Корзина
+38067-760-76-88
Контакты
ПП Будпостач: газобетон и газоблок по оптовой цене
Наличие документов
Знак Наличие документов означает, что компания загрузила свидетельство о государственной регистрации для подтверждения своего юридического статуса компании или физического лица-предпринимателя.
+38067548-64-12kyivstar
+38067760-76-88kyivstar
+38066087-53-08мтс
+38066260-00-01МТС
+38044567-53-57укртелеком
Александр Здоров, Дарья, Виктория, Надежда, Оксана.
УкраинаКиевул. Бориспольская 10 ком 6 (Дом культуры Днепр) напротив радио завода02140
Карта

Киберугрозы: Знай врага в 2014 году

Киберугрозы: Знай врага в 2014 году,Вы находитесь на своем пути, чтобы дать представление на конференции, когда телефон вибрирует, что указывает на новую электронную почту только что прибыл. Имея некоторое время, вы проверьте сообщение. Разгневанный

Киберугрозы: Знай врага в 2014 году.

Вы находитесь на своем пути, чтобы дать представление на конференции, когда телефон вибрирует, что указывает на новую электронную почту только что прибыл.Имея некоторое время, вы проверьте сообщение. Разгневанный клиент послал его, и информирует пользователя о том, что электронная почта он получил рекламу событие направил его в неправильный отель. В качестве доказательства он приложил PDF из скриншота электронной почте. Вы открываете ее, и она действительно перечисляет место на другом конце города, что тот же сеть отелей оказался владельцем. Это почти время, чтобы начать работу, так что вы отметка сообщения для борьбы с ним позже, и направить его в маркетинговой лица, ответственного за флаер событий.

Массовая индивидуальные атаки электронной почты неизбежно станет обычным явлением, недорогой в развертывании и так эффективны, как целевые копье фишинг-атак сегодня.

Это не просто зол электронной почты; это целенаправленное нападение. Получатель в данном случае повезло, однако. Это было испытание команда сетевой безопасности его организации провели. Целевые атаки, подобные этому еще редко; подавляющее большинство использовать более изощренные методы.Но, как и многие атак, настроены по электронной почте фишинг становится проще и быстрее выполнять благодаря автоматизации.

Защищая большую сеть никогда не было тяжелее.Дорогие системы защиты периметра, комплекс на основе хоста обнаружения вредоносных программ и даже белые списки системы рухнули, как нападавшие совершенствовать почти непобедимую пару атак: копье фишинг и колодцы. Оба нападения применить стратегию вековой: Если защита слишком сложна, чтобы бить в лоб, обойти его.

В то же время, социальная инженерия, Интернет вещей и сочетание традиционных веб-приложений, встроенных приложений и сетевых устройств часто с «версий» операционных систем корпорации Майкрософт или Linux, настоящих проблем невыразимые безопасности.

Чтобы иметь шанс победить эти нападения, организации безопасности должны отойти от чрезмерной на больших, статических обороны. Ваша стратегия, напротив, должна быть направлена ​​на гибкой, проворной подхода, который, в сочетании с непрерывным контролем сети, может обнаружить атаки рано и позволит своевременно оборону.

Массовая кастомизация мобилизует

Все чаще Facebook и LinkedIn профили активно собирают определить доверительные отношения и автоматически обработать более точную мошенническое письмо. В широко распространенной атакой вредоносных программ в декабре, вредоносный веб-сайт используется методы геолокации , чтобы обработать сообщение "голосовой почты" с кодом города и название города, соответствующего получателя. В письме утверждается, включают ссылку на голосовую почту WhatsApp. WhatsApp Посланник является популярным, кросс-платформенный голоса по IP- приложений для мобильных устройств. Пострадавший нажал на ссылку и был предоставлен программу для выполнения слушать голосовую почту.

Это нападение было сделано более правдоподобным, используя номер телефона, как имени исполняемого файла, который согласованной код города в IP адрес, с которого письмо было скачиваемых: VoiceMail_Jacksonville_ (904) 4582213.exe появился, когда файл был скачан в Джексонвилле, Fla ., и VoiceMail_Wayne_ (610) 4582235.exe когда тот же исполняемый файл скачан с сервера которого IP-адрес (геолокация) обычно ассоциируется с Уэйн, штат Пенсильвания.

Smarter ботов крафта настроенное письмо большие лужи получателей является тенденцией, которая, как ожидается, продолжит развиваться. Индивидуальный электронной почты будет отличаться уклониться от спама и вредоносных программ системы обнаружения. Многие из этих писем, скорее всего, достигнут своих целей и достаточное количество получателей будет нажимать на ссылки или выполнить вложения.

НЕПРЕРЫВНЫЙ МОНИТОРИНГ СЕТИ ДЛЯ БОРЬБЫ С АТАК НОВОГО ПОКОЛЕНИЯ

Непрерывный мониторинг сети в режиме реального времени является менее зависимой от сигнатур атак.Она сосредоточена на исходящего трафика для обнаружения сетевых аномалий и трафик, который может указывать на компромисс.

Следующие элементы управления являются наиболее полезными и забывают-источники информации для выявления компромисс.

  • Исходящие журналы файервола . Межсетевые экраны являются одним из наиболее фундаментальных и распространенных мер безопасности. В дополнение к соблюдения разделения сети, журналы файервола обеспечивают важные данные для обнаружения взломанных систем. Традиционно, журналы файервола сосредоточены на входящего трафика. Тем не менее, входящие журналы брандмауэра почти никогда не связаны с фактическим нарушенных систем. Вместо этого, запись журналы заблокирован попыток подключения, как правило, обеспечивают гораздо более ценные данные.Почему ваш веб-сервер пытается подключиться к серверу IRC? Почему рабочая станция пытается отправить письмо прямо, вместо использования почтового сервера? Это вид из показателей вы ищете.
  • Журналы DNS . Firewall журналы полезны, потому что брандмауэры установлены для контроля сетевых пропускные пункты. Во многих современных сетей с их мобильных клиентов, связей VPN и географически развертывания ИТ, брандмауэры могут быть слишком рассеяны, чтобы обеспечить полезные данные, и верность данных ограничен. В этих случаях, центральные серверы DNS могут представлять большую возможность контролировать клиентов.Один из самых полезных отчетов для обнаружения компромисса является ежедневный список из 10 лучших доменов и имен хостов запрашиваемых что не были запрошены у всех предыдущего дня.Злоумышленники должны DNS также и часто используют быстрые обновления DNS для поддержки распределенной инфраструктуры атаки, что приводит к большому количеству запросов DNS.
  • Журналы веб-сервера . Веб-серверы, как правило, наиболее уязвимы общедоступной услуги в организации. В частности, если пользовательский код развертывается, веб-серверы должны быть под пристальным контролем.Но для этого успешно, персонал просмотра журнала должен понимать веб-приложений и атаки, которые могут быть использованы против них.Это может быть очень полезно, чтобы просить помощи у веб-разработчиков, или веб-разработчики регулярно контролировать журналы веб-сервера, чтобы лучше понять, как приложения подвергаются нападению.
  • Журналы Web Proxy . Весь трафик из внутренней сети к внешним веб-сайтов должен пройти прокси.Прокси проверяет и фильтрует запросы, а также ответов, и это обеспечивает богатый источник данных для выявления не только атаки, но и уязвимых клиентов. Вместо того, чтобы просто упор на сигнатур атак, прокси также проверяет агента пользователя, хозяин послал и определяет из собственного спецификации ответы, такие как системы, которая не была обновлена ​​или вредоносных программ с использованием собственного строку агента пользователя вместо стандартного пользователя агент.
  • Трафик IPv6 . Просто потому, что никто не говорит об этом не означает, что вы его не используете. Протокол IPv6 включен во всех современных операционных системах.Microsoft, например, специально не рекомендует его отключить. Вы должны контролировать и управлять IPv6, или вы можете в конечном итоге с родной IPv6 трафика внутри страны или туннелей IPv6 внешне, действующие в обход свои системы мониторинга. Как минимум, вы должны быть в состоянии обнаружить туннелирован IPv6 трафик перемещения демилитаризованной зоне.

- Йоханнес Б. Ульрих

Массовая индивидуальные атаки электронной почты неизбежно станет обычным явлением, недорогой в развертывании и так эффективны, как целевые копье фишинг-атак сегодня. Этот метод, вероятно, будет принят в ближайшее время организованными преступными синдикатами, которые в свою очередь будут затем использовать его в массированных атак на популяции и организаций.

"Минуточку-Я не нажимайте на ссылки когда-либо ! "Хотя это трудно поверить, даже среди профессионалов-безопасности нападавших поможет вам в конечном итоге, потому что вы использовать веб-браузеры и посещать веб-сайты.

Это не редкость для веб-приложений, чтобы полагаться на десяток или более внешних веб-сайтов для передачи изображений, сценариев и другой контент, например, новостные ленты. Усилия по сокращению эту зависимость от внешнего содержимого не всегда 100% успешным. Компромисс любого из этих внешних ресурсов подразумевает компромисс сайта.Злоумышленник не может иметь прямой доступ к любой из контента, хранящегося на сайте, но они будут иметь доступ к людям, которые посещают его. Те люди, которые (часто неосознанно) расширили свою доверия и безопасности к другому содержимому поставляемого через сайт.

Еще отверстий полива

Эксперты по безопасности уже сообщили об увеличении дыра полива атак, и эта тенденция будет продолжаться.Нападение водопой обычно нацелен на группу лиц с общими интересами по ущерба сайта Это общая надежным ресурсом. Часто, это в географической зоне.RSA Расширенный Threat Intelligence игрока ввел термин "водопой" после того как они определили взлома атаку, которая использовала эти методы.

В декабре 2013 года, сообщает сайт Совета по международным отношениям (CFR), независимый, беспартийный мозгового центра-наряду с некоторыми Вашингтон, округ Колумбия, сайты-был медиа угрозу, якобы на отдельных лиц, заинтересованных в внешнеполитических и международных делах США .Согласно сообщениям , троян заразил сайта CFR и эксплуатируемых нулевого дня изъян в Internet Explorer, что позволило попутных загрузок для его жертв.

Привлекательность атаки дыра полива является то, что она обеспечивает нападавших с большой поверхностью атаки. Для целевой группы или индивида, злоумышленник должен найти только одну слабость в большом количестве ресурсов, которые использует группа. Используя комбинацию отношений социальных и технических целевых, злоумышленник может злоупотреблять доверенного ресурса для доступа в противном случае хорошо охраняемые приложений и систем.

В конце декабря и начале января, люди, посетившие Yahoo сайты были встречены с вредоносных рекламных объявлений, или "malvertising,", при нажатии на, направлены пользователей к веб-сайтам, которые пытались установить вредоносное ПО. В нескольких докладах указывается, что нападение Yahoo может быть частью гораздо большего вредоносного схеме (на основе веб-плавающие фреймы), которая сосредотачивается на крупных интернет-сообществах.Нарушение правил безопасности затрагивая большую сеть сайтов, как Yahoo иногда обнаруживается быстро.Более мелкие и более целенаправленные компромиссы могут оставаться незамеченными в течение нескольких дней, недель, а в некоторых случаях, месяцы.

Обратное проектирование Интернета вещей

Большие традиционные веб-приложения, меньшие встроенных приложений и сетевых устройств в сочетании также представит собой растущую угрозу для сетевой безопасности. Иногда эти устройства (межсетевые экраны, камеры безопасности, контроллеры кондиционеры) включены в то, что называют " Интернета вещей ". В настоящее время он оценивается , что 9 млрд из этих устройств подключены к Интернету, и это число растет с угрожающей скоростью.

В последнее время инструменты и методы, чтобы обратное проектирование встроенных приложений, контролирующие эти устройства существенно улучшились и стало легче получить доступ. Stringfighter , созданный IOActive Инк, автоматизирует поиск встраиваемых жестко запрограммированных паролей. В результате длинный список недавно обнаруженных уязвимостей-от простых неизменяемых административных паролей и поддержки бэкдоров до более тонких уязвимостей приложений, таких как классических переполнение буфера и конкретных приложений уязвимостей Web.

В последнее время, бюллетени многих встраиваемых поставщиков систем "читать далее как Open проектов веб-приложений безопасности" Топ-10 "список уязвимостей веб-приложений. Даже если поставщик выпускает патч, эти устройства обычно не имеют функцию автоматического обновления и установки патчей может быть сложнее. В то же время, эти устройства имеют решающее значение для сети и бизнес-операций.

Наряду с конкретного устройства уязвимостей, которые мы обычно видим уязвимости операционной системы.Многие из этих устройств используйте слегка измененные и настроенные версии операционных систем, как Linux и Windows. Как нарушение данных вехой на целевых корпорации болезненно иллюстрирует, один излюбленной мишенью для злоумышленников был пункт продажи (POS) систем или кассовых аппаратов. Со многими сделок, связанных платежи по кредитным и дебетовым картам, POS системы могут быть источником прибыльной информации для злоумышленников, и их распределенный характер делает его сложным для мониторинга и управления их централизованно. В декабре 2012 года, Visa выпустила предупреждение системы безопасности для торговцев на "Dexter" вредоносных программ, которые были таргетинга POS систем, работающих Microsoft Windows. Вредоносная программа украл данные трека или полоску из памяти и послал его на вредоносные командно-контрольных доменов и IP-адресов.

Злоумышленники могут нарушить систему POS непосредственно, если он будет доступен извне. Если это находится за брандмауэром, но используется для задач, таких как просмотр веб-страниц и чтения электронной почты, злоумышленники могут использовать те же самые методы, которые они используют, чтобы нарушить настольных ПК, такие как копья фишинга. Они также могут быть в состоянии заразить эти системы по узурпации сеть через уязвимости в устройствах, используемых для управления сетью.

Остановка невидимых существ

Как защитник, один из самых животрепещущих вопросов, как защитить вашу сеть от постоянно меняющихся атак. Ответ не строить большие, статические оборонительные окопы. Оборона должны быть ловким, и они должны быть проинформированы сетевого мониторинга и угрозах. Слишком мало людей На страже безопасности систем и сетей путевые листы регулярно . (См. врезку "Непрерывное мониторинга сети для борьбы Next-Generation атак.") Мониторинг часто рассматривается как реактивная и то, что признается ценность только после того, как нападение произойдет.

Для обнаружения эксфильтрации данных и скрытые каналы, используемые в процессе, это очень важно не только знать, что является нормальным в вашей сети, но также быть в состоянии оценить слабые и уязвимые места пассивно. Это устраняет необходимости полагаться исключительно на периодических сканирований только в сети.

Мониторинг сети может также использоваться, чтобы существенно упростить сетевой трафик за счет устранения "болтливых" и неиспользуемых служб, что делает его легче обнаружить угрозы, уменьшения поверхности атаки и, наверно, увеличивая производительность сети.

Текущий мониторинг сети, часто является неполной и пропускает новые технологии, такие как IPv6 , которые присутствуют в большинстве сетей, но нечасто настраивается и управляется должным образом. В конце концов, это не будет машины и автоматизированные системы, которые способны адаптироваться к новым угрозам, это будет достаточно укомплектованы сети и безопасность группа с навыками, чтобы найти эти пробелы, адаптации оборону и закрыть их.

Об авторе: 
Йоханнес Б. Ульрих, доктор философии, ГИКС, GCIA и GWEB, является деканом исследований в SANS-технологический институт и головы исследователя на его Internet Storm Center. Следуйте за ним на Twitter  @ johullrich . 

facebook twitter
Предыдущие новости
  • Ждать ли краха доллара?
    Ждать ли краха доллара?
    Ждать ли краха доллара?И сегодня, и в ближайшем будущем доллар остается основной мировой валютой. Среди валют других государств никаких серьезных альтернатив ему в ближайшие годы не видно. Восстановление золота как полноценных мировых денег если и...
    Полная версия новости
  • Что будет с рублем?
    Что будет с рублем?
    Что будет с рублем?В случае обострения мирового экономического кризиса, рубль, скорее всего, заметно ослабнет. Новый этап девальвации рубля может пройти гораздо быстрее, чем в 2008–2009 годах, но велики шансы на то, что он окажется менее глубоким....
    Полная версия новости
  • Каковы перспективы евро?
    Каковы перспективы евро?
    Каковы перспективы евро?Буря, бушевавшая над Европой во время событий в Греции и на Кипре, закончилась. Об отмене евро или выходе из зоны единой европейской валюты отдельных стран уже практически никто не вспоминает, а сам евро по отношению к...
    Полная версия новости