Компания Lancope провела опрос участников конференции Infosecurity Europe на тему состояния кибербезопасности в их сетях. Опрос производился среди сотрудников организаций из финансового, образовательного и медицинского секторов, специалистов IT-компаний и сервис-провайдеров, государственных организаций и розничных торговых компаний.
Опрошенные среди основных проблем отметили инсайдерские угрозы, угрозы, связанные с мобильными устройствами, APT (advanced persistent threats), угрозы облачной безопасности и репутационный ущерб.
В прошлогоднем аналогичном опросе Lancope обнаружила, что большинство отвечающих не очень беспокоились о возможных угрозах. Тогда 65% человек сказали, что за прошедшие 12-18 месяцев они не имели, или вероятно не имели никаких инцидентов в сфере безопасности. В этом году число таких ответом составило только 39%, показывая, что компании начинают ощущать беспокойство на тему возможных компьютерных угроз для своих сетей. Об этом же говорит то, что только ... Читать дальше »

Недавно FireEye опубликовали отчет, посвященный операции "Шафрановая роза", кибератаке, которая была осуществлена иранской группой хакеров, известной как Ajax Security Team. В этом отчете исследователи отмечают, что иранские хакеры очень быстро перешли от атак на сайты и DDoS-атак к более сложным, направленным атакам с целью хищения информации. Используя мощную смесь средств социального инжиниринга и собственного вредоносного кода, эта группа направляла свои атаки как против иранских диссидентов, так и военных организаций США.
Как это происходило и с другими направленными атаками, вполне возможно, что эта кибер-акция распространилась и на другие, случайные жертвы. Все американские правительственные организации должны быть настороже, но при этом важно для всех организаций получить возможность обнаруживать и разрушать эту и другие аналогичные высокоорганизованные атаки.
Операция "Шафрановая роза" использовала вариации вредоносного ПО, носящего название ... Читать дальше »

Пару месяцев назад появившееся сообщение о крупнейшей уязвимости, получившей название Heartbleed, которая поразило криптографическую лабораторию OpenSSL, поразило практически всех, поскольку OpenSSL очень широко используется при установлении защищенной связи между веб-сервером и браузером.

Итак, кто от этого мог пострадать?

Кратко говоря, все. Тем более потому, что эта технология применяется не только при связи с веб-сервером, но и в таких устройствах, как принтеры, точки беспроводного доступа, маршрутизаторы и коммутаторы, поскольку все эти системы позволяют осуществлять административный доступ через веб-интерфейс.

Для преступников эта уязвимость просто Святой Грааль. Существует код для использования этой уязвимости, а сотни тысяч устройств открыты в Интернет, ожидая, когда им скомандуют отдать секретную информацию человек, использующий этот ко ... Читать дальше »

Ситуационная осведомленность может играть главную роль в идентификации угроз и подозрительной активности внутри сети. Именно поэтому Lancope StealthWatch 6.5 получил новую функциональность "User-defined Threat Criteria", позволяющая оператору создавать собственные события для своей сетевой среды, чтобы генерировать индикаторы заражения (Indicators of Compromise).

Получение возможности генерировать сигнал в случае возникновения определенных потоковых условий не представляет собой ничего нового в StealthWatch. Раньше в системе была возможность создавать Host Lock Violation, что включало сигнал в случае возникновения потоковых условий, базирующихся на IP-адресе источника или группы хостов, IP-адресе приемника и группы хостов, сервисе или приложении. Не обесценивая старую функциональность блокирования хостов, новый функционал "Критериев угрозы, определяемых пользователем" (User-defined Threat Criteria) ... Читать дальше »

Новая функциональность динамического анализа потоков в системе Lancope StealthWatch 6.5 специально разработана для поддержки процесса исследования, позволяя специалистам быстро и легко искать потоковые данные, фильтровать результаты только по интересующим потокам и легко визуализировать то, что происходит в сети.

Исходный анализ потоков: экран Build Query позволяет создать запрос, основываясь на ряде деталей о первичном субъекте запроса и информации от задействованного хоста или группы хостов, определенных типах использования или приложений, деталях соединения, таких как байты и пакеты. Однажды созданный запрос может быть сохранен и использован еще раз позже.

Результаты запроса будут получены в виде потоковой сводки, что обеспечивает быстрый обзор потоко ... Читать дальше »

NetFlow - это очень важный инструмент для обеспечения реагирования на инциденты, позволяя получить глубокий обзор сетевой активности, которая имеет место в сети организации. NetFlow обладает возможностью собирать концентрированную информацию о сетевом трафике в короткие записи, которые потом могут независимо обрабатываться, обеспечивая создание текущей истории о сетевых соединениях, которая затем может использоваться во время реагирования на инциденты. При этом все еще существуют несколько неверных утверждений о NetFlow, которые требуется объяснить.

Миф № 1.Комплексные атаки не обнаруживаются с помощью NetFlow.

Наоборот, записи NetFlow часто используются для идентификации комплексных атак, позволяя идентифицировать индикаторы заражения в огромных массивах трафика в короткое время. Более того, поскольку технология NetFlow позволяет получить глубинный обзор сети, она может использоваться для поведенческого анализа, идентифицирующего аномальные структур ... Читать дальше »

Все больше вредоносного кода, все меньше "заплаток"

Недавно Ponemon Institute провел опрос "Реакция на инциденты в сфере кибербезопасности. Мы действительно так подготовлены, как мы думаем?". При исследовании опрашивали 674 специалистов в сфере IT и информационной безопасности из США и Великобритании с целью измерения эффективности их процедур реагирования на инциденты в сфере безопасности.

К сожалению, в процессе исследования стало понятно, что многие организации плохо подготовлены противодействовать сегодняшнему потоку продвинутых угроз. Стало также понятно, что CEO и другие руководители чаще всего совершенно ничего не знают об угрозах, которым подвергаются их компании.

  ... Читать дальше »

Вопрос: На что похож инцидент в сфере безопасности до того, как он стал таким инцидентом?
Ответ: На сетевой трафик

Суть в том, что поскольку специалисты в области информационной защиты в основном изучают события, связанные с безопасностью, а технологии безопасности фокусируются на атаках и их последствиях, они не замечают предпосылки в сетевом трафике, которые ведут к инциденту. С другой стороны сетевые специалисты занимаются мониторингом с уклоном на доступность сети и ее производительность, поэтому пока сеть работает "нормально" преступники могут проникать в сеть и использовать ее так долго, сколько им необходимо. До тех пор, пока они не случайно не включат "переключатель" какого-либо события,  связанного, например, с производительностью.

Нам надо закрыть дыру, образованную кадровой структурой, которая считает эти сферы отве ... Читать дальше »

Репутация IP-хостов

"Мы изучали, что NetFlow может сообщить нам о том, кто с кем общается в нашей сети, но как мы можем сказать при этом, кто из них плохой актер? Только путем проверки репутации IP-адресов с обоих концов эт ... Читать дальше »