Analiză

Infrastructura partiala 40 Solutii

Infrastructura completa 10 Solutii

Third party support 20 Solutii

Filtrarea cererilor DNS pentru blocarea comunicării și exfiltrării de date către un server C2 (Comandă și Control)

Indiferent de dimensiunea unei companii, ea poate fi ținta hackerilor care urmăresc să exploateze rețeaua prin infectarea cu viruși, să desfășoare campanii de phishing, malware sau ransomware. Și filtrarea DNS pentru blocarea comunicării și exfiltrării de date către un server C2 (Comandă și Control) poate fi o soluție utilă, pentru a vă asugura că angajații și membrii echipei sunt protejați de astfel de incidente folosind măsuri stricte de securitate cibernetică.

Ce este filtrarea cererilor DNS?

Înainte de a aprofunda filtrarea DNS, să înțelegem mai întâi conceptul de Domain Name System (DNS).

DNS (Domain Name System) este protocolul folosit pentru a traduce numele de domenii în adrese IP. Filtrarea cererilor DNS implică monitorizarea și controlul cererilor DNS care sunt efectuate într-o rețea. Prin intermediul acestei tehnici, administratorii pot identifica și bloca cererile către domenii specifice, inclusiv către serverele C2 folosite de atacatori pentru a controla malware-ul și a exfiltra datele furate.

DNS funcționează ca o carte de telefon pentru internet. Atunci când vizitați un site web, introduceți numele de domeniu al site-ului și îl accesați ușor. Dar, în culise, se întâmplă un proces pentru a face ca acest acces să fie ușor pentru dvs.

Prin introducerea unui nume de domeniu, de fapt, solicitați adresa IP a acelui site în particular, de exemplu, google.com. Apoi, serverul DNS asociat traduce acesta într-o adresă IP pentru a vă duce la site.

Filtrarea DNS se referă la procesul de utilizare a DNS pentru a bloca site-urile web dăunătoare, nepotrivite și malicioase. Filtrarea asigură securitatea rețelei împotriva atacurilor cibernetice, permițându-vă în același timp un control mai mare asupra accesibilității la internet a angajaților, ceea ce duce la o productivitate mai bună.

Cum funcționează?

Dacă este activată filtrarea DNS în rețea, atât traficul web de intrare, cât și cel de ieșire sunt evaluate. Ca rezultat, doar traficul sigur este permis să intre sau să iasă din rețea.

Atunci când introduceți domeniul unui site, soluția de filtrare DNS activată va filtra traficul între adresa IP și pagina solicitată. Mai apoi, procesul de filtrare efectuează categorizarea site-ului, cum ar fi știri, site-uri de socializare, site-uri nepotrivite, site-uri ilegale, site-uri malicioase, campanii de pescuit, etc.

Astfel, filtrul DNS inspectează traficul de intrare și de ieșire și le blochează pe cele suspecte sau periculoase, bazându-se pe anumite parametri stabiliți, permițând doar traficul sigur. Acesta poate proteja și rețeaua Wi-Fi împotriva exploatărilor, nu doar pe cea de internet.

De exemplu, dacă ați blocat accesul utilizatorilor la facebook.com în timpul orelor de lucru și încearcă să acceseze site-ul, nu vor reuși. Le va apărea mesajul “acces interzis” de fiecare dată când încearcă să facă acest lucru în timpul orelor de program.

[mai mult...]

Ce este SIEM-ul, cum a apărut, de ce a apărut și cum funcționează?

Security information and event management – SIEM

Introdus în 2005, SIEM analizează alertele de securitate în timp real. Fundamental, SIEM-urile fac următoarele 3 lucruri:

  • Colectează, normalizează și stochează event log-uri și alerte din rețeaua organizației, dar și a dispozitivelor din rețea, a serverelor, bazelor de date, aplicațiilor, și endpoint-urilor, într-o locație securizată, centrală. SIEM-urile colectează informații nu numai din adresele fizice ale dispozitivelor, dar și din dispozitivele virtuale / cloud. Investigatorii au determinat că logarea în fiecare sistem pentru colectarea event-log-urilor relevante devenea aproape imposibilă. De asemenea, dacă log-urile tale nu erau securizate, nu aveai nicio garanție că un atacator tocmai ce a șters entry log-urile pentru a-și ascunde activitatea.
  • SIEM-urile rulează analize avansate pe date, în timp real și pe date istorice, pentru a identifica potentialele incidente de securitate care ar trebui să fie investigate de un om. Potențialul incidentelor este prioritizat de risk, severitate și impact. De-alungul timpului, aceste analize de securitate au crescut de la simple reguli pentru a monitoriza anormalitățile în comportamentele utilizatorilor, urmărind bine-știuții indicatori de compromis (IoC – Indicators Of Compromise) și aplicând sofisticate modele de Machine Learning.
  • Au dovedit că toate controalele de securitate sub revizuirea SIEM sunt la locul lor și sunt eficiente. Pe când menținerea securității pentru binele acesteia ar trebui să conducă cerințele de securitate și nivelul adecvat de investiții, în realitate, pentru multe organizații, principalul motiv pentru achiziționarea SIEM-ului a fost pentru conformarea reglementărilor.

Primele două decenii ale secolului 21 a văzut o inundație de noi cerințe de conformitate, atât legislative cât și sponsorizate de industrie. Câteva exemple sunt:

  • Payment Card Industry – PCI Standard
  • Sarbanes – Oxley Act din 2002
  • Health Insurance Portability and Accountability Act – HIPPA
  • General Data Protection Regulation – GDPR

Afacerile, spitalele, dar și alte organizații ignoră conformarea acestor reglementări pe propria răspundere, iar cei care încalcă aceste reglementări pot fi sancționați drastic. Pe măsură ce atacurile cibernetice au devenit tot mai sofisticate și deghizate, cererile pentru informațiile cu privire la un atac cibernetic au crescut – caracteristicile acestuia, scopul, măsura în care s-a extins în rețeaua internă – și au devenit tot mai urgente. Un alt lucru îngrijorător a fost că echipele de securitate nu descopereau breșele de securitate decât câteva luni mai târziu după acestea aveau loc, iar aceste atacuri erau deseori descoperite de un third-party, nu de o echipă de securitate internă

Echipele de securitate aveau nevoie de o pictură de ansamblu a activității în rețea, analize asupra activității istorice, analize în timp real și analize asupra comportamentului utilizatorilor și analize asupra acestuia (UEBA – User and Entity Behavior Analytics), iar recent, Machine Learning a devenit o parte esențială a uneltelor pre-incluse într-un SIEM care este foarte folositor în chunk-uri de date foarte mari.

SIEM rezolvă toate problemele descrise mai sus deoarece oferă rapoarte în timp real, analizează comportamentul utilizatorilor, analizează rețeaua internă, oferă echipelor de securitate vizibilitate a întregii rețele interne,creează topologii arătând echipelor de securitate cum fiecare dispozitiv din rețea este interconectat și stabilește un baseline pentru comportamentul normal al utilizatorilor, identificând cu ușurință comportamentul anormal.

În câteva decenii, SIEM a evoluat de la o platformă de informații, la un centru de inteligență al amenințărilor, la un centru intergrat și automatizat pentru securitatea și operațiunea rețelelor interne. Produsul Fortinet SIEM se numește FortiSIEM și encapsulează toate aceste unelte, plus altele.

Sursa: Fortinet Network Security Engineer 2 Training – NSE 2

[mai mult...]

Tool gratuit pentru descoperirea porturilor si configurare retea

Va prezint un program gratuit numit Advanced port Scanner (platforma Windows). Cu acesta putem vedea toate informatiile de pe reteaua pe care suntem conectati, dar si alte aparaturi. Are o multitudine de functii care ne ajuta in diagnosticarea si cercetarea retelei si a problemelor aparute:

Functii:

  1. Save List
  2. Load List
  3. Toolbar – Class “C” Subnetwork
  4. Toolbar – Current Computer Subnetwork
  5. Tools – Ping
  6. Tools – Tracert
  7. Tools – Telnet
  8. Tools – SSH
  9. Options – Performance
  10. Options – Resources
  11. Options – Misc
  12. Shut Down Computer
  13. Aborting Remote Shut Down
  14. Wake-on-LAN
  15. Browse Computer
  16. HTTP Connection
  17. HTTPS Connection
  18. FTP Connection
  19. Connection Via Radmin
  20. Remote Desktop Protocol Connection

Se poate descarca de aici: https://www.advanced-port-scanner.com/

Pentru detalierea functiilor: https://www.advanced-port-scanner.com/help/

[mai mult...]