Securitate

Securitate 42 Solutii

Securitate FortiGate: Endpoint Security

Endpoint / Endpoint Security
În primul și în primul rând, ce este un endpoint? În trecut, un endpoint era orice device personal folosit de un utilizator final ca un computer, laptop sau dispozitiv portabil (ex: smartphone, tabletă). Acum endpoint-urile includ IoT – Internet Of Things, care cuprind și tot felul de dispozitive inteligente precum un termostat deștept sau frigider inteligent.

Cum am securizat endpoint-urile și de ce este securitatea endpoint-urile așa de importantă?Endpoint-urile au fost un punct ușor de pătrundere într-o rețea. De ce să încerci să ocolești un firewall / zid de protecție când poți pur și simplu să exploatezi prin inginerie sociala, utilizatorii creduli si neglijenti?
Pe măsură ce conexiunile online s-au extins, la fel s-a extins și numărul vectorilor de atac asupra endpoint-urilor, oferindu-le atacatorilor mai multe oportunități de exploatare.

Înainte ca rețelele să fie conectate la internet, actorii malițioși se bazau pe dischete pentru a răspândi malware. O dischetă infectată introdusă într-un computer ar fi infectat acel computer. Mai târziu, asta ar fi inclus dispozitivele de stocare portabil precum CD-urile, DVD-urile și USB-urile. După cum îți poți imagina, acest vector de atac era limitat în domeniul său de aplicare.
Primele produse de Securitate Endpoint au fost antivirușii (știm sau am auzit cu toții de umbreluța) sau AV. Programe software care scanează dispozitivele sau hard drive-ul de malware. Erau pe baza de semnătură asta însemnând că antivirusul caută caracteristici specific ale virusului. Dacă a găsit ceva care avea acele caracteristici specific, ar fi băgat lucrul respectiv în carantină sau l-ar fi șters.
Toate astea s-au schimbat atunci când rețelele cartierelor și ale business-urilor s-au conectat la internet. Mai mulți vectori de atac au devenit disponibili pentru infractorii cibernetici, vectori precum: phishing, website-uri malițioase/infectate, și rețelele de socializare.
Aceste oportunități au proliferat numarul de malware – de la zeci de mii într-un singur an la sute de mii într-o singură zi. De asemenea, actorii răi intenționați au început să exploateze breșele de Securitate în sistemele de operare, aplicații ca web browerul și chiar și aplicații precum MS Word, mai precis, documente MS Word. Adăugând aceste probleme la extinderea suprafeței de atac a făcut ca natura programelor malițioase să se schimbe.
Malware-ul Polimorf sau programele malware polimorfe sunt concepute să se schimbe de unele singure, imitând viruși care se mutează în lumea naturala, reala (cand un virus isi schimba forma, procesul acesta se numeste mutatie, iar malware-ul polimorf face acest lucru pentru a evita detectarea). Asta însemnând că antivirușii pe bază de semnătură nu au mai fost complet eficienți.
Odată cu venirea acestora au venit și platformele de protecție a endpoint-urilor (sau EPP), care au fost intenționate în prevenirea atacurilor malware pe bază de fișiere și în implementarea controalelor preventive. Metodă folosită pentru a oprii malware-ul înainte de a fi executat și a infecta un endpoint. Malware-ul pe bază de fișier este un fișier descărcat pe un device, iar atunci când este deschis, rulează cod malițios sau un script.

EPP furnizează mult servicii concentrate pe prevenire, precum anti-virus, firewall, filtrare web, protecție de date prin encripție și control al device-ului. Controlul device-ului (device control) este o tehnologie care furnizează Securitate încorporată și detectează, autorizează și securizează dispozitivele de stocare portabile. Web Filtering (sau filtrarea web) este o tehnologie care le permite administratorilor de rețea pentru a controla ce tip de site ai voie să vizitezi.

Oricum, niciuna din aceste tehnici s-au dovedit a fi soluția ultimă pentru infecțiile endpoint-urilor. La timpul respectiv, filtrarea web era considerata cea mai buna soluție împotriva programelor malware de pe web. Posibilitatea rămasă a fost că malware-ul putea “poza” drept reclama pe un site legitim.
Luând în considerare evoluția continua și complex a acestor metode de atac și a expansiunii suprafeței de atac, profesioniștii în Securitate cibernetică au ajuns rapid la concluzia că este literalmente imposibil să previi toate infecțiile malware, iar atunci o nouă strategie a fost dezvoltată pentru a apăra endpoint-urile în paralelă cu dezvoltarea EPP. Acea nouă strategie este numită Endpoint Detection and Response (sau EDR).
EDR este un software folosit pentru a detecta, investiga și răspunde activitaților suspicioase pe endpoint-uri. A început a o unealtă de investigare criminalistică, și a furnizat analiștilor de Securitate informații despre amenințări și unelte de care era nevoie pentru a analiza un atac și a identifica indicatorii de compromitere, sau IoC – Indicators Of Compromise. Analiștii au fost apoi capabili să detecteze malware, unii pe care chiar rămâneau nedetectați în rețele vreme de luni sau chiar ani de zile. În loc de a investiga un atac pentru a învăța despre anatomia acestuia, unealta a fost folosită pentru a detecta un atac care se petrecea în timp real.
Unelte de remediere au fost de asemenea adăugate cee ace le-a permis analiștilor în a cere mai multe informații de la endpoint-uri, bana procese, izola endpoint-uri și bloca adrese IP specific. EDR a crescut într-o adevărată soluție de detectare și răspuns, dar nu era impecabilă, fără probleme.
Prima generație de EDR a folosit în principal metode manuale care consumau  timp și și erau prea încete pentru amenințările rapide precum ran$0mw4r3-ul. Lipsa de integrare cu alte soluții de Securitate i-a redus capacitatea de a răspunde efficient și în timp util. Configurarea și folosirea EDR-ului necesita un nivel ridicat de experiență și analiștii au folosit o multitudine de alerte, multe care erau, în principal, alerte false-positive și din păcate și acest lucru era o pierdere de timp pentru analisti.
Vânzătorii au atenuat partial aceste probleme prin introducerea unui Sistem de Detectare și Răspuns Gestionat (managed detection and response, sau MDR), care performa alerte de bază și îi notifica pe analiști prin email. Chiar și așa, EDR a rămas prea încet și prea complicat pentru a devenii o unealtă standard în arsenalul programelor de Securitate endpoint.
A doua generație de EDR a adresat aceste probleme. A fost conceput pe baza de politici și automat. Având playbook-uri costumizabile, analiștii puteau acum direcționa EDR-ul pentru a remedia ambele probleme atât imediat cât și automat. Pe lângă asta, analiști puteau instruii EDR-ul să răspundă întrun Mod Specific pentru a detecta un program sau un script care avea un comportament neobișnuit. Activitațile malițioase activau automat block-uri care preveneau exfiltrarile de date, encripția și încercările atacatorilor de a se infiltra în rețea. Pot oprii și derula înapoi ransomeware-ul în timp real fără a fi necesară ștergerea dispozitivului sau întreruperea continuității afcerii/organizației.
Profesioniștii în Securitate au realizat rapid avantajele combinării tehnologiei EDR și EPP și majoritatea definițiilor acum include ambele caracteristici. Un singur agent integrat poate prevenii majoritatea malware-ilor pe bază de fișier la faza de pre-infecție, pre-execuție, pe când detectarea și răspunzând malware-ului evada prevenția la etapa după-infecție. O soluție EPP și EDR combinată, de asemenea, șterge integrarea îngrijorărilor și simplifică configurarea și managementul pentru analiști.
Software-ul EPP și EDR include alte controale preventive pentru a îmbunătății igiena securității, precum alerte către analiști când endpoint-urile nu au ultimul patch de Securitate sau rulează aplicații nesigure. Identificând vulnerabiltățile critice, echipele de Securitate investighează amenințările și aplică patchurile virtuale sau crează politici pentru a aplica restricții către endpoint-uri până când un patch este instalat. În plus, machine learning (ML) este inclus ca parte a capabilitaților AV-ului și ajută detectarea de malware în faza pre-execuție.
Capabilitățile de detectare și răspuns nu se aplică doar endpoint-urilor, ci și întregii infrastructure. Acest lucru este numit extended detection and response (sau XDR). XDR implementează tehnologie cu inteligență artificială adițională pentru a furniza detecție și răspuns la viteză înaltă pentru a securiza nu doar endpoint-urile, ci și rețelele și layer-ul de acces și de cloud.
Produsele de Securitate Endpoint FortiNet sunt FortiClient și FortiEDRTM. Endpoint-ul care rulează FortiClient este integrat pe de-a-ntregul cu alte produse de Securitate care impart datele și sunt manageriate central în cee ace este numit Fortinet Security Fabric. Produsul XDR Fortinet se numește FortiXDRTM.
[mai mult...]

Securitate: Card acces

SECURITATEA FIZICĂ

Se referă la controlul accesului în zonele protejate prin supraveghere video, personal
de securitate sau blocarea accesului (prin bariere, încuietori, uși), securizarea serverelor și a canalelor de cablu.

Un smart card este un card fizic ce conține un cip integrat integrat care acționează ca un token de securitate. Cardurile inteligente au de obicei aceeași dimensiune ca un permis de conducere sau un card de credit și pot fi realizate din metal sau plastic. Se conectează la un cititor fie prin contact fizic direct  sau printr-un standard de conectivitate fără fir pe rază scurtă, cum ar fi identificarea prin radiofrecvență (RFID) sau comunicarea în câmp apropiat (NFC).

Cipul de pe un smart card poate fi un microcontroler sau un cip de memorie încorporat. Cardurile inteligente sunt proiectate pentru a fi rezistente la falsificare și utilizează criptarea pentru a oferi protecție pentru informațiile din memorie.

Cum funcționează smart card-urile
Microprocesoarele pentru smart card-uri sau cipurile de memorie fac schimb de date cu cititoarele de carduri și alte sisteme printr-o interfață serială. Cardul inteligent în sine este alimentat de o sursă externă, de obicei cititorul de carduri inteligente.

Tipuri de smart card-uri
Smart card-urile sunt clasificate în funcție de criterii precum modul în care cardul citește și scrie datele, tipul de cip utilizat și capacitățile acestuia. Acestea includ următoarele tipuri:

  • Smart card-urile de contact sunt cel mai comun tip de smart card-uri. Acestea sunt introduse într-un cititor de carduri care are o conexiune directă la o placă de contact conductoare de pe suprafața cardului. Comenzile, datele și starea cardului sunt transmise prin aceste puncte de contact fizice.
  • Cardurile fără contact necesită doar apropierea unui cititor de carduri pentru a fi citite; nu este necesar un contact direct. Cardul și cititorul sunt ambele echipate cu antene și comunică folosind frecvențe radio printr-o legătură fără contact. Antenele sunt adesea un fir de cupru care se înfășoară în jurul marginii cardului
  • Cardurile cu interfață dublă sunt echipate atât cu interfețe fără contact, cât și cu interfețe de contact. Acest tip de card permite accesul securizat la cipul cardului inteligent, fie cu interfața cardului inteligent fără contact, fie cu interfața de contact.
  • Smart card-urile hibride conțin mai multe tehnologii. De exemplu, un smart card hibrid poate avea un cip de procesor încorporat care este accesat printr-un cititor de contact și un cip RFID pentru conexiunea de proximitate. Diferitele cipuri pot fi utilizate pentru diferite aplicații legate de un singur smart card — de exemplu, atunci când un cip de proximitate este utilizat pentru controlul accesului fizic în zonele restricționate și un cip de contact este utilizat pentru autentificarea SSO.
  • Smart card-urile de memorie conțin doar cipuri de memorie și pot stoca, citi și scrie doar date pe cip. Datele de pe aceste carduri pot fi suprascrise sau modificate, dar cardul în sine nu este programabil. Deci, datele nu pot fi procesate sau modificate programatic. Aceste carduri pot fi doar în citire și pot fi folosite pentru a stoca date precum un PIN, o parolă sau o cheie publică. Ele pot fi, de asemenea, citite-scriere și utilizate pentru a scrie sau actualiza datele utilizatorului. Cardurile inteligente de memorie pot fi configurate să fie reîncărcabile sau de unică folosință, caz în care datele pe care le conțin pot fi folosite doar o singură dată sau pentru o perioadă limitată de timp înainte de a fi actualizate sau aruncate.
  • Smart card-urile cu microprocesor au un microprocesor încorporat pe cip, în plus față de blocurile de memorie. Un card cu microprocesor poate include, de asemenea, secțiuni specifice de fișiere în care fiecare fișier este asociat cu o funcție specifică. Datele din fișiere și alocarea memoriei sunt gestionate cu un sistem de operare smart card. Acest tip de card poate fi folosit pentru mai multe funcții și, de obicei, permite adăugarea, ștergerea și manipularea în alt mod a datelor din memorie.

Avantajele smart card-urilor

  • Securitate mai puternică. Smart card-urile oferă un nivel mai ridicat de securitate decât cardurile cu bandă magnetică, deoarece conțin microprocesoare capabile să proceseze datele direct, fără conexiuni la distanță. Chiar și Smart card-urile cu memorie doar pot fi mai sigure, deoarece pot stoca mai multe date de autentificare și de cont decât cardurile tradiționale cu bandă mag. Cardurile inteligente sunt în general în siguranță împotriva interferențelor electronice și a câmpurilor magnetice, spre deosebire de cardurile cu bandă magnetică.
  • Persistența informațională. Odată ce informațiile sunt stocate pe un card inteligent, acestea nu pot fi șterse, șterse sau modificate cu ușurință. De aceea, cardurile inteligente sunt bune pentru stocarea datelor valoroase care nu ar trebui reproduse. Cu toate acestea, aplicațiile și datele de pe un card pot fi actualizate prin canale securizate, astfel încât emitenții nu trebuie să emită carduri noi atunci când este nevoie de o actualizare.
  • Utilizări multiple. Sistemele de smart card-urile cu servicii multiple permit utilizatorilor să acceseze mai mult de un serviciu cu un singur card inteligent.
[mai mult...]

Securitate: Drepturile de acces ale aplicatiilor – Windows

VERIFICAȚI DREPTURILE DE ACCES ALE APLICAȚIILOR

Pentru a seta accesul unei aplicații la diferite resurse (cameră, microfon, locație, stocare) intrați la Settings -> Privacy & security, iar de la App permisions putem verifica ce aplicatii au acces la resurse.

De exemplu, daca selectam microfon putem vedea toate aplicatiile care au acces la microfon, si in cazul in care nu dorim ca o anumita aplicatie sa aiba acces, putem selecta off.

Dupa cum se vede sunt multe aplicatii care au acces la microfon, cum ar fi Microsoft Store, Feedback club, desi nu se justifica din punct de vedere al functionalitatii aplicatiei, asa ca putem sa le dezactivam permisiunea de a accesa microfonul.

La fel putem verifica si pentru restul resurselor si sa alegem caror aplicatii dorim sa le permitem accesul.

[mai mult...]

De ce trebuie să utilizați autentificarea cu doi factori

Parolele vă protejează de cei care vor să vă fure conturile sau să spioneze tot ce se întâmplă în ele. De aceea, trebuie să vă protejați toate conturile cu parole cu adevărat puternice și unice. De asemenea, trebuie să stocați parolele în siguranță.

Din păcate, chiar și cea mai puternică parolă nu poate garanta că contul dvs. este ferit de infractori. Există mai multe modalități de a compromite o parolă. Hackerii pot fura datele dvs. direct de la furnizorul de servicii online (ceea ce se întâmplă mult mai des decât credeți). Cineva poate instala pe dispozitivul dvs. un program care înregistrează fiecare tastă pe care o apăsați pe tastatură (inclusiv toate parolele dvs.). O persoană insistentă vă poate sparge parola sau vă poate convinge să o dezvăluiți. La fel, parola poate fi văzută de pe o cameră ascunsă, în timp ce o introduceți.

Iată de ce trebuie să utilizați autentificarea cu doi factori (2FA) pentru a vă proteja conturile online importante. Atunci când este activată autentificarea cu doi factori, pentru a accesa contul, trebuie să vă identificați prin două modalități. Astfel, pe lângă introducerea parolei (primul factor), trebuie să furnizați și cea de-a doua parte de date (al doilea factor) pentru a vă confirma identitatea. În general, 2FA oferă încă un nivel de protecție pentru conturile dvs. online, menținându-le în siguranță chiar și atunci când parolele dvs. sunt compromise.

[mai mult...]

Cum să transmiteți pe WhatsApp mesaje care dispar sau sunt sterse

WhatsApp este o aplicație de mesagerie foarte sigură, care oferă implicit criptarea end-to-end. Totuși, aceasta oferă mai puțină protecție utilizatorului decât o fac alte aplicații de mesagerie, cum sunt Signal sau Wire. Cu toate că WhatsApp nu poate să acceseze mesajele criptate, aplicația adună o mulțime de date despre dvs. (informațiile despre cine, când și unde a trimis mesaje), precum și contactele sau alte informații de pe dispozitiv. WhatsApp partajează această informație cu compania mamă – Facebook. Facebook utilizează apoi aceste informații în scopuri comerciale și le distribuie partenerilor.

În eventualitatea unui furt de date, toate aceste date sensibile pot să fie compromise.Dacă totuși alegeți să rămâneți pe WhatsApp, aplicația oferă o platformă de mesagerie foarte eficientă și sigură, protejată prin criptarea end-to-end. Vă puteți proteja și mai mult conversațiile și fișierele pe care le partajați în aplicație, alegând ca mesajele să dispară automat și distribuind fotografii sau videouri care dispar imediat după ce sunt văzute de destinatar.

[mai mult...]

Cum vă puteți proteja datele personale pe rețelele de socializare

Dacă petreceți mult timp pe rețelele de socializare, este foarte probabil că distribuiți online o mulțime de date personale. Deseori, în diverse conturi din rețelele de socializare indicăm numele complet, școlile la care am mers, locurile de muncă, conexiunile de familie și prietenii, locurile în care locuim sau mergem des, hobby-urile și interesele, părerile politice și preferințele muzicale etc.

Toate aceste informații pot fi utilizate în defavoarea noastră. Escrocii vă pot utiliza datele personale pentru a vă copia profilul și a vă păcăli prietenii sau colegii cerându-le bani sau informații sensibile. De asemenea, ei pot utiliza informațiile adunate din rețelele dvs. de socializare pentru a vă ghici răspunsurile la întrebările de securitate de pe siteurile băncilor sau cele de dating, pentru a vă fura conturile online sau pentru a vă hărțui.

Din fericire, câteva remedieri rapide și simple enumerate mai jos vă vor ajuta să vă mențineți datele personale în siguranță, fără a renunța la utilizarea rețelelor de socializare.

[mai mult...]