Ce este SIEM-ul, cum a apărut, de ce a apărut și cum funcționează?

Security information and event management – SIEM

Introdus în 2005, SIEM analizează alertele de securitate în timp real. Fundamental, SIEM-urile fac următoarele 3 lucruri:

  • Colectează, normalizează și stochează event log-uri și alerte din rețeaua organizației, dar și a dispozitivelor din rețea, a serverelor, bazelor de date, aplicațiilor, și endpoint-urilor, într-o locație securizată, centrală. SIEM-urile colectează informații nu numai din adresele fizice ale dispozitivelor, dar și din dispozitivele virtuale / cloud. Investigatorii au determinat că logarea în fiecare sistem pentru colectarea event-log-urilor relevante devenea aproape imposibilă. De asemenea, dacă log-urile tale nu erau securizate, nu aveai nicio garanție că un atacator tocmai ce a șters entry log-urile pentru a-și ascunde activitatea.
  • SIEM-urile rulează analize avansate pe date, în timp real și pe date istorice, pentru a identifica potentialele incidente de securitate care ar trebui să fie investigate de un om. Potențialul incidentelor este prioritizat de risk, severitate și impact. De-alungul timpului, aceste analize de securitate au crescut de la simple reguli pentru a monitoriza anormalitățile în comportamentele utilizatorilor, urmărind bine-știuții indicatori de compromis (IoC – Indicators Of Compromise) și aplicând sofisticate modele de Machine Learning.
  • Au dovedit că toate controalele de securitate sub revizuirea SIEM sunt la locul lor și sunt eficiente. Pe când menținerea securității pentru binele acesteia ar trebui să conducă cerințele de securitate și nivelul adecvat de investiții, în realitate, pentru multe organizații, principalul motiv pentru achiziționarea SIEM-ului a fost pentru conformarea reglementărilor.

Primele două decenii ale secolului 21 a văzut o inundație de noi cerințe de conformitate, atât legislative cât și sponsorizate de industrie. Câteva exemple sunt:

  • Payment Card Industry – PCI Standard
  • Sarbanes – Oxley Act din 2002
  • Health Insurance Portability and Accountability Act – HIPPA
  • General Data Protection Regulation – GDPR

Afacerile, spitalele, dar și alte organizații ignoră conformarea acestor reglementări pe propria răspundere, iar cei care încalcă aceste reglementări pot fi sancționați drastic. Pe măsură ce atacurile cibernetice au devenit tot mai sofisticate și deghizate, cererile pentru informațiile cu privire la un atac cibernetic au crescut – caracteristicile acestuia, scopul, măsura în care s-a extins în rețeaua internă – și au devenit tot mai urgente. Un alt lucru îngrijorător a fost că echipele de securitate nu descopereau breșele de securitate decât câteva luni mai târziu după acestea aveau loc, iar aceste atacuri erau deseori descoperite de un third-party, nu de o echipă de securitate internă

Echipele de securitate aveau nevoie de o pictură de ansamblu a activității în rețea, analize asupra activității istorice, analize în timp real și analize asupra comportamentului utilizatorilor și analize asupra acestuia (UEBA – User and Entity Behavior Analytics), iar recent, Machine Learning a devenit o parte esențială a uneltelor pre-incluse într-un SIEM care este foarte folositor în chunk-uri de date foarte mari.

SIEM rezolvă toate problemele descrise mai sus deoarece oferă rapoarte în timp real, analizează comportamentul utilizatorilor, analizează rețeaua internă, oferă echipelor de securitate vizibilitate a întregii rețele interne,creează topologii arătând echipelor de securitate cum fiecare dispozitiv din rețea este interconectat și stabilește un baseline pentru comportamentul normal al utilizatorilor, identificând cu ușurință comportamentul anormal.

În câteva decenii, SIEM a evoluat de la o platformă de informații, la un centru de inteligență al amenințărilor, la un centru intergrat și automatizat pentru securitatea și operațiunea rețelelor interne. Produsul Fortinet SIEM se numește FortiSIEM și encapsulează toate aceste unelte, plus altele.

Sursa: Fortinet Network Security Engineer 2 Training – NSE 2

[mai mult...]

Ce este SOAR, cum funcționează și cum poate ajuta analiștii de securitate cibernetică?

SOAR – Security Orchestration, Automation and Response

Termenul SOAR este unul popular în industria securităţii cibernetice, deci este important nu numai să ştiţi ce este, ci şi să fiţi familiarizaţi cu problemele şi provocările abordate de SOAR. Dar înainte să ajungem la asta, să examinăm câteva lucruri de bază.

Ce face SOAR?
SOAR conectează toate celelalte instrumente din stiva ta de securitate întrun workflow de unelte, care poate fi rulat automat. În alte cuvinte, SOAR îți permite să îți crești eficiența echipei prin automatizarea proceselor repetitive manuale.

Automatizarea este foarte importantă în lumea securității de astăzi, deoarece echipele de securitate sunt suprasolicitate. Pe măsură ce sunt dezvoltate noi instrumente pentru a face față unui peisaj amenințător în continuă schimbare, analiștii care folosesc aceste instrumente trebuie să treacă de la un instrument la altul pentru a-și îndeplini sarcinile de zi cu zi.

O sarcină zilnică comună este răspunsul la alerte. Cu cât sunt mai multe instrumente de securitate, cu atât mai multe alerte sunt abordate întro serie de procese manuale și schimbări de context adică trecerea de la un instrument la altul. Cu cât sunt mai multe alerte în fiecare zi, cu atât mai puțin timp avem pentru fiecare alertă, ceea ce crește probabilitatea ca greșeli să fie făcute. Degradarea performanței în fața unui val de alerte se numește Alert Fatigue (sau oboseala alertelor).

Un mod evident de a diminua “oboseala alertelor” este pur și simplu angajarea a mai mulți analiști de securitate cibernetică. Cu toate acestea, datorită lipsei de competențe în domeniul securității cibernetice, nu există suficienți analiști calificați pentru a fi angajați. Deci, dacă angajarea a mai mulți analiști nu este o opțiune, cum rezolvăm oboseala alertelor? Simplu, cu SOAR.

SOAR leagă toate instrumentele din stiva ta de securitate. Prin aducerea datelor din toate aceste surse, SOAR reduce schimbarea de context cu care se confruntă analiștii. Prin urmare, analiștii pot efectua toate procesele lor de investigație direct din interfața sursă. Mai departe, aceste procese pot fi traduse manual sau automat întrun Playbook, care este un set de pași asemănător unui Flux, care poate fi repetat la cerere. Utilizând un playbook, puteți să vă asigurați că fiecare pas din procedura dvs. de operare standard este urmat. De asemenea, aveți date despre exact ce sa făcut, când și de cine. Această capacitate se numește Orchestrare și Automatizare.

Investigația este o altă capacitate crucială SOAR. Atunci când apare o alertă suspectă, echipele pot efectua sarcinile lor de investigație, cum ar fi verificarea surselor de inteligență amenințătoare pentru o reputație sau interogarea unui sistem de gestionare a informațiilor de securitate (SIM), pentru evenimente corelate din cadrul platformei SOAR.

Informațiile obținute prin această investigație vor determina pașii de mitigare necesari. Apoi, deoarece SOAR este o platformă unificată a tuturor instrumentelor de securitate, puteți lua aceste pași de mitigare din cadrul SOAR. De exemplu, din cadrul SOAR, puteți bloca traficul de la o adresă IP malițioasă în firewallul dvs. sau puteți șterge un email phishing de pe serverul de email. Prin construirea proceselor standard în playbook-uri, puteți înlocui procesele repetitive și consumatoare de timp cu automatizări la viteza mașinii. Automatizarea eliberează analiștii să-și consacre mai mult timp pentru investigarea alertelor critice.

Implementarea SOAR în ecosistemul dvs. face mai mult decât să centralizeze procesele dvs. de răspuns la incidente optimizează întreaga operațiune. Optimizarea rezultă în răspunsuri eficiente la viteză de mașină, permițând echipelor să îmbunătățească colaborarea și să gestioneze mai bine valul nesfârșit de alerte. Acest lucru se datorează faptului că SOAR permite utilizatorilor să atribuie alerte la diferiți analiști sau echipe la diferite etape ale procesului de răspuns la incident și pentru acei utilizatori atribuiți să adauge informații la alertă în timp ce lucrează la aceasta, astfel încât alții care se referă la acea alertă mai târziu vor avea context suplimentar în investigație.

Playbookurile sunt cheia pentru capacitatea de automatizare a SOAR, permitând echipei să își îmbunătățească viteza și consistența răspunsului, în timp ce își mențin autoritatea umană asupra procesului. În final, utilizarea unui playbook poate duce la o sarcină a analistului redusă și la o șansă redusă de eroare.

Investigațiile de phishing sunt una dintre cele mai comune utilizări pentru SOAR implementate de clienți. Fără SOAR, un analist va petrece timpul investigând expeditorul unui email de phishing și indiciicheie din anteturile sau corpul emailului. Efectuarea acestor investigații înseamnă, de obicei, timp petrecut introducerea domeniilor și URLurilor întro platformă de inteligență amenințătoare. Dacă analiștii determină că un email este nociv, vor trebui să petreacă timp suplimentar investigând serverul lor de email și SIMul lor, determinând cine a primit emailul, determinând cine a făcut clic pe el, ștergândul și așa mai departe. Cu un playbook de investigare a phishingului, pașii de investigare inițială sunt luați automat, imediat ce emailul de phishing este raportat. Astfel, analiștii vor fi alertați doar la acele emailuri pe care playbookul le determină ca fiind suspecte.

După ce analistul confirmă că un email raportat merită o acțiune suplimentară, Playbook-ul poate continua să facă interogări SIM suplimentare, să șteargă e-mailul din toate casetele de e-mail ale utilizatorului, să trimită un e-mail tuturor destinatarilor, să le alerteze asupra acțiunii luate și să le ofere sfaturi utile cu privire la ce să facă dacă primesc mesaje de phishing similare în viitor.

Sursa:
Fortinet Training Institute: NSE 2 – SOAR (Includes Free Certification Upon Completion)

[mai mult...]

Cum funcționează serviciile de inteligență împotriva amenințărilor cibernetice?

În primele zile ale produselor Anti-Virus pentru Endpoint-uri, furnizorii aveau nevoie de o modalitate de a cataloga toate virusurile cunoscute, astfel încât produsele lor să poată confirma dacă un fișier conținea un virus sau nu. Departamentul furnizorilor de threat intelligence a făcut acest lucru posibil prin preluarea unei “monstre” din fiecare virus cunoscut și generarea unei semnături a acelui virus, care a reprezentat conținutul fișierului. Cu alte cuvinte, o amprentă. Aceste liste de semnături ale virusului au fost distribuite cu software-ul antivirus. Pe măsură ce trecea timpul și erau detectate noi virusuri, serviciul de inteligență amenințărilor a fiecărui furnizor distribuia actualizări regulate ale listei sale de semnături ale virusului. Actualizările fiind lansate lunar, trimestrial sau în unele cazuri, doar o dată pe an.

Ca rezultat al expertizei câștigate de dezvoltatorii de malware, aceștia au devenit mult mai sofisticați și au inclus mecanisme speciale pentru a evita scanările bazate pe semnătură ale produselor AntiVirus, prin schimbarea conținutului fișierelor lor în mod voluntar. Deoarece conținutul fișierelor se schimba, semnăturile fișierelor se schimbau de asemenea, permițând programelor malware să treacă neobservate de versiunile mai vechi,outdatate de antivirus. Acest lucru a dus la apariția unui singur tip de malware care a devenit o întreaga familie de malware, sute de mii de fișiere diferite, cunoscute și sub numele de malware polimorf (malware care-și schimbă forma), și fiecare program malware, îndeplinind același comportament dăunător.

Problema clasică de semnătură unulaunu, în care fiecare fișier malware cunoscut este reprezentat de o semnătură în fișierul de semnături nu se scala deloc bine, din cauza potențialului a milioane de noi variații, în fiecare zi, ale malware-ului. Pentru a trata această nouă abilitate a malware-ului de a se transforma în forme noi, serviciile de Inteligență a Amenințării au creat modalități de a detecta întregi familii de malware folosind numai o semnătură. Acest lucru se face în mai multe moduri diferite, dar toate detectează similitudinile între familia de malware.

Ce se întâmplă cu variațiile de malware care nu au fost încă văzute?

Metodele de detectare bazate pe semnătură nu vor funcționa. Pentru a detecta aceste tipuri de amenințări, furnizorii au creat produse de SandBoxing, care iau un fișier suspect și îl plasează întrun mediu controlat în care comportamentul său poate fi analizat îndeaproape. Dacă fișierul face ceva rău în timp ce se află în mediul sandbox, este marcat ca malware. Acesta lucru este cunoscut ca detectare heuristică și caută comportamente anormale care sunt în afara obișnuitului. De fapt, furnizorii creează algoritmi heuristici proprietari care pot detecta mostre polimorfice de malware, niciodată văzute înainte.

Depinzând de produsul sandbox și configurația sa, proprietarul sandbox-ului poate propaga această nouă cunoaștere nu numai în propria securitate a rețelei, ci o pot și trimite global pentru a proteja mai mulți oameni. În afară de sandboxing, viitorul detectării a programelor malware necunoscute include abilitatea serviciului de inteligență a amenințărilor de a detecta noi programe malware folosind Machine Learning și Inteligența Artificială învățând să evalueze rapid riscul de amenințare a fișierelor nocive care traversează rețeaua. Și nu e numai despre fișierele, ci și despre mecanismele specifice ale atacului, evidența că atacul respectiv s-a întâmplat (acest lucru mai este cunoscut și ca Indicatorii de Compromitere – IoC), Implicări ale Atacului, Atribute ale Adversarului și potențialele motivații ascunse.

Pe măsură ce tehnicile actorilor malițioși continua să evolueze și să devină mai sofisticate, e mai important ca niciodată să împărtășim Inteligența Amenințărilor în timp real, în mediul rețelei securizate. Dacă anumite componente știu despre atac în timp ce altele așteaptă periodic pentru update-uri ale semnăturilor, atacatorii pot să treacă neobservați dincolo de apărări și să cauzeze daune. Securitatea produselor și a serviciilor inteligenței amenințărilor care pot să acționeze împreună în timp real au cele mai bune șanse de a oprii astfel de atacuri.

Partajarea inteligenței amenințărilor nu se oprește la produsele fiecărui furnizor. Ar fi de crezut că, după tot efortul depus pentru a aduna, analiza și cataloga inteligența amenințărilor, fiecare furnizor ar păstra această informație în secret, dar aproape toți furnizorii împart această “inteligență”, această informație cu comunitatea de Securitate Cibernetică mai largă. Acest lucru se întâmplă prin aderarea formală la organizații precum Alianța Amenințărilor Cibernetice, echipele locale, naționale și internaționale de răspuns la incidente cibernetice (CERTs) și numeroase parteneriate private cu alți furnizori, cercetători independenți în domeniul securității și forțele de ordine. Acest partaj în timp real al inteligenței amenințărilor permite o imagine mai completă a atacului, deoarece niciun singur furnizor nu va avea toate datele, și nu este inteligența amenințărilor care îi separă pe furnizori, ci ceea ce fac ei cu această inteligență, cu tehnologia din produsele lor.

Sursa:
Fortinet Training: NSE 2 – Threat Inteligence (Includes Free Certification)

[mai mult...]

Securitate FortiGate®: Firewall Security

În timp ce rețelele au crescut, au început să se conecteze și în cele din urmă, să se interconecteze cu internetul, controlul traficului de date în rețea a devenit esențial. Acest control a luat forma firewallurilor cu filtre de pachete, care au examinat cele mai inferioare niveluri de protocol, cum ar fi sursa și destinația adresei de rețea, protocoale și numărul de porturi. Aceste atribute au fost folosite pentru a defini care pachete erau permise și care nu. Dacă adresa de rețea, protocolul și numărul portului corespundeau cu regulile firewallului, pachetului îi era permis să treacă, în caz contrar el era fie blocat, fie aruncat.

Firewallurile cu filtre de pachete întâmpină un dezavantaj major, deoarece adoptă o abordare universală pentru a decide dacă să permită sau să blocheze traficul. Astfel, actorii malițioși pot ocoli ușor regulile firewallului. Ce ar putea împiedica un astfel de actor să injecteze pachete rău intenționate prin protocoale și porturi acceptabile sau să exploateze o eroare în software-ul de rețea?

A doua generație de firewalluri, numite stateful firewalls, au fost concepute pentru a urmări conexiunile dintre rețele în timp, observând cum se creează noi conexiuni și examinând conversația dintre cele două puncte finale, blocând conexiunile necorespunzătoare și abandonând pachetul. Cu toate acestea, acestea nu au avut capacitatea de a bloca pachetele necinstite, care foloseau protocolul HTTP, devenit popular odată cu explozia World Wide Web. Pentru a bloca pachetele necorespunzătoare și a le permite pe cele benefice, administratorii de rețea trebuiau să facă distincția între aplicațiile web, iar acest lucru se poate face numai dacă firewallul analizează încărcările utile de date.

Firewallurile din a treia generație sunt în stare să înțeleagă protocoale de nivel superior, aplicațiile și utilizările acestora pentru a bloca și gestiona traficul. Acest lucru se realizează prin implementarea filtrării stratului de aplicație. Astfel, firewallul poate identifica și controla traficul HTTP dintre diferite tipuri de siteuri, cum ar fi bloguri, partajarea de fișiere, comerț electronic, rețele sociale, voceoverip, email și multe altele. Aceste firewalluri pot oferi o protecție excelentă împotriva amenințărilor și pot ajuta la prevenirea accesului neautorizat la informații și date personale.

Firewallul de generație următoare (NGFW) oferă securitatea necesară pentru a preveni evoluția atacurilor cibernetice la fiecare margine a rețelei și pentru a asigura fiabilitatea și performanța de rețea. Este asemănător cu un control de securitate la aeroport, unde agentul de securitate verifică destinația ta ca o primă linie de apărare. La fel și firewall-ul NGFW verifică pachetele și ia deciziile necesare pentru a permite sau opri traficul. Apoi, în aeroport, bagajele tale sunt verificate pentru conținut malițios, lucru similar cu modul în care firewall-ul NGFW efectuează o inspecție profundă a pachetelor (DPI – deep packet inspeciton). Dacă se găsește conținut îndoielnic, firewall-ul NGFW trimite conținutul rău intenționat la un sandbox pentru o analiză ulterioară. Iată cum firewall-ul NGFW oferă o securitate avansată pentru a preveni evoluția amenințărilor cibernetice la fiecare margine a rețelei.

Pe măsură ce rețelele se transformă și apar noi provocări, firewallurile de ultimă generație evoluează pentru a face față acestora. Ele au acum capacitatea să controleze aplicațiile, fie prin clasificare, fie în funcție de utilizator. Aceste măsuri de securitate la nivel de aplicație oferă o protecție sporită clienților care navighează pe web, împiedicând astfel atacurile și amenințările cibernetice.

Firewallurile NGFW au adoptat abordări variate de segmentare pentru a separa userii, deviceurile și aplicațiile, în funcție de nevoile unei organizații. Acest lucru permite reducerea punctelor vulnerabile, eliminând riscul ca un actor malițios să pătrundă în rețea și să răspândească amenințări de securitate. NGFWurile asigură, de asemenea, o inspecție de performanță înaltă și o mai mare vizibilitate a rețelei, fără a compromite integritatea. FortiGate® de la Fortinet este următoarea generație de firewalluri, oferind o soluție complet integrată cu alte produse de securitate, care partajează date și informații, centralizândule în ceea ce este numit Fortinet Security Fabric. Această soluție oferă o securitate optimă pentru infrastructuri IT hibride și complexe.

[mai mult...]

Securitatea Cibernetică în întreprinderi

Organizațiile din zilele noastre, indiferent de dimensiunea lor, au în posesie mai multe active digitale care alimentează și pornesc afacerea. Aceste active inlcud: website-uri, informații, date și alte forme de prezență online care a devenit, practic, combustibil pentru afacerea modernă. Toate aceste active trebuie protejate.

Securitatea Cibernetică în Întreprinderi – la fel ca omologul său din lumea fizică, apără și protejează toate activele digitale ale unei organizații, indiferent unde sunt stocate sau accesate. Pentru a se menține protejate eficient, companiile trebuie să implementeze strategii cuprinzătoare de securitate cibernetică.

Și protejarea activelor digitale și executarea acestor strategii de protecție nu este niciodată treaba unei singure persoane sau chiar a unui grup de oameni, la o anumită companie. După cum explică un ofițer șef de securitate a informațiilor într-o companie renumită: „Toată lumea… este responsabilă pentru securitatea cibernetică, inclusiv CEO-ul, inclusiv consiliul de administrație, inclusiv echipa de conducere. Este nevoie de toată lumea pentru a se asigura că compania este pregătită.”

Ce face ca securitatea cibernetică a întreprinderilor să fie importantă?
Acest ofițer șef de securitate subliniază și că atacatorii „încep să devină mai inteligenți în ceea ce privește utilizarea informațiilor despre afaceri”. Atacatatorii vor datele sensibile ale companiei tale și sunt pricepuți în ceea ce privește modul în care folosesc acele date pentru a manipula și stoarce compania înainte de ați răscumpăra datele. Strategia ta de apărare în domeniul securității cibernetice va fi zidul tău de apărare care îți va menține organizația protejată împotriva acestor actori răi. Aici se arată adevărata valoare a securității cibernetice a întreprinderii. Un plan de securitate cibernetică bine dezvoltat și execuția tehnologiilor și managementului de protecție ajută la combaterea amenințărilor cibernetice, a scurgerilor de date, a tentativelor de phishing, a programelor malware și multe altele.

Amenințări Cibernetice – Scopul principal al unei amenințări de securitate cibernetică este să atace și să pătrundă în activele digitale ale companiei tale (rețea, baze de date, aplicații, sistem de e-mail etc.) și să extragă informațiile tale cele mai sensibile sau pur și simplu, să dezactiveze infrastructura de informații pentru a opri afacerea cu totul. Bryan Seely, un hacker etic, explică că „o mulțime de lucruri sunt cu adevărat simple, într-un fel în care hackerii încearcă să găsească cel mai jos fruct, cea mai ușor de exploatat vulnerabilitate” și, odată ce hackerul intră, devine și mai ușor să facă mișcări laterale și să sară de la un computer la alt computer, minând date și credențiale pe măsură ce acesta se deplasează prin sistem. Acest tip de atac poate duce adesea la o scurgere de date.

Scurgeri de date – Scurgerile de date apar atunci când orice informație este accesată de o sursă neautorizată, fie externă, fie din interiorul organizației. Acești actori răi n-ar trebui să aibă niciodată acces la acele informații, în primul și în primul rând. De regulă când apar astfel de scurgeri, persoanele cu putere în organizația respectivă sunt vizate. Ei (atacatorii) merg de regulă după CISO, CFO sau CEO. Doresc să atace oamenii din vârful organigramei acelei companii. Obținerea acesului la informațiile lor oferă hackerilor șansa de a dubla sau tripla ran$om-ul mai mereu. De asemenea, deschide accesul atacatorilor la niveluri mai înalte de acces la informațiile companiei. Prezentându-se drept membrii de rang înalt ai organizației, criminalii cibernetice (sau actorii malițioși), au acum autorizația de a interacționa cu compania în ansamblu, ceea ce duce adesea la consecințe dezastruoase pentru afacere.

Consecințele unui atac cibernetic – Atunci când atacatorii vizează atât datele membrilor de rang înalt ai companiei, cât și compania ca întreg, nu doar informațiile confidențiale sunt în primejdie, ci și reputația și integritatea acelei companii. Când clienții actuali și potențiali se uită la o companie și văd că aceștia au avut un incident în care datele personale au fost puse în primejdie, acest lucru îi face pe aceștia să își piardă încrederea în organizația respectivă și în capacitatea acesteia de a proteja datele clienților lor. Acest lucru poate duce și la pierderi financiare uriașe. În plus, fluxul de lucru al companiei va fi perturbat, împiedicând eficiența, iar acest lucru va costa compania foarte mulți bani pe termen lung. Aceste probleme nu sunt exclusive nici afacerilor mari. Orice companie, organizație non-profit, agenție guvernamentală care este atacată – indiferent de dimensiune – își poate fura și compromite datele, ceea ce duce la pierderea reputației și, în unele cazuri, chiar la acțiuni legale.

Care sunt cele mai bune practici pentru securitatea cibernetică în mediul întreprinderilor?
Când vine vorba de securitatea în mediul întreprinderilor, reziliența este la fel de importantă ca a avea o bună apărare. Cu alte cuvinte, este important să țineți atacatorii departe și să fiți pregătit să-i opriți dacă (și când) trec de apărarea dvs. Așadar, având în vedere puterea de apărare și reziliență, să examinăm câteva dintre cele mai bune practici pe care companiile le pot folosi pentru securitatea cibernetică a întreprinderii lor.

  • Fii timid cu camera. Cu cât oamenii pot descoperi mai puține informații despre tine sau despre compania ta online, cu atât mai bine.
  • Fiți la curent cu actualizările și întreținerea. A rămâne în urmă cu actualizările și tehnologia de securitate cibernetică poate fi adesea oportunitatea de aur pe care o caută hackerii.
  • Identificați amenințările și evaluați situația în mod regulat. Nu te poți apăra de ceva despre care nu știi. Conștientizarea este cheia unei apărări puternice.
  • Aflați diferite modalități de a detecta și de a neutraliza amenințările – atât interne, cât și externe. Hackerii evoluează continuu în încercările lor de a intra în sistemele tale, deci și apărările tale ar trebui să evolueze continuu.
  • Folosește securitatea end-to-end. Coordonați-vă cu partenerii și clienții pentru a vă extinde rețeaua și pentru a crește șansele de a putea detecta amenințările.
  • Educația angajaților. Educarea echipei dumneavoastră despre toți diferiții factori de risc poate ajuta la reducerea numărului de atacuri care sunt generate doar din eroarea umană. Angajații trebuie să cunoască și să înțeleagă diferitele tipuri de atacuri, precum și riscurile și sancțiunile care le însoțesc.
  • Examinați potențialele vulnerabilități sau punctele slabe din strategia de apărare a organizației dvs. Descoperă punctul slab în care ai putea fi susceptibil de a fi atacat și apără-l.
  • Creați parole puternice și mijloace de apărare. Acest lucru este valabil mai ales pentru membrii de nivel înalt care au șanse mai mari de a fi ținta unui atac.
  • Implementați autentificarea cu mai mulți factori sau MFA. Această utilizare a mai multor forme pentru autentificare poate ajuta la reducerea șanselor ca un atac să aibă succes.
  • Aveți un plan de acțiune în vigoare pentru momentul în care are loc un atac. Pentru a fi pregătit cel mai bine pentru a naviga toate riscurile unui atac cibernetic, trebuie să aveți un plan de apărare solid pe care îl utilizați pentru a vă asigura că compania dumneavoastră răspunde la atac cu tot ce le poate.
[mai mult...]

Securitate FortiGate: Endpoint Security

Endpoint / Endpoint Security
În primul și în primul rând, ce este un endpoint? În trecut, un endpoint era orice device personal folosit de un utilizator final ca un computer, laptop sau dispozitiv portabil (ex: smartphone, tabletă). Acum endpoint-urile includ IoT – Internet Of Things, care cuprind și tot felul de dispozitive inteligente precum un termostat deștept sau frigider inteligent.

Cum am securizat endpoint-urile și de ce este securitatea endpoint-urile așa de importantă?Endpoint-urile au fost un punct ușor de pătrundere într-o rețea. De ce să încerci să ocolești un firewall / zid de protecție când poți pur și simplu să exploatezi prin inginerie sociala, utilizatorii creduli si neglijenti?
Pe măsură ce conexiunile online s-au extins, la fel s-a extins și numărul vectorilor de atac asupra endpoint-urilor, oferindu-le atacatorilor mai multe oportunități de exploatare.

Înainte ca rețelele să fie conectate la internet, actorii malițioși se bazau pe dischete pentru a răspândi malware. O dischetă infectată introdusă într-un computer ar fi infectat acel computer. Mai târziu, asta ar fi inclus dispozitivele de stocare portabil precum CD-urile, DVD-urile și USB-urile. După cum îți poți imagina, acest vector de atac era limitat în domeniul său de aplicare.
Primele produse de Securitate Endpoint au fost antivirușii (știm sau am auzit cu toții de umbreluța) sau AV. Programe software care scanează dispozitivele sau hard drive-ul de malware. Erau pe baza de semnătură asta însemnând că antivirusul caută caracteristici specific ale virusului. Dacă a găsit ceva care avea acele caracteristici specific, ar fi băgat lucrul respectiv în carantină sau l-ar fi șters.
Toate astea s-au schimbat atunci când rețelele cartierelor și ale business-urilor s-au conectat la internet. Mai mulți vectori de atac au devenit disponibili pentru infractorii cibernetici, vectori precum: phishing, website-uri malițioase/infectate, și rețelele de socializare.
Aceste oportunități au proliferat numarul de malware – de la zeci de mii într-un singur an la sute de mii într-o singură zi. De asemenea, actorii răi intenționați au început să exploateze breșele de Securitate în sistemele de operare, aplicații ca web browerul și chiar și aplicații precum MS Word, mai precis, documente MS Word. Adăugând aceste probleme la extinderea suprafeței de atac a făcut ca natura programelor malițioase să se schimbe.
Malware-ul Polimorf sau programele malware polimorfe sunt concepute să se schimbe de unele singure, imitând viruși care se mutează în lumea naturala, reala (cand un virus isi schimba forma, procesul acesta se numeste mutatie, iar malware-ul polimorf face acest lucru pentru a evita detectarea). Asta însemnând că antivirușii pe bază de semnătură nu au mai fost complet eficienți.
Odată cu venirea acestora au venit și platformele de protecție a endpoint-urilor (sau EPP), care au fost intenționate în prevenirea atacurilor malware pe bază de fișiere și în implementarea controalelor preventive. Metodă folosită pentru a oprii malware-ul înainte de a fi executat și a infecta un endpoint. Malware-ul pe bază de fișier este un fișier descărcat pe un device, iar atunci când este deschis, rulează cod malițios sau un script.

EPP furnizează mult servicii concentrate pe prevenire, precum anti-virus, firewall, filtrare web, protecție de date prin encripție și control al device-ului. Controlul device-ului (device control) este o tehnologie care furnizează Securitate încorporată și detectează, autorizează și securizează dispozitivele de stocare portabile. Web Filtering (sau filtrarea web) este o tehnologie care le permite administratorilor de rețea pentru a controla ce tip de site ai voie să vizitezi.

Oricum, niciuna din aceste tehnici s-au dovedit a fi soluția ultimă pentru infecțiile endpoint-urilor. La timpul respectiv, filtrarea web era considerata cea mai buna soluție împotriva programelor malware de pe web. Posibilitatea rămasă a fost că malware-ul putea “poza” drept reclama pe un site legitim.
Luând în considerare evoluția continua și complex a acestor metode de atac și a expansiunii suprafeței de atac, profesioniștii în Securitate cibernetică au ajuns rapid la concluzia că este literalmente imposibil să previi toate infecțiile malware, iar atunci o nouă strategie a fost dezvoltată pentru a apăra endpoint-urile în paralelă cu dezvoltarea EPP. Acea nouă strategie este numită Endpoint Detection and Response (sau EDR).
EDR este un software folosit pentru a detecta, investiga și răspunde activitaților suspicioase pe endpoint-uri. A început a o unealtă de investigare criminalistică, și a furnizat analiștilor de Securitate informații despre amenințări și unelte de care era nevoie pentru a analiza un atac și a identifica indicatorii de compromitere, sau IoC – Indicators Of Compromise. Analiștii au fost apoi capabili să detecteze malware, unii pe care chiar rămâneau nedetectați în rețele vreme de luni sau chiar ani de zile. În loc de a investiga un atac pentru a învăța despre anatomia acestuia, unealta a fost folosită pentru a detecta un atac care se petrecea în timp real.
Unelte de remediere au fost de asemenea adăugate cee ace le-a permis analiștilor în a cere mai multe informații de la endpoint-uri, bana procese, izola endpoint-uri și bloca adrese IP specific. EDR a crescut într-o adevărată soluție de detectare și răspuns, dar nu era impecabilă, fără probleme.
Prima generație de EDR a folosit în principal metode manuale care consumau  timp și și erau prea încete pentru amenințările rapide precum ran$0mw4r3-ul. Lipsa de integrare cu alte soluții de Securitate i-a redus capacitatea de a răspunde efficient și în timp util. Configurarea și folosirea EDR-ului necesita un nivel ridicat de experiență și analiștii au folosit o multitudine de alerte, multe care erau, în principal, alerte false-positive și din păcate și acest lucru era o pierdere de timp pentru analisti.
Vânzătorii au atenuat partial aceste probleme prin introducerea unui Sistem de Detectare și Răspuns Gestionat (managed detection and response, sau MDR), care performa alerte de bază și îi notifica pe analiști prin email. Chiar și așa, EDR a rămas prea încet și prea complicat pentru a devenii o unealtă standard în arsenalul programelor de Securitate endpoint.
A doua generație de EDR a adresat aceste probleme. A fost conceput pe baza de politici și automat. Având playbook-uri costumizabile, analiștii puteau acum direcționa EDR-ul pentru a remedia ambele probleme atât imediat cât și automat. Pe lângă asta, analiști puteau instruii EDR-ul să răspundă întrun Mod Specific pentru a detecta un program sau un script care avea un comportament neobișnuit. Activitațile malițioase activau automat block-uri care preveneau exfiltrarile de date, encripția și încercările atacatorilor de a se infiltra în rețea. Pot oprii și derula înapoi ransomeware-ul în timp real fără a fi necesară ștergerea dispozitivului sau întreruperea continuității afcerii/organizației.
Profesioniștii în Securitate au realizat rapid avantajele combinării tehnologiei EDR și EPP și majoritatea definițiilor acum include ambele caracteristici. Un singur agent integrat poate prevenii majoritatea malware-ilor pe bază de fișier la faza de pre-infecție, pre-execuție, pe când detectarea și răspunzând malware-ului evada prevenția la etapa după-infecție. O soluție EPP și EDR combinată, de asemenea, șterge integrarea îngrijorărilor și simplifică configurarea și managementul pentru analiști.
Software-ul EPP și EDR include alte controale preventive pentru a îmbunătății igiena securității, precum alerte către analiști când endpoint-urile nu au ultimul patch de Securitate sau rulează aplicații nesigure. Identificând vulnerabiltățile critice, echipele de Securitate investighează amenințările și aplică patchurile virtuale sau crează politici pentru a aplica restricții către endpoint-uri până când un patch este instalat. În plus, machine learning (ML) este inclus ca parte a capabilitaților AV-ului și ajută detectarea de malware în faza pre-execuție.
Capabilitățile de detectare și răspuns nu se aplică doar endpoint-urilor, ci și întregii infrastructure. Acest lucru este numit extended detection and response (sau XDR). XDR implementează tehnologie cu inteligență artificială adițională pentru a furniza detecție și răspuns la viteză înaltă pentru a securiza nu doar endpoint-urile, ci și rețelele și layer-ul de acces și de cloud.
Produsele de Securitate Endpoint FortiNet sunt FortiClient și FortiEDRTM. Endpoint-ul care rulează FortiClient este integrat pe de-a-ntregul cu alte produse de Securitate care impart datele și sunt manageriate central în cee ace este numit Fortinet Security Fabric. Produsul XDR Fortinet se numește FortiXDRTM.
[mai mult...]

Securitate: bune practici în distribuirea informatiilor personale

Când vine vorba de partajarea informațiilor în mediul online, mulți oameni cred că recompensa este mai mare decât riscurile la care se expun, dar așa ceva nu e deloc adevărat. Câți dintre voi nu aveți conturi pe site-urile de cumpărături? Chiar și simpla acțiune de a comanda o pizza îți poate cere crearea unui cont, care va duce, bineînțeles, automat la partajarea informațiilor personale, precum numele tău, adresa, numărul și email-ul pe când, de obicei, există și un buton de “guest check-out” pe care alegem mai mereu să-l ignorăm, deoarece ne este mai convenabil să păstrăm informațiile personale (precum informatiile cardului de credit) pentru momentul în care vom cumpăra iar de pe același site.

Din păcate, confortul acesta vine și el cu un preț.
S-ar putea să nu cazi victimă furtului de informații personale sau altor crime cibernetice, dar dacă organizația care ți-a păstrat informațiile îți vinde informațiile personale către alte organizații sau părți terță s-ar putea să sfârșești primind mesaje text enervante sau email-uri din surse pe care tu nu le-ai accesat niciodată.

În ciuda tuturor acestor probleme serioase, știm cu toții că educația este cea mai bună modalitate de prevenire a unor astfel de incidente, iar în acest articol vom acoperi riscurile oversharing-ului și pașii pe care tu îi poți face chiar acum pentru a te proteja pe tine, familia ta și datele tale personale în mediul online.

În primul rând, ce este o crimă cibernetică?
Când vorbim despre crimele cibernetice, majoritatea oamenilor se gândesc la furtul de identitate. Gândul de a avea informațiile personale și cele financiare furate este, de sigur, îngrozitor, dar furtul de identitate nu e singura crimă cibernetică existentă. Există o gamă largă de crime cibernetice precum furtul de informații personale, fraude financiare, traficul de substanțe ilicite, cyber-stalking, hărțuirea și agresiunea cibernetică, hacking, email spoofing, piratarea informațiilor, furtul de proprietate intelectuală și multe altele

Postările pe facebook nu duc mereu la crime cibernetice, dar au alte consecințe drastice. Ai putea crede că tu doar le arăți prietenilor tăi poze noi, sau că pur și simplu îți împărtășești părerile despre diferite subiecte pe pagina ta de facebook, dar universitățile, angajatorii și atacatorii se uită și ei. Desigur, poți controla cine alegi să-ți vadă postările de pe propriul tău cont, dar nu e mai bine să fii mai vigilent atunci când partajezi orice în mediul online? Un atacator poate, de pildă, să folosească o informație personală (pe care ai partajat-o pe pagina ta de facebook) împotriva ta, iar informațiile pe care tu le partajezi pe facebook, ar putea fi un contra-argument puternic pe care un angajator l-ar putea folosii pentru a nu te angaja. Așadar, partajeaza informații personale responsabil.

Am întocmit o listă de sfaturi și sugestii pe care o poți aplica chiar acum pentru a te proteja pe tine, dar și pe cei dragi ție în mediul online:

Citeste termenii și condițiile. Da, există o groază de meme-uri despre cât de mult ne displace să citim acele pagini cu termeni și condiții, dar înainte de a te înregistra într-un program de loialitate al unui retailer, sau înainte de a bifa căsuța de “creare cont”, ia, te rog, în considerare citirea termenilor și a condițiilor, deoarece asta ar putea prevenii ca datele tale personale să fie vândute către alte companii în scopul marketing-ului.

Ferește-te de phishing. Phishing-ul este o inginerie socială pe care un atacator o folosește pentru a pretinde că este altcineva decât cine pare a fi cu scopul de a obține informațiile tale personale, ale companiei tale, sau oricare alte date sensibile în scopul câștigului propriu. Această înșelătorie este întâlnită, în special, pe email sau pe social media (dar și prin telefon). Înainte, mesajele acestea erau destul de evidente pentru că ele conțineau, de obicei, greșeli gramaticale sau alte greșeli, dar atacatorii au devenit mult mai sofisticați și mai avansați.

S-ar putea ca aceștia să pretindă că sunt o companie de la care tu cumperi frecvent și s-ar putea să-ți trimită un “link” pentru a anula o comandă pe care tu nu ai făcut-o niciodată. Ar putea să-ți ofere o “momeală” irezistibilă, cum ar fi un premiu sau șansa de a câștiga un telefon de ultimă generație. Așadar, dacă ești nesigur că mesajul e legitim, nu apăsa pe acel link pe care l-ai primit. În schimb, sună direct compania sau deschide direct pagina companiei (care de regulă conține un certificat, iar link-ul este sub forma de https://).

Fii atent la apelurile înșelătoare. Apelurile înșelătoare există de când s-a creat telefonul. Cu toții le știm și ni s-a întâmplat să fim sunați de cineva care pretindea că este altcineva, cel puțin odată. Prin urmare, nu-ți oferi informațiile personale prin telefon decât dacă ști cu absolută certitudine că sursa este una sigură. Ferește-te de partajarea informațiilor personale prin telefon.

Alege ce să partajezi, ferește-te de oversharing. Te-ai gândit vreodată că poate că atunci când pleci în vacanță, iar tu îți anunți toți prietenii printr-o postare publică pe facebook, niște hoți ar putea să se bucure că tu ai făcut asta? Imagineaza-ți cum ar fi să vii din vacanță, iar datorită postării tale, să te trezești cu casa goală. Gândește-te de 2 ori înainte de a distrbuii ceva pe rețelele de socializare.

Nu folosi WiFi-ul public. Wifi-urile publice sunt nesigure. Un atacator ar putea să-ți captureze datele personale în timp ce tu folosești wifi-ul public al unui restaurant. Așadar, data viitoare când îți verifici contul bancar așteptând pentru o cafea la coada de la Starbucks, folosește datele mobile si nu folosi rețelele wifi publice. E mult mai sigur.

Păstrează informațiile personale, personale. Fii atent la cât de mult partajezi pe rețelele sociale. Cu cât postezi mai mult, cu atât va fi mai ușor pentru cineva să-ți fure identitatea, aceseze datele, sau să comită oricare altă infracțiune.

Folosește parole complexe. Asigură-te că parolele pe care le folosești sunt diferite pe toate conturile și asigură-te că acestea conțin caractere speciale (ca de exemplu, +, @, #, sau $), litere, majuscule și numere. Ferește-te de parolele slabe, simple, precum NumeleCâineluiTău1997. Îți recomand, de asemenea, activarea metodei de autentificare prin 2 factori (sau prin factori multipli) și folosirea unui manager de parole.

Ia în considerare protecție adițională. Instalarea unui program anti-virus, anti-spyware sau a unui firewall îți poate oferi un strat adițional de protecție împotriva criminalilor cibernetici, iar asta ar putea fi soluția care să-ți țină datele tale, dar și pe cele ale apropiaților tăi, în siguranță.

[mai mult...]

Securitate: bune practici in utilizarea codurilor QR

Codurile QR sunt peste tot – le poți vedea pe mașini, flyere promoționale, restaurante, produse ș.a.m.d.

Codurile QR sunt un instrument foarte util pentru marketeri să genereze mai multă interacțiune cu propria lor audiență. Clienții pot scana rapid un cod QR și pot obține acces imediat la o pagină sau un lucru de care clientul are nevoie (un meniu dintr-un restaurant spre exemplu), dar sunt cod-urile QR sigure?

Cum funcționează codurile QR?

Un cod QR este un cod de bare pătrat (bidimensional) și sunt o metodă de a stoca informație într-o etichetă vizuală ce poate fi citită de o mașină (camera telefonului tău spre exemplu). Ce contează este că atacatorii pot amplasa coduri qr în zone unde oamenii obișnuiți le pot scana cu telefonul și își pot infecta și compromite astfel telefoanele mobile sau pot chiar rămâne fără conturile de bancă, mail, etc.

Așadar, cum putem să evităm compromiterea dispozitivelor noastre sau infectarea acestora cu un potential malware atunci când scanăm un cod de bare QR?

[mai mult...]

Securitate: activarea facilitatilor de protectie antifurt

Definiția furtului de date – Ce este furtul de date? 
Furtul de date (cunoscut și ca furtul de informații) este transferul ilegal sau stocarea ilegală de informații personale, confidențiale sau financiare. Acesta poate include parole, cod de software, algoritmi, baze de date sau procese proprietare și tehnologii. Furtul de date este considerat a fi o breșă de securitate / încălcare a securității și are consecințe severe pentru indivizii din organizații.

Furtul de date este actul de a fura informații digitale stocate pe computere, servere, sau dispozitive electronice pentru obținerea de informații sau de încălcare a securității. Datele furate pot fi orice de la dispozitive mobile până la conturi bancare, parole online, numere de pașaport șamd.
Odată ce o persoană neautorizată are acces la informații personale sau financiare, aceasta poate șterge, altera, modifica sau prevenii accesul asupra contului sau a datelor fără permisiunea deținătorului.

Furtul de date se petrece deoarece actori malițioși vor să vândă informații sau să le folosească pentru furtul de identitate. Dacă hoții de date digitale fură suficiente informații, aceștia le pot folosii pentru a obține acces către conturi securizate, crea carduri bancare în numele victimei, sau pot folosii identiatea pentru benficiile personale. Furtul de date era la un moment dat o problemă majoră pentru mediul business, dar din păcate, devine o problemă din ce în ce mai mare pentru indivizi ca mine și ca tine.

Termenul “furt” (din furt de date) nu se referă la a fura efectiv datele, ci mai mult la acțiunea de a copia informațiile confidențiale și a le folosi în beneficiul personal.

  • Cum se întâmplă furtul de date?

Furtul de date are locul din mai multe motive. Câteva din cele mai comune motive ar fi:

Ingeriile sociale:
Dacă ți s-a întâmplat să primești un email care să para autentic, dar în realitate să te redirecționeze către un site dubios atunci ai asistat la o încercare de inginerie socială numită phishing. Există mai multe tipuri de inginerii sociale, dar phishing-ul este cea mai răspândită dintre ele.

Parole slabe:
Parolele slabe sunt un motiv principal a furtului de date. De ce? Este simplu! O parolă ușoară este ușor de ghicit, iar obiceiul de a folosii parole slabe și obiceiul de a folosii aceiași parolă pentru mai multe conturi va duce la compromiterea acestor conturi, și în cele din urmă, la furt de date.

Descărcări compromise:
Un utilizator poate descărca programe sau date de pe website-uri infectate, malițioase sau compromise cu malre sau alți viruși. Aceste programe pot oferii cu ușurință criminalilor acces la conturi sau le poate permite să fure datele dvs.

Erori umane:
Pierderile de date nu sunt mereu rezultatul acțiunilor malițioase. Câteodată, ele pot fi rezultatul unor erori umane. Erorile cele mai comune de acest gen pot include trimiterea informațiilor sensibile catre persoane greșite, cum ar fi trimiterea unui email catre o adresă incorectă, atașarea documentului greșit, sau înmânarea unui document (fizic) către cineva care nu ar trebuii să aibă acces la acel document. Alternativ, erorilor umane pot include configurații greșite, cum ar fi un angajat lăsând o bază de date care conține informații sensibile fără o parolă sau o restricție de orice fel.

Vulnerabilități de sistem:
Aplicațiile software scrise neatent sau sistemele de rețele gândite slab / implementate pot crea vulnerabilitați pe care atacatorii le pot exploata, iar în cele din urmă, acest lucru poate duce la furt de date.

Informații disponibile publicului:
Foarte multe informații pot fi găsite în domeniul public, inclusiv printr-o simplă căutare de internet, sau prin simpla verificare a paginilor de rețele de socializare a unui individ.

Consecințele furtului de date pot include:
• Cereri de ran$om (răscumpărare) din partea atacatorilor
• Downtime până când datele sunt recuperate
• Penalități
• Costuri de recuperare
• Potențiale cazuri judiciare

Așadar, având în vedere toate aceste riscuri și consecințe, acum vine întrebarea: Cum ne putem păstra datele în siguranță / securizate?

Pe multe dispozitive inteligente există o gamă largă de metode de securizare a dispozitivului. Printre funcțiile care pot fi activate se numără:
• recunoașterea facială sau a amprentelor
• deblocarea dispozitivului pe baza unor modele (patterns) sau prin PIN;
• localizarea echipamentului;
• folosirea backup-urilor fizice
• blocarea accesului sau ștergerea datelor de
la distanță.
• folosirea de parole securizate
• limitarea postărilor pe social media
• folosirea unui manager de parole
• folosirea datelor mobile (a unei rețele sigure) și evitarea folosirii wifi-urilor publice
• folosirea unui antivirus pentru dispozitivul dvs inteligent
• activarea funcției “where is my phone?” de pe contul dvs Google
• utilizarea mfa (multiple factor authentification)
• instruire suplimentară a utilizatorului/utilizatorilor în leg cu măsurile de securitate
• utilizarea/descărcarea aplicațiilor sigure
• utilizarea cu precauție a codurilor qr
• evitarea introducerii datelor personale / card, pe site-urile web
• încercați să efectuați plăți online folosind carduri virtuale
• salvarea datelor în cloud
• schimbarea periodică a parolelor
• evită folosirea conturilor personale pe computerele publice
• fi la curent cu patchurile și hotfix-urile aplicațiilor
• elimină software-ul /serviciile care nu-ți sunt necesare
• folosește un filter anti-spam
• descarcă fișiere legal

Așadar, acestea sunt câteva din soluțiile care pot ajuta la prevenirea furtului de date. Aveți mai jos un link către un ghid mai amănunțit, creat de centrul național de răspuns la evenimente de securitate cibernetică, care abordează acest subiect mult mai în detaliu: https://dnsc.ro/vezi/document/ghid-securitate-cibernetica-2021

[mai mult...]