Компания Lancope провела опрос участников конференции Infosecurity Europe на тему состояния кибербезопасности в их сетях. Опрос производился среди сотрудников организаций из финансового, образовательного и медицинского секторов, специалистов IT-компаний и сервис-провайдеров, государственных организаций и розничных торговых компаний.
Опрошенные среди основных проблем отметили инсайдерские угрозы, угрозы, связанные с мобильными устройствами, APT (advanced persistent threats), угрозы облачной безопасности и репутационный ущерб.
В прошлогоднем аналогичном опросе Lancope обнаружила, что большинство отвечающих не очень беспокоились о возможных угрозах. Тогда 65% человек сказали, что за прошедшие 12-18 месяцев они не имели, или вероятно не имели никаких инцидентов в сфере безопасности. В этом году число таких ответом составило только 39%, показывая, что компании начинают ощущать беспокойство на тему возможных компьютерных угроз для своих сетей. Об этом же говорит то, что только ... Читать дальше »

Недавно FireEye опубликовали отчет, посвященный операции "Шафрановая роза", кибератаке, которая была осуществлена иранской группой хакеров, известной как Ajax Security Team. В этом отчете исследователи отмечают, что иранские хакеры очень быстро перешли от атак на сайты и DDoS-атак к более сложным, направленным атакам с целью хищения информации. Используя мощную смесь средств социального инжиниринга и собственного вредоносного кода, эта группа направляла свои атаки как против иранских диссидентов, так и военных организаций США.
Как это происходило и с другими направленными атаками, вполне возможно, что эта кибер-акция распространилась и на другие, случайные жертвы. Все американские правительственные организации должны быть настороже, но при этом важно для всех организаций получить возможность обнаруживать и разрушать эту и другие аналогичные высокоорганизованные атаки.
Операция "Шафрановая роза" использовала вариации вредоносного ПО, носящего название ... Читать дальше »

Пару месяцев назад появившееся сообщение о крупнейшей уязвимости, получившей название Heartbleed, которая поразило криптографическую лабораторию OpenSSL, поразило практически всех, поскольку OpenSSL очень широко используется при установлении защищенной связи между веб-сервером и браузером.

Итак, кто от этого мог пострадать?

Кратко говоря, все. Тем более потому, что эта технология применяется не только при связи с веб-сервером, но и в таких устройствах, как принтеры, точки беспроводного доступа, маршрутизаторы и коммутаторы, поскольку все эти системы позволяют осуществлять административный доступ через веб-интерфейс.

Для преступников эта уязвимость просто Святой Грааль. Существует код для использования этой уязвимости, а сотни тысяч устройств открыты в Интернет, ожидая, когда им скомандуют отдать секретную информацию человек, использующий этот ко ... Читать дальше »

Все больше вредоносного кода, все меньше "заплаток"

Microsoft заканчивает этой весной поддержку XP. Это означает, что компания перестает выпускать "заплатки", защищающие систему от хакеров. За исключением файерволов, эти "заплатки" являются наиболее эффективным средством защиты для конечных устройств. Соревнование между вредоносным кодом, пытающимся проникнуть в компьютеры, и средствами их обнаружения, новыми "заглушками" было всегда. После того, как Windows XP останется без обновлений, компьютеры на базе этой системы превратятся в "сидящих уток" - бей, не хочу.

Это создает новые проблемы для организаций, которые не могут обновить свои компьютеры с Windows XP. Это, например, системы здравоохранения, SCADA и производственные компании. Специально разработанные системы, которые непосредственно взаимодействуют со сложными устройствами, типа рентгеноскопии, контрольных систем и производственных линий, были построены с учетом использования специфической платформы Windows XP. Д ... Читать дальше »

Недавно Ponemon Institute провел опрос "Реакция на инциденты в сфере кибербезопасности. Мы действительно так подготовлены, как мы думаем?". При исследовании опрашивали 674 специалистов в сфере IT и информационной безопасности из США и Великобритании с целью измерения эффективности их процедур реагирования на инциденты в сфере безопасности.

К сожалению, в процессе исследования стало понятно, что многие организации плохо подготовлены противодействовать сегодняшнему потоку продвинутых угроз. Стало также понятно, что CEO и другие руководители чаще всего совершенно ничего не знают об угрозах, которым подвергаются их компании.

  ... Читать дальше »

Вопрос: На что похож инцидент в сфере безопасности до того, как он стал таким инцидентом?
Ответ: На сетевой трафик

Суть в том, что поскольку специалисты в области информационной защиты в основном изучают события, связанные с безопасностью, а технологии безопасности фокусируются на атаках и их последствиях, они не замечают предпосылки в сетевом трафике, которые ведут к инциденту. С другой стороны сетевые специалисты занимаются мониторингом с уклоном на доступность сети и ее производительность, поэтому пока сеть работает "нормально" преступники могут проникать в сеть и использовать ее так долго, сколько им необходимо. До тех пор, пока они не случайно не включат "переключатель" какого-либо события,  связанного, например, с производительностью.

Нам надо закрыть дыру, образованную кадровой структурой, которая считает эти сферы отве ... Читать дальше »

Репутация IP-хостов

Сегодня ряд производителей коллекторов NetFlow используют собранные данные для создания репутационных списков. Процесс определения репутации хостов - это процедура, когда каждый час загружается обновленный список известных хостов, с которыми конечные системы сети не имеют права коммуницировать. Обычно это список зараженных хостов, которые известны тем, что посылают вредоносный трафик (например, типа command & control).
Для того, чтобы этот список был максимально точным, его обычно обновляют несколько Интернет-провайдеров и правительственных агентств. Репутация хостов (Host Reputation) является также одним из наиболее эффективных методов обнаружения, используемых против продвинутых непрерывных угроз (Advanced Persistent Threats, APT).

"Мы изучали, что NetFlow может сообщить нам о том, кто с кем общается в нашей сети, но как мы можем сказать при этом, кто из них плохой актер? Только путем проверки репутации IP-адресов с обоих концов эт ... Читать дальше »

Компании, предоставляющие услуги управления безопасностью сети (Managed Security Service Providers, MSSP), очень часто используют возможности NetFlow и IPFIX для защиты сетей, в том числе и удаленных. Природа этой технологии, основанная на распределенном сборе NetFlow, позволяет подразделению IT-безопасности контролировать защиту от угроз в удаленных местах без необходимости их посещения.

Сеть супермаркетов Tesco была вынуждена закрыть свыше 2000 счетов пользователей, после того как обнаружила утечку информации из сетевой папки, содержащей адреса, пароли и балансы ваучеров клиентов. Tesco заявила, что данные были похищены с помощью идентификационных данных, украденных на других сайтах, логины и пароли на которых подходили для Tesco.
По мнению Тима Кинини (Tim ‘TK’ Keanini), CTO компании Lancope, подобное событие было также сложно предсказать, как то, что солнце взойдет завтра утром. По его словам, "проблема не в том, что мошенники проникли в эти сети, проблема в том, что они сделали это незаметно, легко проникнув вовнутрь, собрав данные и передав их наружу. В недавнем опросе, который проводил Ponemon Institute, ко ... Читать дальше »

Внешние сервисы или SaaS, которые используются организациями, это еще одна из быстро растущих областей, вызывающих "хаос данных". По мере того, как департаменты или пользователи начинают все больше использовать распределенные сервисы, контролировать их становится все труднее. Давайте посмотрим, что же можно сделать.

Определение приложений

Одним из наиболее эффективных способов учета внешних сервисов является создание профилей приложений.

Профили приложений могут быть созданы путем использования комбинации IP-адресов (Layer 3) серверов, используемых портов/протоколов (Layer 4), определения сетевых приложений (network based application recognition, NBAR) с помощью глубокой инспекции пакетов (deep packet inspection, DPI).
Такие определения в Lancope StealthWatch позволяют использовать гистограммы для установления метрик планирования ем ... Читать дальше »