Securitate

Securitate 44 Solutii

Ce este SOAR, cum funcționează și cum poate ajuta analiștii de securitate cibernetică?

SOAR – Security Orchestration, Automation and Response

Termenul SOAR este unul popular în industria securităţii cibernetice, deci este important nu numai să ştiţi ce este, ci şi să fiţi familiarizaţi cu problemele şi provocările abordate de SOAR. Dar înainte să ajungem la asta, să examinăm câteva lucruri de bază.

Ce face SOAR?
SOAR conectează toate celelalte instrumente din stiva ta de securitate întrun workflow de unelte, care poate fi rulat automat. În alte cuvinte, SOAR îți permite să îți crești eficiența echipei prin automatizarea proceselor repetitive manuale.

Automatizarea este foarte importantă în lumea securității de astăzi, deoarece echipele de securitate sunt suprasolicitate. Pe măsură ce sunt dezvoltate noi instrumente pentru a face față unui peisaj amenințător în continuă schimbare, analiștii care folosesc aceste instrumente trebuie să treacă de la un instrument la altul pentru a-și îndeplini sarcinile de zi cu zi.

O sarcină zilnică comună este răspunsul la alerte. Cu cât sunt mai multe instrumente de securitate, cu atât mai multe alerte sunt abordate întro serie de procese manuale și schimbări de context adică trecerea de la un instrument la altul. Cu cât sunt mai multe alerte în fiecare zi, cu atât mai puțin timp avem pentru fiecare alertă, ceea ce crește probabilitatea ca greșeli să fie făcute. Degradarea performanței în fața unui val de alerte se numește Alert Fatigue (sau oboseala alertelor).

Un mod evident de a diminua “oboseala alertelor” este pur și simplu angajarea a mai mulți analiști de securitate cibernetică. Cu toate acestea, datorită lipsei de competențe în domeniul securității cibernetice, nu există suficienți analiști calificați pentru a fi angajați. Deci, dacă angajarea a mai mulți analiști nu este o opțiune, cum rezolvăm oboseala alertelor? Simplu, cu SOAR.

SOAR leagă toate instrumentele din stiva ta de securitate. Prin aducerea datelor din toate aceste surse, SOAR reduce schimbarea de context cu care se confruntă analiștii. Prin urmare, analiștii pot efectua toate procesele lor de investigație direct din interfața sursă. Mai departe, aceste procese pot fi traduse manual sau automat întrun Playbook, care este un set de pași asemănător unui Flux, care poate fi repetat la cerere. Utilizând un playbook, puteți să vă asigurați că fiecare pas din procedura dvs. de operare standard este urmat. De asemenea, aveți date despre exact ce sa făcut, când și de cine. Această capacitate se numește Orchestrare și Automatizare.

Investigația este o altă capacitate crucială SOAR. Atunci când apare o alertă suspectă, echipele pot efectua sarcinile lor de investigație, cum ar fi verificarea surselor de inteligență amenințătoare pentru o reputație sau interogarea unui sistem de gestionare a informațiilor de securitate (SIM), pentru evenimente corelate din cadrul platformei SOAR.

Informațiile obținute prin această investigație vor determina pașii de mitigare necesari. Apoi, deoarece SOAR este o platformă unificată a tuturor instrumentelor de securitate, puteți lua aceste pași de mitigare din cadrul SOAR. De exemplu, din cadrul SOAR, puteți bloca traficul de la o adresă IP malițioasă în firewallul dvs. sau puteți șterge un email phishing de pe serverul de email. Prin construirea proceselor standard în playbook-uri, puteți înlocui procesele repetitive și consumatoare de timp cu automatizări la viteza mașinii. Automatizarea eliberează analiștii să-și consacre mai mult timp pentru investigarea alertelor critice.

Implementarea SOAR în ecosistemul dvs. face mai mult decât să centralizeze procesele dvs. de răspuns la incidente optimizează întreaga operațiune. Optimizarea rezultă în răspunsuri eficiente la viteză de mașină, permițând echipelor să îmbunătățească colaborarea și să gestioneze mai bine valul nesfârșit de alerte. Acest lucru se datorează faptului că SOAR permite utilizatorilor să atribuie alerte la diferiți analiști sau echipe la diferite etape ale procesului de răspuns la incident și pentru acei utilizatori atribuiți să adauge informații la alertă în timp ce lucrează la aceasta, astfel încât alții care se referă la acea alertă mai târziu vor avea context suplimentar în investigație.

Playbookurile sunt cheia pentru capacitatea de automatizare a SOAR, permitând echipei să își îmbunătățească viteza și consistența răspunsului, în timp ce își mențin autoritatea umană asupra procesului. În final, utilizarea unui playbook poate duce la o sarcină a analistului redusă și la o șansă redusă de eroare.

Investigațiile de phishing sunt una dintre cele mai comune utilizări pentru SOAR implementate de clienți. Fără SOAR, un analist va petrece timpul investigând expeditorul unui email de phishing și indiciicheie din anteturile sau corpul emailului. Efectuarea acestor investigații înseamnă, de obicei, timp petrecut introducerea domeniilor și URLurilor întro platformă de inteligență amenințătoare. Dacă analiștii determină că un email este nociv, vor trebui să petreacă timp suplimentar investigând serverul lor de email și SIMul lor, determinând cine a primit emailul, determinând cine a făcut clic pe el, ștergândul și așa mai departe. Cu un playbook de investigare a phishingului, pașii de investigare inițială sunt luați automat, imediat ce emailul de phishing este raportat. Astfel, analiștii vor fi alertați doar la acele emailuri pe care playbookul le determină ca fiind suspecte.

După ce analistul confirmă că un email raportat merită o acțiune suplimentară, Playbook-ul poate continua să facă interogări SIM suplimentare, să șteargă e-mailul din toate casetele de e-mail ale utilizatorului, să trimită un e-mail tuturor destinatarilor, să le alerteze asupra acțiunii luate și să le ofere sfaturi utile cu privire la ce să facă dacă primesc mesaje de phishing similare în viitor.

Sursa:
Fortinet Training Institute: NSE 2 – SOAR (Includes Free Certification Upon Completion)

[mai mult...]

Cum funcționează serviciile de inteligență împotriva amenințărilor cibernetice?

În primele zile ale produselor Anti-Virus pentru Endpoint-uri, furnizorii aveau nevoie de o modalitate de a cataloga toate virusurile cunoscute, astfel încât produsele lor să poată confirma dacă un fișier conținea un virus sau nu. Departamentul furnizorilor de threat intelligence a făcut acest lucru posibil prin preluarea unei “monstre” din fiecare virus cunoscut și generarea unei semnături a acelui virus, care a reprezentat conținutul fișierului. Cu alte cuvinte, o amprentă. Aceste liste de semnături ale virusului au fost distribuite cu software-ul antivirus. Pe măsură ce trecea timpul și erau detectate noi virusuri, serviciul de inteligență amenințărilor a fiecărui furnizor distribuia actualizări regulate ale listei sale de semnături ale virusului. Actualizările fiind lansate lunar, trimestrial sau în unele cazuri, doar o dată pe an.

Ca rezultat al expertizei câștigate de dezvoltatorii de malware, aceștia au devenit mult mai sofisticați și au inclus mecanisme speciale pentru a evita scanările bazate pe semnătură ale produselor AntiVirus, prin schimbarea conținutului fișierelor lor în mod voluntar. Deoarece conținutul fișierelor se schimba, semnăturile fișierelor se schimbau de asemenea, permițând programelor malware să treacă neobservate de versiunile mai vechi,outdatate de antivirus. Acest lucru a dus la apariția unui singur tip de malware care a devenit o întreaga familie de malware, sute de mii de fișiere diferite, cunoscute și sub numele de malware polimorf (malware care-și schimbă forma), și fiecare program malware, îndeplinind același comportament dăunător.

Problema clasică de semnătură unulaunu, în care fiecare fișier malware cunoscut este reprezentat de o semnătură în fișierul de semnături nu se scala deloc bine, din cauza potențialului a milioane de noi variații, în fiecare zi, ale malware-ului. Pentru a trata această nouă abilitate a malware-ului de a se transforma în forme noi, serviciile de Inteligență a Amenințării au creat modalități de a detecta întregi familii de malware folosind numai o semnătură. Acest lucru se face în mai multe moduri diferite, dar toate detectează similitudinile între familia de malware.

Ce se întâmplă cu variațiile de malware care nu au fost încă văzute?

Metodele de detectare bazate pe semnătură nu vor funcționa. Pentru a detecta aceste tipuri de amenințări, furnizorii au creat produse de SandBoxing, care iau un fișier suspect și îl plasează întrun mediu controlat în care comportamentul său poate fi analizat îndeaproape. Dacă fișierul face ceva rău în timp ce se află în mediul sandbox, este marcat ca malware. Acesta lucru este cunoscut ca detectare heuristică și caută comportamente anormale care sunt în afara obișnuitului. De fapt, furnizorii creează algoritmi heuristici proprietari care pot detecta mostre polimorfice de malware, niciodată văzute înainte.

Depinzând de produsul sandbox și configurația sa, proprietarul sandbox-ului poate propaga această nouă cunoaștere nu numai în propria securitate a rețelei, ci o pot și trimite global pentru a proteja mai mulți oameni. În afară de sandboxing, viitorul detectării a programelor malware necunoscute include abilitatea serviciului de inteligență a amenințărilor de a detecta noi programe malware folosind Machine Learning și Inteligența Artificială învățând să evalueze rapid riscul de amenințare a fișierelor nocive care traversează rețeaua. Și nu e numai despre fișierele, ci și despre mecanismele specifice ale atacului, evidența că atacul respectiv s-a întâmplat (acest lucru mai este cunoscut și ca Indicatorii de Compromitere – IoC), Implicări ale Atacului, Atribute ale Adversarului și potențialele motivații ascunse.

Pe măsură ce tehnicile actorilor malițioși continua să evolueze și să devină mai sofisticate, e mai important ca niciodată să împărtășim Inteligența Amenințărilor în timp real, în mediul rețelei securizate. Dacă anumite componente știu despre atac în timp ce altele așteaptă periodic pentru update-uri ale semnăturilor, atacatorii pot să treacă neobservați dincolo de apărări și să cauzeze daune. Securitatea produselor și a serviciilor inteligenței amenințărilor care pot să acționeze împreună în timp real au cele mai bune șanse de a oprii astfel de atacuri.

Partajarea inteligenței amenințărilor nu se oprește la produsele fiecărui furnizor. Ar fi de crezut că, după tot efortul depus pentru a aduna, analiza și cataloga inteligența amenințărilor, fiecare furnizor ar păstra această informație în secret, dar aproape toți furnizorii împart această “inteligență”, această informație cu comunitatea de Securitate Cibernetică mai largă. Acest lucru se întâmplă prin aderarea formală la organizații precum Alianța Amenințărilor Cibernetice, echipele locale, naționale și internaționale de răspuns la incidente cibernetice (CERTs) și numeroase parteneriate private cu alți furnizori, cercetători independenți în domeniul securității și forțele de ordine. Acest partaj în timp real al inteligenței amenințărilor permite o imagine mai completă a atacului, deoarece niciun singur furnizor nu va avea toate datele, și nu este inteligența amenințărilor care îi separă pe furnizori, ci ceea ce fac ei cu această inteligență, cu tehnologia din produsele lor.

Sursa:
Fortinet Training: NSE 2 – Threat Inteligence (Includes Free Certification)

[mai mult...]

Cum ar trebui sa arate continutul consimtamantului notelor de informare

Ce reprezinta consimțământul notelor de informare, granular și care sunt implicațiile lui GDPR?

O preocupare principală a legilor privind confidențialitatea datelor, cum ar fi Regulamentul general european privind protecția datelor (GDPR) este aceea a consimțământului, care are un impact mare asupra faptului că o organizație este sau nu autorizată să colecteze, să prelucreze și să stocheze informații personale de la persoane. Pentru a fi considerat adecvat conform cerințelor GDPR, consimțământul trebuie să fie o indicație liberă, specifică, informată și lipsită de ambiguitate că o persoană dorește ca informațiile sale să fie prelucrate. GDPR definește un astfel de consimțământ ca „granular” și este important să înțelegeți ce înseamnă acesta din perspectivă operațională pentru organizația dvs. pentru a vă asigura că obține în mod corespunzător consimțământul.

[mai mult...]

De ce ar trebui să închidem anumite porturi de internet pentru securitatea cibernetică

În lumea conectată la internet, securitatea cibernetică este o preocupare majoră pentru utilizatori și companii, deoarece internetul este plin de atacuri cibernetice și de amenințări. În acest context, închiderea unor porturi de internet poate fi o strategie eficientă de securizare a rețelei și de protejare a datelor. În acest articol, vom discuta despre importanța închiderii anumitor porturi de internet și despre cum acest lucru poate ajuta la protejarea datelor și a utilizatorilor.

În primul rând, trebuie menționat faptul că porturile sunt puncte de intrare sau ieșire pentru traficul de date într-o rețea. Fiecare port este asociat cu un anumit serviciu sau protocol de rețea, cum ar fi HTTP (80), FTP (21), SMTP (25) sau SSH (22). Aceste protocoale permit utilizatorilor să acceseze și să utilizeze diferite resurse de internet, precum site-uri web, servicii de e-mail sau de transfer de fișiere. Cu toate acestea, fiecare protocol și port deschis poate fi o vulnerabilitate în rețea, care poate fi exploatată de atacatori cibernetici.

De exemplu, un port deschis poate permite unui atacator să încerce să intre în rețeaua dvs. și să încerce să fure datele sau să lanseze atacuri DDoS (distributed denial of service). De asemenea, un port deschis poate fi utilizat pentru a trimite spam sau malware prin intermediul serviciilor de e-mail sau de transfer de fișiere. Închiderea porturilor nedorite poate reduce riscurile de securitate și poate împiedica atacatorii să profite de vulnerabilitățile din rețea.

În al doilea rând, închiderea anumitor porturi poate fi necesară pentru a respecta reglementările de securitate cibernetică și standardele de conformitate. De exemplu, PCI-DSS (Payment Card Industry Data Security Standard) specifică cerințe stricte pentru protecția datelor de carduri de credit, inclusiv închiderea porturilor care nu sunt necesare pentru serviciile de plată. Închiderea acestor porturi poate fi o modalitate eficientă de a respecta cerințele de securitate și de a evita amenzi și penalități pentru nerespectarea standardelor.

În concluzie, închiderea anumitor porturi de internet poate fi o măsură importantă pentru protejarea datelor și a utilizatorilor într-o rețea. Prin închiderea porturilor nedorite și respectarea reglementărilor de securitate, se poate reduce riscul de atacuri cibernetice și de furt de date, și se poate asigura că rețeaua este securizată și conformă cu standardele de securitate cibernetică.

[mai mult...]

Securitate: Rsync (sincronizare la distanță)

Daca avem date de un volum ridic putem folosi Rsync pentru a copia sau pentru a face backup asupra datelelor de pe un server pe altul sau de pe un sistem remote pe unul local sau invers.

Rsync (remote sync) este mai rapid decat ftp/ sftp dar nu la fel de securizat.

  • Se foloseste pentru sistemele ce au Linux instalat.
  • Se instaleaza cu comanda: apt-get install rsync
[mai mult...]

Care sunt cele mai utile scanere antimalware si analizatoare URL pentru email

Te intrebi daca linkul din acel e-mail primit este unul legitim? Fie ca este trimis de un prieten sau de un strain, nu este intelept sa dai click pe linkuri fara sa stii unde te duc. Inainte de a face click pe orice link suspect, utilizati unul dintre aceste site-uri pentru a verifica daca nu duce la malware sau alte amenintari.

Avem doua tipuri de adrese URL:

– O adresa URL de lungime normala, care incepe cu www, urmata de numele site-ului web si care se termina cu o extensie de tipul .com sau un alt domeniu.
– O adresa URL scurtata, cum ar fi goo.gl/V4jVrx

Urmatoarele site-uri verifica daca linkurile va vor duce catre un site web compromis, iar verificatorul de linkuri va evidentia imediat acest lucru.

[mai mult...]