Soluții

Securitatea Retelei – raspuns la un incident de Securitate

In era digitala moderna, securitatea sistemelor informatice reprezinta una dintre cele mai critice responsabilitati ale unui administrator de sistem (System Administrator). Administratorii de sistem sunt responsabili de mentinerea integritatii, disponibilitatii si confidentialitatii infrastructurii IT a unei organizatii.

Prezentul referat abordeaza o situatie reala si frecventa intalnita in practica: detectarea si gestionarea unui atac de tip ransomware asupra serverelor unei companii de dimensiuni medii. Prin analiza acestui scenariu si aplicarea unui plan structurat in 6 pasi, vom demonstra cum un System Administrator experimentat poate interveni eficient pentru a limita daunele si a restaura functionalitatea sistemelor.

O companie din sectorul financiar, cu aproximativ 150 de angajati, opereaza o retea interna formata din 3 servere fizice (Windows Server 2019), 2 servere Linux (Ubuntu 22.04 LTS) si aproximativ 120 de statii de lucru. In dimineata zilei de luni, la ora 07:45, administratorul de sistem primeste alarme multiple din sistemul de monitorizare (Zabbix) si sesizari de la angajati ca nu pot accesa fisierele de pe serverul de fisiere.

Simptomele identificate

  • Fisierele de pe serverul principal sunt criptate si au extensia .locked adaugata
  • Apare un fisier README_DECRYPT.txt pe desktop-urile mai multor utilizatori
  • Traficul de retea catre domenii externe necunoscute a crescut brusc in noaptea precedenta
  • Serviciul de backup automat a esuat cu 3 zile in urma fara ca nimeni sa observe
  • Un cont de utilizator cu privilegii ridicate a fost compromis (phishing via email).
[mai mult...]

Man-in-the-Middle attacks: what they are and how to protect yourself

Ce semnifică noțiunea de „Man-in-the-Middle”?

Acest tip de atac apare atunci când un atacator se intercalează între două părți care comunică, interceptând sau chiar modificând informațiile transmise, fără ca acestea să-și dea seama.

Cele mai comune tipuri de atacuri din această zonă sunt:

  • Email hijacking-atacatorul intră într-un cont de email și trimite mesaje false pentru a obține bani sau informații.
  • Wi-Fi eavesdropping-utilizatorii sunt păcăliți să se conecteze la o rețea Wi-Fi falsă, iar atacatorul le poate vedea activitatea online.
  • DNS spoofing-utilizatorul este redirecționat către un site fals care arată ca unul real, unde își introduce datele.
  • Session hijacking-atacatorul fură sesiunea activă după logare și poate accesa contul fără parolă.
  • SSL hijacking-sunt interceptate conexiuni aparent sigure pentru a accesa datele transmise.
  • ARP spoofing-atacatorul se dă drept router și redirecționează tot traficul prin dispozitivul său.

Pentru a evita astfel de situații este necesar să acordăm mai multă atenție modului în care ne conectăm și folosim internetul și să avem în vedere următoarele:

-folosirea site-urilor sigure (HTTPS)

-dezactivarea opțiunii de conectare automată la Wi-Fi

-evitarea rețelelor Wi-Fi publice sau necunoscute

-utilizarea unui VPN pentru protecția datelor

– utilizarea parolelor complexe

– actualizarea sistemului și al aplicațiilor

– atenție asupra link-urilor dar și a mesajelor suspecte

Așadar, atacurile Man-in-the-Middle pot avea consecințe foarte grave pentru o companie, afectând atât finanțele și datele sensibile, cât și reputația sau continuitatea activității, ceea ce arată cât de importantă este prevenția și adoptarea unor măsuri de securitate eficiente.

[mai mult...]