tipos de herramientas de ataque en cada ataque. Además, cada vez se desarrollan más herramientas de ataque para ejecutarse en una variedad de plataformas de sistemas operativos.
El nivel de automatización de ataques y la velocidad de ataque han aumentado, y la letalidad ha aumentado gradualmente.
Escanea en busca de posibles víctimas y compromete los sistemas vulnerables. Actualmente, las herramientas de escaneo utilizan métodos de escaneo más avanzados para mejorar los efectos y la velocidad del escaneo. Anteriormente, las vulnerabilidades de seguridad sólo se explotaban después de completar un análisis completo. Las herramientas de ataque ahora apuntan a estas vulnerabilidades de seguridad como parte de sus campañas de escaneo, lo que acelera la propagación de los ataques.
Ataque de dispersión. Antes del año 2000, las herramientas de ataque requerían que los humanos lanzaran una nueva ola de ataques. Actualmente, las herramientas de ataque pueden lanzar una nueva ronda de ataques por sí solas. Herramientas como el equipo rojo y Nimda pueden autoproliferar y alcanzar un punto de saturación global en menos de 18 horas.
Amenazas cada vez más asimétricas
La seguridad en Internet es interdependiente. La probabilidad de un ataque a cada sistema de Internet depende de la postura de seguridad de otros sistemas conectados a Internet global.
Debido al avance de la tecnología de ataque, los atacantes pueden utilizar fácilmente sistemas distribuidos para lanzar continuos ataques destructivos contra las víctimas. A medida que mejoren las habilidades de automatización de la implementación y gestión de herramientas de ataque, la asimetría de las amenazas seguirá aumentando.
Aumento de la penetración de los cortafuegos
Los cortafuegos son la principal medida de protección que utilizan las personas para protegerse contra intrusos. Sin embargo, existe un número cada vez mayor de técnicas de ataque que pueden eludir los cortafuegos. Por ejemplo, los atacantes pueden utilizar el Protocolo de impresión de Internet y WebDAV (autoría y traducción distribuidas basadas en web) para eludir los firewalls.
Supondrá una amenaza cada vez mayor para la infraestructura.
Los ataques a infraestructuras son ataques que afectan a componentes críticos de Internet a gran escala. A medida que los usuarios dependen cada vez más de Internet para realizar sus actividades diarias, existe una creciente preocupación por los ataques a la infraestructura.
La infraestructura está expuesta a ataques distribuidos de denegación de servicio, gusanos, ataques al Sistema de Nombres de Dominio (DNS) de Internet, ataques a enrutadores o ataques que explotan los enrutadores. La automatización de las herramientas de ataque permite a los atacantes instalar sus herramientas y tomar el control de miles de sistemas comprometidos para lanzar ataques. Los intrusos suelen buscar bloques de direcciones de sistemas vulnerables que se sabe que contienen una gran cantidad de conexiones de alta velocidad. Los módems por cable, DSL y los bloques de direcciones universitarias son cada vez más el objetivo de los intrusos que planean instalar herramientas de ataque.
Desde la perspectiva del atacante, podemos dividir los pasos del ataque en detección, explotación y ocultamiento. Al mismo tiempo, las tecnologías de ataque se pueden dividir en tres categorías: tecnología de detección, tecnología de ataque y tecnología de ocultación, y cada categoría se subdivide en diferentes tecnologías de ataque.
Desarrollo de tecnología de detección y plataforma de prueba de ataques
La detección es el trabajo de recopilación de inteligencia necesario para los piratas informáticos antes de atacar. A través de este proceso, el atacante necesita comprender todos los aspectos de la información relacionados con la seguridad del objetivo tanto como sea posible para poder concentrarse en el ataque.
La detección se puede dividir en tres pasos básicos: paso a paso, escaneo y conteo.
Si se compara el servidor con un edificio, entonces la recopilación y el análisis de la información de intrusión del host es como implementar varias cámaras en el edificio. Después de que el edificio es robado, las imágenes de las cámaras se analizan para prepararse. informar y "reparar la situación".
El primer paso: visitar el lugar. Significa que un atacante combina varias herramientas y habilidades para espiar a un objetivo de manera normal y legítima y crear un perfil completo de su postura de seguridad.
En este paso, la información principal recopilada incluye: diversa información de contacto, incluido el nombre, correo electrónico, número de teléfono, rango de direcciones IP; servidor de correo DNS;
Para los usuarios comunes, si pueden hacer uso del gran número de fuentes de información proporcionadas por Internet, pueden reducir gradualmente el alcance y fijar los objetivos que necesitan conocer.
Algunos de los métodos más prácticos y populares son: búsqueda web y búsqueda de enlaces, consulta Whois de la agencia de registro de nombres de dominio de Internet y Traceroute para obtener información de topología de la red.