Securitate

Cum protejam conexiunea RDP impotriva atacurilor cibernetice: cele mai bune practici si solutii de securitate

Conexiunea Remote Desktop Protocol (RDP) este o tehnologie de retea care permite utilizatorilor sa se conecteze la un computer de la distanta. RDP poate fi utilizat pentru administrarea sistemelor sau pentru a accesa fisiere si aplicatii de la distanta. Cu toate acestea, RDP poate fi vulnerabil la atacuri cibernetice daca nu este protejat adecvat. In acest articol, vom discuta cateva metode importante de protectie a conexiunii RDP.

  1. Actualizati sistemul

Primul pas pentru a proteja conexiunea RDP este sa va asigurati ca sistemul dumneavoastra este actualizat cu cele mai recente patch-uri si actualizari de securitate. Cele mai multe atacuri asupra RDP se bazeaza pe vulnerabilitati cunoscute care au fost remediate prin patch-uri de securitate. De aceea, este important sa mentineti sistemul actualizat.

  1. Utilizati autentificarea cu doi factori

Autentificarea cu doi factori (2FA) este o metoda importanta de protectie a conexiunii RDP. 2FA implica utilizarea a doua metode de autentificare, cum ar fi o parola si un cod de securitate generat de o aplicatie mobila. Acest lucru face ca conturile dumneavoastra sa fie mai putin vulnerabile la atacurile de tip brute-force si de phishing.

  1. Utilizati parole puternice

Este important sa utilizati parole puternice pentru conturile RDP. O parola puternica trebuie sa contina o combinatie de litere mici si mari, cifre si caractere speciale. De asemenea, este important sa evitati parolele comune si sa nu folositi aceeasi parola pentru mai multe conturi.

  1. Restrictionati accesul la RDP

Restrictionarea accesului la RDP poate ajuta la prevenirea atacurilor brute-force. Puteti restrictiona accesul la RDP prin utilizarea unei politici de grup sau prin configurarea unui firewall. De asemenea, puteti restrictiona accesul la RDP prin utilizarea unei solutii de securitate, cum ar fi un sistem de autentificare a identitatii.

  1. Utilizati un VPN

Utilizarea unui Virtual Private Network (VPN) poate ajuta la protejarea conexiunii RDP. Prin utilizarea unui VPN, toate datele sunt criptate si trimise printr-o conexiune sigura, astfel incat nu pot fi interceptate de catre terti.

  1. Monitorizati activitatea RDP

Monitorizarea activitatii RDP poate ajuta la identificarea si prevenirea atacurilor cibernetice. Puteti utiliza solutii de monitorizare a securitatii care sa va avertizeze in cazul in care se detecteaza activitati neobisnuite sau atacuri asupra conexiunii RDP.

[mai mult...]

Cum securizați Roundcube pe Ubuntu 16.04

Deoarece e-mailul este o parte atât de crucială a comunicării moderne este important să țineți cont de securitatea pentru toate părțile canalului dvs. de e-mail. Roundcube este un client de webmail cu funcții de securitate puternice și opțiuni extinse de personalizare din depozitul său de pluginuri. Acest articol explică cum să securizeze în continuare o instalare de bază Roundcube existentă.

Dacă ați folosit SSL la configurarea setărilor IMAP și STMP în configurarea inițială a Roundcube, atunci conexiunea de la Roundcube la serverul dvs. de e-mail este deja securizată. Cu toate acestea, conexiunea de la browser la Roundcube nu este, iar e-mailurile dvs. sunt trimise în mod clar. Contul tău Roundcube în sine este, de asemenea, protejat doar de o parolă.

În acest tutorial, veți asigura aceste trei părți ale conductei de e-mail prin:

  • Adăugarea SSL la Apache cu Let’s Encrypt.
  • Adăugarea autentificării cu doi factori la contul tău Roundcube cu un plugin Roundcube.
  • Folosind GPG pentru a semna și cripta e-mailurile cu un plugin Roundcube.

Pentru a urma acest tutorial, veți avea nevoie de:

  • Un server Ubuntu 16.04 cu Roundcube instalat urmând acest tutorial Roundcube pe Ubuntu 16.04 . După ce ați terminat acest tutorial de precondiție, veți avea un client de e-mail web complet funcțional, dar parțial nesigur.
  • Un smartphone sau o tabletă cu o aplicație compatibilă TOTP instalată, cum ar fi Google Authenticator ( iOS , Android ). Veți folosi acest lucru pentru a configura autentificarea cu doi factori.

Puteți afla mai multe despre autentificarea cu mai mulți factori în introducerea la Cum se configurează autentificarea cu mai mulți factori pentru SSH pe Ubuntu 16.04 . Puteți afla mai multe despre GPG în Cum să utilizați GPG pentru a cripta și semna mesajele.

Pasul 1 — Adăugarea SSL la Accesul Securizat la Roundcube

În acest moment, dacă vizitați instalația Roundcube folosind numele de domeniu al serverului dvs. în browser, veți fi conectat prin HTTP în loc de HTTPS. Pentru a securiza pe deplin întregul lanț de comunicații de la browser la serverul de e-mail, această conexiune la Roundcube ar trebui să utilizeze SSL/TLS.

O modalitate ușoară de a face acest lucru este utilizarea certificatelor SSL gratuite de la Let’s Encrypt. Roundcube este configurat deasupra stivei LAMP, astfel încât să puteți urmări Cum să securizați Apache cu Let’s Encrypt pe Ubuntu 16.04 pentru o prezentare detaliată despre configurarea acesteia. Iată un scurt rezumat:

Mai întâi, instalați clientul Let’s Encrypt.

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache

Apoi obțineți certificatul SSL și verificați dacă reînnoirea automată funcționează. Înlocuiește-l example.comcu domeniul tău și folosește -dsemnalizatoare suplimentare pentru orice subdomeniu sau alias.

  1. sudo certbot –apache -d example.com
  2. sudo certbot renew –dry-run

În timpul configurării interactive (după ce ați introdus ), atunci când vă întrebați dacă doriți o configurare de bază sau sigură, asigurați-vă că alegeți securizat . Acest lucru se va asigura că tot traficul HTTP este redirecționat către HTTPS.sudo certbot --apache -d example.com

Acum aveți o conexiune sigură de la computer la instalarea Roundcube, care, la rândul său, face o conexiune sigură la serverul dvs. de e-mail IMAP/SMTP. Mai sunt încă câteva lucruri pe care le puteți face pentru a îmbunătăți securitatea comunicațiilor prin e-mail, dar acestea necesită pluginuri.

Următorul pas folosește pluginul pentru a întări securitatea unui cont Roundcube prin adăugarea de autentificare cu doi factori.

Pasul 2 — Instalarea pluginului de autentificare în doi factori

În timp ce proiectul Roundcube lucrează la funcționalitatea GUI pentru pluginuri, în acest moment, toate pluginurile trebuie instalate prin linia de comandă. Există două moduri de a face acest lucru:

  • Instalare manuală , care a fost prima metodă disponibilă. Aceasta implică descărcarea pluginului (care este de obicei fie un .zipfișier, fie într-un depozit Git), apoi activarea acestuia prin modificarea fișierului de configurare Roundcube /var/www/roundcube/config/config.inc.ph.
  • Instalare semi-automată , care este metoda mai modernă. Acesta răspunde la managerul de pachete PHP, Composer, pentru a instala pluginurile pe care le specificați în fișierul său de configurare.

Unele plugin-uri recomandă o metodă de instalare față de cealaltă. Pluginul 2FA funcționează cu ambele metode și nu face o recomandare, așa că aici vom folosi instalarea semi-automată datorită ușurinței sale de utilizare.

Composer este controlat de un composer.jsonfișier stocat în $RC_HOME/composer.json. Pentru a activa Composer creând acel fișier de configurare. Roundcube vine cu un fișier de configurare de bază numit composer.json-dist, așa că vom începe de la o copie a acestuia.

  1. cd /var/www/roundcube
  2. sudo cp composer.json-dist composer.json

Există câteva plugin-uri de bază deja specificate în acest fișier implicit, așa că în continuare, rulați Composer pentru a le instala și a finaliza configurația inițială. Asigurați-vă că rulați Composer din /var/www/roundcubedirector.

  1. sudo composer install

Apoi, pentru a adăuga pluginul 2FA, trebuie să-l adăugăm la composer.jsonfișier.

Sintaxa unei linii de plugin este . Deci, pentru pluginul 2FA, linia pe care o veți adăuga este ."organization/plugin_name": "version_or_branch" "alexandregz/twofactor_gauthenticator": "dev-master"

Deschideți composer.jsonfișierul pentru editare folosind nanoeditorul de text preferat.

  1. sudo nano /var/www/roundcube/composer.json

Căutați blocul require, care începe cu "require": {. Fiecare linie dintre parantezele ( {și }) este o linie de plugin. Toate liniile de plugin din bloc ar trebui să se termine cu o virgulă, cu excepția ultimei intrări.

Adăugați linia de plugin 2FA la sfârșitul blocului și asigurați-vă că adăugați o virgulă la linia precedentă.

/var/www/roundcube/composer.json
. . .
"require": {
    "php": ">=5.4.0",
    "pear/pear-core-minimal": "~1.10.1",
    "pear/net_socket": "~1.2.1",
    "pear/auth_sasl": "~1.1.0",
    "pear/net_idna2": "~0.2.0",
    "pear/mail_mime": "~1.10.0",
    "pear/net_smtp": "~1.7.1",
    "pear/crypt_gpg": "~1.6.2",
    "pear/net_sieve": "~1.4.0",
    "roundcube/plugin-installer": "~0.1.6",
    "endroid/qr-code": "~1.6.5",
    "alexandregz/twofactor_gauthenticator": "dev-master"
},
. . .

Salvați și închideți fișierul, apoi rulați spuneți Composer să-și actualizeze informațiile despre pachet pentru a instala noul plugin.

  1. sudo composer update

Când Composer vă întreabă dacă doriți să activați pluginul, intrați Ypentru a continua. După ce este instalat, deconectați-vă de la Roundcube și conectați-vă din nou pentru a activa pluginul.

Acum că pluginul este instalat, trebuie să folosim pentru a-l configura 2FA în contul nostru prin interfața grafică Roundcube.

Pasul 3 — Activarea 2FA pe contul dvs

Pentru a începe, conectați-vă la Roundcube folosind IP-ul serverului sau domeniul dvs. în browser. Faceți click pe butonul Setări din colțul din dreapta, apoi pe 2-Factor Authentication în navigarea din stânga.

În secțiunea Opțiuni de autentificare cu doi factori, faceți clic pe caseta de selectare Activare , apoi faceți clic pe Creare secret. Apoi, faceți click pe Afișare coduri de recuperare și stocați cele patru coduri de recuperare afișate într-un loc sigur. Veți folosi aceste coduri pentru a vă conecta dacă nu puteți genera un token (de exemplu, dacă vă pierdeți telefonul).

În cele din urmă, faceți clic pe butonul Salvare.

Acest lucru activează 2FA, dar acum trebuie să adăugați secretul aplicației dvs. compatibile cu TOTP, cum ar fi Google Authenticator. Faceți clic pe butonul Afișați codul QR care a apărut după ce ați salvat secretul și scanați codul cu aplicația dvs. Dacă scanarea nu funcționează, puteți introduce secretul și manual.

În cele din urmă, odată ce aplicația dvs. generează coduri, asigurați-vă că funcționează introducând un cod în câmpul de lângă butonul Verificare cod , apoi faceți clic pe acel buton. Dacă funcționează, veți vedea o fereastră care scrie Cod OK și puteți face clic pe butonul OK din partea de jos pentru a închide fereastra respectivă. Dacă există o problemă, încercați să adăugați din nou secretul în aplicația dvs.

Ultimul pas al securizării comunicațiilor digitale este criptarea mesajelor reale pe care le trimiteți prin e-mail. Vom face acest lucru în pasul următor folosind pluginul numit Enigma.

Pasul 4 — Activarea e-mailului criptat cu GPG

Pluginul Enigma adaugă suport pentru vizualizarea și trimiterea de e-mailuri criptate semnate. Dacă ați urmat tutorialul anterior de instalare Roundcube , atunci pluginul Enigma este deja activat pe instalarea dvs. Dacă nu, puteți urma aceeași procedură pe care ați folosit-o pentru pluginul 2FA la Pasul 2 pentru a adăuga acum pluginul Enigma.

Pentru a începe, trebuie să activăm unele opțiuni de criptare implicite. Conectați-vă la Roundcube și faceți clic pe butonul Setări din colțul din dreapta sus. De acolo, faceți clic pe Preferințe și apoi Criptare sub lista Secțiuni.

Există 7 setări de criptare în lista Opțiuni principale . Activarea tuturor celor 7 va oferi cea mai mare siguranță, dar aceasta vine cu un compromis în utilizare.

Iată fiecare dintre opțiunile din meniul Opțiuni principale și sugestiile noastre (necesare, recomandate sau opționale) pentru fiecare, dar ar trebui să alegeți setările care se potrivesc cazului dvs. de utilizare:

  • Activați criptarea și semnarea mesajelor : Necesar. Acest lucru vă permite să semnați și să criptați mesajele.
  • Activați verificarea semnăturilor mesajelor Recomandat. Dacă cineva vă trimite un e-mail semnat, această setare face ca Roundcube să încerce să verifice expeditorul după adresa de e-mail și cheia acestuia.
  • Activați decriptarea mesajelor : recomandat. Dacă cineva vă trimite un e-mail criptat, această setare face ca Roundcube să folosească cheile dvs. GPG pentru a-l decripta.
  • Semnează toate mesajele în mod implicit : Opțional. Acest lucru semnează fiecare e-mail pe care îl trimiteți, chiar dacă persoana căreia îi trimiteți nu are suport GPG. Dacă nu o fac, vor vedea o grămadă de caractere în partea de jos a e-mailului. De asemenea, puteți comuta această opțiune atunci când compuneți un e-mail.
  • Criptați toate mesajele în mod implicit : Opțional. Acest lucru criptează fiecare e-mail pe care îl trimiteți, presupunând că aveți cheia publică a persoanei pe care o trimiteți. De asemenea, puteți comuta această opțiune atunci când compuneți un e-mail.
  • Atașați-mi cheia PGP publică în mod implicit : Opțional. Aceasta adaugă cheia dvs. publică GPG ca atașament în fiecare e-mail pe care îl trimiteți. Dacă destinatarul are suport GPG, clientul său de e-mail va vedea cheia și o va instala în breloul de chei, astfel încât să vă poată trimite apoi e-mail criptat.
  • Păstrați parolele cheii private pentru setarea timpului în care Roundcube își amintește expresia de acces pe care o introduceți atunci când criptați sau decriptați e-mailul, astfel încât să nu fie nevoie să o introduceți de fiecare dată.

După ce ați ales setările, faceți click pe Salvați. Apoi, faceți click pe Identități în coloana Setări.

Setarea implicită este o singură identitate cu adresa de e-mail la care v-ați înscris. Faceți clic pe e-mail și completați câmpul Nume afișat . Opțional, puteți completa celelalte câmpuri, cum ar fi Organizație. Când ați terminat, faceți clic pe butonul Salvați. Ultima parte a configurației este crearea unei chei. Faceți clic pe Chei PGP în navigarea din stânga.

Dacă aveți deja o cheie GPG, puteți să dați click pe Import în dreapta sus și să importați cheia secretă, apoi să faceți clic din nou pentru a vă importa cheia publică.

Dacă nu aveți o cheie GPG sau dacă doriți să creați una nouă, faceți clic pe butonul plus ( + ) din partea de jos a coloanei Chei PGP . De acolo, alegeți identitatea pentru care doriți să creați cheia și selectați puterea cheii (cu cât dimensiunea cheii este mai mare, cu atât este mai greu să rupeți criptarea, dar cu atât este mai lent să efectuați criptarea). În cele din urmă, alegeți o parolă puternică și faceți clic pe Salvare .

Avertisment : Există o eroare care împiedică crearea de chei noi în Roundcube atunci când utilizați Chrome. Dacă utilizați în mod normal Chrome, treceți temporar la alt browser pentru a crea o cheie nouă. Odată ce există o cheie în Chrome, importarea perechilor de chei și semnarea/criptarea funcționează conform așteptărilor.

Când primiți un e-mail semnat verificat, Roundcube afișează o semnătură verde Verificată din notificare în partea de sus:

Când primiți și decriptați un e-mail criptat, Roundcube afișează o notificare Mesaj decriptat:

Pentru a utiliza criptarea GPG în mesajele dvs., compuneți un nou e-mail făcând clic pe pictograma E-mail din stânga sus, apoi pe Scriere . Faceți clic pe pictograma Criptare pentru a vedea opțiunile de criptare disponibile pentru dvs. Acestea depind de ceea ce ați ales în setările de criptare. Dacă ați urmat recomandările noastre, ar trebui să vedeți Semnați digital acest mesaj , Criptați acest mesaj și Atașați cheia mea publică . Când trimiteți un e-mail, verificați opțiunile de criptare dorite.

[mai mult...]

Tool gratuit pentru descoperirea porturilor si configurare retea

Va prezint un program gratuit numit Advanced port Scanner (platforma Windows). Cu acesta putem vedea toate informatiile de pe reteaua pe care suntem conectati, dar si alte aparaturi. Are o multitudine de functii care ne ajuta in diagnosticarea si cercetarea retelei si a problemelor aparute:

Functii:

  1. Save List
  2. Load List
  3. Toolbar – Class “C” Subnetwork
  4. Toolbar – Current Computer Subnetwork
  5. Tools – Ping
  6. Tools – Tracert
  7. Tools – Telnet
  8. Tools – SSH
  9. Options – Performance
  10. Options – Resources
  11. Options – Misc
  12. Shut Down Computer
  13. Aborting Remote Shut Down
  14. Wake-on-LAN
  15. Browse Computer
  16. HTTP Connection
  17. HTTPS Connection
  18. FTP Connection
  19. Connection Via Radmin
  20. Remote Desktop Protocol Connection

Se poate descarca de aici: https://www.advanced-port-scanner.com/

Pentru detalierea functiilor: https://www.advanced-port-scanner.com/help/

[mai mult...]

Ce este SOAR, cum funcționează și cum poate ajuta analiștii de securitate cibernetică?

SOAR – Security Orchestration, Automation and Response

Termenul SOAR este unul popular în industria securităţii cibernetice, deci este important nu numai să ştiţi ce este, ci şi să fiţi familiarizaţi cu problemele şi provocările abordate de SOAR. Dar înainte să ajungem la asta, să examinăm câteva lucruri de bază.

Ce face SOAR?
SOAR conectează toate celelalte instrumente din stiva ta de securitate întrun workflow de unelte, care poate fi rulat automat. În alte cuvinte, SOAR îți permite să îți crești eficiența echipei prin automatizarea proceselor repetitive manuale.

Automatizarea este foarte importantă în lumea securității de astăzi, deoarece echipele de securitate sunt suprasolicitate. Pe măsură ce sunt dezvoltate noi instrumente pentru a face față unui peisaj amenințător în continuă schimbare, analiștii care folosesc aceste instrumente trebuie să treacă de la un instrument la altul pentru a-și îndeplini sarcinile de zi cu zi.

O sarcină zilnică comună este răspunsul la alerte. Cu cât sunt mai multe instrumente de securitate, cu atât mai multe alerte sunt abordate întro serie de procese manuale și schimbări de context adică trecerea de la un instrument la altul. Cu cât sunt mai multe alerte în fiecare zi, cu atât mai puțin timp avem pentru fiecare alertă, ceea ce crește probabilitatea ca greșeli să fie făcute. Degradarea performanței în fața unui val de alerte se numește Alert Fatigue (sau oboseala alertelor).

Un mod evident de a diminua “oboseala alertelor” este pur și simplu angajarea a mai mulți analiști de securitate cibernetică. Cu toate acestea, datorită lipsei de competențe în domeniul securității cibernetice, nu există suficienți analiști calificați pentru a fi angajați. Deci, dacă angajarea a mai mulți analiști nu este o opțiune, cum rezolvăm oboseala alertelor? Simplu, cu SOAR.

SOAR leagă toate instrumentele din stiva ta de securitate. Prin aducerea datelor din toate aceste surse, SOAR reduce schimbarea de context cu care se confruntă analiștii. Prin urmare, analiștii pot efectua toate procesele lor de investigație direct din interfața sursă. Mai departe, aceste procese pot fi traduse manual sau automat întrun Playbook, care este un set de pași asemănător unui Flux, care poate fi repetat la cerere. Utilizând un playbook, puteți să vă asigurați că fiecare pas din procedura dvs. de operare standard este urmat. De asemenea, aveți date despre exact ce sa făcut, când și de cine. Această capacitate se numește Orchestrare și Automatizare.

Investigația este o altă capacitate crucială SOAR. Atunci când apare o alertă suspectă, echipele pot efectua sarcinile lor de investigație, cum ar fi verificarea surselor de inteligență amenințătoare pentru o reputație sau interogarea unui sistem de gestionare a informațiilor de securitate (SIM), pentru evenimente corelate din cadrul platformei SOAR.

Informațiile obținute prin această investigație vor determina pașii de mitigare necesari. Apoi, deoarece SOAR este o platformă unificată a tuturor instrumentelor de securitate, puteți lua aceste pași de mitigare din cadrul SOAR. De exemplu, din cadrul SOAR, puteți bloca traficul de la o adresă IP malițioasă în firewallul dvs. sau puteți șterge un email phishing de pe serverul de email. Prin construirea proceselor standard în playbook-uri, puteți înlocui procesele repetitive și consumatoare de timp cu automatizări la viteza mașinii. Automatizarea eliberează analiștii să-și consacre mai mult timp pentru investigarea alertelor critice.

Implementarea SOAR în ecosistemul dvs. face mai mult decât să centralizeze procesele dvs. de răspuns la incidente optimizează întreaga operațiune. Optimizarea rezultă în răspunsuri eficiente la viteză de mașină, permițând echipelor să îmbunătățească colaborarea și să gestioneze mai bine valul nesfârșit de alerte. Acest lucru se datorează faptului că SOAR permite utilizatorilor să atribuie alerte la diferiți analiști sau echipe la diferite etape ale procesului de răspuns la incident și pentru acei utilizatori atribuiți să adauge informații la alertă în timp ce lucrează la aceasta, astfel încât alții care se referă la acea alertă mai târziu vor avea context suplimentar în investigație.

Playbookurile sunt cheia pentru capacitatea de automatizare a SOAR, permitând echipei să își îmbunătățească viteza și consistența răspunsului, în timp ce își mențin autoritatea umană asupra procesului. În final, utilizarea unui playbook poate duce la o sarcină a analistului redusă și la o șansă redusă de eroare.

Investigațiile de phishing sunt una dintre cele mai comune utilizări pentru SOAR implementate de clienți. Fără SOAR, un analist va petrece timpul investigând expeditorul unui email de phishing și indiciicheie din anteturile sau corpul emailului. Efectuarea acestor investigații înseamnă, de obicei, timp petrecut introducerea domeniilor și URLurilor întro platformă de inteligență amenințătoare. Dacă analiștii determină că un email este nociv, vor trebui să petreacă timp suplimentar investigând serverul lor de email și SIMul lor, determinând cine a primit emailul, determinând cine a făcut clic pe el, ștergândul și așa mai departe. Cu un playbook de investigare a phishingului, pașii de investigare inițială sunt luați automat, imediat ce emailul de phishing este raportat. Astfel, analiștii vor fi alertați doar la acele emailuri pe care playbookul le determină ca fiind suspecte.

După ce analistul confirmă că un email raportat merită o acțiune suplimentară, Playbook-ul poate continua să facă interogări SIM suplimentare, să șteargă e-mailul din toate casetele de e-mail ale utilizatorului, să trimită un e-mail tuturor destinatarilor, să le alerteze asupra acțiunii luate și să le ofere sfaturi utile cu privire la ce să facă dacă primesc mesaje de phishing similare în viitor.

Sursa:
Fortinet Training Institute: NSE 2 – SOAR (Includes Free Certification Upon Completion)

[mai mult...]

Cum funcționează serviciile de inteligență împotriva amenințărilor cibernetice?

În primele zile ale produselor Anti-Virus pentru Endpoint-uri, furnizorii aveau nevoie de o modalitate de a cataloga toate virusurile cunoscute, astfel încât produsele lor să poată confirma dacă un fișier conținea un virus sau nu. Departamentul furnizorilor de threat intelligence a făcut acest lucru posibil prin preluarea unei “monstre” din fiecare virus cunoscut și generarea unei semnături a acelui virus, care a reprezentat conținutul fișierului. Cu alte cuvinte, o amprentă. Aceste liste de semnături ale virusului au fost distribuite cu software-ul antivirus. Pe măsură ce trecea timpul și erau detectate noi virusuri, serviciul de inteligență amenințărilor a fiecărui furnizor distribuia actualizări regulate ale listei sale de semnături ale virusului. Actualizările fiind lansate lunar, trimestrial sau în unele cazuri, doar o dată pe an.

Ca rezultat al expertizei câștigate de dezvoltatorii de malware, aceștia au devenit mult mai sofisticați și au inclus mecanisme speciale pentru a evita scanările bazate pe semnătură ale produselor AntiVirus, prin schimbarea conținutului fișierelor lor în mod voluntar. Deoarece conținutul fișierelor se schimba, semnăturile fișierelor se schimbau de asemenea, permițând programelor malware să treacă neobservate de versiunile mai vechi,outdatate de antivirus. Acest lucru a dus la apariția unui singur tip de malware care a devenit o întreaga familie de malware, sute de mii de fișiere diferite, cunoscute și sub numele de malware polimorf (malware care-și schimbă forma), și fiecare program malware, îndeplinind același comportament dăunător.

Problema clasică de semnătură unulaunu, în care fiecare fișier malware cunoscut este reprezentat de o semnătură în fișierul de semnături nu se scala deloc bine, din cauza potențialului a milioane de noi variații, în fiecare zi, ale malware-ului. Pentru a trata această nouă abilitate a malware-ului de a se transforma în forme noi, serviciile de Inteligență a Amenințării au creat modalități de a detecta întregi familii de malware folosind numai o semnătură. Acest lucru se face în mai multe moduri diferite, dar toate detectează similitudinile între familia de malware.

Ce se întâmplă cu variațiile de malware care nu au fost încă văzute?

Metodele de detectare bazate pe semnătură nu vor funcționa. Pentru a detecta aceste tipuri de amenințări, furnizorii au creat produse de SandBoxing, care iau un fișier suspect și îl plasează întrun mediu controlat în care comportamentul său poate fi analizat îndeaproape. Dacă fișierul face ceva rău în timp ce se află în mediul sandbox, este marcat ca malware. Acesta lucru este cunoscut ca detectare heuristică și caută comportamente anormale care sunt în afara obișnuitului. De fapt, furnizorii creează algoritmi heuristici proprietari care pot detecta mostre polimorfice de malware, niciodată văzute înainte.

Depinzând de produsul sandbox și configurația sa, proprietarul sandbox-ului poate propaga această nouă cunoaștere nu numai în propria securitate a rețelei, ci o pot și trimite global pentru a proteja mai mulți oameni. În afară de sandboxing, viitorul detectării a programelor malware necunoscute include abilitatea serviciului de inteligență a amenințărilor de a detecta noi programe malware folosind Machine Learning și Inteligența Artificială învățând să evalueze rapid riscul de amenințare a fișierelor nocive care traversează rețeaua. Și nu e numai despre fișierele, ci și despre mecanismele specifice ale atacului, evidența că atacul respectiv s-a întâmplat (acest lucru mai este cunoscut și ca Indicatorii de Compromitere – IoC), Implicări ale Atacului, Atribute ale Adversarului și potențialele motivații ascunse.

Pe măsură ce tehnicile actorilor malițioși continua să evolueze și să devină mai sofisticate, e mai important ca niciodată să împărtășim Inteligența Amenințărilor în timp real, în mediul rețelei securizate. Dacă anumite componente știu despre atac în timp ce altele așteaptă periodic pentru update-uri ale semnăturilor, atacatorii pot să treacă neobservați dincolo de apărări și să cauzeze daune. Securitatea produselor și a serviciilor inteligenței amenințărilor care pot să acționeze împreună în timp real au cele mai bune șanse de a oprii astfel de atacuri.

Partajarea inteligenței amenințărilor nu se oprește la produsele fiecărui furnizor. Ar fi de crezut că, după tot efortul depus pentru a aduna, analiza și cataloga inteligența amenințărilor, fiecare furnizor ar păstra această informație în secret, dar aproape toți furnizorii împart această “inteligență”, această informație cu comunitatea de Securitate Cibernetică mai largă. Acest lucru se întâmplă prin aderarea formală la organizații precum Alianța Amenințărilor Cibernetice, echipele locale, naționale și internaționale de răspuns la incidente cibernetice (CERTs) și numeroase parteneriate private cu alți furnizori, cercetători independenți în domeniul securității și forțele de ordine. Acest partaj în timp real al inteligenței amenințărilor permite o imagine mai completă a atacului, deoarece niciun singur furnizor nu va avea toate datele, și nu este inteligența amenințărilor care îi separă pe furnizori, ci ceea ce fac ei cu această inteligență, cu tehnologia din produsele lor.

Sursa:
Fortinet Training: NSE 2 – Threat Inteligence (Includes Free Certification)

[mai mult...]

De ce ar trebui să închidem anumite porturi de internet pentru securitatea cibernetică

În lumea conectată la internet, securitatea cibernetică este o preocupare majoră pentru utilizatori și companii, deoarece internetul este plin de atacuri cibernetice și de amenințări. În acest context, închiderea unor porturi de internet poate fi o strategie eficientă de securizare a rețelei și de protejare a datelor. În acest articol, vom discuta despre importanța închiderii anumitor porturi de internet și despre cum acest lucru poate ajuta la protejarea datelor și a utilizatorilor.

În primul rând, trebuie menționat faptul că porturile sunt puncte de intrare sau ieșire pentru traficul de date într-o rețea. Fiecare port este asociat cu un anumit serviciu sau protocol de rețea, cum ar fi HTTP (80), FTP (21), SMTP (25) sau SSH (22). Aceste protocoale permit utilizatorilor să acceseze și să utilizeze diferite resurse de internet, precum site-uri web, servicii de e-mail sau de transfer de fișiere. Cu toate acestea, fiecare protocol și port deschis poate fi o vulnerabilitate în rețea, care poate fi exploatată de atacatori cibernetici.

De exemplu, un port deschis poate permite unui atacator să încerce să intre în rețeaua dvs. și să încerce să fure datele sau să lanseze atacuri DDoS (distributed denial of service). De asemenea, un port deschis poate fi utilizat pentru a trimite spam sau malware prin intermediul serviciilor de e-mail sau de transfer de fișiere. Închiderea porturilor nedorite poate reduce riscurile de securitate și poate împiedica atacatorii să profite de vulnerabilitățile din rețea.

În al doilea rând, închiderea anumitor porturi poate fi necesară pentru a respecta reglementările de securitate cibernetică și standardele de conformitate. De exemplu, PCI-DSS (Payment Card Industry Data Security Standard) specifică cerințe stricte pentru protecția datelor de carduri de credit, inclusiv închiderea porturilor care nu sunt necesare pentru serviciile de plată. Închiderea acestor porturi poate fi o modalitate eficientă de a respecta cerințele de securitate și de a evita amenzi și penalități pentru nerespectarea standardelor.

În concluzie, închiderea anumitor porturi de internet poate fi o măsură importantă pentru protejarea datelor și a utilizatorilor într-o rețea. Prin închiderea porturilor nedorite și respectarea reglementărilor de securitate, se poate reduce riscul de atacuri cibernetice și de furt de date, și se poate asigura că rețeaua este securizată și conformă cu standardele de securitate cibernetică.

[mai mult...]