Обнаружение сетевых вторжений, кибер-угроза, постоянные угрозы повышенной сложности (Advanced Persistent Threat или APT), полиморфическое вредоносное ПО, корреляция событий - все эти термины постоянно на устах всех членов сообщества IT-профессионалов. Есть ли у нас еще неиспользованные возможности, которые можно добавить в нашу систему защиты, для создания дополнительной защиты? Знание сетевой ситуацииСамые опасные виды вредоносного ПО и наиболее сложные угрозы "летают ниже радара", но с помощью NetFlow мы можем добавить еще кусочек в систему безопасности, создав возможность, позволяющую лучше и легче их обнаруживать. Например, атака фишинга через email проходит сквозь IDS (Intrusion Detection System), фильтр анти-спама и антивирусное ПО, затем неумышленно кликается и запускается пользователем, при этом устанавливается полиморфическое ПО на надежной машине. Затем начинается атака с этого компьютера, которая незаметно распространяется, заражает дру
...
Читать дальше »
|
Согласно докладу компании Verizon (Verizon Data Breach Investigations Report),
14% всех нарушений совершают инсайдеры. Кроме того, там же сказано, что
в 76% проанализированных компанией нарушениях использовались ворованные
или легко угадываемые данные аутентификации, которые позволяют получить
доступ в сеть, и в 29% - использовались методы социальной инженерии.
Это делает инсайдеров ключевой проблемой, с которой сталкивается сетевая
безопасность.
Сетевая визуализация
В то
время, как превентивные технологии безопасности и опыт применения, такой
как защита периметра, контроль доступа, шифрование данных и обучение
пользователей, и могут хорошо работать, но они не срабатывают при
инсайдерских угрозах. Подобная защита не срабатывает против угроз, когда
преступники уже имеют привилегированный доступ в сеть и им не надо
использовать вредоносный код и
...
Читать дальше »
|
Для того, чтобы успешно бороться с атаками на сетевую инфраструктуру, очень важно принять методологию, формирующую полную и эффективную стратегию безопасности.Угроза вполне реальнаВ последнее время новости полны историй о внешних злоумышленниках, которые смогли проникнуть внутрь сети. На самом деле, в то время как многие подразделения обеспечения безопасности в состояние повышенной готовности ждет угроз типа IDS/IPS, они не особенно внимательно обращают внимание на самую важную часть сети, ту, которая находится внутри. На сегодняшний день отсутствует ясное понимание внутренних угроз - что это такое, как они происходят, и, самое главное, как их предотвратить. Хотя большинство, скорее всего, согласится, что эти виды атак опасны, существует очень мало данных, чтобы точно определить, сколько организаций пали жертвой таких атак, потому что, откровенно говоря, они не всегда обнаруживаются. Согласно отчету компании Verizon (
...
Читать дальше »
|
Компания Verizon недавно опубликовала свой очередной и очень востребованный отчет Data Breach Investigations Report. Этот документ, который включает в себя анализ более 47 тыс. известных инцидентов в области безопасности и 621 подтвержденных случаев утечек данных, содержит в себе очень интересную статистику и показывает тренды, связанные с кибер-безопасностью. Что наиболее важно, он указывает на факт, что системы реагирования на инциденты и обеспечения сетевого надзора должны играть значительно большую роль в стратегии безопасности организаций. Инсайдерские угрозы и APT (Advanced Persistent Threats)Отчет говорит о том, что 14% нарушений были совершены инсайдерами и 19% были связаны с группировками, спонсируемыми государствами. Эти два типа атак наиболее трудно обнаружить обычными системами контроля безопасности на уровне периметра или базирующихся на анализе сигнатур. Инсайдеры уже имеют разрешенный доступ к сети и им не требуется проходить любые
...
Читать дальше »
|
 Согласно декабрьскому (2012 г.) отчету Gartner
примерно 85% случаев нарушения безопасности прошли полностью
незамеченными в корпоративных сетях. Процент кажется завышенным, но
дальнейшая статистика объясняют, почему это так. Среди инцидентов,
которые были обнаружены, 92% событий не были замечены пострадавшими
организациями. Они были выявлены сторонними лицами, в частности,
репортерами или при вымогательствах, которыми занимались сами атакующие. Кроме того, проводя "обратный анализ" атак типа zero-day, лаборатория Symantec Research
определила, что среднее время, которое требовалась для обнаружения
угрозы после ее внедрения в сети организации, составляло 312 дней
...
Читать дальше »
|
Угроза кибер-шпионажа растет; не только в терминах частоты появления,
но и в терминах распространения. Живой пример этого - троян удаленного
доступа (Remote Access Trojan, RAT). Это часто используемый и легкий для
понимания инструмент для преступников, которые могут иметь более
грязные планы, чем просто захват незащищенного сервера из спортивного
интереса. Когда атакующий использует его для шпионажа и хочет получить
доступ к большому количеству государственных фондов, то он будет
использовать любые средства, которые ему доступны. Например, это простой
(но очень надежный, широко распространяемый и широко доступный)
программный пакет, такой как Xtreme RAT.
Насколько прост этот пакет RAT? Посмотрите это видео, которое показывает, как его использовать. Обратите внимание, что этим кадрам уже 10 лет. Да, его легко применять.
Факт, что эти атаки такие простые, не означает, что они неэффективны.
Сфера эт
...
Читать дальше »
|
Недавно была опубликована информация
о некоем сервисе, расположенном в России, который продает IP-адреса,
имена и пароли компьютеров организаций, среди которых и компании,
входящие в список Forune 500. Данные, которыми завладели злоумышленники,
были получены при помощи протокола удаленного рабочего стола (Remote
Desktop Protocol, RDP). В связи с этим многие интересуются, можно ли
как-то проверить, не находятся ли их серверы в этом списке. Но вопрос
заключается вовсе не в этом, а в необходимости проверки того, не
заражены ли ваши компьютеры вообще, поскольку российская хакерская
группа не единственная, которая пытается проникнуть в системы через RDP. Исследовательская группа Lancope, StealthLabs,
имеет инструмент под названием Darknet, который мы используем для
мониторинга Интернета на
...
Читать дальше »
|
Периодически возникает вопрос, как NetFlow соответствует требованиям PCI. Вот вам практический совет. Существуют три ключевые области, где анализ NetFlow и IPFIX может быть полезен предприятиям с точки зрения PCI: Проверка контроля доступа и контроль изоляции серверов.Ключевой аспект соответствия требованиям PCI - это защита данных платежных карт от непроверенных хостов из Интернет, среды BYOD (мобильные устройства) или гостевых сетей. Основной механизм, используемый для этого, это файерволы. По мере того, как усложняются эти устройства, использующие различные правила для действия, увеличивается возможность ошибки, которая потенциально может обесп
...
Читать дальше »
|
Веб-угроза, известная под именем
"zero-day", названа так потому, что промежуток времени между сообщением о
ее существовании и началом ее действием равен нулю. Эта угроза особенно
опасна, поскольку когда она начинает действовать, у вас нет ни
соответствующих патчей, ни сигнатур в IPS. В некоторых случаях
производители систем защиты вообще ничего не знают о затаившейся угрозе,
которая начинает действовать в определенный день. Например, в последнем
отчете Symantec Research labs
упоминает атака такого типа: специалисты компании рассмотрели известную
атаку, которая нанесла ущерб более, чем 11 миллионам компьютеров в
феврале 2008 года, и выяснили, что это вредоносное ПО было загружено на
эти компьютеры в среднем за 1 год до этого, в некоторых случаях даже
около 30 месяцев до начала атаки. Т.е. прошло около года до того
момента, когда IT-специал
...
Читать дальше »
|
 Урок 6: Реакция на инцидентыЕсли рассматривать историю нарушений систем безопасности, то, как правило, они связаны с неадекватными процедурами. Именно использование должных процедур означает различие между успехом и поражением. Благословенные блок-схемыПричина, по которым большинство людей считают разработку блок-схем потерей времени, заключается в том, что им кажется, что блок-схемы содержат просто очевидные понятия. Однако, польза в том, что блок-схемы часто показывают, что процессы действительно нуждаются в упрощении и очевидности, и мы понимаем это, когда тратим время, чтобы их задокументировать. Многие операции в сфере сетевой безопасности не выполняются потому, что, когда сотрудники обнаруживают некое событие, они стараются создать процедуру для реагирования на нее, а в это же самое время ситуация может усложняться. В Форте Нокс проводят тренировки по реагированию на инциденты в широком диапазоне - от
...
Читать дальше »
| |
Меню сайта