Buscando la historia del desarrollo de la tecnología de ataque y tecnología de protección de redes.
Hoy en día, las vulnerabilidades de seguridad ocurren cada vez más rápido, y su cobertura es cada vez más amplia.
Las vulnerabilidades de seguridad descubiertas recientemente se duplican cada año, y los gerentes deben parchearlas constantemente con la Cada año se descubren los últimos parches, estas vulnerabilidades y muchos tipos nuevos de vulnerabilidades de seguridad. Los intrusos suelen encontrar objetivos antes de que los proveedores solucionen estas vulnerabilidades.
Las herramientas de ataque son cada vez más sofisticadas.
Los desarrolladores de herramientas de ataque están armando herramientas de ataque con tecnologías más avanzadas. En comparación con antes, las características de las herramientas de ataque son más difíciles de encontrar y de utilizar para la detección. Las herramientas de ataque tienen las siguientes características:
◆ Antidetección y comportamiento dinámico
Los atacantes utilizan técnicas para ocultar las características de las herramientas de ataque, lo que permite a los expertos en seguridad analizar nuevas herramientas de ataque y comprenderlas. las consecuencias de los nuevos comportamientos de ataque aumentan el consumo de tiempo; mientras que las primeras herramientas de ataque realizaban pasos de ataque en una única secuencia determinada, las herramientas de ataque automatizadas de hoy pueden variar sus patrones y comportamiento basándose en una selección aleatoria, rutas de decisión predefinidas o gestión directa por parte del intruso.
◆ Madurez de las herramientas de ataque
A diferencia de las primeras herramientas de ataque, las herramientas de ataque actuales pueden cambiar rápidamente actualizando o reemplazando parte de la herramienta, lanzando ataques que cambian rápidamente y cada ataque Una variedad de En un ataque aparecerán diferentes herramientas de ataque. Además, las herramientas de ataque se desarrollan cada vez más para ejecutarse en múltiples plataformas de sistemas operativos.
El grado de automatización y velocidad de ataque de los ataques aumenta, y la letalidad aumenta gradualmente
Escanea en busca de posibles víctimas y daña los sistemas vulnerables. Actualmente, las herramientas de escaneo utilizan modos de escaneo más avanzados para mejorar los resultados del escaneo y aumentar la velocidad del escaneo. Anteriormente, las vulnerabilidades de seguridad sólo se explotaban después de completar análisis exhaustivos. Las herramientas de ataque ahora explotan estas vulnerabilidades de seguridad como parte de campañas de escaneo, acelerando la propagación de los ataques.
Propagar ataques. Antes del año 2000, las herramientas de ataque requerían que los humanos lanzaran nuevos ataques. Actualmente, las herramientas de ataque pueden lanzar nuevos ataques por sí solas. Herramientas como Code Red y Nimda pueden propagarse y alcanzar un punto de saturación global en menos de 18 horas.
Amenazas cada vez más asimétricas
La seguridad en Internet es interdependiente. La vulnerabilidad de cada sistema de Internet a los ataques depende de la postura de seguridad de otros sistemas conectados a la Internet global.
Debido al avance de la tecnología de ataque, un atacante puede utilizar con relativa facilidad un sistema distribuido para lanzar continuamente ataques destructivos contra una víctima. La asimetría de las amenazas seguirá aumentando a medida que mejoren las habilidades de automatización de la implementación y gestión de herramientas de ataque.
Aumento de la penetración de los cortafuegos
Los cortafuegos son la principal medida de protección que utilizan las personas para protegerse contra intrusos. Sin embargo, cada vez más tecnologías de ataque pueden eludir los cortafuegos. Por ejemplo, los atacantes pueden utilizar el Protocolo de impresión de Internet y WebDAV (autoría y traducción distribuidas basadas en la web) para eludir los cortafuegos.
Habrá una amenaza creciente para la infraestructura
Los ataques a la infraestructura son ataques que afectan a componentes clave de Internet a gran escala. A medida que los usuarios dependen cada vez más de Internet para realizar sus actividades diarias, los ataques a la infraestructura han causado una preocupación cada vez mayor.
La infraestructura se enfrenta a ataques distribuidos de denegación de servicio, gusanos, ataques al sistema de nombres de dominio (DNS) de Internet y ataques o explotación de enrutadores. El nivel de automatización de las herramientas de ataque permite que un solo atacante instale sus herramientas y tome el control de decenas de miles de sistemas comprometidos para lanzar un ataque. Los intrusos a menudo buscan bloques de direcciones que se sabe que contienen una gran cantidad de sistemas vulnerables con conexiones de alta velocidad. Los bloques de direcciones de cable módem, DSL y universidades son cada vez más el objetivo de los intrusos que planean instalar herramientas de ataque.
Desde la perspectiva del atacante, podemos dividir los pasos del ataque en Sondear, Explotar y Ocultar. Al mismo tiempo, las tecnologías de ataque se pueden dividir en tres categorías: tecnología de detección, tecnología de ataque y tecnología de ocultación, y en cada categoría se subdividen varias tecnologías de ataque.
Desarrollo de tecnología de detección y plataforma de prueba de ataques
La detección es un trabajo de recopilación de inteligencia necesario para los piratas informáticos antes de que comience el ataque. A través de este proceso, los atacantes deben comprender la seguridad del objetivo del ataque. con el mayor detalle posible todos los aspectos de la información para que la potencia de fuego pueda concentrarse para el ataque.
La detección se puede dividir en tres pasos básicos: comprobación, escaneo y enumeración.
Si se compara el servidor con un edificio, el trabajo requerido para recopilar y analizar la información de intrusión del host es como implementar varias cámaras en el edificio. Después de que ocurre un robo en el edificio, las imágenes de las cámaras se eliminan. analizado. Luego prepárese para denunciar el delito y "hacer las paces".
El primer paso: intervenir. Significa que el atacante combina varias herramientas y técnicas para espiar al objetivo del ataque de forma normal y legal, y establece un análisis completo de su situación de seguridad.
En este paso, la información principal recopilada incluye: diversa información de contacto, incluido el nombre, la dirección de correo electrónico, el número de teléfono y el rango de direcciones IP;
Para el usuario medio, si puede aprovechar la gran cantidad de fuentes de información disponibles en Internet, podrá reducir gradualmente el alcance a lo que necesita saber.
Varios métodos prácticos y populares incluyen: búsqueda en páginas web y búsquedas de enlaces, uso de agencias de registro de nombres de dominio de Internet para realizar consultas Whois, uso de Traceroute para obtener información de topología de red, etc.