ハッカーの攻撃方式の4つの最新トレンド
1988年から米カーネギーメロン大学のCERTに位置しています。 C(コンピュータ緊急応答グループ協調センター)は侵入者の活動を調査し始めた。CERT CCは最新の侵入者攻撃方式に関する傾向を示している。 攻撃プロセスの自動化と攻撃ツールの急速な更新 攻撃ツールの自動化が進む。自動攻撃に関わる四つの段階で変化が起きました。 1.潜在的な被害者をスキャンする。1997年から大量のスキャンが行われています。現在、新しいスキャンツールはより先進的なスキャン技術を利用して、更に威力があって、しかもスピードを高めました。 2.脆弱性のあるシステムに侵入する。以前,脆弱性のあるシステムに対する攻撃は広範囲のスキャン後に発生した。攻撃ツールは、現在、脆弱性に対する侵入設計をスキャン活動の一部にしており、これにより侵入速度が大幅に向上している。 3.攻撃拡散。2000年前、攻撃ツールは一人で残りの攻撃プロセスを開始する必要があります。今、攻撃ツールは自動的に新たな攻撃プロセスを開始することができます。赤いコードやNimdaウイルスなどは18時間以内に世界中に感染しました。 4.攻撃ツールの共同管理。1999年から分布攻撃ツールが発生するにつれて、攻撃者はインターネット上に大量に分布している攻撃ツールを攻撃することができます。今、攻撃者はより効果的に分散的にサービス攻撃を拒否することができます。協同機能はIRC(Internet)のような大量の大衆化協議を利用しています。 Relay Chat、IR(Instant) Messageなどの機能。 トレンド2:攻撃ツールの複雑化 攻撃ツールの編纂者は以前にも増して先進的な技術を採用した。攻撃ツールの特徴コードは分析によって発見されにくくなり、特徴コードに基づく検出システムによって発見されることがますます難しくなりました。今の攻撃ツールの3つの重要な特徴は、反検出機能、動的行動特性、攻撃ツールのモジュール化です。 1.逆検出。攻撃者は攻撃ツールを隠す技術を採用しています。これは安全専門家が様々な分析方法で新たな攻撃を判断する過程が難しくなり、時間がかかります。 2.動態行為。従来の攻撃ツールは所定の単一ステップで攻撃を開始する。現在の自動攻撃ツールは、ランダム選択、所定の決定経路、または侵入者による直接制御など、異なる方法で特徴を変更することができる。 3.攻撃ツールのモジュール化。従来の攻撃ツールは攻撃のみを実現していたのに対し、新たな攻撃ツールはアップグレードや一部のモジュールへの置き換えで急速に変更できます。また、攻撃ツールは、より多くのプラットフォームで動作することができます。例えば、多くの攻撃ツールは、IRCやHTTPなどのデータやコマンドの伝送のための標準的なプロトコルを採用しており、これにより、通常のネットワーク流量から攻撃特性を解析することがより困難となる。 トレンド3:脆弱性の発見が早い 年ごとにCERT/CCに報告されるホール数は倍増している。CERT/CCが発表した脆弱性データは2000年に1090個で、2001年には2437個で、2002年には4129個に増加しました。つまり毎日十数個の新しい脆弱性が発見されました。管理人にとってパッチについていくのは難しいと考えられます。また、侵入者は往々にしてソフトウェアメーカーがこれらの穴を補修する前に、まずこれらの穴を発見することができる。脆弱性を発見したツールの自動化傾向に伴い、ユーザーにパッチをかける時間はますます短くなっている。特に、バッファ溢れタイプの脆弱性は非常に大きく、どこにでもあります。コンピュータの安全の最大の脅威です。CERTや他の国際的なネットワークセキュリティ機関での櫓調校のようなタイプのホールは、サーバーにとって最悪の結果ですか?トレンド四:ファイアウォール浸透 私たちはよくファイアウォールに頼って安全な主要な境界保護を提供します。しかし、状況は: * IPP(the)のような典型的なファイアウォール配置を回避する技術が既に存在します。 インターネット Printing. ProtocolとWebDAV(Web-based) Disttributed Authoring and Verssioning) * いくつかの標榜は「ファイアウォール適用」という契約ですが、実際には典型的なファイアウォールを回避できるように設計されています。 特定の特徴の「モバイルコード」(ActiveXコントロール、JavaおよびJavaScriptなど)は、脆弱性のあるシステムを保護し、悪意のあるソフトウェアを発見することをより困難にする。 また、インターネット上のコンピュータの増加に伴い、すべてのコンピュータ間に強い依存性が存在します。あるコンピュータが侵入すると、侵入者の生息地や踏み板になり、さらに攻撃の道具になる可能性があります。ネットワークのインフラストラクチャについては、DNSシステム、ルータの攻撃は、ますます深刻なセキュリティの脅威となっています。 能動防御措置を採用して次世代のサイバー攻撃に対応する。 「赤いコード」ワームウイルスはインターネット上で最初の9時間以内に250,000以上のコンピューターシステムに感染しました。感染による代償は1日2億ドルと急増し、最終的には26億ドルの損失となった。赤いコード ,“赤いコードII」および「ニームダ」、「求職状」の急速な伝播の脅威は、あるネット防御の深刻な限界を示しています。市場上の大多数の侵入検査システムは簡単で、インターネットに新しく現れた未知の瞬間攻撃と呼ばれる。 Attackの脅威は十分な防御手段がない。 ハッカーの「チャンスの窓」 現在の大部分の侵入検出システムは、攻撃行為があるかどうかを識別するために、特徴コードを使用する限界がある。これらのシステムはこのようにして特定の攻撃モードを監視する。それらは、そのデータベースに格納されている識別情報に基づいています。ウイルス対策ソフトが既知のウイルスを検査する方法と似ています。これらのシステムは識別プログラムに組み込まれた特定の攻撃しか検出できないということです。「瞬時攻撃」は新たに出現したもので、まだ広く認識されていないため、新たな特徴コードが開発され、設置や配置などのプロセスを行う前に、これらの安全システムを回避することができます。実際には、既知の攻撃方式をわずかに修正するだけで、これらのシステムはこれらの攻撃方式を認識しなくなり、侵入者に特徴コードに基づく防御システムを回避する手段を提供している。 新たな攻撃の発動から新たな特徴コードの開発までの間は、危険な「チャンスの窓」であり、多くのネットワークが破壊されます。この時、多くの迅速な侵入ツールが設計されて開発され、ネットが攻撃されやすいです。この時期に多くの安全製品が実際に無効になった理由を図に示します。CERTが開発したこのグラフは、サイバー攻撃の典型的なライフサイクルを示しています。この曲線のピークは攻撃の最初の攻撃の後、ほとんどの安全製品が最終的に保護を提供し始めた時です。しかし、「瞬時攻撃」は最もベテランのハッカーが一番早い段階で重点的に展開しています。 また、これらの高速攻撃は、広く使用されているコンピュータソフトのセキュリティホールを利用して、分布がより広い破壊をもたらしています。数行のコードを使うだけで、ワームがコンピューターネットワークに浸透し、アカウントを共有して自分をクローンし、パートナーとユーザーのネットワークを攻撃することができます。このようにして,メーカーが特徴コードを開発してユーザーに配っている間に,「ニームダワーム」は米国だけで100,000を超えるインターネットサイトに広がった。これらの配信メカニズムは、「瞬間攻撃」をSirCamとLoveのようにします。 Bugウイルスはそれぞれ230万と4000万のコンピューターを席巻しています。いくつかの攻撃は、バックドアを設置することによって、今後の破壊の基礎を築きます。このバックドアは相手、ハッカー、その他の未許可のユーザーが組織の重要なデータとネットワーク資源にアクセスできるようになります。