Securitate

Securitatea Cibernetică în întreprinderi

Organizațiile din zilele noastre, indiferent de dimensiunea lor, au în posesie mai multe active digitale care alimentează și pornesc afacerea. Aceste active inlcud: website-uri, informații, date și alte forme de prezență online care a devenit, practic, combustibil pentru afacerea modernă. Toate aceste active trebuie protejate.

Securitatea Cibernetică în Întreprinderi – la fel ca omologul său din lumea fizică, apără și protejează toate activele digitale ale unei organizații, indiferent unde sunt stocate sau accesate. Pentru a se menține protejate eficient, companiile trebuie să implementeze strategii cuprinzătoare de securitate cibernetică.

Și protejarea activelor digitale și executarea acestor strategii de protecție nu este niciodată treaba unei singure persoane sau chiar a unui grup de oameni, la o anumită companie. După cum explică un ofițer șef de securitate a informațiilor într-o companie renumită: „Toată lumea… este responsabilă pentru securitatea cibernetică, inclusiv CEO-ul, inclusiv consiliul de administrație, inclusiv echipa de conducere. Este nevoie de toată lumea pentru a se asigura că compania este pregătită.”

Ce face ca securitatea cibernetică a întreprinderilor să fie importantă?
Acest ofițer șef de securitate subliniază și că atacatorii „încep să devină mai inteligenți în ceea ce privește utilizarea informațiilor despre afaceri”. Atacatatorii vor datele sensibile ale companiei tale și sunt pricepuți în ceea ce privește modul în care folosesc acele date pentru a manipula și stoarce compania înainte de ați răscumpăra datele. Strategia ta de apărare în domeniul securității cibernetice va fi zidul tău de apărare care îți va menține organizația protejată împotriva acestor actori răi. Aici se arată adevărata valoare a securității cibernetice a întreprinderii. Un plan de securitate cibernetică bine dezvoltat și execuția tehnologiilor și managementului de protecție ajută la combaterea amenințărilor cibernetice, a scurgerilor de date, a tentativelor de phishing, a programelor malware și multe altele.

Amenințări Cibernetice – Scopul principal al unei amenințări de securitate cibernetică este să atace și să pătrundă în activele digitale ale companiei tale (rețea, baze de date, aplicații, sistem de e-mail etc.) și să extragă informațiile tale cele mai sensibile sau pur și simplu, să dezactiveze infrastructura de informații pentru a opri afacerea cu totul. Bryan Seely, un hacker etic, explică că „o mulțime de lucruri sunt cu adevărat simple, într-un fel în care hackerii încearcă să găsească cel mai jos fruct, cea mai ușor de exploatat vulnerabilitate” și, odată ce hackerul intră, devine și mai ușor să facă mișcări laterale și să sară de la un computer la alt computer, minând date și credențiale pe măsură ce acesta se deplasează prin sistem. Acest tip de atac poate duce adesea la o scurgere de date.

Scurgeri de date – Scurgerile de date apar atunci când orice informație este accesată de o sursă neautorizată, fie externă, fie din interiorul organizației. Acești actori răi n-ar trebui să aibă niciodată acces la acele informații, în primul și în primul rând. De regulă când apar astfel de scurgeri, persoanele cu putere în organizația respectivă sunt vizate. Ei (atacatorii) merg de regulă după CISO, CFO sau CEO. Doresc să atace oamenii din vârful organigramei acelei companii. Obținerea acesului la informațiile lor oferă hackerilor șansa de a dubla sau tripla ran$om-ul mai mereu. De asemenea, deschide accesul atacatorilor la niveluri mai înalte de acces la informațiile companiei. Prezentându-se drept membrii de rang înalt ai organizației, criminalii cibernetice (sau actorii malițioși), au acum autorizația de a interacționa cu compania în ansamblu, ceea ce duce adesea la consecințe dezastruoase pentru afacere.

Consecințele unui atac cibernetic – Atunci când atacatorii vizează atât datele membrilor de rang înalt ai companiei, cât și compania ca întreg, nu doar informațiile confidențiale sunt în primejdie, ci și reputația și integritatea acelei companii. Când clienții actuali și potențiali se uită la o companie și văd că aceștia au avut un incident în care datele personale au fost puse în primejdie, acest lucru îi face pe aceștia să își piardă încrederea în organizația respectivă și în capacitatea acesteia de a proteja datele clienților lor. Acest lucru poate duce și la pierderi financiare uriașe. În plus, fluxul de lucru al companiei va fi perturbat, împiedicând eficiența, iar acest lucru va costa compania foarte mulți bani pe termen lung. Aceste probleme nu sunt exclusive nici afacerilor mari. Orice companie, organizație non-profit, agenție guvernamentală care este atacată – indiferent de dimensiune – își poate fura și compromite datele, ceea ce duce la pierderea reputației și, în unele cazuri, chiar la acțiuni legale.

Care sunt cele mai bune practici pentru securitatea cibernetică în mediul întreprinderilor?
Când vine vorba de securitatea în mediul întreprinderilor, reziliența este la fel de importantă ca a avea o bună apărare. Cu alte cuvinte, este important să țineți atacatorii departe și să fiți pregătit să-i opriți dacă (și când) trec de apărarea dvs. Așadar, având în vedere puterea de apărare și reziliență, să examinăm câteva dintre cele mai bune practici pe care companiile le pot folosi pentru securitatea cibernetică a întreprinderii lor.

  • Fii timid cu camera. Cu cât oamenii pot descoperi mai puține informații despre tine sau despre compania ta online, cu atât mai bine.
  • Fiți la curent cu actualizările și întreținerea. A rămâne în urmă cu actualizările și tehnologia de securitate cibernetică poate fi adesea oportunitatea de aur pe care o caută hackerii.
  • Identificați amenințările și evaluați situația în mod regulat. Nu te poți apăra de ceva despre care nu știi. Conștientizarea este cheia unei apărări puternice.
  • Aflați diferite modalități de a detecta și de a neutraliza amenințările – atât interne, cât și externe. Hackerii evoluează continuu în încercările lor de a intra în sistemele tale, deci și apărările tale ar trebui să evolueze continuu.
  • Folosește securitatea end-to-end. Coordonați-vă cu partenerii și clienții pentru a vă extinde rețeaua și pentru a crește șansele de a putea detecta amenințările.
  • Educația angajaților. Educarea echipei dumneavoastră despre toți diferiții factori de risc poate ajuta la reducerea numărului de atacuri care sunt generate doar din eroarea umană. Angajații trebuie să cunoască și să înțeleagă diferitele tipuri de atacuri, precum și riscurile și sancțiunile care le însoțesc.
  • Examinați potențialele vulnerabilități sau punctele slabe din strategia de apărare a organizației dvs. Descoperă punctul slab în care ai putea fi susceptibil de a fi atacat și apără-l.
  • Creați parole puternice și mijloace de apărare. Acest lucru este valabil mai ales pentru membrii de nivel înalt care au șanse mai mari de a fi ținta unui atac.
  • Implementați autentificarea cu mai mulți factori sau MFA. Această utilizare a mai multor forme pentru autentificare poate ajuta la reducerea șanselor ca un atac să aibă succes.
  • Aveți un plan de acțiune în vigoare pentru momentul în care are loc un atac. Pentru a fi pregătit cel mai bine pentru a naviga toate riscurile unui atac cibernetic, trebuie să aveți un plan de apărare solid pe care îl utilizați pentru a vă asigura că compania dumneavoastră răspunde la atac cu tot ce le poate.
[mai mult...]

Securitate FortiGate: Endpoint Security

Endpoint / Endpoint Security
În primul și în primul rând, ce este un endpoint? În trecut, un endpoint era orice device personal folosit de un utilizator final ca un computer, laptop sau dispozitiv portabil (ex: smartphone, tabletă). Acum endpoint-urile includ IoT – Internet Of Things, care cuprind și tot felul de dispozitive inteligente precum un termostat deștept sau frigider inteligent.

Cum am securizat endpoint-urile și de ce este securitatea endpoint-urile așa de importantă?Endpoint-urile au fost un punct ușor de pătrundere într-o rețea. De ce să încerci să ocolești un firewall / zid de protecție când poți pur și simplu să exploatezi prin inginerie sociala, utilizatorii creduli si neglijenti?
Pe măsură ce conexiunile online s-au extins, la fel s-a extins și numărul vectorilor de atac asupra endpoint-urilor, oferindu-le atacatorilor mai multe oportunități de exploatare.

Înainte ca rețelele să fie conectate la internet, actorii malițioși se bazau pe dischete pentru a răspândi malware. O dischetă infectată introdusă într-un computer ar fi infectat acel computer. Mai târziu, asta ar fi inclus dispozitivele de stocare portabil precum CD-urile, DVD-urile și USB-urile. După cum îți poți imagina, acest vector de atac era limitat în domeniul său de aplicare.
Primele produse de Securitate Endpoint au fost antivirușii (știm sau am auzit cu toții de umbreluța) sau AV. Programe software care scanează dispozitivele sau hard drive-ul de malware. Erau pe baza de semnătură asta însemnând că antivirusul caută caracteristici specific ale virusului. Dacă a găsit ceva care avea acele caracteristici specific, ar fi băgat lucrul respectiv în carantină sau l-ar fi șters.
Toate astea s-au schimbat atunci când rețelele cartierelor și ale business-urilor s-au conectat la internet. Mai mulți vectori de atac au devenit disponibili pentru infractorii cibernetici, vectori precum: phishing, website-uri malițioase/infectate, și rețelele de socializare.
Aceste oportunități au proliferat numarul de malware – de la zeci de mii într-un singur an la sute de mii într-o singură zi. De asemenea, actorii răi intenționați au început să exploateze breșele de Securitate în sistemele de operare, aplicații ca web browerul și chiar și aplicații precum MS Word, mai precis, documente MS Word. Adăugând aceste probleme la extinderea suprafeței de atac a făcut ca natura programelor malițioase să se schimbe.
Malware-ul Polimorf sau programele malware polimorfe sunt concepute să se schimbe de unele singure, imitând viruși care se mutează în lumea naturala, reala (cand un virus isi schimba forma, procesul acesta se numeste mutatie, iar malware-ul polimorf face acest lucru pentru a evita detectarea). Asta însemnând că antivirușii pe bază de semnătură nu au mai fost complet eficienți.
Odată cu venirea acestora au venit și platformele de protecție a endpoint-urilor (sau EPP), care au fost intenționate în prevenirea atacurilor malware pe bază de fișiere și în implementarea controalelor preventive. Metodă folosită pentru a oprii malware-ul înainte de a fi executat și a infecta un endpoint. Malware-ul pe bază de fișier este un fișier descărcat pe un device, iar atunci când este deschis, rulează cod malițios sau un script.

EPP furnizează mult servicii concentrate pe prevenire, precum anti-virus, firewall, filtrare web, protecție de date prin encripție și control al device-ului. Controlul device-ului (device control) este o tehnologie care furnizează Securitate încorporată și detectează, autorizează și securizează dispozitivele de stocare portabile. Web Filtering (sau filtrarea web) este o tehnologie care le permite administratorilor de rețea pentru a controla ce tip de site ai voie să vizitezi.

Oricum, niciuna din aceste tehnici s-au dovedit a fi soluția ultimă pentru infecțiile endpoint-urilor. La timpul respectiv, filtrarea web era considerata cea mai buna soluție împotriva programelor malware de pe web. Posibilitatea rămasă a fost că malware-ul putea “poza” drept reclama pe un site legitim.
Luând în considerare evoluția continua și complex a acestor metode de atac și a expansiunii suprafeței de atac, profesioniștii în Securitate cibernetică au ajuns rapid la concluzia că este literalmente imposibil să previi toate infecțiile malware, iar atunci o nouă strategie a fost dezvoltată pentru a apăra endpoint-urile în paralelă cu dezvoltarea EPP. Acea nouă strategie este numită Endpoint Detection and Response (sau EDR).
EDR este un software folosit pentru a detecta, investiga și răspunde activitaților suspicioase pe endpoint-uri. A început a o unealtă de investigare criminalistică, și a furnizat analiștilor de Securitate informații despre amenințări și unelte de care era nevoie pentru a analiza un atac și a identifica indicatorii de compromitere, sau IoC – Indicators Of Compromise. Analiștii au fost apoi capabili să detecteze malware, unii pe care chiar rămâneau nedetectați în rețele vreme de luni sau chiar ani de zile. În loc de a investiga un atac pentru a învăța despre anatomia acestuia, unealta a fost folosită pentru a detecta un atac care se petrecea în timp real.
Unelte de remediere au fost de asemenea adăugate cee ace le-a permis analiștilor în a cere mai multe informații de la endpoint-uri, bana procese, izola endpoint-uri și bloca adrese IP specific. EDR a crescut într-o adevărată soluție de detectare și răspuns, dar nu era impecabilă, fără probleme.
Prima generație de EDR a folosit în principal metode manuale care consumau  timp și și erau prea încete pentru amenințările rapide precum ran$0mw4r3-ul. Lipsa de integrare cu alte soluții de Securitate i-a redus capacitatea de a răspunde efficient și în timp util. Configurarea și folosirea EDR-ului necesita un nivel ridicat de experiență și analiștii au folosit o multitudine de alerte, multe care erau, în principal, alerte false-positive și din păcate și acest lucru era o pierdere de timp pentru analisti.
Vânzătorii au atenuat partial aceste probleme prin introducerea unui Sistem de Detectare și Răspuns Gestionat (managed detection and response, sau MDR), care performa alerte de bază și îi notifica pe analiști prin email. Chiar și așa, EDR a rămas prea încet și prea complicat pentru a devenii o unealtă standard în arsenalul programelor de Securitate endpoint.
A doua generație de EDR a adresat aceste probleme. A fost conceput pe baza de politici și automat. Având playbook-uri costumizabile, analiștii puteau acum direcționa EDR-ul pentru a remedia ambele probleme atât imediat cât și automat. Pe lângă asta, analiști puteau instruii EDR-ul să răspundă întrun Mod Specific pentru a detecta un program sau un script care avea un comportament neobișnuit. Activitațile malițioase activau automat block-uri care preveneau exfiltrarile de date, encripția și încercările atacatorilor de a se infiltra în rețea. Pot oprii și derula înapoi ransomeware-ul în timp real fără a fi necesară ștergerea dispozitivului sau întreruperea continuității afcerii/organizației.
Profesioniștii în Securitate au realizat rapid avantajele combinării tehnologiei EDR și EPP și majoritatea definițiilor acum include ambele caracteristici. Un singur agent integrat poate prevenii majoritatea malware-ilor pe bază de fișier la faza de pre-infecție, pre-execuție, pe când detectarea și răspunzând malware-ului evada prevenția la etapa după-infecție. O soluție EPP și EDR combinată, de asemenea, șterge integrarea îngrijorărilor și simplifică configurarea și managementul pentru analiști.
Software-ul EPP și EDR include alte controale preventive pentru a îmbunătății igiena securității, precum alerte către analiști când endpoint-urile nu au ultimul patch de Securitate sau rulează aplicații nesigure. Identificând vulnerabiltățile critice, echipele de Securitate investighează amenințările și aplică patchurile virtuale sau crează politici pentru a aplica restricții către endpoint-uri până când un patch este instalat. În plus, machine learning (ML) este inclus ca parte a capabilitaților AV-ului și ajută detectarea de malware în faza pre-execuție.
Capabilitățile de detectare și răspuns nu se aplică doar endpoint-urilor, ci și întregii infrastructure. Acest lucru este numit extended detection and response (sau XDR). XDR implementează tehnologie cu inteligență artificială adițională pentru a furniza detecție și răspuns la viteză înaltă pentru a securiza nu doar endpoint-urile, ci și rețelele și layer-ul de acces și de cloud.
Produsele de Securitate Endpoint FortiNet sunt FortiClient și FortiEDRTM. Endpoint-ul care rulează FortiClient este integrat pe de-a-ntregul cu alte produse de Securitate care impart datele și sunt manageriate central în cee ace este numit Fortinet Security Fabric. Produsul XDR Fortinet se numește FortiXDRTM.
[mai mult...]

“Eliminarea in siguranta” a dispozitivelor USB din Windows

In trecut trebuia să folosești opțiunea „Eliminare în siguranță a unui dispozitiv hardware” (safely remove hardware and eject media) atunci când voiai să scoți din PC un stick de memorie USB sau un hard disk extern. Era ceva obligatoriu, daca nu, riscai să corupi fișierele de pe acele dispozitive.

In Windows exista doua tipuri politici de eliminare ale dispozitivelor externe.

1. Eliminarea rapidă (Quick removal)

Anuleaza capacitatea Windows de a stoca în memoria cache operațiile de scriere pe dispozitiv, in timp ce performanta se poate diminua, dar poti scoate dispozitivul extern oricand, fara a risca pierderea datelor.

2. Performanță mai bună (Better performance)

Permite ca Windows sa stocheze în cache operațiunile de scriere pe dispozitibul extern USB, îmbunătățind performanța acesteia, dar este obligatoriu să folosești opțiunea „Eliminare în siguranță a unui dispozitiv hardware” pentru a elimina riscul de pierdere al datelor

Iata cum poti modifica politica de eliminare.

[mai mult...]

Cum dezactivam powershell pentru limitarea codului rau intentionat in consola?

PowerShell este restricționat în mod implicit ca o modalitate de a atenua abuzul său. Comenzile PowerShell specifice pot fi executate, de exemplu, dar rularea fișierelor script este împiedicată. În cele mai multe cazuri, utilizatorii standard nu necesită PowerShell pentru a-și îndeplini funcțiile de zi cu zi. Doar administratorii de rețea și profesioniștii IT care au nevoie de PowerShell pentru sarcini de lucru legitime ar trebui să aibă acces. Limitați PowerShell în aceste cazuri prin politica de execuție la administratori și executați numai scripturi semnate. În cele din urmă, pentru a preveni utilizarea PowerShell pentru execuția de la distanță, dezactivați sau cel puțin restricționați Serviciul de management de la distanță Windows.

Din motive de Securitate se poate bloca accesul la powershell ca sa se impiedice rularea unor scripturi malicioase.

[mai mult...]