Securitate

Cum funcționează serviciile de inteligență împotriva amenințărilor cibernetice?

În primele zile ale produselor Anti-Virus pentru Endpoint-uri, furnizorii aveau nevoie de o modalitate de a cataloga toate virusurile cunoscute, astfel încât produsele lor să poată confirma dacă un fișier conținea un virus sau nu. Departamentul furnizorilor de threat intelligence a făcut acest lucru posibil prin preluarea unei “monstre” din fiecare virus cunoscut și generarea unei semnături a acelui virus, care a reprezentat conținutul fișierului. Cu alte cuvinte, o amprentă. Aceste liste de semnături ale virusului au fost distribuite cu software-ul antivirus. Pe măsură ce trecea timpul și erau detectate noi virusuri, serviciul de inteligență amenințărilor a fiecărui furnizor distribuia actualizări regulate ale listei sale de semnături ale virusului. Actualizările fiind lansate lunar, trimestrial sau în unele cazuri, doar o dată pe an.

Ca rezultat al expertizei câștigate de dezvoltatorii de malware, aceștia au devenit mult mai sofisticați și au inclus mecanisme speciale pentru a evita scanările bazate pe semnătură ale produselor AntiVirus, prin schimbarea conținutului fișierelor lor în mod voluntar. Deoarece conținutul fișierelor se schimba, semnăturile fișierelor se schimbau de asemenea, permițând programelor malware să treacă neobservate de versiunile mai vechi,outdatate de antivirus. Acest lucru a dus la apariția unui singur tip de malware care a devenit o întreaga familie de malware, sute de mii de fișiere diferite, cunoscute și sub numele de malware polimorf (malware care-și schimbă forma), și fiecare program malware, îndeplinind același comportament dăunător.

Problema clasică de semnătură unulaunu, în care fiecare fișier malware cunoscut este reprezentat de o semnătură în fișierul de semnături nu se scala deloc bine, din cauza potențialului a milioane de noi variații, în fiecare zi, ale malware-ului. Pentru a trata această nouă abilitate a malware-ului de a se transforma în forme noi, serviciile de Inteligență a Amenințării au creat modalități de a detecta întregi familii de malware folosind numai o semnătură. Acest lucru se face în mai multe moduri diferite, dar toate detectează similitudinile între familia de malware.

Ce se întâmplă cu variațiile de malware care nu au fost încă văzute?

Metodele de detectare bazate pe semnătură nu vor funcționa. Pentru a detecta aceste tipuri de amenințări, furnizorii au creat produse de SandBoxing, care iau un fișier suspect și îl plasează întrun mediu controlat în care comportamentul său poate fi analizat îndeaproape. Dacă fișierul face ceva rău în timp ce se află în mediul sandbox, este marcat ca malware. Acesta lucru este cunoscut ca detectare heuristică și caută comportamente anormale care sunt în afara obișnuitului. De fapt, furnizorii creează algoritmi heuristici proprietari care pot detecta mostre polimorfice de malware, niciodată văzute înainte.

Depinzând de produsul sandbox și configurația sa, proprietarul sandbox-ului poate propaga această nouă cunoaștere nu numai în propria securitate a rețelei, ci o pot și trimite global pentru a proteja mai mulți oameni. În afară de sandboxing, viitorul detectării a programelor malware necunoscute include abilitatea serviciului de inteligență a amenințărilor de a detecta noi programe malware folosind Machine Learning și Inteligența Artificială învățând să evalueze rapid riscul de amenințare a fișierelor nocive care traversează rețeaua. Și nu e numai despre fișierele, ci și despre mecanismele specifice ale atacului, evidența că atacul respectiv s-a întâmplat (acest lucru mai este cunoscut și ca Indicatorii de Compromitere – IoC), Implicări ale Atacului, Atribute ale Adversarului și potențialele motivații ascunse.

Pe măsură ce tehnicile actorilor malițioși continua să evolueze și să devină mai sofisticate, e mai important ca niciodată să împărtășim Inteligența Amenințărilor în timp real, în mediul rețelei securizate. Dacă anumite componente știu despre atac în timp ce altele așteaptă periodic pentru update-uri ale semnăturilor, atacatorii pot să treacă neobservați dincolo de apărări și să cauzeze daune. Securitatea produselor și a serviciilor inteligenței amenințărilor care pot să acționeze împreună în timp real au cele mai bune șanse de a oprii astfel de atacuri.

Partajarea inteligenței amenințărilor nu se oprește la produsele fiecărui furnizor. Ar fi de crezut că, după tot efortul depus pentru a aduna, analiza și cataloga inteligența amenințărilor, fiecare furnizor ar păstra această informație în secret, dar aproape toți furnizorii împart această “inteligență”, această informație cu comunitatea de Securitate Cibernetică mai largă. Acest lucru se întâmplă prin aderarea formală la organizații precum Alianța Amenințărilor Cibernetice, echipele locale, naționale și internaționale de răspuns la incidente cibernetice (CERTs) și numeroase parteneriate private cu alți furnizori, cercetători independenți în domeniul securității și forțele de ordine. Acest partaj în timp real al inteligenței amenințărilor permite o imagine mai completă a atacului, deoarece niciun singur furnizor nu va avea toate datele, și nu este inteligența amenințărilor care îi separă pe furnizori, ci ceea ce fac ei cu această inteligență, cu tehnologia din produsele lor.

Sursa:
Fortinet Training: NSE 2 – Threat Inteligence (Includes Free Certification)

[mai mult...]

De ce ar trebui să închidem anumite porturi de internet pentru securitatea cibernetică

În lumea conectată la internet, securitatea cibernetică este o preocupare majoră pentru utilizatori și companii, deoarece internetul este plin de atacuri cibernetice și de amenințări. În acest context, închiderea unor porturi de internet poate fi o strategie eficientă de securizare a rețelei și de protejare a datelor. În acest articol, vom discuta despre importanța închiderii anumitor porturi de internet și despre cum acest lucru poate ajuta la protejarea datelor și a utilizatorilor.

În primul rând, trebuie menționat faptul că porturile sunt puncte de intrare sau ieșire pentru traficul de date într-o rețea. Fiecare port este asociat cu un anumit serviciu sau protocol de rețea, cum ar fi HTTP (80), FTP (21), SMTP (25) sau SSH (22). Aceste protocoale permit utilizatorilor să acceseze și să utilizeze diferite resurse de internet, precum site-uri web, servicii de e-mail sau de transfer de fișiere. Cu toate acestea, fiecare protocol și port deschis poate fi o vulnerabilitate în rețea, care poate fi exploatată de atacatori cibernetici.

De exemplu, un port deschis poate permite unui atacator să încerce să intre în rețeaua dvs. și să încerce să fure datele sau să lanseze atacuri DDoS (distributed denial of service). De asemenea, un port deschis poate fi utilizat pentru a trimite spam sau malware prin intermediul serviciilor de e-mail sau de transfer de fișiere. Închiderea porturilor nedorite poate reduce riscurile de securitate și poate împiedica atacatorii să profite de vulnerabilitățile din rețea.

În al doilea rând, închiderea anumitor porturi poate fi necesară pentru a respecta reglementările de securitate cibernetică și standardele de conformitate. De exemplu, PCI-DSS (Payment Card Industry Data Security Standard) specifică cerințe stricte pentru protecția datelor de carduri de credit, inclusiv închiderea porturilor care nu sunt necesare pentru serviciile de plată. Închiderea acestor porturi poate fi o modalitate eficientă de a respecta cerințele de securitate și de a evita amenzi și penalități pentru nerespectarea standardelor.

În concluzie, închiderea anumitor porturi de internet poate fi o măsură importantă pentru protejarea datelor și a utilizatorilor într-o rețea. Prin închiderea porturilor nedorite și respectarea reglementărilor de securitate, se poate reduce riscul de atacuri cibernetice și de furt de date, și se poate asigura că rețeaua este securizată și conformă cu standardele de securitate cibernetică.

[mai mult...]

Care sunt cele mai utile scanere antimalware si analizatoare URL pentru email

Te intrebi daca linkul din acel e-mail primit este unul legitim? Fie ca este trimis de un prieten sau de un strain, nu este intelept sa dai click pe linkuri fara sa stii unde te duc. Inainte de a face click pe orice link suspect, utilizati unul dintre aceste site-uri pentru a verifica daca nu duce la malware sau alte amenintari.

Avem doua tipuri de adrese URL:

– O adresa URL de lungime normala, care incepe cu www, urmata de numele site-ului web si care se termina cu o extensie de tipul .com sau un alt domeniu.
– O adresa URL scurtata, cum ar fi goo.gl/V4jVrx

Urmatoarele site-uri verifica daca linkurile va vor duce catre un site web compromis, iar verificatorul de linkuri va evidentia imediat acest lucru.

[mai mult...]

Ce facem daca contul de admin este compromis de programe malware?

Malware se refera la orice tip de software conceput special pentru a dauna unui computer. Programele malware pot fura informatii de pe calculator, pot trimite email-uri din contul conectat la calculator si le pot incetini.

Cum se raspandesc?

Iata cateva exemple commune prin care aceste programe pot fi raspandite sunt:deschiderea unui atasament dintr-un e-mail, descarcarea de programe legitime care au atasat  programe malware, descarcarea de programe gratuite de pe Internet sau apasand pe un mesaj de eroare fals sau pe o fereastra pop-up falsa care iti descarca acest program.

Ce faci daca ai fost compromise?

Daca banuiti ca computerul a fost infectat, mai intai trebuie minimizat daunele. Se poate incepe prin a izola masina afectata si deconectarea de la internet.

[mai mult...]

Cum resetam remote parola unui utilizator (Prin Active Directory)

Astazi vrem sa resetam parola unui utilizator de windows 10, dar fara sa intervenim fizic asupra statiei (fie laptop, pc sau tableta), folosind doar conexiunea la Ethernet (sau WiFi). Pentru aceasta avem nevoie de Active Directory Services instalat pe statia de pe care lucram.

(Download Remote Server Administration Tools for Windows 10 from Official Microsoft Download Center)

**Remote Server Administration Tools for Windows 10 can be installed ONLY on computers that are running the full release of Windows 10 Professional, Windows 10 Enterprise, or Windows 10 Education.** Remote Server Administration Tools cannot be installed on Windows RT, computers with an Advanced RISC Machine (ARM) architecture, or other system-on-chip devices.

Pasul 1: Deschidem Active Directory ( Start > Active Directory Users and Computers )

Pasul 2:  Selectam domeniul din meniul din stanga (in cazul nostru fictiv “einstein”, apoi selectam folderul cu utilizatori (de ex 3781 ) > Conturi (accounts) > Click dreapta pe contul caruia vrem sa-i resetam parola > Reset Password >introducem o noua parola (de 2x) > Ok > GATA !!! Noua parola a fost setata userului dorit, lucrand total remote prin Active Directory.

[mai mult...]

Securitate FortiGate®: Firewall Security

În timp ce rețelele au crescut, au început să se conecteze și în cele din urmă, să se interconecteze cu internetul, controlul traficului de date în rețea a devenit esențial. Acest control a luat forma firewallurilor cu filtre de pachete, care au examinat cele mai inferioare niveluri de protocol, cum ar fi sursa și destinația adresei de rețea, protocoale și numărul de porturi. Aceste atribute au fost folosite pentru a defini care pachete erau permise și care nu. Dacă adresa de rețea, protocolul și numărul portului corespundeau cu regulile firewallului, pachetului îi era permis să treacă, în caz contrar el era fie blocat, fie aruncat.

Firewallurile cu filtre de pachete întâmpină un dezavantaj major, deoarece adoptă o abordare universală pentru a decide dacă să permită sau să blocheze traficul. Astfel, actorii malițioși pot ocoli ușor regulile firewallului. Ce ar putea împiedica un astfel de actor să injecteze pachete rău intenționate prin protocoale și porturi acceptabile sau să exploateze o eroare în software-ul de rețea?

A doua generație de firewalluri, numite stateful firewalls, au fost concepute pentru a urmări conexiunile dintre rețele în timp, observând cum se creează noi conexiuni și examinând conversația dintre cele două puncte finale, blocând conexiunile necorespunzătoare și abandonând pachetul. Cu toate acestea, acestea nu au avut capacitatea de a bloca pachetele necinstite, care foloseau protocolul HTTP, devenit popular odată cu explozia World Wide Web. Pentru a bloca pachetele necorespunzătoare și a le permite pe cele benefice, administratorii de rețea trebuiau să facă distincția între aplicațiile web, iar acest lucru se poate face numai dacă firewallul analizează încărcările utile de date.

Firewallurile din a treia generație sunt în stare să înțeleagă protocoale de nivel superior, aplicațiile și utilizările acestora pentru a bloca și gestiona traficul. Acest lucru se realizează prin implementarea filtrării stratului de aplicație. Astfel, firewallul poate identifica și controla traficul HTTP dintre diferite tipuri de siteuri, cum ar fi bloguri, partajarea de fișiere, comerț electronic, rețele sociale, voceoverip, email și multe altele. Aceste firewalluri pot oferi o protecție excelentă împotriva amenințărilor și pot ajuta la prevenirea accesului neautorizat la informații și date personale.

Firewallul de generație următoare (NGFW) oferă securitatea necesară pentru a preveni evoluția atacurilor cibernetice la fiecare margine a rețelei și pentru a asigura fiabilitatea și performanța de rețea. Este asemănător cu un control de securitate la aeroport, unde agentul de securitate verifică destinația ta ca o primă linie de apărare. La fel și firewall-ul NGFW verifică pachetele și ia deciziile necesare pentru a permite sau opri traficul. Apoi, în aeroport, bagajele tale sunt verificate pentru conținut malițios, lucru similar cu modul în care firewall-ul NGFW efectuează o inspecție profundă a pachetelor (DPI – deep packet inspeciton). Dacă se găsește conținut îndoielnic, firewall-ul NGFW trimite conținutul rău intenționat la un sandbox pentru o analiză ulterioară. Iată cum firewall-ul NGFW oferă o securitate avansată pentru a preveni evoluția amenințărilor cibernetice la fiecare margine a rețelei.

Pe măsură ce rețelele se transformă și apar noi provocări, firewallurile de ultimă generație evoluează pentru a face față acestora. Ele au acum capacitatea să controleze aplicațiile, fie prin clasificare, fie în funcție de utilizator. Aceste măsuri de securitate la nivel de aplicație oferă o protecție sporită clienților care navighează pe web, împiedicând astfel atacurile și amenințările cibernetice.

Firewallurile NGFW au adoptat abordări variate de segmentare pentru a separa userii, deviceurile și aplicațiile, în funcție de nevoile unei organizații. Acest lucru permite reducerea punctelor vulnerabile, eliminând riscul ca un actor malițios să pătrundă în rețea și să răspândească amenințări de securitate. NGFWurile asigură, de asemenea, o inspecție de performanță înaltă și o mai mare vizibilitate a rețelei, fără a compromite integritatea. FortiGate® de la Fortinet este următoarea generație de firewalluri, oferind o soluție complet integrată cu alte produse de securitate, care partajează date și informații, centralizândule în ceea ce este numit Fortinet Security Fabric. Această soluție oferă o securitate optimă pentru infrastructuri IT hibride și complexe.

[mai mult...]