Главная » Биткоин Майнинг » Что хакеры знают о сети — что ты не делаешь
Опубликовано 19 декабря 2017 в 19:53

Что хакеры знают о сети — что ты не делаешь

[ad_1]

Неважно, не называете вы хакеров, крекеров или киберпреступников. Что имеет значение, что вы называете — они ищут путь в вашу сеть!

Вы можете не понять это, но хакеры сканируют ваше интернет-с & # 39; единения, ища открытия.

Что они будут делать, если найдут его? Они запуститимуть атаку против этого открытия, чтобы узнать, они могут использовать уязвимость, которая позволит им дистанционно выполнять определенные команды, тем самым предоставляя им доступ к вашей сети.

Но все начинается с сканирование вашей сети.

Автоматизированные инструменты — замечательные вещи

Кибер преступники не сканируют каждую индивидуальную сеть в Интернете один за другим. У них есть автоматизированные средства, которые случайно сканируют каждую IP-адрес в Интернете.

хакеры не ленивые люди — просто очень эффективны. И очень умный. Используемые инструменты могут быть предварительно загружены с помощью различных Интернет-адресов для сканирования. Поскольку этот инструмент находит Интернет-адрес с определенными открытиями, он создает список адреса и открытия. Этот список затем подается в другой инструмент, который активно пытается использовать это открытие с помощью различных программ. Если ни один эксплойт не работает, программа хакера переходит к следующей потенциальной жертвы.

Когда вы видите активность сканирования в журналах брандмауэра, вы будете знать, откуда вы скануетесь и они пытаются нацелить. Вооружившись этими данными, следует проверить, вы запускаете программное обеспечение, которое использует этот порт, и если у вас есть какие открытые открытия. Если вы пользуетесь программным обеспечением прослушивания на этом отсканированном порта, и имеющийся доступен патч, этот патч следует применить немедленно, поскольку хакеры могут знать что-то, в чем вы не знаете.

ПРИМЕЧАНИЕ. Было нашим опытом, что многие компании исправляют свое программное обеспечение Microsoft Windows, но редко они проверяют патчи для всего программного обеспечения, используемого в бизнесе.

Как описано, вы увидите эту активность в журналах брандмауэра, то есть, если кто-то фактически просматривает журналы брандмауэра.

Ах, мой брандмауэр имеет журналы?

Однако, когда большинство владельцев бизнеса спрашивают об их журналы брандмауэра, типичный ответ обычно что-то вроде: "О, мой брандмауэр имеет журналы?" Так, все брандмауэры выпускают файлы журналов. Большинство из них лишь показывают, что была заблокирована, то есть показывает картины всех воров, которые находятся в в & # 39; тюрьмы, а банк в в & # 39; тюрьмы грабит.

Разве вы не хотите видеть весь трафик? Это дает больше работы, но если ваш брандмауэр только записывает активность, о которой он знает, то ваша безопасность полностью зависит от возможностей вашего брандмауэра и способа его настройки.

Многие компании-брандмауэров хотят уменьшить количество обращений в службу поддержки. Их бизнес-модель заключается в том, что имеющаяся техническая поддержка доступна, но в процессе они также ищут способы сократить количество раз, когда люди заходят. Это не обязательно & # 39; обязательно плохо, но когда их продукты имеют меньше функций, тем меньше в итоге — это плохо.

Большинство брандмауэров, предназначенных для рынка малого бизнеса, не имеют особенностей, которые большинство малых предприятий могли бы получить. У многих из них есть все технические слова, такие как "глубокая проверка пакетов", "предотвращение шпионским программам", "обнаружения" и многие другие, однако они не выходят на уровень детализации, необходимые для эффективности.

Во-первых, много брандмауэров, "разработанных" для малых предприятий, начинаются с компаний, имеющих 100 — 250 пользователей. Бюро статистики труда это может считаться малым бизнесом, но для технологических целей компании такого размера имеют собственный ИТ-персонал (96%). Это не только одна IT лицо, а персонал ИТ, означает, что кто-то, вероятно, несет ответственность за безопасность. Если нет, то они будут кого-то учить их в надлежащей установке, установке и мониторинга устройств безопасности.

Предприятия, которые мы считаем маленькими, имеют от 3 до 50 комп & # 39; компьютеров. Компании на высшем уровне этого масштаба могут иметь кого-то, посвященного обработке IT-вопросов. Но этот человек, как правило, так помешала проблемы с поддержкой ПК, что у них мало времени "оставлено" для эффективного мониторинга логов брандмауэра.

На нижнем конце этой шкалы они, как правило, имеют внешнюю лицо или фирму, ответственность или они работника, "очень хорошо работает с компьютером & # 39; ютерами", который также имеет другие обязанности & # 39; связки. Редко эти малые предприятия будут кого-то, кто постоянно следит за журналами брандмауэра. Кто-то может их пересмотреть, если проблема не существует, но эти журналы вращаются после заполнения, чтобы ценные данные могли быть потеряны, прежде чем он когда-либо рассматривался. И это позор. Без просмотра журналы, вы не знаете, кто или кто пытается войти в который ли.

Файл журнала примеров

Дайте обзор некоторых журналов. Это бывает журнал от клиента. Колонки обозначены соответственно. Этот отчет был очищен, чтобы облегчить объяснение и понять.

Дата источника Источник IP Портовый порт Назначение IP Текущий порт

18.06.2007 12: 04: 03.416 218.10.111.119 12200 55.66.777.1 6588

18.06.2007 12: 16: 05.192 41.248.25.147 4925 55.66.777.1 5900

18.06.2007 13: 08: 02.256 218.10.111.119 12200 55.66.777.1 6588

18.06.2007 13: 22: 10.224 58180.199.163 4637 55.66.777.1 2967

Что это показывает?

Ну, первая источника IP-адрес (Интернет) адрес от Хэйлунцзян, провинции в Китае. Назначение является нашим клиентом (похищается для защиты невинных), но важными данными являются порт назначения. Это определяет то, что они ищут.

Порт 6588 может быть несколько различных вещей. Они могут сканировать троянец, использующий этот порт. Если их сканирования соответствует типичной реакции трояна удаленного доступа, они знают, что они нашли зараженную систему. Порт 6588 также может быть прокси-сервером (который мы не опишем здесь) с недавней ошибкой. Эта ошибка позволяет хакерам легко использовать их, предоставляя им удаленный доступ к системе, работающей на прокси-серверном программном обеспечении. Система хакеров скажет им, какая служба слушает на порту 6588, чтобы они знали, какие инструменты использовать для атаки этого порта.

Вторая линия в нашем файле журнала выше из Африки. Порт 5900 — это VNC, который используется многими системными администраторами для дистанционного подключения к системе для выполнения технического обслуживания на нем. Это программное обеспечение мало подвигов, а только в прошлом году позволило злоумышленнику установить пульт дистанционного управления системой с установленным VNC, не имея никаких паролей!

На линии 3 наш друг из Китая снова пытается снова. Тот же порт. Они должны стараться несколько эксплуатации против этого порта. Возможно, они знают что-то, о чем общее сообщество безопасности еще не знает.

В строке 4 в наших журналах мы видим новую IP-адрес в источнике. Это корреспондент из Кореи, но замечает его сканирующий порт 2967. Это, очевидно, порт, антивирусное программное обеспечение Symantec прослушивает для новых обновлений.

Существует известная эксплуатируют, которая позволяет удаленным атакам выполнять произвольный код с помощью неизвестных векторов атак. Когда хакеры находят этот порт, они точно знают, что эксплуатировать, чтобы попробовать. Иными словами, программное обеспечение безопасности, предназначенное для защиты систем, на самом деле для хакеров через программную ошибку. Возможно, в Symantec с & # 39; является новая "дыра", которую хакеры знают, но Symantec это не делает. Предыдущий отверстие был исправлен, так что хакеры ищут еще не отправили программное обеспечение Symantec или они знают новую дырку и ищут способы заразить их.

Нет просматривая свои журналы, вы не знаете, что пытается попасть в вашей сети.

Без должным образом настроенного брандмауэра этот тип нападения, безусловно, пройдет. Это происходит как брандмауэр, который мы настроили, чтобы мы знали о подобных порты, и мы заблокировали внешний доступ, поскольку этот клиент не использует продукты Symantec.

Когда я говорю о безопасности у владельца бизнеса, я всегда спрашиваю: "Когда в последний раз проверяли вашу сеть на открытие?" Они обычно отвечают, "Никогда". На это я отвечаю: "О, у вас там не было."

Регулярные сканирования вашей сети показывают, что хакеры видят в сети. Это простой процесс, и его следует выполнять не реже одного раза месяц. Результаты должны быть представлены вам в очень читабельном, понятном отчете

Что делать Далее

Первое, что вам следует сделать, это проверить брандмауэр, чтобы убедиться, что он & # 39; когда вы входите в журнал всех видов дияльности.Потим ваша работа заключается в том, чтобы начать просматривать журналы ежедневно или минимум раз в тиждень.Деяки маршрутизаторы имеют "встроенный" брандмауер.Мы часто считаю, что они очень ограничены их способность захищати.Наскилькы это ограничивает их функцию реестрации.Як правило, эти устройства показывают только то, что заблокирован. Часто эти маршрутизаторы и брандмауэры имеют возможность загружать журналы кому-то, когда они заполняются Это хороший вариант, поскольку вы можете направить их к тому, кто (или должен) посмотреть м подробно и уведомляет вас о любых записи, с которыми следует заинтересоваться.

Если брандмауэр не обеспечивает уровень детализации, описанный в этой статье, следует серьезно рассмотреть обновления. Вы можете сохранить существующий маршрутизатор, просто выключите функцию брандмауэра и приобретите специальный брандмауэр.

Тогда вы узнаете, что хакеры знают о вашей сети.

[ad_2]

Оставить комментарий

Ваш email нигде не будет показан