Кіберзагрози: Знай ворога в 2014 році
Кіберзагрози: Знай ворога в 2014 році.
Ви знаходитесь на своєму шляху, щоб дати уявлення на конференції, коли телефон вібрує, що вказує на нову електронну пошту тільки що прибув.Маючи деякий час, ви перевірте повідомлення. Розгніваний клієнт послав його, і інформує користувача про те, що електронна пошта він отримав рекламу подія направив його в неправильний готель. У якості доказу він доклав PDF з скріншота електронній пошті. Ви відкриваєте її, і вона дійсно перераховує місце на іншому кінці міста, що той ж мережу готелів виявився власником. Це майже час, щоб почати роботу, так що ви відмітка повідомлення для боротьби з ним пізніше, і направити його в маркетинговій особи, відповідальної за флаєр подій.
Масова індивідуальні атаки електронної пошти неминуче стане звичайним явищем, недорогий в розгортанні і так ефективні, як цільові спис фішинг-атак сьогодні.
Це не просто злий електронної пошти; це цілеспрямований напад. Одержувач в даному випадку пощастило, однак. Це було випробування команда мережевої безпеки його організації провели. Цільові атаки, подібні до цього ще рідко; переважна більшість використовувати більш витончені методи.Але, як і багато атак, налаштовані по електронній пошті фішинг стає простіше і швидше виконувати завдяки автоматизації.
Захищаючи велику мережу ніколи не було важче.Дорогі системи захисту периметра, комплекс на основі хоста виявлення шкідливих програм і навіть білі списки системи звалилися, як нападники удосконалювати майже непереможну пару атак: спис фішинг і колодязі. Обидва напади застосувати стратегію віковою: Якщо захист занадто складна, щоб бити в чоло, обійти його.
У той же час, соціальна інженерія, Інтернет речей і поєднання традиційних веб-додатків, вбудованих додатків і мережевих пристроїв часто з «версій» операційних систем корпорації Майкрософт або Linux, справжніх проблем невимовні безпеки.
Щоб мати шанс перемогти ці напади, організації безпеки повинні відійти від надмірної на великих статичних оборони. Ваша стратегія, навпаки, повинна бути спрямована на гнучкій, моторною підходу, який, в поєднанні з безперервним контролем мережі, може виявити атаки рано і дозволить вчасно оборону.
Масова кастомізація мобілізує
Все частіше Facebook і LinkedIn профілі активно збирають визначити довірчі відносини і автоматично обробити більш точну шахрайське лист. У широко поширеною атакою шкідливих програм в грудні, шкідливий веб-сайт використовується методи геолокаціі , щоб обробити повідомлення "голосової пошти" з кодом міста і назва міста, відповідного одержувача. У листі стверджується, включають посилання на голосову пошту WhatsApp. WhatsApp Messenger є популярним, крос-платформний голосу по IP - додатків для мобільних пристроїв. Постраждалий натиснув на посилання і був наданий програму для виконання слухати голосову пошту.
Цей напад було зроблено більш правдоподібним, використовуючи номер телефону, як ім'я виконуваного файлу, який узгодженої код міста в IP адреса, з якого лист було скачуваних: VoiceMail_Jacksonville_ (904) 4582213.exe з'явився, коли файл був викачаний в Джексонвілле, Fla ., і VoiceMail_Wayne_ (610) 4582235.exe коли той же виконуваний файл завантажено з якого сервера IP-адресу (геолокація) зазвичай асоціюється з Уейн, штат Пенсільванія.
Smarter ботів крафта налаштоване лист великі калюжі одержувачів є тенденцією, яка, як очікується, продовжить розвиватися. Індивідуальний електронної пошти буде відрізнятися ухилитися від спаму та шкідливих програм системи виявлення. Багато з цих листів, швидше за все, досягнуть своїх цілей і достатня кількість одержувачів буде натискати на посилання або виконати вкладення.
БЕЗПЕРЕРВНИЙ МОНІТОРИНГ МЕРЕЖІ ДЛЯ БОРОТЬБИ З АТАК НОВОГО ПОКОЛІННЯ
Безперервний моніторинг мережі в режимі реального часу є менш залежною від сигнатур атак.Вона зосереджена на вихідного трафіку для виявлення мережевих аномалій і трафік, який може вказувати на компроміс.
Такі елементи керування є найбільш корисними і забувають-джерела інформації для виявлення компроміс.
- Вихідні журнали брандмауера . Міжмережеві екрани є одним з найбільш фундаментальних і поширених заходів безпеки. На додаток до дотримання поділу мережі, журнали брандмауера забезпечують важливі дані для виявлення зламаних систем. Традиційно, журнали брандмауера зосереджені на вхідного трафіку. Тим не менш, входять журнали брандмауера майже ніколи не пов'язані з фактичним порушених систем. Замість цього, запис журнали заблокований спроб підключення, як правило, забезпечують набагато більш цінні дані.Чому ваш веб-сервер намагається підключитися до сервера IRC? Чому робоча станція намагається відправити лист прямо, замість використання поштового сервера? Це вид з показників ви шукаєте.
- Журнали DNS . Firewall журнали корисні, тому що брандмауери встановлені для контролю мережевих пропускні пункти. У багатьох сучасних мереж з їх мобільних клієнтів, зв'язків VPN і географічно розгортання ІТ, брандмауери можуть бути надто розпорошені, щоб забезпечити корисні дані, і вірність даних обмежений. У цих випадках, центральні сервери DNS можуть представляти велику можливість контролювати клієнтів.Один з найбільш корисних звітів для виявлення компромісу є щоденний список з 10 кращих імен та імен хостів запитуваних що не були запитані у всіх попереднього дня.Зловмисники повинні DNS також часто використовують швидкі оновлення DNS для підтримки розподіленої інфраструктури атаки, що призводить до великої кількості запитів DNS.
- Журнали веб-сервера . Веб-сервери, як правило, найбільш уразливі загальнодоступної послуги в організації. Зокрема, якщо користувацький код розгортається, веб-сервери повинні бути під пильним контролем.Але для цього успішно, персонал перегляду журналу повинен розуміти веб-додатків і атаки, які можуть бути використані проти них.Це може бути дуже корисно, щоб просити допомоги у веб-розробників, веб-розробники регулярно контролювати журнали веб-сервера, щоб краще зрозуміти, як додатки піддаються нападу.
- Журнали Web Proxy . Весь трафік із внутрішньої мережі до зовнішніх веб-сайтів повинен пройти проксі.Проксі перевіряє і фільтрує запити, а також відповідей, і це забезпечує багатий джерело даних для виявлення не тільки атаки, але і вразливих клієнтів. Замість того, щоб просто упор на сигнатур атак, проксі також перевіряє агента користувача, господар послав і визначає з власного специфікації відповіді, такі як системи, яка не була оновлена або шкідливих програм з використанням власного рядок агента користувача замість стандартного користувача агент.
- Трафік IPv6 . Просто тому, що ніхто не говорить про це не означає, що ви його не використовуєте. Протокол IPv6 включений у всіх сучасних операційних системах.Microsoft, наприклад, спеціально не рекомендує його відключити. Ви повинні контролювати і управляти IPv6, або ви можете в кінцевому підсумку з рідної IPv6 трафіку всередині країни або тунелів IPv6 зовні, що діють в обхід свої системи моніторингу. Як мінімум, ви повинні бути в змозі виявити тунелювати IPv6 трафік переміщення демілітаризованій зоні.
- Йоханнес Б. Ульріх
Масова індивідуальні атаки електронної пошти неминуче стане звичайним явищем, недорогий в розгортанні і так ефективні, як цільові спис фішинг-атак сьогодні. Цей метод, ймовірно, буде прийнятий найближчим часом організованими злочинними синдикатами, які в свою чергу будуть потім використовувати його в масованих атак на популяції і організацій.
"Хвилиночку-Я не натискайте на посилання коли-небудь ! "Хоча це важко повірити, навіть серед професіоналів безпеки нападників допоможе вам у кінцевому підсумку, тому що ви використовувати веб-браузери і відвідувати веб-сайти.
Це не рідкість для веб-додатків, щоб покладатися на десяток чи більше зовнішніх веб-сайтів для передачі зображень, сценаріїв та інший контент, наприклад, новинні стрічки. Зусилля по скороченню цю залежність від зовнішнього вмісту не завжди 100% успішним. Компроміс будь-якого з цих зовнішніх ресурсів передбачає компроміс сайту.Зловмисник не може мати прямий доступ до будь-якої з контенту, що зберігається на сайті, але вони будуть мати доступ до людей, які відвідують його. Ті люди, які (часто несвідомо) розширили свою довіри і безпеки до іншого вмісту поставляється через сайт.
Ще отворів поливу
Експерти з безпеки вже повідомили про збільшення діра поливу атак, і ця тенденція буде продовжуватися.Напад водопій звичайно націлений на групу осіб із спільними інтересами за збитку сайту Це загальна надійним ресурсом. Часто, це в географічній зоні.RSA Розширений Threat Intelligence гравця ввів термін "водопій" після того як вони визначили злому атаку, яка використовувала ці методи.
В грудні 2013 року, повідомляє сайт Ради з міжнародних відносин (CFR), незалежний, позапартійний мозкового центру-поряд з деякими Вашингтон, округ Колумбія, сайти-був медіа загрозу, нібито на окремих осіб, зацікавлених у зовнішньополітичних і міжнародних справах США .Згідно з повідомленнями , троян заразив сайту CFR і експлуатованих нульового дня ваду в браузері Internet Explorer, що дозволило попутних завантажень для його жертв.
Привабливість атаки діра поливу є те, що вона забезпечує нападників з великою поверхнею атаки. Для цільової групи або індивіда, зловмисник повинен знайти тільки одну слабкість у великій кількості ресурсів, які використовує група. Використовуючи комбінацію відносин соціальних і технічних цільових, зловмисник може зловживати довіреної ресурсу для доступу в іншому випадку добре охоронювані додатків і систем.
В кінці грудня та на початку січня, люди, які відвідали Yahoo сайти були зустрінуті з шкідливих рекламних оголошень, або "malvertising,", при натисканні на, спрямовані користувачів до веб-сайтів, які намагалися встановити шкідливе ПЗ. У кількох доповідях зазначається, що напад Yahoo може бути частиною набагато більшого шкідливого схемою (на основі веб-плаваючі фрейми), яка зосереджується на великих інтернет-спільнотах.Порушення правил безпеки зачіпаючи велику мережу сайтів, як Yahoo іноді виявляється швидко.Більш дрібні і більш цілеспрямовані компроміси можуть залишатися непоміченими протягом декількох днів, тижнів, а в деяких випадках, місяці.
Зворотне проектування Інтернету речей
Великі традиційні веб-додатки, менші вбудованих додатків і мережевих пристроїв у поєднанні також представить собою зростаючу загрозу для мережевої безпеки. Іноді ці пристрої (міжмережеві екрани, камери безпеки, контролери кондиціонери) включені в те, що називають " Інтернету речей ". В даний час він оцінюється , що 9 млрд з цих пристроїв підключені до Інтернету, і це число зростає із загрозливою швидкістю.
Останнім часом інструменти і методи, щоб зворотне проектування вбудованих додатків, які контролюють ці пристрої істотно покращилися і стало легше отримати доступ. Stringfighter , створений IOActive Інк, автоматизує пошук вбудованих жорстко запрограмованих паролів. В результаті довгий список недавно виявлених вразливостей-від простих незмінних адміністративних паролів і підтримки бекдорів до більш тонких вразливостей додатків, таких як класичних переповнення буфера і конкретних додатків вразливостей Web.
Останнім часом, бюлетені багатьох вбудованих постачальників систем "читати далі як Open проектів веб-додатків безпеки" Топ-10 "список вразливостей веб-додатків. Навіть якщо постачальник випускає патч, ці пристрої зазвичай не мають функцію автоматичного оновлення та установки патчів може бути складніше. У той же час, ці пристрої мають вирішальне значення для мережі і бізнес-операцій.
Поряд з конкретного пристрою вразливостей, які ми зазвичай бачимо уразливості операційної системи.Багато з цих пристроїв використовуйте злегка змінені та налаштовані версії операційних систем, таких як Linux і Windows. Як порушення даних віхою на цільових корпорації болісно ілюструє, один улюбленою мішенню для зловмисників був пункт продажу (POS) систем або касових апаратів. З багатьма угод, пов'язаних платежі за кредитними і дебетовими картками, POS системи можуть бути джерелом прибуткової інформації для зловмисників, і їх розподілений характер робить його складним для моніторингу та управління їх централізовано. В грудні 2012 року, Visa випустила попередження системи безпеки для торговців на "Dexter" шкідливих програм, які були націлювання POS систем, що працюють Microsoft Windows. Шкідлива програма вкрав дані треку або смужку з пам'яті і послав його на шкідливі командно-контрольних імен та IP-адрес.
Зловмисники можуть порушити систему POS безпосередньо, якщо він буде доступний ззовні. Якщо це знаходиться за брандмауером, але використовується для завдань, таких як перегляд веб-сторінок і читання електронної пошти, зловмисники можуть використовувати ті ж самі методи, які вони використовують, щоб порушити настільних ПК, такі як списи фішингу. Вони також можуть бути в змозі заразити ці системи по узурпації мережу через уразливості в пристроях, що використовуються для управління мережею.
Зупинка невидимих істот
Як захисник, один з найбільш животрепетних питань, як захистити вашу мережу від постійно мінливих атак. Відповідь не будувати великі, статичні оборонні окопи. Оборона повинні бути спритним, і вони повинні бути проінформовані мережевого моніторингу та загрози. Дуже мало людей На сторожі безпеки систем і мереж шляхові листи регулярно . (Див. врізку "Безперервне моніторингу мережі для боротьби Next-Generation атак.") Моніторинг часто розглядається як реактивна і те, що визнається цінність тільки після того, як напад станеться.
Для обнаружения эксфильтрации данных и скрытые каналы, используемые в процессе, это очень важно не только знать, что является нормальным в вашей сети, но также быть в состоянии оценить слабые и уязвимые места пассивно. Это устраняет необходимости полагаться исключительно на периодических сканирований только в сети.
Мониторинг сети может также использоваться, чтобы существенно упростить сетевой трафик за счет устранения "болтливых" и неиспользуемых служб, что делает его легче обнаружить угрозы, уменьшения поверхности атаки и, наверно, увеличивая производительность сети.
Текущий мониторинг сети, часто является неполной и пропускает новые технологии, такие как IPv6 , которые присутствуют в большинстве сетей, но нечасто настраивается и управляется должным образом. В конце концов, это не будет машины и автоматизированные системы, которые способны адаптироваться к новым угрозам, это будет достаточно укомплектованы сети и безопасность группа с навыками, чтобы найти эти пробелы, адаптации оборону и закрыть их.
Про автора:
Йоханнес Б. Ульріх, доктор філософії, ГІКС, GCIA і GWEB, є деканом досліджень в SANS-технологічний інститут та голови дослідника на його Internet Storm Center. Слідуйте за ним на Twitter @ johullrich .
- Особливості нерухомості Італії по регіонахЩо стосується вибору типів нерухомих об'єктів, то українські громадяни воліють незалежні або стояти окремо або вілли таунхауси. Є попит на просторі апартаменти площею не менше 80 кв. м із зручною терасою і видом на море. Перевага в даному випадку най
- Міфи і реальність про еміграцію в ТаїландВзагалі класичне «тайський» житло істотно відрізняється від комплексів, орієнтованих на закордонних покупців. Тому емігранти считают за краще селитися в останніх. За тайськими законами іноземець може купити будь-тип нерухомості, однак є ряд нюансів.