Inhalt
- Höhepunkte von Ich liebe dich
- Sicherheitshaltung
- Kosten von I Love You Cleanup
- Worst-Case-Szenario
- Empfohlene Vorgehensweise
- Entfernen oder deaktivieren Sie nicht benötigte Dienste
- Erweitern Sie die Sicherheitsanstrengungen innerhalb des Perimeters
- Firewall am Perimeter
- Persönliche Firewalls
- IDS und IPS
- Sicherheitsbewusstseinstraining
- Gemischte Angriffe sind teuer
- Verweise
Obwohl Denial-of-Service-Angriffe von jeder Front aus auftreten können, haben viele Hacker dazu übergegangen, gemischte Angriffe auf die globale Community mit Internetverbindung zu veröffentlichen. Diese Angriffe können Systeme von mehreren Angriffsvektoren gleichzeitig infiltrieren oder nach Ereignissen mehrere Arten von Chaos verursachen. Der Autor dachte über die Interviews nach, die für den vorherigen Auftrag durchgeführt wurden, und bezog die jeweilige Angriffsart auf die einer gemischten.
Die Kosten für die Ausrottung wurden berücksichtigt, da sie für die hervorgehobene Organisation und die Kosten für die Ausrottung der globalen Umwelt gelten. Das Befolgen von Best Practices-Richtlinien wurde als effektive Methode für Administratoren auf globaler Ebene vorgestellt, um zusammenzuarbeiten, um die Auswirkungen gemischter Angriffe zu verringern.
Der vom Autor in der Zeitung beschriebene Angriff Ich liebe dich führte zu Denial of Service Ausgenutzte E-Mail-Server, Host-Computer und Netzwerkinfrastrukturen bei einem so genannten Blended-Angriff. Chien und Szor (2001) definierten einen gemischten Angriff oder eine gemischte Bedrohung, als sie sagten: „Eine gemischte Bedrohung nutzt eine oder mehrere Schwachstellen als Hauptinfektionsvektor aus und kann zusätzliche Netzwerkangriffe wie Denial-of-Service gegen andere Systeme ausführen ”(S. 2). Der oben erwähnte Angriff umfasste einen Virus, der einen E-Mail-Client infizierte, Zugriff auf das Adressbuch des Clients erhielt und dann Kopien des Virus an alle Einträge im Adressbuch schickte.
Einige Empfänger der ersten Welle von Massenmailings öffneten die Nachrichten, die die E-Mail-Clients der von den Empfängern verwendeten Hostcomputer infizierten, und starteten den Zyklus, um Massenmailings von jedem infizierten Client zu erstellen. Die Nachrichten gelangten zu den Mailservern, die ebenfalls infiziert wurden. Der Großteil der generierten E-Mails führte zu einem DDoS-Angriff (Distributed Denial of Service), der die Leistung des Unternehmensnetzwerks erheblich beeinträchtigte.
Dieser gemischte Angriff nutzte mehrere Angriffsvektoren, um das Chaos zu verursachen. Der anfängliche Angriffsvektor war ein Social-Engineering-Angriff, der einen Empfänger zum Öffnen der Nachricht verleitete. Der zweite Angriffsvektor nutzte einen Fehler in der E-Mail-Client-Software aus, der es dem Virus ermöglichte, Zugang zum Adressbuch zu erhalten und Massenmailings zu generieren. Der letzte Angriffsvektor war ein Mangel in der Netzwerkinfrastruktur, der den Auswirkungen der Massenmailings nicht entgegenwirken konnte.
Höhepunkte von Ich liebe dich
Im Jahr 2000 schuf die laxe Gesetzgebung auf den Philippinen eine Situation, die es einem Hacker ermöglichte, einen Virus zu schreiben, ohne Angst vor Festnahme oder strafrechtlicher Verfolgung zu haben. Stateman (2000) fasste den Umfang der globalen Auswirkungen der Ich liebe dich Viren, von denen öffentliche Organisationen und private Unternehmen in mindestens 20 Ländern betroffen sind. Cume (2000) schätzte die gemeinsamen Kosten für Schäden, die durch die Infektionen verursacht wurden, auf rund 10 Millionen US-Dollar.
Die von Cume (2000) vorgelegte Schätzung berücksichtigte nicht gemeldete Vorkommen von Ich liebe dich Infektionen. Die Wahrscheinlichkeit, dass die Organisation vom Autor des Papiers hervorgehoben wird Ich liebe dich führte zu Denial of Service berichteten, dass die Infektion ziemlich gering war, da die Bereinigung intern durchgeführt wurde. Die Angst vor dem Verlust des öffentlichen Vertrauens in eine Gesundheitsorganisation könnte die Organisation daran hindern, eine Infektion zu melden, wenn die Daten nicht kompromittiert wurden.
Sicherheitshaltung
Die Höhepunkte der vom Autor durchgeführten Interviews, um einen Einblick in den DDoS-Angriff zu erhalten, der die profilierte Organisation infizierte, zeigten, dass die Sicherheitslage zumindest dieser Organisation nicht auf einen gemischten Angriff vorbereitet war. Obwohl die Bemühungen zum Schutz der Informationsressourcen nicht völlig fehlten, orientierten sich diese Bemühungen an einer Philosophie, die Bedrohungen der Informationssicherheit nicht als hohes Risiko für das Unternehmen ansah (Senior Manager, persönliche Mitteilung, 8. September 2011). Es waren Kontrollen vorhanden, um den Netzwerkumfang und einzelne Hosts zu schützen, aber der anfängliche Angriffsvektor wurde nicht in Betracht gezogen.
Der Umkreis der Organisation wurde durch eine Firewall geschützt, und der Virenschutz befand sich auf den Hostcomputern der Organisation. Die Maßnahmen eines einzelnen Auftragnehmers haben diese Vorsichtsmaßnahmen jedoch wirksam umgangen. Ein Social-Engineering-Angriff veranlasste den Auftragnehmer, eine E-Mail mit dem zu öffnen Ich liebe dich Virus. Der Echtzeit-Virenschutz auf den Host-Computern des Unternehmens hat möglicherweise die Generierung von Massenmailings verhindert, aber dieser Schutz war zum Zeitpunkt der Infektion nicht verfügbar.
Die Firewall, die den Netzwerkumfang des Unternehmens schützte, enthielt kein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS). Ein IDS hat möglicherweise einen Administrator auf eine plötzliche Flut ausgehender E-Mails aufmerksam gemacht, und ein IPS hat möglicherweise die Verbreitung dieser E-Mails gestoppt. Da jedoch weder ein IDS noch ein IPS vorhanden waren, begann eine Flut von E-Mail-Verkehr mit der ersten Infektion und setzte sich fort, bis die E-Mail-Server nicht mehr in der Lage waren, die Last zu bewältigen.
Kosten von I Love You Cleanup
Die weltweiten Kosten für die Vermittlung der I Love You-Infektion wurden von Cume (2000) auf 10 Millionen US-Dollar geschätzt, wie bereits erwähnt. Die Kosten für die Gesundheitsorganisation zur Ausrottung der Infektion waren viel niedriger als die globalen Kosten, aber dennoch hoch für die Organisation. Die Hauptbereinigungsbemühungen wurden auf die Computer im Home Office des Unternehmens lokalisiert (Network Engineer, persönliche Mitteilung, 8. September 2011), umfassten jedoch die Zeit des gesamten Personals für die Entwicklung der Netzwerkinfrastruktur.
Zu den Mitarbeitern der Netzwerkinfrastrukturtechnik gehörten ein Direktor, ein Senior Manager, zwei WAN-Spezialisten (Wide Area Network), zwei Serverspezialisten und fünf Client-Spezialisten. Jeder dieser Mitarbeiter widmete seine Zeit der Beseitigung der Auswirkungen der Infektion während des Vorfalls. Der Vorfall dauerte ungefähr drei Tage, und diese Mitarbeiter arbeiteten während dieser Zeit 16-Stunden-Tage.
Die Beseitigung der I Love You-Infektion erforderte während des Vorfalls jeweils 11 Stunden lang 11 IT-Mitarbeiter. Es gab auch andere laufende Bemühungen, die nicht vernachlässigt werden konnten, was den Unterschied zwischen der von Einzelpersonen geleisteten Arbeitszeit und der von diesen Einzelpersonen für die Bekämpfung der Infektion aufgewendeten Zeit erklärt. Das Durchführen der Berechnung zu den angegebenen Stunden führt dazu, dass die IT-Mitarbeiter 363 Arbeitsstunden zur Bekämpfung der Infektion aufwenden müssen. Der Verlust an Arbeitsstunden für das gesamte Unternehmen wäre schwer zu berechnen, aber der Verlust an E-Mail-Funktionalität könnte zu einem Produktivitätsverlust von etwa einer Stunde pro Tag für jeden betroffenen Mitarbeiter führen, während dieser Mitarbeiter die Aufgaben anpasste, um den Verlust von e auszugleichen -mail-Funktionalität.
Im Home Office des Unternehmens waren etwa 600 Mitarbeiter beschäftigt, von denen jeder zum Teil E-Mail verwendete, und die Organisation unterhielt außerdem 427 Remote-Geschäftsbereiche in 37 Bundesstaaten. Jede dieser entfernten Geschäftseinheiten beschäftigte mindestens fünf Personen, die sich bei der Ausführung ihrer täglichen Aufgaben auf E-Mails stützten. Um es in die richtige Perspektive zu rücken: Wenn Sie die Stunden hinzufügen, die Mitarbeiter aufgrund der Infektion verloren haben, werden 3098 Arbeitsstunden verloren. Die Anwendung eines durchschnittlichen Stundenlohns von 15 USD pro Stunde für jeden betroffenen Mitarbeiter würde zu einem Wert von 46.470 USD führen, was eine grobe Schätzung der Kosten für Produktivitätsverluste für das Unternehmen darstellt.
Worst-Case-Szenario
Im Jahr 2000 operierten viele Hacker unter Motivationsfaktoren, die sich auf Bekanntheit und Ruhm konzentrierten. Heute hat sich der Fokus der Hacker-Community jedoch von Bekanntheit und Ruhm auf Geld verlagert. Social-Engineering-Techniken verleiten Benutzer sowohl organisatorischer als auch einzelner Geräte dazu, schädliche Maßnahmen durchzuführen, ohne die Auswirkungen oder Konsequenzen der ergriffenen Maßnahmen zu kennen.
Obwohl die Ich liebe dich Virus war für Unternehmen verantwortlich, bei denen Arbeitsstunden verloren gingen und die Kosten bereinigt wurden. Die Auswirkungen gemischter Bedrohungen in der heutigen Umgebung können viel schlimmer sein. Carafano und Sayers (2008) beschrieben die Verbreitung von Botnetzen. Ein Botnetz ist eine Sammlung infizierter Host-Computer, die von einer einzelnen Person ferngesteuert werden. Die einzelnen Computer werden aufgerufen Zombie Computer bei der Erstinfektion und werden Bots nachdem sie zu Hause angerufen haben, um sich einem Botnetz anzuschließen. Der Hacker, der Bots sammelt und das Botnetz kontrolliert, wird als a bezeichnet Bot Hirte.
Hacker entwickeln viele Variationen von Würmern mit dem ausdrücklichen Ziel, Botnets zu erstellen. Eines der berüchtigtsten Botnetze war das Sturm Botnet, die sich als Ergebnis einer Infektion durch den Trojaner Peacomm entwickelte. Der Wurm, der den Trojaner trug, wurde als Anhang zu einer E-Mail transportiert, die Benutzer mit angeblichen Nachrichten von a verführte Killer Storm oder eine Variante. Gordon (2010) schlug vor, dass das Storm Botnet einst etwa 20% der weltweiten Spam-E-Mails generierte, aber gegen Ende 2007 ausfiel. „Allein im ersten Monat wurden 274.372 dämonisierte PCs exorziert“ (Abs. 2). Laut Gordon (2010) scheint diese besondere Bedrohung jedoch wieder aufzutauchen.
Empfohlene Vorgehensweise
Eine Organisation ist dem internen Schaden ausgesetzt, der durch die erfolgreiche Ausnutzung einer gemischten Bedrohung entsteht. Dieselbe Organisation ist auch einem Risiko ausgesetzt, wenn sich eine interne Infektion über das interne Netzwerk ausbreitet und nach außen gelangt. Es gibt jedoch bestimmte Best Practices, die Administratoren anwenden können, um dieses Risiko zu verringern. Eine globale Anstrengung der Administratoren, diese Best Practices anzuwenden, würde die Auswirkungen globaler gemischter Angriffe verringern.
Entfernen oder deaktivieren Sie nicht benötigte Dienste
Viele Software-Betriebssystemplattformen kommen mit vielen unnötigen aktivierten Diensten an. Beispielsweise kann der Webserverdienst an Port 80 aktiviert sein. Wenn dieser Dienst nicht auf dem Gerät verwendet wird, schreiben die Best Practices vor, dass der Dienst deaktiviert oder entfernt wird. Dadurch wird verhindert, dass das Gerät den Port überwacht und Dienstanforderungen beantwortet.
Erweitern Sie die Sicherheitsanstrengungen innerhalb des Perimeters
Dunkel (2009) schlug vor, dass Organisationen ihre Bemühungen innerhalb der Firewall konzentrieren und diese Bemühungen „auf den Computerraum ausweiten, anstatt nur den physischen Umfang um ihn herum zu sichern“ (S. 50). Obwohl die Nachfrage nach Linux- und Microsoft-zertifizierten Technikern nach wie vor hoch ist, sollten Unternehmen auch Sicherheitsanalysten beschäftigen. Dieses zusätzliche Fachwissen würde die ordnungsgemäße Abstimmung von Sicherheitskontrollen und -geräten ermöglichen.
Firewall am Perimeter
Obwohl dies bei einigen Organisationen nicht der Fall ist, sollte jede Organisation am Umfang eine Firewall verwenden. Firewalls können viele Angriffsformen durchbrechen, bevor ein Effekt auf das innere Netzwerk auftritt. Chien und Szor (2001) stellten fest, dass eine bestimmte Firewall den CodeRed-Virus stoppen konnte, da der Virus auf fehlerhaften GET-Anforderungen beruhte. Die Firewall konnte den Virus einfach blockieren, indem sie eine Regel erzwang, um die fehlerhaften Pakete zu verwerfen.
Persönliche Firewalls
Neuere Sicherheitssuiten und einige Betriebssysteme enthalten persönliche Firewalls. Diese Firewalls befinden sich auf den Hostcomputern und überwachen die Aktivitäten auf diesen Hosts. Chien und Szor (2001) behaupteten: „Die Hälfte des Schadens wird angerichtet, wenn der Angriff in das interne Netzwerk eindringt. Die andere Hälfte tritt auf, wenn das interne Netzwerk verlassen wird. Der Sekundärschaden kann oft teurer sein als der Primärschaden “(S. 29). Als globale Strategie trägt die Verwendung persönlicher Firewalls in Verbindung mit Unternehmensfirewalls dazu bei, dass Organisationen andere Organisationen nicht angreifen.
IDS und IPS
Intrusion Detection- und Prevention-Systeme warnen Administratoren, wenn die Aktivität über die Norm hinausgeht. Ohne solche Geräte wäre die einzige Warnung, dass ein Angriff stattfinden könnte, wenn Systeme abstürzen oder Ereignisse schief gehen. Einige dieser Geräte können auch bestimmte Angriffe stoppen, sobald sie gestartet wurden.
Sicherheitsbewusstseinstraining
Die Implementierung von Schulungen zum Sicherheitsbewusstsein in Organisationen gehört zu den wichtigsten Best Practices, die Administratoren befolgen müssen. Benutzer sind für den Erfolg oder Misserfolg von Sicherheitskontrollen und -richtlinien verantwortlich. Daher kann jedes Sicherheitsprogramm nur dann Erfolg haben, wenn Benutzer in ihren Verantwortlichkeiten zum Schutz von Unternehmensressourcen geschult werden.
Gemischte Angriffe sind teuer
Ein gemischter Angriff kann versuchen, ein System mit mehreren Angriffsvektoren zu infiltrieren, und kann einen infizierten Computer verwenden, um Angriffe gegen andere Systeme oder Organisationen zu starten. Der in der vorherigen Veröffentlichung hervorgehobene Vorfall war ein gemischter Angriff, weil die Ich liebe dich Das Virus nutzte mehrere Mängel, um Zugang zu einem Wirt zu erhalten, und die Infektion führte zu einem DDoS-Angriff. Dieser Vorfall führte zu 3098 verlorenen Arbeitsstunden und geschätzten Kosten von über 46.000 US-Dollar für die Ausrottung aus dem Netzwerk eines Unternehmens. Die globalen Kosten dieses einen Vorfalls wurden von Cume (2000) auf 10 Millionen US-Dollar geschätzt.
Obwohl die Ausrottungskosten hoch sein können, besteht eine viel größere Bedrohung darin, die vernetzten Hosts eines Unternehmens mit einem Botnetz zu verbinden. Diese dämonisierten Hosts nehmen Befehle von Hackern entgegen, die als Bot-Hirten bekannt sind und die Computer verwenden, um DDoS-Angriffe zu starten oder Spam-E-Mails zu generieren. Sobald die internen Hosts einer Organisation unter die Kontrolle eines Hackers fallen, droht der Organisation ein möglicher Rechtsstreit oder ein Verlust des öffentlichen Vertrauens.
Es gibt bestimmte Best Practices, die Administratoren von Organisationen befolgen könnten, um die schädlichen Auswirkungen gemischter Angriffe zu verringern. Zu diesen bewährten Methoden gehören das Entfernen nicht benötigter Dienste von Hosts und Servern, das Platzieren von Unternehmensfirewalls am Netzwerkrand und das Installieren persönlicher Firewalls auf den Hosts des Benutzers, der Einsatz von Sicherheitspraktikern zur Überwachung der Sicherheitslage und zur Aufrechterhaltung der Konfigurationen von Sicherheitsgeräten sowie die Bereitstellung eines Sicherheitsregimes Sensibilisierungstraining für Mitarbeiter auf allen Ebenen. Wenn Administratoren auf globaler Ebene diese Richtlinien befolgen, werden die Auswirkungen gemischter Angriffe erheblich reduziert.
Verweise
J. J. Carafano & E. Sayers (2008). Aufbau einer Führungsrolle im Bereich Cybersicherheit für das 21. Jahrhundert. Hintergrund, 2218, 1-7.
Chien, E. & Szor, P. (2001). Gemischte Angriffe, Exploits, Schwachstellen und Pufferüberlauftechniken in Computerviren. Virus Bulletin Konferenz.
Cume, J. (2000). Kapitel 15: Hacker wollen nicht, dass du es weißt ... es braucht einen Dieb, um einen Dieb zu fangen. Im Inside Internet Security: Was Hacker nicht möchten, dass Sie es wissen. Harlow, CM20 2JE: Pearson Education Limited.
Dunkel, D. (2009). Eine gemischte Lösung für eine neue Bedrohung. SDM: Security Distributing & Marketing, 39 (3), 50.
Gordon, D. (2010). Das berüchtigte Sturmbotnetz erhebt sich aus dem Grab. Das Register. Verfügbar unter http://www.theregister.co.uk/2010/04/27/storm_botnet_returns/
Stateman, A. (2000). Liebe auf den ersten Biss. PR-Taktik, 7 (7), 1-4.
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.
