Analiză

Ce este SIEM-ul, cum a apărut, de ce a apărut și cum funcționează?

Security information and event management – SIEM

Introdus în 2005, SIEM analizează alertele de securitate în timp real. Fundamental, SIEM-urile fac următoarele 3 lucruri:

  • Colectează, normalizează și stochează event log-uri și alerte din rețeaua organizației, dar și a dispozitivelor din rețea, a serverelor, bazelor de date, aplicațiilor, și endpoint-urilor, într-o locație securizată, centrală. SIEM-urile colectează informații nu numai din adresele fizice ale dispozitivelor, dar și din dispozitivele virtuale / cloud. Investigatorii au determinat că logarea în fiecare sistem pentru colectarea event-log-urilor relevante devenea aproape imposibilă. De asemenea, dacă log-urile tale nu erau securizate, nu aveai nicio garanție că un atacator tocmai ce a șters entry log-urile pentru a-și ascunde activitatea.
  • SIEM-urile rulează analize avansate pe date, în timp real și pe date istorice, pentru a identifica potentialele incidente de securitate care ar trebui să fie investigate de un om. Potențialul incidentelor este prioritizat de risk, severitate și impact. De-alungul timpului, aceste analize de securitate au crescut de la simple reguli pentru a monitoriza anormalitățile în comportamentele utilizatorilor, urmărind bine-știuții indicatori de compromis (IoC – Indicators Of Compromise) și aplicând sofisticate modele de Machine Learning.
  • Au dovedit că toate controalele de securitate sub revizuirea SIEM sunt la locul lor și sunt eficiente. Pe când menținerea securității pentru binele acesteia ar trebui să conducă cerințele de securitate și nivelul adecvat de investiții, în realitate, pentru multe organizații, principalul motiv pentru achiziționarea SIEM-ului a fost pentru conformarea reglementărilor.

Primele două decenii ale secolului 21 a văzut o inundație de noi cerințe de conformitate, atât legislative cât și sponsorizate de industrie. Câteva exemple sunt:

  • Payment Card Industry – PCI Standard
  • Sarbanes – Oxley Act din 2002
  • Health Insurance Portability and Accountability Act – HIPPA
  • General Data Protection Regulation – GDPR

Afacerile, spitalele, dar și alte organizații ignoră conformarea acestor reglementări pe propria răspundere, iar cei care încalcă aceste reglementări pot fi sancționați drastic. Pe măsură ce atacurile cibernetice au devenit tot mai sofisticate și deghizate, cererile pentru informațiile cu privire la un atac cibernetic au crescut – caracteristicile acestuia, scopul, măsura în care s-a extins în rețeaua internă – și au devenit tot mai urgente. Un alt lucru îngrijorător a fost că echipele de securitate nu descopereau breșele de securitate decât câteva luni mai târziu după acestea aveau loc, iar aceste atacuri erau deseori descoperite de un third-party, nu de o echipă de securitate internă

Echipele de securitate aveau nevoie de o pictură de ansamblu a activității în rețea, analize asupra activității istorice, analize în timp real și analize asupra comportamentului utilizatorilor și analize asupra acestuia (UEBA – User and Entity Behavior Analytics), iar recent, Machine Learning a devenit o parte esențială a uneltelor pre-incluse într-un SIEM care este foarte folositor în chunk-uri de date foarte mari.

SIEM rezolvă toate problemele descrise mai sus deoarece oferă rapoarte în timp real, analizează comportamentul utilizatorilor, analizează rețeaua internă, oferă echipelor de securitate vizibilitate a întregii rețele interne,creează topologii arătând echipelor de securitate cum fiecare dispozitiv din rețea este interconectat și stabilește un baseline pentru comportamentul normal al utilizatorilor, identificând cu ușurință comportamentul anormal.

În câteva decenii, SIEM a evoluat de la o platformă de informații, la un centru de inteligență al amenințărilor, la un centru intergrat și automatizat pentru securitatea și operațiunea rețelelor interne. Produsul Fortinet SIEM se numește FortiSIEM și encapsulează toate aceste unelte, plus altele.

Sursa: Fortinet Network Security Engineer 2 Training – NSE 2

[mai mult...]

Tool gratuit pentru descoperirea porturilor si configurare retea

Va prezint un program gratuit numit Advanced port Scanner (platforma Windows). Cu acesta putem vedea toate informatiile de pe reteaua pe care suntem conectati, dar si alte aparaturi. Are o multitudine de functii care ne ajuta in diagnosticarea si cercetarea retelei si a problemelor aparute:

Functii:

  1. Save List
  2. Load List
  3. Toolbar – Class “C” Subnetwork
  4. Toolbar – Current Computer Subnetwork
  5. Tools – Ping
  6. Tools – Tracert
  7. Tools – Telnet
  8. Tools – SSH
  9. Options – Performance
  10. Options – Resources
  11. Options – Misc
  12. Shut Down Computer
  13. Aborting Remote Shut Down
  14. Wake-on-LAN
  15. Browse Computer
  16. HTTP Connection
  17. HTTPS Connection
  18. FTP Connection
  19. Connection Via Radmin
  20. Remote Desktop Protocol Connection

Se poate descarca de aici: https://www.advanced-port-scanner.com/

Pentru detalierea functiilor: https://www.advanced-port-scanner.com/help/

[mai mult...]

Cum funcționează serviciile de inteligență împotriva amenințărilor cibernetice?

În primele zile ale produselor Anti-Virus pentru Endpoint-uri, furnizorii aveau nevoie de o modalitate de a cataloga toate virusurile cunoscute, astfel încât produsele lor să poată confirma dacă un fișier conținea un virus sau nu. Departamentul furnizorilor de threat intelligence a făcut acest lucru posibil prin preluarea unei “monstre” din fiecare virus cunoscut și generarea unei semnături a acelui virus, care a reprezentat conținutul fișierului. Cu alte cuvinte, o amprentă. Aceste liste de semnături ale virusului au fost distribuite cu software-ul antivirus. Pe măsură ce trecea timpul și erau detectate noi virusuri, serviciul de inteligență amenințărilor a fiecărui furnizor distribuia actualizări regulate ale listei sale de semnături ale virusului. Actualizările fiind lansate lunar, trimestrial sau în unele cazuri, doar o dată pe an.

Ca rezultat al expertizei câștigate de dezvoltatorii de malware, aceștia au devenit mult mai sofisticați și au inclus mecanisme speciale pentru a evita scanările bazate pe semnătură ale produselor AntiVirus, prin schimbarea conținutului fișierelor lor în mod voluntar. Deoarece conținutul fișierelor se schimba, semnăturile fișierelor se schimbau de asemenea, permițând programelor malware să treacă neobservate de versiunile mai vechi,outdatate de antivirus. Acest lucru a dus la apariția unui singur tip de malware care a devenit o întreaga familie de malware, sute de mii de fișiere diferite, cunoscute și sub numele de malware polimorf (malware care-și schimbă forma), și fiecare program malware, îndeplinind același comportament dăunător.

Problema clasică de semnătură unulaunu, în care fiecare fișier malware cunoscut este reprezentat de o semnătură în fișierul de semnături nu se scala deloc bine, din cauza potențialului a milioane de noi variații, în fiecare zi, ale malware-ului. Pentru a trata această nouă abilitate a malware-ului de a se transforma în forme noi, serviciile de Inteligență a Amenințării au creat modalități de a detecta întregi familii de malware folosind numai o semnătură. Acest lucru se face în mai multe moduri diferite, dar toate detectează similitudinile între familia de malware.

Ce se întâmplă cu variațiile de malware care nu au fost încă văzute?

Metodele de detectare bazate pe semnătură nu vor funcționa. Pentru a detecta aceste tipuri de amenințări, furnizorii au creat produse de SandBoxing, care iau un fișier suspect și îl plasează întrun mediu controlat în care comportamentul său poate fi analizat îndeaproape. Dacă fișierul face ceva rău în timp ce se află în mediul sandbox, este marcat ca malware. Acesta lucru este cunoscut ca detectare heuristică și caută comportamente anormale care sunt în afara obișnuitului. De fapt, furnizorii creează algoritmi heuristici proprietari care pot detecta mostre polimorfice de malware, niciodată văzute înainte.

Depinzând de produsul sandbox și configurația sa, proprietarul sandbox-ului poate propaga această nouă cunoaștere nu numai în propria securitate a rețelei, ci o pot și trimite global pentru a proteja mai mulți oameni. În afară de sandboxing, viitorul detectării a programelor malware necunoscute include abilitatea serviciului de inteligență a amenințărilor de a detecta noi programe malware folosind Machine Learning și Inteligența Artificială învățând să evalueze rapid riscul de amenințare a fișierelor nocive care traversează rețeaua. Și nu e numai despre fișierele, ci și despre mecanismele specifice ale atacului, evidența că atacul respectiv s-a întâmplat (acest lucru mai este cunoscut și ca Indicatorii de Compromitere – IoC), Implicări ale Atacului, Atribute ale Adversarului și potențialele motivații ascunse.

Pe măsură ce tehnicile actorilor malițioși continua să evolueze și să devină mai sofisticate, e mai important ca niciodată să împărtășim Inteligența Amenințărilor în timp real, în mediul rețelei securizate. Dacă anumite componente știu despre atac în timp ce altele așteaptă periodic pentru update-uri ale semnăturilor, atacatorii pot să treacă neobservați dincolo de apărări și să cauzeze daune. Securitatea produselor și a serviciilor inteligenței amenințărilor care pot să acționeze împreună în timp real au cele mai bune șanse de a oprii astfel de atacuri.

Partajarea inteligenței amenințărilor nu se oprește la produsele fiecărui furnizor. Ar fi de crezut că, după tot efortul depus pentru a aduna, analiza și cataloga inteligența amenințărilor, fiecare furnizor ar păstra această informație în secret, dar aproape toți furnizorii împart această “inteligență”, această informație cu comunitatea de Securitate Cibernetică mai largă. Acest lucru se întâmplă prin aderarea formală la organizații precum Alianța Amenințărilor Cibernetice, echipele locale, naționale și internaționale de răspuns la incidente cibernetice (CERTs) și numeroase parteneriate private cu alți furnizori, cercetători independenți în domeniul securității și forțele de ordine. Acest partaj în timp real al inteligenței amenințărilor permite o imagine mai completă a atacului, deoarece niciun singur furnizor nu va avea toate datele, și nu este inteligența amenințărilor care îi separă pe furnizori, ci ceea ce fac ei cu această inteligență, cu tehnologia din produsele lor.

Sursa:
Fortinet Training: NSE 2 – Threat Inteligence (Includes Free Certification)

[mai mult...]

Securitate FortiGate®: Firewall Security

În timp ce rețelele au crescut, au început să se conecteze și în cele din urmă, să se interconecteze cu internetul, controlul traficului de date în rețea a devenit esențial. Acest control a luat forma firewallurilor cu filtre de pachete, care au examinat cele mai inferioare niveluri de protocol, cum ar fi sursa și destinația adresei de rețea, protocoale și numărul de porturi. Aceste atribute au fost folosite pentru a defini care pachete erau permise și care nu. Dacă adresa de rețea, protocolul și numărul portului corespundeau cu regulile firewallului, pachetului îi era permis să treacă, în caz contrar el era fie blocat, fie aruncat.

Firewallurile cu filtre de pachete întâmpină un dezavantaj major, deoarece adoptă o abordare universală pentru a decide dacă să permită sau să blocheze traficul. Astfel, actorii malițioși pot ocoli ușor regulile firewallului. Ce ar putea împiedica un astfel de actor să injecteze pachete rău intenționate prin protocoale și porturi acceptabile sau să exploateze o eroare în software-ul de rețea?

A doua generație de firewalluri, numite stateful firewalls, au fost concepute pentru a urmări conexiunile dintre rețele în timp, observând cum se creează noi conexiuni și examinând conversația dintre cele două puncte finale, blocând conexiunile necorespunzătoare și abandonând pachetul. Cu toate acestea, acestea nu au avut capacitatea de a bloca pachetele necinstite, care foloseau protocolul HTTP, devenit popular odată cu explozia World Wide Web. Pentru a bloca pachetele necorespunzătoare și a le permite pe cele benefice, administratorii de rețea trebuiau să facă distincția între aplicațiile web, iar acest lucru se poate face numai dacă firewallul analizează încărcările utile de date.

Firewallurile din a treia generație sunt în stare să înțeleagă protocoale de nivel superior, aplicațiile și utilizările acestora pentru a bloca și gestiona traficul. Acest lucru se realizează prin implementarea filtrării stratului de aplicație. Astfel, firewallul poate identifica și controla traficul HTTP dintre diferite tipuri de siteuri, cum ar fi bloguri, partajarea de fișiere, comerț electronic, rețele sociale, voceoverip, email și multe altele. Aceste firewalluri pot oferi o protecție excelentă împotriva amenințărilor și pot ajuta la prevenirea accesului neautorizat la informații și date personale.

Firewallul de generație următoare (NGFW) oferă securitatea necesară pentru a preveni evoluția atacurilor cibernetice la fiecare margine a rețelei și pentru a asigura fiabilitatea și performanța de rețea. Este asemănător cu un control de securitate la aeroport, unde agentul de securitate verifică destinația ta ca o primă linie de apărare. La fel și firewall-ul NGFW verifică pachetele și ia deciziile necesare pentru a permite sau opri traficul. Apoi, în aeroport, bagajele tale sunt verificate pentru conținut malițios, lucru similar cu modul în care firewall-ul NGFW efectuează o inspecție profundă a pachetelor (DPI – deep packet inspeciton). Dacă se găsește conținut îndoielnic, firewall-ul NGFW trimite conținutul rău intenționat la un sandbox pentru o analiză ulterioară. Iată cum firewall-ul NGFW oferă o securitate avansată pentru a preveni evoluția amenințărilor cibernetice la fiecare margine a rețelei.

Pe măsură ce rețelele se transformă și apar noi provocări, firewallurile de ultimă generație evoluează pentru a face față acestora. Ele au acum capacitatea să controleze aplicațiile, fie prin clasificare, fie în funcție de utilizator. Aceste măsuri de securitate la nivel de aplicație oferă o protecție sporită clienților care navighează pe web, împiedicând astfel atacurile și amenințările cibernetice.

Firewallurile NGFW au adoptat abordări variate de segmentare pentru a separa userii, deviceurile și aplicațiile, în funcție de nevoile unei organizații. Acest lucru permite reducerea punctelor vulnerabile, eliminând riscul ca un actor malițios să pătrundă în rețea și să răspândească amenințări de securitate. NGFWurile asigură, de asemenea, o inspecție de performanță înaltă și o mai mare vizibilitate a rețelei, fără a compromite integritatea. FortiGate® de la Fortinet este următoarea generație de firewalluri, oferind o soluție complet integrată cu alte produse de securitate, care partajează date și informații, centralizândule în ceea ce este numit Fortinet Security Fabric. Această soluție oferă o securitate optimă pentru infrastructuri IT hibride și complexe.

[mai mult...]