Aktualności

Równoległa wojna w cyberprzestrzeni grafika
18.03.2022
Integrity Partners

Równoległa wojna w cyberprzestrzeni

Wzrost cyberataków na kluczowe instytucje
Rosnące napięcia geopolityczne doprowadziły do ​​eskalacji ryzyka cyberataków.

Codziennie słyszymy o masowych blokadach stron rządowych, dużych przedsiębiorstw, czy nawet serwisów streamingowych, które przestają funkcjonować pod naporem ataków DDoS.

FBI i Departament Bezpieczeństwa Wewnętrznego USA szczególnie ostrzegają przed cyberatakami na krytyczną infrastrukturę narodową.

W tym artykule przedstawimy charakterystykę poważnych zagrożeń, które pojawiały się w ostatnim czasie, a także odpowiemy na pytanie jak skutecznie ochronić przedsiębiorstwo.
Rodzaje cyberzagrożeń
„HermeticWiper”

Już w 2017 roku pojawiło się jedno z poważniejszych zagrożeń, którym jest złośliwe oprogramowanie typu wiper, takie jak NotPetya stworzone przez rosyjskie służby wywiadowcze do wykorzystania przeciwko celom na Ukrainie. Podobne oprogramowanie zostało wykorzystane także w styczniu 2022 r. i ponownie 23 lutego, wraz z najnowszą odmianą nazwaną przez badaczy z firmy Symantec i ESET jako „HermeticWiper”.

„HermeticWiper” ma charakterystykę i zachowanie ransomware, ale idzie o krok dalej i niszczy systemy zamiast szyfrować dane dla okupu. Oprogramowanie to zostało wykorzystane na kilka godzin przed rosyjskim atakiem na Ukrainę, prawdopodobnie po to, aby utrudnić działania ukraińskich firm i instytucji w pierwszych godzinach ataku.
Ataki ransomware za pośrednictwem poczty e-mail
Typowy wektor dostarczenia ransomware to poczta e-mail lub wykorzystanie podatnej na ataki infrastruktury internetowej. Różne źródła podają, że infekcji HermeticWiper dokonano wykorzystując znane podatności w Exchange kilka miesięcy wcześniej, ale dokładny wektor ataku mógł być różny dla poszczególnych instytucji.

W przypadku udanych ataków ransomware za pośrednictwem poczty e-mail zazwyczaj mamy później do czynienia z połączeniami z nietypowym adresem IP/domeną lub pobraniem złośliwego pliku.

Podczas wojny hybrydowej celem ataków często staje się infrastruktura krytyczna, która pełni szczególną rolę dla obywateli. Atakowane mogą być:

infrastruktura państwa agresora,
infrastruktura państwa, które się broni
infrastruktura krajów, które pośrednio lub bezpośrednio wspierają jedną ze stron konfliktu.

Charakterystyka sieci przemysłowych czyni je szczególnie podatnymi na ataki. Oprogramowanie w sieciach tego typu jest rzadko aktualizowane, ze względu na możliwy przestój w działaniu systemów, co wiąże się z dodatkowymi stratami. Niestety często też zapomina się w sieciach tego typu o odpowiedniej segmentacji a nawet oddzieleniu tej sieci od klasycznej sieci IT. W konsekwencji włamanie do sieci IT często skutkuje także zdobyciem przyczółku przez atakującego również w sieci przemysłowej.
Widoczność i identyfikacja zagrożeń
Do wykrywania tego typu zagrożeń dobrym rozwiązaniem są systemy wykrywające anomalie, które są w stanie zareagować na zagrożenia typu zero-day nawet, jeśli nie ma dostępnych sygnatur, które pozwoliłyby na ich wykrycie.

Taka aktywność może być zwykle zidentyfikowana przez rozwiązania typu Network Behavior Anomaly Detection lub EDR. Następnie wykrywane są zazwyczaj zachowania typu lateral movement oraz potencjalnie eksfiltracja danych na zewnątrz organizacji. Samo usuwanie danych może być trudniejsze do wykrycia, jeśli wykonywane jest lokalnie na zainfekowanym systemie.
Sieci przemysłowe
Klasyczne rozwiązania cyberbezpieczeństwa dla IT są niewystarczające dla sieci przemysłowych, z uwagi na ich odmienną specyfikę. Dlatego też najlepiej jest stosować rozwiązania specjalnie dedykowane do takich celów. Zabezpieczenie środowiska OT powinno obejmować kilka obszarów, w tym:

Widoczność wszystkich urządzeń przemysłowych;
Zarządzanie aktualizacjami;
Stosowanie odpowiednich zabezpieczeń, dedykowanych dla sieci OT np. Firewalle, IPS, IDS;
Monitorowanie ruchu sieciowego wraz ze wsparciem obsługi protokołów charakterystycznych dla tej sieci;
Segmentację sieci;
Analizę ryzyka wpływu ataków na infrastrukturę przemysłową;
Monitorowanie incydentów oraz procedury reagowania na zagrożeń;
Świadomość zagrożeń.

W efekcie wdrożenie kompletnego procesu i technologii zabezpieczających środowiska OT jest niezwykle czasochłonnym i skomplikowanym procesem. Stąd, w pierwszej kolejności warto rozważyć narzędzia, które w czasie rzeczywistym monitorują anomalie i potrafią zablokować atak. Takie rozwiązania będą frontem obrony przed hakerami i zminimalizują ryzyko wystąpienia incydentu, a co za tym idzie, często katastrofalnych jego skutków.

Proaktywne blokowanie zagrożeń w czasie rzeczywistym

Ostatnio, w odwecie na rosyjski atak na Ukrainę, grupa haktywistów „Anonymous” przeprowadziła kilka operacji mających na celu tzw. defacement i zaburzenie działania rosyjskiej infrastruktury przemysłowej. Jednym z udanych ataków, o którym ostatnio jest głośno jest włamanie do systemu kontroli dystrybucji gazu należącego do rosyjskiej firmy Tvingo Telecom. Po uzyskaniu zdalnego dostępu do sterownika grupa zmodyfikowała parametry pracy systemu, doprowadzając do wzrostu ciśnienia w instalacji i niemal doprowadzając do eksplozji. Przed eksplozją instalacji uchroniła podobno szybka reakcja operatora na miejscu zdarzenia.

Powyższy przykład pokazuje jak ważne jest proaktywne blokowanie zagrożeń w czasie rzeczywistym. Niedoskonałości zabezpieczeń sieci przemysłowych mogą doprowadzić nie tylko do pojedynczych zakłóceń przemysłu, ale też katastrofalnych skutków np. w postaci całkowitego wyłączenia procesu dostarczania energii elektrycznej (“blackout”) czy zniszczeń wynikających z zakłócenia działania urządzeń. A skutki takich ataków bezpośrednio mogą przełożyć się na zdolność Państwa do odpierania ataków nieprzyjaciela.

Powyższe zagrożenia powinny, a nawet muszą być wykrywane narzędziami monitorującymi anomalie w sieci. Z racji swojej charakterystyki sieci OT są raczej statyczne, więc każdy rodzaj nietypowej zmiany może zostać wykryty przez to narzędzie.
3. stopień alarmowy CRP na terytorium całego kraju przedłużony
Mimo, że głównym celem tego typu działań na ten moment jest Ukraina, to również polskie firmy i instytucje mogą być celem tego typu ataków, szczególnie w związku z deklaracją udzielenia wsparcia Ukrainie. Dlatego też w najbliższym czasie należy szczególną uwagę zwrócić na bezpieczeństwo naszej organizacji i zapewnić jej ochronę przynajmniej w podstawowym zakresie.

Warto także nadmienić, że w ostatnim czasie zostało podpisane zarządzenie przedłużające obowiązywanie trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terytorium całego kraju do 15 marca 2022 r. do godz. 23:59. Ostrzeżenie zostało wprowadzone w celu przeciwdziałania zagrożeniom w cyberprzestrzeni.

Jeśli Twoja firma padła ofiarą ataku lub potrzebuje wsparcia w zabezpieczeniu infrastruktury skontaktuj się z nami.

27.01.2022
Przemysław Cybulski

Monitorowanie bezpieczeństwa usług biznesowych oraz infrastruktury krytycznej

W tym artykule, poznasz kompleksowe podejście do tematu monitorowania bezpieczeństwa usług biznesowych oraz infrastruktury krytycznej, a co za tym idzie – podłączania systemów źródłowych do systemu SIEM (ang. Security Information and Event Management System). Co to oznacza?

Podczas planowania polityki monitorowania systemów i usług powinniśmy pamiętać, by obejmowało ono  całą ścieżkę przetwarzania informacji. Tylko kompleksowe, wielopoziomowe podejście może odpowiednio wspomóc nas w monitorowaniu i wykrywaniu incydentów.  

Oczywiście, żaden system nie zagwarantuje nam 100% bezpieczeństwa. Rozwój zagrożeń jest obecnie tak szybki, że potrafią one ewoluować już z dnia na dzień. Dobrze przemyślane wdrożenie – w szczególności podłączenie właściwych systemów źródłowych (z odpowiednim poziomem logowania zdarzeń) zwiększy prawdopodobieństwo na detekcję niepożądanych zdarzeń. Wyznacznikiem do monitorowania usług są obowiązujące przepisy prawa, normy czy standardy. Należy również pamiętać, że najlepsze praktyki w zakresie wdrożenia polityki bezpieczeństwa w organizacjach, zobowiązują do monitorowania i wykrywania incydentów bezpieczeństwa, jak również ich późniejszej obsługi.

W tym artykule znajdziesz informacje na temat podejścia do podłączania systemów źródłowych z punktu widzenia zespołu planującego wdrożenie monitorowania usługi biznesowej:

Jak przeprowadzić proces podłączenia systemów?
Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?

Proces podłączania systemów źródłowych do systemu SIEM

Załóżmy, że posiadamy już zamkniętą listę usług biznesowych, z podziałem na ich krytyczność, przypisanych właścicieli oraz osoby merytoryczne (czytaj – użytkownicy oraz administratorzy aplikacji). Nasze prace związane z monitorowaniem usługi biznesowej powinniśmy rozpocząć od inwentaryzacji systemów biorących udział w przetwarzaniu informacji przez tą usługę. Zależnie od organizacji, możemy je podzielić zgodnie z poniższą tabelą:

Jest to tylko przykład. Generalnie chodzi o to, abyśmy mieli pełną świadomość, jakie elementy naszej infrastruktury „biorą” udział w przetwarzaniu informacji.

Z punktu widzenia bezpieczeństwa wszystkie elementy (rodzaje systemów) mogą mieć wpływ na działanie takiej usługi. Dlatego istotne jest, aby zbierać/przesyłać zdarzenia do systemu SIEM, ze wszystkich warstw systemu, nie punktowo lub jednowymiarowo. Mając „pod ręką” zdarzenia z różnych systemów mamy możliwość ich korelacji co pozwoli na szybsze wykrycie zdarzenia/incydentu bezpieczeństwa oraz adekwatną reakcję. Jednocześnie należy pamiętać o właściwym zabezpieczeniu tych systemów przed zagrożeniami zewnętrznymi oraz wewnętrznymi (np. regularne aktualizacje, hardening). Niniejszy artykuł nie obejmuje swoim zakresem sposobów zabezpieczenia systemów. Patrząc na powyższą tabelę, łatwo dojść do wniosku, że systemy Infrastrukturalne oraz Bezpieczeństwa należy podłączyć do systemu SIEM, ponieważ należą do części wspólnej dla większości monitorowanych aplikacji (systemów biznesowych). Oczywiście wspominam w tym miejscu o klasycznej infrastrukturze, niewchodzącej w skład infrastruktury OT, która powinna być w jakiś sposób odizolowana.

Zatem, w pierwszej kolejności powinniśmy nasze prace rozpocząć od podłączenia systemów Infrastrukturalnych oraz Bezpieczeństwa. Podłączając każdy system powinniśmy się kierować co najmniej następującymi wytycznymi:

Ustalić z administratorem i skonfigurować właściwy poziom logowania. Właściwy, to znaczy taki, który pozwoli nam stworzyć potrzebne reguły bezpieczeństwa. Można zacząć od standardowych polityk. W kolejnym etapie wdrożenia można zmodyfikować niniejszy zakres.

Przykłady:

– Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;-

– Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa).  Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie,  czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.

Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;
Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa).  Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie,  czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.
Połączenia z systemów źródłowych do systemu SIEM i z powrotem, na potrzeby przekazania zdarzeń powinny być szyfrowane przy wykorzystaniu protokołów oraz algorytmów uznanych powszechnie za bezpieczne.
W warstwie transportowej zdarzenia powinny być przesyłane za pomocą protokołu TCP. Zapewni to wyższą niezawodność w transporcie logów do systemu SIEM, niż protokół UDP. Podejmując decyzję wysyłania logów za pomocą protokołu UDP (czytaj – mniejszy narzut ruchu sieciowego), akceptujemy większe ryzyko niedostarczenia pewnej ilości logów, chociażby z powodu krótkiej przerwy w działaniu sieci.
Dla systemów zlokalizowanych w strefach „mniej zaufanych”, np. DMZ, system SIEM powinien być tak skonfigurowany, aby zdarzenia z tych segmentów były pobierane z sieci LAN (czytaj z LAN do DMZ). Nigdy w odwrotną stronę, czyli ruch sieciowy z DMZ do LAN, ponieważ w ten sposób możemy sami ułatwić „ścieżkę” dostępu do systemów zlokalizowanych wewnątrz naszej sieci potencjalnemu atakującemu.
Należy stosować różne, dedykowane konta serwisowe na potrzeby pobierania zdarzeń, z poszczególnych typów systemów. Jeżeli jesteśmy zmuszeni zapisać poświadczenia w pliku w postaci niezaszyfrowanej, należy ograniczyć uprawnienia do niezbędnego minimum.
Przeanalizować logi pod kątem anonimizacji wybranych kategorii zdarzeń. Wiele systemów potrafi zanonimizować wybrane wartości pola w zdarzeniu. Jeżeli istnieje uzasadniona potrzeba „ukrycia” pewnych informacji w myśl zasady minimalizacji przetwarzanych informacji, system SIEM powinien być w ten sposób skonfigurowany. Przykładowymi informacjami, które mogłyby być poddane zanonimizowaniu będą: numery kart kredytowych, dane osobowe, hasła. Wszystko zależy od kontekstu przetwarzanych informacji i potrzeby utworzenia scenariuszy bezpieczeństwa.
Skonfigurować system SIEM w zakresie monitorowania systemów źródłowych pod kątem odbierania logów. Administratorzy systemu powinni być powiadamiani w sytuacji gdy system źródłowy przestał przesyłać zdarzenia.

Posiadając „podłączone” do SIEM-a (skonfigurowane do przekazywania logów) systemy infrastrukturalne oraz bezpieczeństwa, możemy rozpocząć konfigurację podłączeniową systemów aplikacyjnych. Oczywiście proces podłączenia systemu aplikacyjnego zależy od jego możliwości oraz zdolności jakie daje system SIEM.

Ważnym elementem jest rozmowa z osobą z ramienia właściciela systemu. To zazwyczaj użytkownik/administrator ma największą wiedzę w organizacji, zarówno od strony możliwości podłączeniowej aplikacji, ale również, co w systemie można nazwać normalnym zachowaniem, a co anomalią/zdarzeniem/incydentem. Na tej podstawie administrator systemu SIEM powinien wybrać optymalną metodę podłączenia systemu.

W kolejnej fazie wdrożenia, analityk we współpracy z administratorem i/lub użytkownikiem aplikacji powinni uzgodnić scenariusze bezpieczeństwa.

Kolejnym istotnym elementem naszych czynności powinno być upewnienie się, że systemy bezpieczeństwa służące do wykrywania incydentów (takie jak IPS/IDS, WAF) poddają inspekcji cały ruch sieciowy (czytaj – istnieje potrzeba deszyfracji ruchu) kierowany z/do aplikacji. Tylko w ten sposób możemy przekazać z systemów bezpieczeństwa do systemu SIEM, wszystkie informacje o wykrytych incydentach.

Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?

               W początkowej fazie wdrożenia systemu warto wziąć pod uwagę kilka istotnych elementów, które powinny zostać przeanalizowane, następnie wykonane w systemie. Chodzi przede wszystkim o właściwą konfigurację, która zapewni odpowiednie działanie systemu, które przełożyć możemy na główne korzyści funkcjonowania naszego SIEM-a.

Integracja z innymi systemami

Poniższa lista systemów ma charakter przykładowy. Każda organizacja zależnie od potrzeb powinna przeanalizować to indywidualnie i podjąć właściwą decyzję w zakresie integracji. Spora część poniższych zaleceń może wydawać się oczywista. Jednak dosyć często można zauważyć, integrację z systemami z pominięciem pewnych czynności. To właśnie kompleksowe podejście zwiększa bezpieczeństwo naszego systemu/organizacji.

Dla wysyłania powiadomień, potrzebna jest integracja z systemem pocztowym. Do tego celu warto wykorzystać uwierzytelnianie dedykowanym użytkownikiem. Pamiętajmy aby nie pozostawić serwerów tzw. Open Relay (niezabezpieczony serwer przed nieautoryzowanym wykorzystaniem). Ważne jest, aby komunikacja z takim systemem była szyfrowana.
Do uwierzytelniania warto wykorzystać usługę katalogową (np. Active Directory), z zaimplementowanym szyfrowaniem komunikacji.
Synchronizacja czasu to podstawowy element działania każdego systemu, dlatego SIEM powinien być zintegrowany z serwerem czasu w każdej organizacji.
Zależnie od naszej polityki backupu może być konieczna integracja z systemem backupu. Zatem takie wymaganie może wiązać się z instalacją agenta na każdym z systemów operacyjnych naszego SIEM-a. Odnośnie instalacji na wirtualnych hostach, raczej nie powinniśmy mieć większych problemów, ale z instalacją na tzw. fizycznych appliance-ach powinniśmy być ostrożni. Taki „gotowy”, fizyczny appliance, posiada system operacyjny przygotowany przez producenta. Agent backupu może wymagać instalacji dodatkowych pakietów. Pamiętajmy, że podczas procesu aktualizacji SIEM-a, będziemy zmuszeni przeanalizować tą zależność, aby nie mieć problemów z przeprowadzeniem aktualizacji systemu. Może być potrzeba podmontowania dodatkowego repozytorium, z którego system będzie musiał pobrać nowsze wersje pakietów dla agenta backup. Inne rozwiązanie to odinstalowanie wcześniej zainstalowanych dodatkowych pakietów, aktualizacja systemu i finalnie zainstalowanie nowych pakietów agenta.
Posiadając system Help Desk, który pełni rolę systemu zgłoszeń/incydentów, warto wykonać integrację z systemem SIEM, który przekaże informacje w zakresie wystąpienia określonego incydentu. Niniejsza integracja pozwoli nam zautomatyzować pewną część procesu zarządzania incydentami (np. zgłoszenie będzie utworzone w trybie automatycznym oraz przydzielone właściwej grupie na 1. linii wsparcia).
Wiele organizacji integruje swoje SIEM-y z platformami, które dostarczają informacje na temat wskaźników włamań tzw. IOC (ang. Indicator of compromise). Systematycznie aktualizowane i pobierane przez system SIEM, są porównywane z wartościami tej samej kategorii, znajdujących się w zdarzeniach z systemów źródłowych. W ten sposób można znaleźć np. potwierdzenie komunikacji hosta z naszej sieci, który komunikował się z adresem sklasyfikowanym jako „niebezpieczny”.

Retencja przechowywanych zdarzeń bezpieczeństwa

Długość okresu przechowywania zdarzeń bezpieczeństwa powinien zależeć przede wszystkich od wymagań prawnych oraz do jakich zadań wykorzystujemy nasze logi. Wyjaśniając: możemy podzielić zdarzenia przetwarzane w systemie SIEM na co najmniej dwie kategorie (bieżące – to te które wyzwalają nam nowe incydenty, archiwalne – to zdarzenia, które wykorzystujemy do analizy, weryfikacji, potwierdzenia incydentów/zdarzeń, które wystąpiły jakiś czas temu). Jak się zapewne domyślacie, taki podział generuje nam konkretne wymagania, które powinniśmy uwzględnić.

Dla zdarzeń bieżących proponuję maksymalnie 1 miesiąc przechowywanych zdarzeń. Nic nie stoi na przeszkodzie aby było to również 14 dni. Tego typu logi powinny być przechowywane na szybszych dyskach (np. SSD), ze względu na potrzebę szybkiego dostępu do danych oraz jak najszybszą potrzebę przetwarzania danych, finalnie utworzenia właściwych incydentów. Przydzielając zasoby dyskowe, powinniśmy odpowiedzieć na kluczowe pytanie: W jakim okresie czasowym będziemy potrzebowali przeszukiwać tego typu zdarzenia według przyjętych kryteriów?
Dla zdarzeń archiwalnych zalecane są wolniejsze dyski, ponieważ nie potrzebujemy aż tak szybkiego dostępu do wyników wyszukiwania. Akceptujemy dłuższy okres oczekiwania na rezultaty przeszukiwania logów. Rozmiar przestrzeni powinniśmy określać przede wszystkim w oparciu o obowiązujące przepisy prawa. Bardzo często, wiele organizacji jest zobligowanych do przechowywania zdarzeń ze względu np. na potrzebę rozliczalności użytkowników lub potwierdzenia komunikacji z adresami zidentyfikowanymi jako niebezpieczne.
Spora część rozwiązań daje możliwość ustawienia retencji zależnie od rodzaju logów. Załóżmy, że zdarzenia z Firewall-i, z jakiegoś powodu musimy przechowywać 2 lata, a zdarzenia z systemów operacyjnych 1 rok.

Wykorzystanie najlepszych baz wiedzy na potrzeby stworzenia scenariuszy bezpieczeństwa

Aktualnie znaną i polecaną bazą wiedzy w tym zakresie jest MITRE ATT&CK (https://attack.mitre.org/), która bazuje na najlepszej wiedzy i doświadczeniu ekspertów bezpieczeństwa. Podstawą wyżej wymienionego framework-u są tzw. taktyki oraz techniki. Zależnie od stosowanej technologii mamy możliwość szybkiego zapoznania się z atakami oraz zaleceniami ochrony przed nimi. W odniesieniu do szczegółowych informacji publikowanych w MITRE ATTA&CK, można utworzyć bardzo dużo scenariuszy, które znacząco podniosą dojrzałość organizacji w zakresie wykrywania incydentów bezpieczeństwa.

Minimalizacja uprawnień

Bardzo często pomijany element całej układanki.  Powinniśmy zadbać o to, aby system albo usługa były uruchamiane i pracowały z uprawnieniami, które wystarczą do prawidłowej pracy. W tym przypadku powinniśmy kierować się zasadą minimalizacji. Jeśli producent wspiera taką konfigurację, to tak należy zrobić, czyli uruchamiać usługi z uprawnieniami dedykowanego użytkownika (nieposiadającego uprawnień administracyjnych). Nie konfigurujmy/uruchamiajmy usług naszego systemu z wykorzystaniem użytkowników typu root/Administrator. W przypadku ataku, wykorzystanie błędu w takiej usłudze o wiele bardziej narazi system na włamanie. Oczywiście tę czynność zazwyczaj wykonujemy na etapie instalacji lub początkowej konfiguracji. Możemy jednak to zrobić, nawet gdy „zastaliśmy” w taki sposób skonfigurowany system.

Lokalny Firewall

Po pierwsze, nie wyłączaj lokalnego Firewall-a! Dodawaj reguły tylko dla skonfigurowanych usług na potrzeby prawidłowej pracy systemu. Filtracja ruchu przez lokalny firewall to również ważna kwestia bezpieczeństwa systemu. Nie zapominajmy o tym. W pewnych okolicznościach może się okazać, że to była ostatnia deska ratunku.

Podsumowanie

               Temat monitorowania usługi biznesowej to dosyć złożony proces. W mojej ocenie najważniejsze elementy tego procesu to podłączenie właściwych systemów oraz integracja z właściwymi elementami infrastruktury organizacji. Tylko kompleksowe podejście do tematu zapewni nam odpowiedni poziom monitorowania usługi biznesowej za pomocą systemu SIEM. Z punktu widzenia zespołów bezpieczeństwa tego typu system, jest głównym narzędziem w codziennej pracy. Mając zdarzenia bezpieczeństwa w jednym systemie, zespoły wszystkich linii wsparcia mogą czerpać z niego wiele korzyści.

Wychodząc naprzeciw oczekiwaniom naszych Klientów, świadczymy wsparcie na każdym etapie wdrożenia systemów SIEM. Rozpoczynając od planowania samego wdrożenia, kończąc na implementacji scenariuszy bezpieczeństwa oraz integracji z systemami typu SOAR, aby zautomatyzować pewne procesy dla całej organizacji.

Manifest wielostronny w sprawie cyberprzestępczości
17.01.2022
Integrity Partners

Manifest wielostronny w sprawie cyberprzestępczości

W styczniu 2022 r. państwa członkowskie Organizacji Narodów Zjednoczonych (ONZ) rozpoczynają negocjacje w sprawie nowej globalnej konwencji o cyberprzestępczości, uruchamiając wieloletni proces mający na celu zwiększenie międzynarodowych zdolności prawnych do zwalczania naruszeń w sieci.  
Wysiłki te wzbudziły jednak obawy, że nowy traktat może podważyć prawa człowieka lub istniejące systemy współpracy międzynarodowej. Mając to na uwadze, we wrześniu ubiegłego roku Cybersecurity Tech Accord połączył siły z CyberPeace Institute, by wspólnie opublikować manifest – Multistakeholder Manifesto on Cybercrime.
Chociaż traktat może potencjalnie poprawić współpracę międzynarodową, wiele osób obawia się, że inicjatywa ta stanowi okazję dla rządów do ograniczenia wolności słowa w Internecie, a także podważenia istniejących międzynarodowych instrumentów współpracy. Powyższe obawy wynikają z oświadczeń państw, które już przedłożyły swoje stanowisko w sprawie nowego traktatu.

 
Ponadto niektóre z tych oświadczeń nie zawierają żadnej wzmianki o tym, w jaki sposób nowa konwencja dotycząca cyberprzestępczości powinna uwzględniać prawa człowieka. Niepokojące jest to, że jednymi z najgłośniejszych zwolenników nowego traktatu o cyberprzestępczości są rządy, które od dawna przymykają oko na operacje cyberprzestępcze odbywające się w ich własnych granicach.
Podczas gdy część rządów złożyło wstępne oświadczenia, wiele innych nie określiło, co należy traktować priorytetowo i jak podejść do konstruowania nowego, międzynarodowego instrumentu walki z cyberprzestępczością. To właśnie dla tej społeczności państw opracowano Manifest Wielostronny, który został zatwierdzony przez ponad 60 podmiotów z całego społeczeństwa obywatelskiego, sektora prywatnego i liderów myśli.
Manifest wyjaśnia, że nowa konwencja dotycząca cyberprzestępczości nie może być negocjowana za zamkniętymi drzwiami i musi priorytetowo traktować potrzeby ofiar nad potrzebami państw. Ten proces musi być tak przejrzysty i oparty na konsensusie, jak to tylko możliwe, ponieważ jego wynik będzie miał poważne konsekwencje dla organizacji, osób i społeczeństwa.
W 2018 roku dołączyliśmy do globalnej inicjatywy Tech Accord jako sygnatariusz wspierający walkę z cyberprzestępczością. Tym samym zależy nam, by Manifest służył jako cenne źródło informacji dla rządów i interesariuszy na całym świecie. Chcemy zapewnić szeroki dostęp do dokumentu, dlatego również i my publikujemy na naszej stronie internetowej oryginalny tekst Manifestu. Mamy nadzieję, że wszystkie strony zaangażowane w proces negocjacji nowej konwencji w sprawie cyberprzestępczości zastanowią się i poprą przedstawione w niej zasady.
Pobierz Manifest w języku angielskim

Micro Focus z prestiżowym wyróżnieniem Customers' Choice od Gartnera!
14.01.2022
Integrity Partners

Micro Focus z prestiżowym wyróżnieniem „Customers’ Choice” od Gartnera!

Gartner opublikował raport Gartner Peer Insights 2021 „Voice of the Customer” for SIEM, w którym Micro Focus otrzymał wyróżnienie „Customers’ Choice” za platformę CyberRes ArcSight. Rozwiązanie otrzymało doskonałe oceny klientów i cieszyło się dużym zainteresowaniem wśród użytkowników.

Jesteśmy dumni z rosnącej popularności produktu naszego Partnera, z którym współpracujemy od 2021 roku. To dla nas potwierdzenie, że oferujemy naszym Klientom najlepsze narzędzia Cyber Security.

Raport Gartnera opiera się na opiniach zweryfikowanych klientów i partnerów z branży, którzy regularnie korzystają z ArcSight i innych rozwiązań SIEM. Materiał dostępny na platformie Gartner Peer Insights jest szczególnie pomocy osobom decyzyjnym, ponieważ jest odzwierciedleniem rzeczywistych doświadczeń i potrzeb użytkowników. Dzięki tym informacjom będzie zdecydowanie łatwiej podjąć decyzję odnośnie wykorzystania ArcSight w swojej organizacji.

Więcej o rozwiązaniu ArcSight

ArcSight Enterprise Security Manager wyposaża Twój zespół w potężny, konfigurowalny SIEM, który w czasie rzeczywistym wychwytuje zagrożenia oraz wbudowany SOAR dla Twojego Zespołu Obsługi Incydentów.

Nie można walczyć z zagrożeniami których nie widać, dlatego priorytetem jest odpowiednia forma wizualizacji danych. Elastyczność i wbudowane narzędzia ArcSight pozwalają na dokładną analizę bezpieczeństwa Twojej firmy.

Dzięki funkcjom takim jak agregacja, normalizacja i wzbogacanie danych, poprzez uzupełnienie ich o informacje zewnętrznych źródeł, analitycy zyskują niezawodne narzędzie do walki z cyberzagrożeniami.

Chcesz wdrożyć rozwiązanie ArcSight w swojej organizacji?

Skontaktuj się z nami!

Przyszłość autonomicznych pojazdów - wyzwania dla cyberbezpieczeństwa
30.12.2021
Zimperium

Przyszłość autonomicznych pojazdów – wyzwania dla cyberbezpieczeństwa

Wraz z zakupem nowego auta, zwłaszcza wyższego segmentu zyskujemy niekiedy nie tylko rozbudowany system elektroniki, ale również swoiste centrum zarządzania samochodem.
Dzięki temu na przykład za pomocą smartfona jesteśmy w stanie dostosować temperaturę wnętrza zanim jeszcze do niego wsiądziemy. Możemy również uzyskać wiele informacji o stanie samochodu, liczbie przejechanych kilometrów, czy ostatnio pokonanej trasie z wykorzystaniem GPS. Parując urządzenie bluetooth z autem możemy o wiele łatwiej nawiązywać połączenia, odczytywać SMS, czy na nie odpisywać. Czy jednak tak duże nagromadzenie elektroniki nie wpływa negatywnie na przetwarzanie naszych danych? Czy auta mogą stać się celem hakerów?
Branża motoryzacyjna osiągnęła ważny kamień milowy w 2020 roku: ponad połowa samochodów sprzedawanych na całym świecie była standardowo wyposażona w łączność z Internetem. Nowoczesne pojazdy zaczęły przypominać mobilne superkomputery, z których każdy zawiera miliony linijek kodu i może przetwarzać ogromne ilości danych.
Branża motoryzacyjna podwaja ilość danych, aby poprawić wrażenia z jazdy i zarabiać na informacjach. Ale ta hiperłączność wiąże się ze znacznym ryzykiem. Na początku roku 2021 dwóch badaczy zaprezentowało, jak Tesla – i prawdopodobnie inne samochody – mogą zostać zhakowane zdalnie, bez interakcji użytkownika, za pomocą drona.

Strach pomyśleć co mogłoby się stać gdyby nie były to wyłącznie testy.
Największe domniemane zagrożenia bezpieczeństwa dla przemysłu motoryzacyjnego to:

Kradzież samochodu
Informacje o użytkowniku pozyskane w wyniku naruszenia danych
Zdalna manipulacja lub kontrola pracy samochodu, która zagraża bezpieczeństwu fizycznemu kierowców, pasażerów i innych osób na drodze

Mając na uwadze powyższe, chcieliśmy zbadać niektóre z największych wyzwań związanych z bezpieczeństwem, przed którymi stoją producenci samochodów w dającej się przewidzieć przyszłości.
Ryzyko łańcucha dostaw
Hakerzy zwracają uwagę na samochody z dostępem do Internetu. Mają wiele punktów wejścia, więc istnieje kilka sposobów na czerpanie korzyści z ataków. Od 2016 r. liczba cyberataków na pojazdy połączone z internetem wzrosła o prawie 100% rocznie.
Kradzież i zdalny rozruch o wiele prostsze
Jednym z celów wprowadzania lepszej technologii do samochodów jest uczynienie ich wygodniejszymi i bezpieczniejszymi przed kradzieżą. Przykładem jest przejście z kluczy fizycznych na karty, które wykorzystują nadajnik radiowy krótkiego zasięgu. Jednak dzisiaj wystarczy para gadżetów radiowych za 11 dolarów, aby zhakować kartę i ukraść samochód. Zdalny rozruch to kolejna funkcja, która jest coraz częściej wykorzystywana przez złodziei samochodów.
Hakowanie systemów bezpieczeństwa w podłączonych samochodach i dostępność tanich urządzeń do kradzieży, nawet tych wykonanych przy użyciu starych Nintendo Game Boys , oznacza, że ​​złodzieje mogą uzyskać dostęp do niemal każdego podłączonego samochodu, jaki tylko chcą. 
Naruszenia danych
Dzięki rozwoju technologii nowoczesne pojazdy mogą zbierać więcej danych osobowych o swoich użytkownikach – to nie tylko ułatwienie, ale również niebezpieczeństwo. Były dyrektor generalny Intela, Brian Krzanich, przewiduje że tylko jeden autonomiczny samochód zużyje 4000 GB danych dziennie. 
Niestety, różne tryby łączności takie jak:

Pojazd do sieci (V2N)
Pojazd do infrastruktury (V2I)
Pojazd do pojazdu (V2V)
Pojazd do chmury (V2C)
Pojazd do pieszego (V2P)
Pojazd do urządzenia (V2D)
Pojazd do sieci (V2G)

oraz przechowywanie informacji w niezabezpieczonych repozytoriach, to duża szansa na ich wykradzenie. Na przykład śledztwo Washington Post ujawniło, ile danych osobowych można wydobyć z używanego komputera informacyjno-rozrywkowego z Chevrolet. Ponieważ coraz więcej modeli jest dostarczanych z łącznością 4G lub 5G, hakerzy nie potrzebują nawet fizycznego dostępu do pojazdu, aby go infiltrować i wydobyć prywatne informacje.
 
Samochody wykonujące niepożądane czynności
Utopijna możliwość odebrania kontroli kierowcy przeniosła się z filmów akcji do świata rzeczywistego. Jednym z najbardziej znanych przykładów było to, że badacze włamywali się i wyłączali skrzynię biegów w Jeepie Cherokee, gdy jechał on na autostradzie z prędkością 70 mil na godzinę. To ostatecznie doprowadziło do tego, że Chrysler wycofał 1,4 miliona pojazdów. 
Zdalne przejmowanie funkcji systemu jest poważnym problemem dla pojazdów autonomicznych. Naukowcy wykazali, w jaki sposób zaawansowane systemy wspomagania jazdy (ADAS) w Tesli Model X mogą zostać oszukane, aby zmienić kierunek jazdy. By pojazdy podłączone do sieci osiągnęły swój pełny potencjał, producenci samochodów muszą przekonać organy regulacyjne i klientów, że są naprawdę bezpieczne.
Połączone aplikacje samochodowe
Aplikacje mobilne zastępujące karty to kolejny znaczący postęp, którego zaczynamy być świadkiem. Obecnie te aplikacje mogą wykonywać proste funkcje, takie jak odblokowywanie samochodu, po zaawansowane czynności, takie jak samodzielne parkowanie lub wzywanie samochodu. Wszystkie te funkcje wymagają przechowywania i przekazywania poufnych informacji z poziomu aplikacji. Dlatego zabezpieczenie danych w spoczynku i w ruchu ma kluczowe znaczenie dla zdobycia zaufania klientów.
Aby tak się stało, twórcy aplikacji muszą nadać najwyższy priorytet cyberbezpieczeństwu połączonego samochodu. Ale to nie jest takie proste, jak się wydaje. Posiadanie wystarczająco dużego wewnętrznego zespołu ds. bezpieczeństwa, aby utrzymać bezpieczeństwo aplikacji na wymaganym poziomie, może nie zawsze być realną opcją dla producentów samochodów.
Aplikacje są już trzecim najpopularniejszym wektorem ataków wykorzystywanym do infiltracji podłączonych samochodów. Wraz z rosnącą liczbą kradzieży aplikacje samochodowe mogą stać się jeszcze większym i lukratywnym celem.
Droga przed nami: lepsze bezpieczeństwo nowoczesnych, smart samochodów
Wzmocnienie cyberbezpieczeństwa samochodów połączonych do sieci i zabezpieczenie powiązanych aplikacji motoryzacyjnych przed włamaniem wymaga wielu technik blokowania i udaremniania wysiłków hakerów.
Firma Zimperium dysponuje narzędziami pozwalającymi chronić nie tylko wielkie koncerny, kody źródłowe i zaawansowane aplikacje, ale także nasze mobilne urządzenia wykorzystywane w różnego rodzaju organizacjach.
Zimperium oferuje jedyną ochronę w czasie rzeczywistym na urządzeniu opartą na uczeniu maszynowym. Rozwiązania Zimperium chronią mobilne punkty końcowe i aplikacje przeciwko atakom na urządzenia, sieć, phishing i złośliwe aplikacje.
Zimperium zapewnia jedyne rozwiązania MTD (Mobile Threat Defense), które:

zapewniają ochronę przed atakami rozpoznanych i nierozpoznanych urządzeń, sieci, złośliwych aplikacji i phishingiem;
bazują na systemach Android, iOS i Chromebook;
mogą być zarządzane z każdego systemu chmurowego i on-prem;
posiadają certyfikację FedRAMP “Authority to Operate”;
mogą chronić prywatność bez wysyłania żadnych danych umożliwiających identyfikację użytkownika;

Jeśli chcesz dowiedzieć się więcej o rozwiązaniach Zimperium skontaktuj się z nami.

Krytyczna luka Log4Shell – Jak się zabezpieczyć przed potencjalnym atakiem
29.12.2021
CyberArk

Krytyczna luka Log4Shell – Jak się zabezpieczyć przed potencjalnym atakiem?

Luka w oprogramowaniu Log4j (nazwana też Log4Shell) może stanowić krytyczne zagrożenie dla wielu organizacji! Ten artykuł pomoże Ci zrozumieć zagrożenie i przedstawi najlepsze praktyki w zakresie bezpieczeństwa tożsamości.

 
Od kiedy o tym wiemy i o co w tym chodzi?
W listopadzie 2021 roku Fundacja Apache otrzymała zgłoszenie naruszenia bezpieczeństwa w stworzonej przez siebie bibliotece log4j. A dokładniej chodzi o funkcję, którą można wykorzystać w „złośliwym” celu. Okazało się, że gdy do bibliotek przekaże się odpowiednio przygotowany tekst z adresem strony, wtedy biblioteka spróbuje pobrać plik a następnie go uruchomić. Dalej już chyba nie trzeba wyjaśniać co można zrobić.
 
Jakiego rodzaju jest to zagrożenie?
Specjaliści od cyberbezpieczeństwa nazwali ten incydent Log4Shell i mówią nawet o największym zagrożeniu od dekad. Luka w oprogramowaniu stwarza wielkie możliwości hakerom. Bez wiedzy użytkownika mogą mieć dostęp do tysięcy wrażliwych danych.
„Aby przeprowadzić atak, osoba, która chce wykorzystać lukę, musi uzyskać kod tego ataku odczytany przez bibliotekę log4j. W tym celu może wprowadzić dane w polu formularza lub w danych technicznych połączenia, zmieniając np. nazwę swojej przeglądarki internetowej lub swojego klienta poczty e-mail.” – Eric Freyssinet, Specjalista ds. Cyberbezpieczeństwa we francuskiej Żandarmerii.

Co dalej?
Apache wydał już oficjalną poprawkę dostępną dla wszystkich. Instalacja aktualizacji nie jest procesem scentralizowanym i każdy użytkownik musi ją indywidualnie pobrać i zainstalować na swoim komputerze. Proces ten może zatem potrwać.
Warto dodać, że potencjalne ataki prawdopodobnie nie będą wymierzone w zwykłych użytkowników. Według ekspertów, hakerzy najpewniej powinni zaatakować największe organizacje korzystające z log4j i będące jednocześnie podatne na zagrożenie.
 
Najlepsze praktyki cyberbezpieczeństwa
Nasz wieloletni Partner i ekspert od dostępu uprzywilejowanego, firma CyberArk, zaproponował 6 zasad, którymi powinniśmy się kierować, by zmniejszyć ryzyko Log4Shell. Zachęcamy do przeczytania i wdrożenia tych zasad w swojej organizacji.
 
6 najlepszych praktyk w zakresie bezpieczeństwa tożsamości w celu zmniejszenia ryzyka Log4Shell

Instalacja poprawek: Jeśli jeszcze tego nie zrobiłeś, podejmij natychmiastowe kroki i zainstaluj aktualizację oprogramowania Log4J wydaną przez Apache. Ważne jest również, aby zapoznać się z zaleceniami dostawców dotyczących aktualizacji dla używanych platform.
Zabezpieczenia peryferyjne: Zastosuj reguły zapory aplikacji internetowych (WAF), aby złagodzić typowe próby wykorzystania danych w ramach kompleksowej strategii obrony organizacji przed cyberzagrożeniami.
Dane uwierzytelniające: Ogranicz dostęp do zmiennych środowiskowych i lokalnych tożsamości przechowywanych w CI/CD, aby zminimalizować bezpośrednie ryzyko stwarzane przez atakujących.
Zasoby poziomu 0: Zezwalaj tylko na uprzywilejowany dostęp do określonych hostów, aby ograniczyć dostęp do zasobów warstwy 0, takich jak Active Directory i DevOps. To znacznie utrudni atakującemu włamanie do sieci.
Polityka minimalnych uprawnień: Ograniczenie dostępu do wymaganego minimalnego poziomu – i odebranie go, gdy nie jest potrzebny – może znacznie spowolnić lub zatrzymać atakującego.
Uwierzytelnianie wieloskładnikowe: Atakujący ma znacznie większe szanse na sukces, gdy nie muszą zapewnić drugiego czynnika uwierzytelniającego ani innego elementu potwierdzenia tożsamości, aby zaaplikować swój złośliwy kod.

Chcesz wdrożyć rozwiązania chroniące Twoją organizację przed potencjalnymi atakami? Skontaktuj się z nami, by dobrać odpowiedni produkt.

Przepraszamy, zamknięte - Dlaczego większość ataków ransomware ma miejsce poza godzinami pracy
2.11.2021
Darktrace

„Przepraszamy, zamknięte” – Dlaczego większość ataków ransomware ma miejsce poza godzinami pracy?

Darktrace regularnie odnotowuje zwiększoną liczbę cyberataków typu ransomware podczas świąt, weekendów oraz poza regularnymi godzinami pracy. Są one wówczas znacznie trudniejsze do wykrycia, a co za tym idzie mogą przynieść proporcjonalnie więcej szkód, z uwagi na brak natychmiastowej reakcji zespołu odpowiedzialnego za wykrywanie i procesowanie incydentów bezpieczeństwa.
Powyższe okoliczności powodują, że zagrożenia oraz ataki mogą zostać przeprowadzone praktycznie niezauważalnie. Organizacja pozbawiona autonomicznych systemów wykrywających zagrożenia w czasie rzeczywistym narażona jest w znacznie większym stopniu na niespodziewany atak, jak i również naprawy szkód przez niego wyrządzonych.
Ransomware: Niechciany prezent pod choinkę
Jednym z najczęstszych zagrożeń występujących poza godzinami pracy jest Ransomware. W poniższym przykładzie Darktrace został poinformowany o ataku Ransomware w sieci klienta. Incydent miał miejsce w Wigilię poza godzinami pracy, kiedy większość pracowników była offline w swoich domach.
[caption id="attachment_2005" align="aligncenter" width="967"] Rysunek 1. Oś czasu przedstawiająca Wigilijny atak Ransomware[/caption]
Atak zaczął się rozprzestrzeniać od jednego niepozornego komputera, zainfekowanego w tygodniu poprzedzającym szyfrowanie. Komputer ten był wykorzystany jako wektor i dzięki niemu złośliwy program zdobył dostęp do dwóch kontrolerów domen:

serwerów używanych do weryfikacji użytkowników,
autentykacji żądań wewnątrz sieci.

Następnie oba serwery wykonały nietypowe połączenie C2 (Command and Control) do endpointa powiązanego z Ransomware. Następnie zagrożenie przeszło w stan ukrycia.
Warto zaznaczyć, że już na tym etapie DarkTrace wykrył i zaalarmował zespół bezpieczeństwa. Niestety z uwagi na okres świąteczny zespół bezpieczeństwa nie był w stanie zareagować na czas. Bez produktu Antigena Network oraz Proactive Threat Notifications (PTNs) zagrożenie nieprzerwanie przybierało na sile.
24 grudnia Ransomware ponownie się aktywował. Wykorzystując swoje zdobyte uprawnienia rozesłał po urządzeniach wewnątrz firmy skompromitowane pliki wykonywalne. W tym momencie wcześniej zdefiniowane przez atakującego dane organizacji zostały wysłane na zewnętrzną lokalizację w chmurze, z której od razu został pobrany Ransomware.
Cyber-atak mający miejsce podczas świąt od razu zyskuję na przewadze wykorzystując przerwane łańcuchy komunikacji z zespołami bezpieczeństwa w organizacji ofiary. Kto więc powinien się tym zająć?  Jak powinna wyglądać dostępność osób z tego działu? Czy istnieją inne, specjalne procedury dotyczące ataków poza godzinami pracy?
Gdy takie pytania pojawiają się niespodziewanie podczas dni wolnych od pracy, znalezienie odpowiedzi staje się zaskakująco trudne. W momencie, kiedy znamy na nie odpowiedź, najczęściej jest już za późno – szkody zostały już poczynione.
Po opanowaniu ataku pojawiają się także kolejne wyzwania związane z oceną zagrożenia: zespół bezpieczeństwa będzie musiał przeprowadzić śledztwo i w pierwszej kolejności dowiedzieć się co się wydarzyło i jakie będą konsekwencje ataku. W przypadku gdy ciężko jest zmobilizować rozproszony personel oraz gdy zewnętrzne usługi bezpieczeństwa są na wagę złota, proces ten staje się zadaniem żmudnym. Dodatkowo kluczowe informacje jak również dowody mogą bezpowrotnie przepaść. Doprowadza to do sytuacji, gdy firma pozostaje podatna na podobne ataki w przyszłości.
Czekając na sobotę – przykład ataku ransomware
Święta bez wątpienia zwiększają podatność firm na ataki zarówno pod kątem logistycznym, jak i ludzkim. Często jednak nie bierze się pod uwagę podobnych przestojów spowodowanych atakami tego samego typu mającymi miejsce przez cały rok – pod koniec każdego tygodnia. Skala jest mniejsza, jednak nie zmienia to faktu, że incydenty tego typu nie powinny być ignorowane. W ostatnich miesiącach Darktrace zaobserwował ogromny wzrost tego typu weekendowych ataków.
[caption id="attachment_2006" align="aligncenter" width="326"] Rysunek 2. Diagram słów kluczowych, które zaobserwował Darktrace analizując ataki przypadające na „po godzinach”.[/caption]
Powyższy problem dotyczy innego ataku Ransomware, który uderzył w organizację hotelarską mającą swoją siedzibę w Wielkiej Brytanii. Kiedy jeden z użytkowników sieci nieświadomie otworzył wiadomość email zawierającą szkodliwą zawartość jego urządzenie zostało zainfekowane. Infekcja wykorzystywała clear text password exploit aby – wykorzystując istniejące poświadczenia – uzyskać nieautoryzowany dostęp do czterech innych urządzeń w sieci, w tym dwóch kluczowych serwerów.
To właśnie te serwery posłużyły atakującym do wysyłania spamu oraz dalszego infekowania pozostałych maszyn w sieci. Przez następne tygodnie, podczas weekendów zainfekowane urządzenia wykonywały mnóstwo połączeń do endpointów powiązanych z XINOF Ransomware.
Przykład ten pokazuje dobitnie, jak infekcje przeprowadzane poza regularnymi godzinami pracy mogą pochodzić z każdej strony. Warto również zwrócić uwagę jak czynnik ludzki – w tym przypadku niezastosowanie się do protokołów bezpieczeństwa przez osobę z zewnątrz organizacji – doprowadziły do rozprzestrzenienia zagrożenia oraz jego późniejszego ukrycia przed powrotem zespołu bezpieczeństwa w poniedziałek.
W przypadku naruszeń bezpieczeństwa, które i tak mogą zająć miesiące zanim zostaną wykryte i zaadresowane nowoczesne zagrożenia korzystają z każdego sposobu, aby jeszcze bardziej wydłużyć czas wykrycia. Pierwszym naturalnym krokiem powinno być poprawienie detekcji oraz sposobu reagowania na tego typu weekendowe zagrożenia. Taki rodzaj zabezpieczeń można będzie przełożyć na dłuższe świąteczne okresy – nie jest to jednak rozwiązanie trwałe – do tego potrzebne jest proaktywne podejście.
Rozwiązanie, które nigdy nie śpi – odpowiedź na ransomware
W powyższym przykładzie, Autonomiczna Odpowiedź (Autonomous Response) na zagrożenie była możliwa na każdym etapie ataku – niestety nie była aktywna.

Antigena Email mogłaby stłumić atak w zarodku, dzięki poddaniu kwarantannie wiadomości z podejrzanym załącznikiem, jeszcze zanim spenetrowałaby ona sieć organizacji.
W przypadku przeniknięcia do organizacji, kluczowe serwery nie zostałyby naruszone dzięki zidentyfikowaniu złośliwej aktywności. Ruch wykorzystujący zebrane hasła zostałby zatrzymany, aż do momentu weryfikacji przez zespół bezpieczeństwa.
Na sam koniec połączenia z podejrzanymi stronami zawierającymi ładunek XINOF zostałyby zablokowane, zapobiegając tym samym dalszym szkodom.

W przeciwieństwie do człowieka, Sztuczna Inteligencja (AI) nigdy nie śpi i nigdy nie ma wolnego. Sztuczna Inteligencja pracuje przez całą dobę wykrywając wszystkie zagrożenia w ich początkowym stadium. Takie działanie zapobiega dalszej eskalacji, jednocześnie dając drogocenny czas zespołom bezpieczeństwa do reakcji oraz pracy nad samym źródłem zagrożenia.
Jeśli zespół bezpieczeństwa potrzebuje dodatkowej pary oczu rozszerzającej ich pole widzenia i pozwalające na złagodzenie ataków – można do tego celu wykorzystać usługę Proactive Threat Notification. Usługa ta po wykryciu zagrożenia przesyła je bezpośrednio do Security Operation Centre po stronie Darktrace, gdzie zostanie zbadane przez eksperta do spraw cyber-bezpieczeństwa. Usługa Darktrace PTN SOC wykorzystuje podejście follow-the-sun, co oznacza, że organizacje chronione są przez całą dobę.
Czas to pieniądz
Powyższe case studies mają za zadanie być przestrogą i przypominać o konieczności ochrony przez całą dobę, siedem dni w tygodniu. Specjaliści do spraw bezpieczeństwa stale podwyższają swoje umiejętności w walce z cyber-zagrożeniami. Walka toczy się po obu stronach – zagrożenia także ewoluują stale adaptując się do zmieniającego się świata i wykorzystują każdą możliwość, która daje im przewagę podczas ataku.
Teraz, bardziej niż kiedykolwiek staje się jasne, że autonomiczna detekcja korzystająca ze Sztucznej Inteligencji jest jedynym rozwiązaniem, które może wyeliminować czynnik czasu podczas ataku – reagując na zagrożenie błyskawicznie. Nawet gdy biuro jest zamknięte, komputery wyłączone i nie ma nikogo – organizacja pozostaje chroniona.
Przetestuj bezpłatnie rozwiązanie Darktrace Zarejestruj się.
 

Model dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa
29.10.2021
Dominik Czyż

SIEM i SOAR: Model dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa

Reagowanie na incydenty bezpieczeństwa, czyli jak wdrożyć systemy klasy SIEM i SOAR?
W dzisiejszych czasach każda organizacja mierzy się z wyzwaniem zapewnienia bezpieczeństwa informacji, przede wszystkim w zakresie poufności, dostępności oraz integralności danych i systemów, które zapewniają możliwość świadczenia usług biznesowych, czy też kluczowych. Co więcej część organizacji jest zobligowana do przestrzegania regulacji i zaleceń wynikających z rodzaju świadczonych usług np. wytyczne Komisji Nadzoru Finansowego dla spółek finansowych oraz ustawy o krajowym systemie cyberbezpieczeństwa dla operatorów usług kluczowych.
Każda z wymieniowych wcześniej regulacji, zakłada konieczność monitorowania i raportowania incydentów bezpieczeństwa. Dla organizacji, których regulacje nie dotyczą, monitorowanie incydentów jest równie ważne m.in. z uwagi na możliwość świadczenia usług biznesowych czy też utrzymania wysokiego poziomu zadowolenia i zaufania klientów.
Zbudowanie procesu monitorowania i reagowania na incydenty bezpieczeństwa jest zagadnieniem złożonym, do którego należy się odpowiednio przygotować i realizować krok po kroku. Niestety nie ma złotego środka w postaci rozwiązania technologicznego, które pozwoli na kompleksowe uruchomienie procesu.
Należy również pamiętać, że cały proces to nie tylko technologia, ale również kwestie organizacyjne np. polityka i procedury bezpieczeństwa, jak również ludzie, czyli odpowiednio zwymiarowany zespół, składających się ze specjalistów i ekspertów o odpowiednich kompetencjach. W opracowaniu skupię się przede wszystkim na rozwiązaniach technologicznych.
W ramach przygotowania do wdrożenia procesu można posiłkować się modelem dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa.

 
Jak przygotować się do wdrożenia procesu w oparciu o technologię?
Pierwszym krokiem przygotowania się do wdrożenia procesu monitorowania i reagowania na incydenty bezpieczeństwa w kontekście technologicznym jest analiza środowiska IT w zakresie:

Wykorzystywanych rozwiązań bezpieczeństwa
Usług podstawowych np. serwer poczty
Systemów świadczących najważniejsze usługi biznesowe
Systemów wspierających

Idealna sytuacja, która jednak wymaga znaczącego nakładu pracy, to inwentaryzacja wszystkich zasobów IT w organizacji, co pozwala na przygotowanie się do pierwszego etapu, czyli wdrożenia rozwiązania zapewniającego widoczność zdarzeń bezpieczeństwa.
Na podstawie przeprowadzonych analiz możemy wyspecyfikować nie tylko obszary, które powinniśmy i możemy objąć monitorowaniem, ale również obszary, w których występują braki technologiczne czy funkcjonalne, które należy uzupełnić.
Analiza stanu obecnego infrastruktury oraz rozwiązań bezpieczeństwa pozwoli na opracowanie docelowych funkcjonalności rozwiązań log management, SIEM i SOAR, które będą możliwe do implementacji. Przykładowo brak rozwiązania klasy EDR uniemożliwi wykrywanie zdarzeń dotyczących uruchamiania podejrzanych plików czy procesów na stacjach roboczych.
Widoczność zdarzeń bezpieczeństwa
Widoczność zdarzeń bezpieczeństwa jest kluczowym elementem całego procesu. Nie można w efektywny sposób wdrożyć procesu, jeśli nie mamy odpowiedniej widoczności tego, co dzieje się w naszej infrastrukturze.
Jako pierwszy element modelu powinien zostać wdrożony system klasy zarządzania zdarzeniami (log management). Technologia będzie pobierać lub odbierać zdarzenia z monitorowanych systemów (źródeł danych) i przechowywać je przez określony czas, dając możliwość analizy zdarzeń, jak również wykonywania szczegółowych analiz czy raportowania na potrzeby zgodności.
Analizując rozwiązania dostępne na rynku warto rozważyć Producentów, którzy dostarczają zarówno rozwiązania log management jak i rozwiązania SIEM. Zapewnienie homogenicznych rozwiązań od jednego Producenta, w przyszłości może zaoszczędzić czas niezbędny do wdrożenia kolejnych rozwiązań technologicznych, w kolejnych krokach modelu dojrzałości. Dotyczy to przede wszystkim sposobu normalizacji zdarzeń, który jest odmienny dla różnych systemów log management i SIEM.
Podczas wyboru rozwiązania należy zwrócić uwagę w szczególności na:

Stopień kompresji zdarzeń przy ich długoterminowym przechowywaniu.
Funkcjonalność konfiguracji różnych okresów przechowywania zdarzeń dla poszczególnych rodzajów systemów/zdarzeń.
Stopnień skomplikowania funkcjonalności podłączania źródeł logów.
Stopień skomplikowania przygotowywania dedykowanych reguł normalizujących zdarzenia.
Sposób przekazywania zdarzeń do zewnętrznych systemów SIEM oraz SOAR.

Na podstawie zdarzeń zebranych w systemach zarządzania logami można wykonać analizę tego, co dzieje się w naszej infrastrukturze, a przede wszystkim potwierdzić możliwość realizacji docelowych funkcjonalności SIEM i SOAR w ramach rozwoju modelu dojrzałości.
Z dobrych praktyk wynika, że z modułu zarządzania logami do modułu SIEM powinno trafiać maksymalnie 50%, a zwykle ok. 30% zebranych zdarzeń, które będą wykorzystane dalej do monitorowania incydentów bezpieczeństwa w czasie zbliżonym do rzeczywistego. Z tego wynika, że wdrożenie odrębnego modułu zarządzania logami oraz odrębnego modułu SIEM pozwoli na znaczne zoptymalizowanie budżetu niezbędnego na licencje oraz zasoby sprzętowe czy też wirtualne. Należy mieć na uwadze, że koszt modułu zarządzania logami jest znacznie niższy niż koszt wdrożenia systemów SIEM.
Monitorowanie reaktywne incydentów bezpieczeństwa
Na potrzeby przejścia do kolejnego punktu modelu dojrzałości niezbędne jest wdrożenie systemu klasy SIEM w podstawowej funkcjonalności. Zakres wdrożenia jak również funkcjonalności analityczne, które będą implementowane w ramach etapu, mamy już określone w poprzednim etapie, dzięki wykonanej analizie zarówno infrastruktury, jak i zdarzeń bezpieczeństwa.
Monitorowanie reaktywne z wykorzystaniem systemu klasy SIEM polega na reagowaniu na incydenty bezpieczeństwa w momencie ich wykrycia przez silnik korelacyjny. Jednak jest to monitorowanie post factum i w obecnym etapie polega na wykonywaniu analiz już zaistniałych incydentów bezpieczeństwa.
Etap dotyczy nie tylko wdrożenia samej technologii, ale również edukacji zespołów w ramach wdrożonego rozwiązania. Poznawanie funkcjonalności i zasady działania pozwala użytkownikom na znalezienie dodatkowych sposobów wykorzystania systemu. Co więcej budowanie kompetencji operatorów, analityków i osób odpowiedzialnych za bezpieczeństwo organizacji pozwala na rozpoczęcie procesu monitorowania incydentów bezpieczeństwa. Osoby odpowiedzialne za proces mają okazję poznać specyfikę incydentów, a co za tym idzie konkretnych zagrożeń i ataków, z którymi boryka się organizacja.
Monitorowanie proaktywne incydentów bezpieczeństwa
Monitorowanie proaktywne z wykorzystaniem systemu SIEM to przesunięcie ciężaru działania z wykrywania zaistniałych incydentów bezpieczeństwa na monitorowanie potencjalnie niestandardowego i groźnego zachowania infrastruktury IT.
Z pomocą przychodzi szereg funkcjonalności udostępnionych przez producentów poszczególnych rozwiązań SIEM np.:

Integracja rozwiązań z feedami IoC, IoA oraz Threat Intelligence.
Badanie zachowania użytkowników wewnętrznych i zewnętrznych z wykorzystaniem modułów klasy user behavior analytics.
Moduły wykorzystujące machine learning i artificial intelligence do badania anomalii w infrastrukturze.

Wspomniane funkcjonalności w znakomity sposób zwiększają widoczność zdarzeń bezpieczeństwa w organizacji w bardzo szerokim zakresie. Monitorowanie proaktywne wykorzystuje przede wszystkim dynamiczne elementy i funkcjonalności, a nie bazuje już tylko na zebranych zdarzeniach i ich statycznej analizie.
Większość systemów SIEM posiada wbudowany moduł do obsługi incydentów bezpieczeństwa. Zazwyczaj działa on świetnie w obrębie danego systemu jednak posiada ograniczenia w możliwości integracji z innymi systemami, zarówno na potrzeby wykonania akcji, jak i procesowania incydentów w systemach zewnętrznych. Incydenty mogą być wzbogacane o dodatkowe informacje pochodzące ze zdarzeń ze źródeł danych, które są podłączone do SIEM. Wykonanie akcji np. blokowanie użytkownika, jest teoretycznie możliwe, ale wymaga prac developerskich. Sytuacja wygląda podobnie jeśli chodzi o możliwość współpracy pracowników zespołów bezpieczeństwa. Każdy członek zespołu musi mieć skonfigurowane odpowiednie uprawnienia w głównej konsoli systemu SIEM.
Automatyzacja
Ostatnim etapem dojrzałości modelu monitorowania i reagowania na incydenty bezpieczeństwa jest wdrożenie systemu klasy Security Orchestration Automation and Response. Systemy SOAR to uniwersalne platformy, które zapewniają jeden punkt wspólny pracy dla zespołów cyberbezpieczeństwa przy obsłudze incydentów bezpieczeństwa.
Najważniejszą zaletą systemów SOAR jest możliwość automatyzacji częściowej lub całościowej procesu obsługi incydentu bezpieczeństwa w ramach tzw. Playbooka czyli przepływów procesu. W znaczący sposób wpływa to na wzrost efektywności procesu, co skutkuje znaczącym spadkiem kosztów obsługi procesu
Docelowo system klasy SOAR powinien być wdrożony na bazie funkcjonalności, które zostały określone w poprzednich etapach modelu i rozwijać je do wysokiego poziomu dojrzałości. Przy procesie specyfikacji wspomnianych funkcjonalności należy wziąć pod uwagę następujące kwestie:

Jakie mogą być źródła informacji o danym incydencie. Jaki system oprócz SIEM może wzbogacić analizowany incydent?
Jakie integracje z zewnętrznymi systemami powinny zostać wykorzystane?
Czy system SOAR ma wykonywać akcje na innych systemach np. automatyczne blokowanie użytkownika?

Dojrzały model monitorowania i reagowania na incydenty bezpieczeństwa nie będzie oczywiście opierał się jedynie na rozwiązaniu SIEM. Tak naprawdę źródłem incydentu może być dowolny system np. EDR, czy też system backupowy. Podobnie akcją SOAR-a nie musi być tylko akcja związana z cyberbezpieczeństwem.
Dla lepszego zobrazowania podejścia do wykorzystania systemu SOAR w organizacji w bogatym zakresie, który wykorzysta wzbogacanie incydentów i wykonywanie akcji, przedstawię przykładowe playbooki: 1. 
1. Wielokrotne nieudane logowania

Zdarzenie ze SIEM uruchamia playbook.
Z Active Directory pobierane są informacje o użytkowniku – wzbogacanie incydentu.
Playbook automatycznie wysyła do użytkownika wiadomość e-mail z pytaniem, czy jest świadom zaistniałego zdarzenia i czy potwierdza ten fakt.
Jeśli użytkownik potwierdzi fakt, playbook zostaje zamknięty.
Jeśli użytkownik nie potwierdzi faktu konto użytkownika jest blokowane w Active Directory i powiadamiany jest przełożony pracownika, za pomocą wiadomości e-mail.
Priorytet incydentu jest ustawiany na wysoki.

2. Zarządzanie kontem pracownika na wypowiedzeniu

System SOAR otrzymuje informację z systemu kadrowego o pracowniku, który kończy współpracę z firmą w konkretnym terminie. Uruchamiany jest playbook, który ustawia harmonogram uruchomienia kolejnego playbooka na podstawie terminu przesłanego przez system kadrowy.
W podanym terminie uruchamiany jest playbook, który wykonuje akcje w postaci blokowania użytkownika w Active Directory, innych usługach, do których pracownik miał dostęp oraz blokuje kartę pracownika, za pomocą której wchodził on do firmy.

Przygotowane w poprzednich etapach funkcjonalności, szczególnie w etapie monitorowania proaktywnego, dobrze jest zaimplementować w SOAR, dodając procedury automatyzujące częściowo lub całościowo ich obsługę.
Efektem dojrzałego procesu monitorowania i reagowania na incydenty bezpieczeństwa jest kompleksowo wdrożony system zarządzania logami, wykrywania podejrzanych zdarzeń i anomalii, jak również system obsługi incydentów. Punktem obsługi incydentów i pracy użytkowników będzie konsola systemu SOAR, jako najwyższa warstwa procesu.
Co dalej?
Trzeba mieć na uwadze, że osiągnięcie dojrzałości procesu monitorowania i reagowania na incydenty bezpieczeństwa nie sprawia, że organizacja jest w 100% zdolna do przeciwdziałania wszystkim zagrożeniom. W sieci praktycznie codziennie pojawiają się nowe zagrożenia i ataki, często zero-day lub APT, co wymusza ciągłe doskonalenie procesu. Dlatego ważne jest, aby w sposób cykliczny przeglądać proces i dostosowywać go do obecnych warunków.
Podsumowanie
Zastosowanie modelu dojrzałości procesu monitorowania i reagowania na incydenty bezpieczeństwa ma wiele zalet. Przede wszystkim umożliwia przygotowanie roadmapy, na podstawie której proces będzie wdrażany od początku lub od momentu, w którym znajduje się obecnie w organizacji. Model daje możliwość zaplanowania nie tylko działań, ale też docelowej funkcjonalności inicjalnej, bazującej na wykonanej w fazie przygotowawczej analizie. Jest to niezwykle ważne, gdyż pozwala na określenie kryteriów sukcesu dla każdego etapu.
Wykorzystanie etapów modelu pozwala na zwiększenie efektywności budowania całego procesu, co w efekcie przekłada się na oszczędność czasu podczas wdrożeń. Podział modelu na poszczególne fazy sprzyja również rozwojowi pracowników, którzy sukcesywnie nabywają wiedzę i kompetencje, wraz z rozwojem procesu.
 
Jesteś zainteresowany naszym wsparciem w obszarze Cyber Security? Napisz do nas, wypełniając formularz kontaktowy poniżej.

Integrity Partners z nagrodą Darktrace EMEA Service Partner of the Year 2021
26.10.2021
Integrity Partners

Integrity Partners z nagrodą Darktrace EMEA Service Partner of the Year 2021

Z dumą informujemy, że Integrity Partners zostało wyróżnione nagrodą Darktrace Service Partner of the Year 2021 dla regionu EMEA.
Już po raz kolejny zostaliśmy wyróżnieni jako kluczowy Partner firmy Darktrace, która specjalizuje się w wykrywaniu anomalii sieciowych w oparciu o machine learning. Nagroda jest owocem ciężkiej pracy całego zespołu Integrity Partners. Od lat wyposażamy organizacje w najnowocześniejszą technologię Darktrace, dzięki czemu nasi klienci 
Nagroda Services Partner of the Year jest szczególnie dla nas ważna, ponieważ pozycjonuje Integrity Partner na lidera w regionie EMEA (Europa, Bliski Wschód, Afryka).
 

 
Więcej o rozwiązaniu Darktrace
Darktrace Enterprise Immune System wykrywa i klasyfikuje zagrożenia w całym przedsiębiorstwie. Wykorzystuje czołową na świecie technologię uczenia maszyn oraz sztuczną inteligencję, by wykrywać, klasyfikować i wizualizować potencjalne zagrożenia. Oprócz niezwykłej skuteczności działania jego niewątpliwą zaletą jest również szybka instalacja. Ponadto w odróżnieniu od podejścia opartego na zasadach i sygnaturach, Darktrace Enterprise nie opiera się na atakach historycznych, by przewidzieć przyszłość. Zamiast tego buduje własną, unikalną wiedzę o tym, jak wygląda typowe zachowanie w danej firmie i potrafi wykrywać pojawiające się zagrożenia w czasie rzeczywistym, w tym zagrożenia z wykorzystaniem informacji poufnych oraz zautomatyzowane wirusy, takie jak oprogramowanie ransomware.
Jesteś zainteresowany rozwiązaniem Darktrace? Napisz do nas!

Podstawy hardeningu, czyli jak ze swojej organizacji zrobić twierdzę nie do zdobycia
5.10.2021
Michał Krauzowicz

Hardening od podstaw, czyli jak ze swojej organizacji zrobić twierdzę nie do zdobycia?

Hardening, czy może po polsku „utwardzanie” (szczerze mówiąc wolę angielską nazwę), to w skrócie zwiększenie odporności danego systemu na włamania poprzez jego rekonfigurację. Utwardzać można zarówno systemy jak i urządzenia sieciowe, bazy danych, usługi czy stacje robocze.
Hardening – Od czego zacząć?
Oczywiście od planu. Warto zastanowić się jakie systemy chcemy hardenować, w jakiej kolejności i kiedy. Hardening zawsze dobrze jest rozpocząć od analizy ryzyka – odpowiedzmy tu sobie na pytania: które systemy są najbardziej narażone na włamania? Które systemy są kluczowe z punktu widzenia procesów biznesowych? Które systemy, w przypadku utraty integralności i dostępności niosłyby za sobą największe straty?
Potrzeba hardeningu może także wynikać z przebytego audytu zewnętrznego/wewnętrznego czy testów penetracyjnych, które wykazały istniejące podatności. Możemy mieć też potrzebę bycia zgodnymi z pewnymi standardami – dla przykładu, aby zachować zgodność z PCI-DSS musimy przeprowadzać okresowe skanowanie podatności i mitygować te, które są o wysokim priorytecie.
Jakie systemy utwardzać?
Najlepiej te, które są najbardziej krytyczne i narażone na włamania. Takimi systemami bez wątpienia są systemy, aplikacje i urządzenia, które są dostępne z Internetu. Atakujący z całego świata bez ustanku skanują Internet w poszukiwaniu udostępnionych usług. Nie muszą nawet robić tego sami – w Internecie dostępne są na bieżąco aktualizowane bazy danych, zawierające informacje na temat publicznych usług wystawionych do Internetu. Poniżej znajduje się jedna z takich usług – Shodan.

Proste zapytanie, pokazane poniżej, pozwoli nam wyszukać wszystkie usługi SSH dostępne w Polsce. I to nie tylko na domyślnym porcie 22. Muszę tutaj rozczarować fanów tzw. głębokiego ukrycia, a więc ukrywania usług na portach innych niż domyślne – wystawienie usługi na nietypowym porcie nie zabezpieczy nas przed znalezieniem naszej usługi. Jeśli atakujący jest uparty może to co najwyżej opóźnić trochę jego działania.
[caption id="attachment_1988" align="aligncenter" width="604"] Widok z konsoli shodan.io – liczba znalezionych usług SSH wystawionych do Internetu w Polsce[/caption]
 
Oprócz systemów wystawionych do Internetu warto brać także pod uwagę systemy krytyczne dla biznesu oraz te, które przechowują dane wrażliwe. Nie chcemy przecież, żeby atakujący przełamał zabezpieczenia bazy danych zawierających dane kadrowe naszych pracowników albo dostał się do systemu CRM, przechowującego dane wszystkich naszych klientów. Pamiętajmy, że atakujący może próbować uzyskać do takich systemów dostęp również z wewnątrz sieci. Jeśli jest to ktoś spoza naszej organizacji może użyć do tego stacji pośredniej (np. takiej wystawionej do Internetu, w przypadku nieprawidłowo wdrożonej segmentacji) albo stacji naszego nieświadomego pracownika – w końcu stacje użytkowników są jednym z najczęstszych źródeł ataku na organizację. Ponadto nasz pracownik może także działać świadomie na naszą szkodę – motywacja może być różna – od niezadowolenia z pracy do chęci zarobku kosztem naszej firmy.
Plan hardeningu
Nasze działania powinniśmy zaplanować. Mając już wstępną listę systemów, które warto zabezpieczyć możemy zrobić ich inwentaryzację i zaplanować ścieżkę aktualizacji. Dla przykładu mając serwer z Centos łatwiej zrobić nam będzie aktualizację do najnowszej wersji Centosa zamiast do Ubuntu. Dobrze byłoby przy tym zastanowić się, czy nasze działania nie spowodują niekompatybilności z istniejącymi usługami, które na danym hoście działają. Być może aktualizując system do najnowszej wersji sprawimy, że jakaś ważna usługa przestanie działać, bo np. jest dawno nie wspierana i nie jest z tą wersją kompatybilna.
Biorąc to pod uwagę możemy stworzyć sobie prosty arkusz, który pomoże nam zaplanować nasze prace. Poniżej znajduje się przykład takiego arkuszu.

Jest to oczywiście przykład, który zawiera bardzo podstawowe informacje i dla każdej organizacji taki arkusz może wyglądać inaczej i zawierać więcej istotnych parametrów.
Aktualizacje systemowe i oprogramowania
Każda organizacja powinna mieć tzw. politykę aktualizacji, która określa w jaki sposób realizowane jest aktualizowanie oprogramowania do nowszych wersji. Jeśli natomiast takiej polityki nie ma, lub nie jest ona przestrzegana może się zdarzyć, że mamy w swoim środowisku oprogramowanie, które jest nieaktualne i, w związku z tym, może posiadać podatności. Dlatego też myśląc o hardeningu powinniśmy wziąć pod uwagę aktualizację systemu operacyjnego do najnowszych, stabilnych wersji. To samo dotyczy usług i oprogramowania.
Oczywiście zanim przystąpimy do aktualizacji upewnijmy się, że nowe wersje będą ze sobą kompatybilne i po aktualizacji nie spowodujemy niedostępności jakichś krytycznych usług. Możemy zacząć od aktualizacji środowiska testowego, o ile takie środowisko posiadamy a dopiero później przejść do produkcji. Innym ze sposobów zabezpieczenia się przed taką ewentualnością jest wykonanie wcześniej kopii zapasowej a dopiero potem rozpoczęcie procesu aktualizacji. W razie problemów zawsze możemy wtedy odtworzyć system w oryginalnej formie i ustalić powód niedostępności po aktualizacji.
Wyłączenie zbędnych usług
Dzięki wyłączeniu zbędnych usług działających w systemie operacyjnym lub urządzeniu sieciowym efektywnie redukujemy ich powierzchnię ataku. Jeśli na przykład mamy serwer pocztowy Linux, na którym ktoś, z niewiadomych przyczyn, zainstalował kiedyś usługę NFS, pewnie powinniśmy ją odinstalować. O jedną usługę mniej do zabezpieczania, aktualizowania i utrzymywania. Dodatkową zaletą jest pozytywny wpływ na wydajność, bo te bardziej zaawansowane usługi potrafią czasami zajmować sporo miejsca w RAM i niepotrzebnie wykorzystywać cykle procesora.
Zablokowanie nieużywanych portów
Jeśli mamy jakieś usługi, których nie możemy wyłączyć może chociaż możemy zablokować do nich dostęp? Niektóre usługi są niezbędne dla prawidłowego działania systemu operacyjnego, ale niekoniecznie muszą być wystawione do sieci. Blokując do nich dostęp na zaporze sieciowej upewniamy się, że nie zostaną one wykorzystane do tzw. przemieszczania poziomego (Lateral Movement), a więc propagacji atakującego po naszej sieci.
Alternatywnie, jeśli usługa potrzebna jest tylko dla lokalnej aplikacji, możemy skonfigurować ją tak, żeby nasłuchiwała jedynie na lokalnym interfejsie loopback.
Jeśli chcemy sprawdzić jakie usługi nasłuchują na naszym systemie zarówno w systemach Linux jak i Windows możemy do tego użyć komendy „netstat”.
Odinstalowanie zbędnych programów
Niektóre programy mogą posiadać własne podatności, które pozwolą atakującemu przełamać zabezpieczenia danego hosta. Dobrym przykładem są tu stacje robocze. Zastanówmy się czy nadal potrzebujemy na stacjach roboczych zainstalowanego Flasha, skoro już od dawna jest on nie wspierany przez producenta i nie są do niego wydawane żadne aktualizacje zabezpieczeń a każdy szanujący się producent oprogramowania już dawno powinien zrezygnować z jego wsparcia.
Wyłączenie zbędnych protokołów
Protokoły sieciowe również mogą posiadać podatności. Ma to szczególne znaczenie w przypadku sprzętu sieciowego, ale może też dotyczyć serwerów czy stacji roboczych. Dla przykładu, szukając po słowie kluczowym „IPv6” na stronie MITRE możemy znaleźć sporo podatności występujących w implementacji tego protokołu. Czy rzeczywiście potrzebujemy wsparcia IPv6? Aktualnie adaptacja tego protokołu nie jest jeszcze powszechna, szczególnie w sieci LAN. Jeśli nie pracujemy jako ISP (Internet Service Provider) prawdopodobnie nie mamy potrzeby jego wspierania, tym samym, jeśli wyłączymy jego wsparcie na Access Pointach Wifi zabezpieczymy się przed znanymi i jeszcze nieznanymi podatnościami w implementacji danego vendora.
Zmiana domyślnych poświadczeń
Często urządzenia czy oprogramowanie, które kupujemy trafia do nas z zestawem domyślnych poświadczeń. Ma to szczególne znaczenie w przypadku sprzętu IoT, które czasami nie mają przypisanego swojego administratora w organizacji. Czasami też osoba, która nimi zarządza nie jest świadoma zagrożeń związanych z tymi urządzeniami. Warto jest więc upewnić się, że nasze usługi i urządzenia mają zmienione poświadczenia na inne niż domyślne. Listę przykładowych domyślnych poświadczeń możecie znaleźć poniżej.

Jeśli urządzeń mamy dużo najlepiej jest przeszukać je w poszukiwaniu domyślnych poświadczeń w sposób automatyczny. Możemy w tym celu skorzystać z darmowych dostępnych narzędzi, którymi przeskanujemy sieć i spróbujemy zalogować się do znalezionych usług domyślnymi poświadczeniami (przykładowy opis) albo możemy skorzystać z profesjonalnych, płatnych rozwiązań. Jednym z rozwiązań, które potrafi przeprowadzić taką ocenę jest Forescout, którego oferujemy w ramach naszego portfolio rozwiązań bezpieczeństwa.
Ochrona danych w spoczynku i w transmisji
Warto zadbać także o ochronę danych, zarówno w spoczynku jak i w locie. Jeśli w ramach komunikacji wysyłane są dane wrażliwe zawsze wykorzystujmy protokoły szyfrowane, co zapewni nam tajność przesyłanych danych w przypadku ich podsłuchania przez osoby niepowołane. Zamiast http używajmy HTTPS, zamiast telnetu SSH, zamiast FTP użyjmy FTPS/SFTP.
Co do danych w spoczynku szczególne znaczenie ma zabezpieczenie laptopów i innych urządzeń mobilnych. To one najbardziej narażone są na kradzież czy zgubę, zadbajmy więc o to, żeby dane przechowywane na nich były szyfrowane i to najlepiej metodą Full Disk Encryption. W środowiskach Windows najlepiej sprawdzi się tutaj wbudowany BitLocker, natomiast na systemach Linux można użyć LUKS a dla Mac OS mamy FileVault.
Skąd brać wskazówki na temat utwardzania systemów?
W dzisiejszych czasach ciężko jest być ekspertem od wszystkich systemów operacyjnych, usług, baz danych, wszystkich vendorów sieciowych i chmur obliczeniowych. Tego jest po prostu za dużo. 😊 Na szczęście nie musimy być ekspertem od wszystkiego, żeby zwiększyć poziom bezpieczeństwa naszej organizacji, niezależnie od tego z jakich rozwiązań korzysta.
Naprzeciw temu wyzwaniu wychodzą autorzy publikacji w CIS (Center of Internet Security). Udostępniają oni świetne dokumenty, zwane „CIS Benchmark”, które w prosty sposób opisują jak krok po kroku możemy przeprowadzić hardening danego rozwiązania.
Dokumenty podzielone są per system operacyjny, per usługa, per dana baza danych i pisane są przez ekspertów w swojej dziedzinie. Są łatwe do zrozumienia a każdy rozdział zawiera listę opisującą istotne ustawienia, które warto zmienić w danym systemie operacyjnym np. Windows Server 2016 czy Red Hat Linux w wersji 6. „Benchmarki” dostępne są do pobrania. Do pobrania wymagana jest jednak rejestracja. Dokumenty są dosyć obszerne (na przykład wskazówki dotyczące Windows Server potrafią mieć ponad 1000 stron), ale często są podzielone w taki sposób, żeby łatwo można było wybrać poszczególne podrozdziały, które mają znaczenie w naszej organizacji.
[caption id="attachment_1990" align="aligncenter" width="437"] Przykładowy fragment dokumentu CIS Benchmark dla Exchange 2016[/caption]
 
Oczywiście warto tutaj zauważyć, że zazwyczaj nie mamy potrzeby wprowadzać wszystkich wskazanych w tych dokumentach ustawień. Zalecenia są podzielone na kategorie istotności a także opisany jest potencjalny wpływ zastosowania danego ustawienia. Możemy więc podjąć świadomą decyzję czy daną zmianę powinniśmy wprowadzić czy nie.
Mimo, że dokumenty napisane zostały w ten sposób, żeby zrozumieć je mógł każdy specjalista bezpieczeństwa, niekoniecznie ekspert w danym systemie, na pewno powinniśmy wprowadzać opisane tam zmiany po konsultacji z lokalnym specjalistą odpowiedzialnym za dane zagadnienie w naszej organizacji. Niektóre ustawienia mogą mieć wpływ na powiązane usługi i lepiej jest dmuchać na zimne zamiast później tłumaczyć się z awarii 😊 Oczywiście przed takimi sytuacjami powinien chronić nas dobrze prowadzony proces Zarządzania Zmianą (Change Control), ale zdaję sobie sprawę, że nie każda organizacja taki proces stosuje.
Co prawda zalecenia CIS Benchmark to najlepsze praktyki i z punktu widzenia bezpieczeństwa najlepiej byłoby wdrożyć je wszystkie, ale na koniec i tak musimy patrzeć na nie przez pryzmat naszych potrzeb, polityk i procedur w naszej organizacji.
Automatyzacja procesu sprawdzania zgodności z dobrymi praktykami
Jeśli chcemy zaoszczędzić czas i szybko chcemy sprawdzić czy nasze środowisko jest zgodne z dobrymi praktykami opisanymi w CIS Benchmark może ten proces zautomatyzować.
Z pomocą przychodzi nam tutaj protokół SCAP (Security Content Automation Protocol), który pozwala na automatyczne skanowanie systemów w poszukiwaniu ustawień niezgodnych z dobrymi praktykami. Na stronie projektu OpenSCAP można pobrać narzędzia, które pozwolą nam wykonać takie skanowanie zarówno na maszynie lokalnej jak i na maszynie zdalnej, na przykład wykorzystując SCAP Workbench. W oparciu o analizę możemy później wprowadzić odpowiednie zmiany, żeby zwiększyć poziom bezpieczeństwa naszego serwera czy stacji roboczej.
[caption id="attachment_1991" align="aligncenter" width="494"] Narzędzie SCAP Workbench pozwala nam przeskanować lokalną lub zdalną maszynę pod względem zgodności z dobrymi praktykami[/caption]
 
 
Samo narzędzie jednak nie wystarczy – do skutecznej oceny stanu zgodności z dobrymi praktykami potrzebujemy też definicji reguł w formacie SCAP. Tu możemy wykorzystać na przykład darmowe repozytorium udostępnione przez NIST.
Alternatywnie swoją wersję narzędzia wraz z gotowymi regułami oferuje sama organizacja CIS – dostępna zarówno w wersji darmowej jak i płatnej CIS CAT Lite/Pro. Polecam wypróbować i sprawdzić na ile nasza stacja robocza zgodna jest z najlepszymi praktykami. Po weryfikacji otrzymujemy przejrzysty raport w HTML pokazujący wyniki naszego testu.
[caption id="attachment_1992" align="aligncenter" width="605"] Przykładowy wynik sprawdzenia stacji roboczej Windows narzędziem CIS CAT Lite[/caption]
 
Bezpieczeństwo w chmurze
Jeśli korzystamy z usług chmurowych często producenci tych środowisk udostępniają nam gotowe narzędzia automatyzujące proces „utwardzania” naszych usług, zarówno, jeśli chodzi o rozwiązania IaaS, PaaS jak i SaaS. Dla przykładu takim rozwiązaniem dla chmury Azure jest „Security Center”. Dla uzyskania wszystkich korzyści musimy posiadać wersję płatną, ale już w bezpłatnej może ona dać nam sporo wskazówek na temat tego jak zabezpieczyć nasze środowisko.
[caption id="attachment_1993" align="aligncenter" width="605"] Rekomendacje Azure Security Center[/caption]
Oczywiście Security Center ma dużo więcej możliwości, ale nie jest to tematem tego artykułu.
Utworzenie wzorca
Żeby zapewnić skalowalność naszego przedsięwzięcia dobrze jest zredukować powtarzalne procesy. Dla przykładu, jeśli planujemy utwardzić kilkanaście czy kilkadziesiąt systemów typu Centos dobrze jest zacząć od stworzenia maszyny wzorcowej. Stwórzmy jeden podstawowy obraz maszyny w postaci utwardzonej z wyłączonymi niepotrzebnymi usługami, bez zbędnych aplikacji, niepotrzebnie otwartych portów i z bezpieczną konfiguracją. Potem dla każdego nowego systemu nie musimy zaczynać od nowa a wystarczy skorzystać z istniejącego obrazu. Na tej samej zasadzie można stworzyć baseline konfiguracji urządzeń sieciowych.
Jeśli chodzi o środowiska chmurowe, często dostępne są już gotowe, utwardzone obrazy maszyn wirtualnych. Dla przykładu gotowe maszyny zgodnie z wytycznymi CIS (CIS hardened images) możemy znaleźć w poniższej tabeli.
[caption id="attachment_1994" align="aligncenter" width="605"] Gotowe obrazy maszyn wirtualnych, stworzone przez CIS[/caption]
 
Podsumowanie
Hardening, czy po polsku „utwardzanie” systemów, to proces długotrwały i wymagający dużo pracy, do którego powinniśmy podejść ostrożnie. Najlepiej byłoby, gdyby był wykonywany przez dział bezpieczeństwa w bliskiej kooperacji z działem IT oraz przy wsparciu zarządu. To w jakim stopniu utwardzimy systemy powinno wynikać z naszych potrzeb, polityk i aktualnych priorytetów. W trakcie realizacji dobrze jest postępować zgodnie z procesem Zarządzania Zmianą, który zapewni nam, że odpowiednie osoby zostaną poinformowane o zmianie i że proces w razie wystąpienia awarii będzie możliwy do odwrócenia.
Mam nadzieję, że tym artykułem przybliżyłem w skrócie na czym może polegać hardening. Jeśli potrzebujesz pomocy w realizacji podobnego przedsięwzięcia nie wahaj się skorzystać z doświadczenia profesjonalistów, jakimi są Integrity Partners.
Skontaktuj się z nami!

Zimperium – ochrona urządzeń mobilnych i aplikacji
28.06.2021
Integrity Partners

Zimperium – ochrona urządzeń mobilnych i aplikacji

Do grona naszych Partnerów dołączyła właśnie firma Zimperium. To światowy lider w dziedzinie bezpieczeństwa urządzeń mobilnych i aplikacji, oferujący ochronę w czasie rzeczywistym w systemach Android, iOS i Chromebook.
Celem firmy jest poprawa bezpieczeństwa mobilnego i właśnie dlatego zespół Zimperium postanowił na nowo opracować podejście do tego ważnego problemu. Wielokrotnie nagradzany i opatentowany silnik Z9 oparty na uczeniu maszynowym, chroni urządzenia mobilne przed atakami urządzeń zewnętrznych, sieci, phishingiem i innych aplikacji.
Dwa kluczowe rozwiązania od Zimperium to:

zIPS, który działa lokalnie na dowolnym urządzeniu mobilnym i wykrywa cyberataki bez połączenia z chmurą
Application Protection Suite (MAPS), kompleksowe rozwiązanie, które pomaga organizacjom chronić swoje aplikacje mobilne od fazy testowej, aż do pracy na urządzeniach użytkowników końcowych.

MAPS składa się z trzech rozwiązań:

zScan, który pomaga organizacjom odkryć i naprawić problemy związane ze zgodnością, prywatnością i bezpieczeństwem;
zShield, który chroni aplikację poprzez modyfikacje kodu i antytampering;
zDefend, SDK osadzony w aplikacjach, aby pomóc w wykrywaniu i obronie przed atakami, podczas gdy aplikacja jest w użyciu.

Zimperium zapewnia jedyne rozwiązania MTD (Mobile Threat Defense), które:

zapewniają ochronę przed atakami rozpoznanych i nierozpoznanych urządzeń, sieci, złośliwych aplikacji i phishingiem;
bazują na systemach Android, iOS i Chromebook;
mogą być zarządzane z każdego systemu chmurowego i on-prem;
posiadają certyfikację FedRAMP “Authority to Operate”;
mogą chronić prywatność bez wysyłania żadnych danych umożliwiających identyfikację użytkownika.

Zainteresowany ochroną urządzeń i aplikacji mobilnych? Napisz do nas, by dowiedzieć się więcej.
Zachęcamy również do obejrzenia demonstracyjnych ataków na stronie Zimperium: Chromebook Security for Remote Education, Students, Teachers (zimperium.com)
Opracowanie na podstawie materiałów opublikowanych przez Zimperium Blog.

Darktrace i Microsft łączą siły i wspólnie eliminują luki w zabezpieczeniach
17.05.2021
Darktrace

Darktrace i Microsoft łączą siły i wspólnie eliminują luki w zabezpieczeniach

Darktrace i Microsoft nawiązały współpracę, aby pomóc organizacjom wyeliminować luki w zabezpieczeniach w ich wielochmurowych i wieloplatformowych środowiskach.
Darktrace uzupełnia zabezpieczenia firmy Microsoft o samouczącą się sztuczną inteligencję, która wykrywa nowe zagrożenia cybernetyczne, które omijają inne zabezpieczenia, i autonomicznie na nie reaguje.
Darktrace wykorzystuje czołową na świecie technologię uczenia maszynowego oraz sztuczną inteligencję, by wykrywać, klasyfikować i wizualizować potencjalne zagrożenia. Ponadto w odróżnieniu od podejścia opartego na zasadach i sygnaturach, Darktrace nie opiera się na atakach historycznych, by przewidzieć przyszłość. Zamiast tego buduje własną, unikalną wiedzę o tym, jak wygląda typowe zachowanie w danej firmie i potrafi wykrywać pojawiające się zagrożenia w czasie rzeczywistym, w tym zagrożenia z wykorzystaniem informacji poufnych oraz chroni przed ransomware.
Ujednolicona ochrona na platformie Microsoft 365

Zakres usługi Darktrace obejmuje pełny pakiet produktów Microsoft 365, w tym SharePoint, OneDrive i Microsoft Teams.
Podejście samouczące się pozwala Darktrace zidentyfikować pełen zakres cyberzagrożeń w tych środowiskach, w tym:

Naruszenie danych uwierzytelniających
Nadużycie generowane przez administratora
Ryzyka związane z pracą zdalną

Zautomatyzowane i szczegółowe raporty
Cyber ​​AI Analyst firmy Darktrace automatycznie selekcjonuje, interpretuje i raportuje pełen zakres incydentów związanych z bezpieczeństwem na platformie Microsoft 365. Szczegółowo analizuje zachowania użytkowników i urządzeń będących przedmiotem zainteresowania.

Autonomiczna odpowiedź dzięki Antigena SaaS
Gdy system odpornościowy Darktrace wykryje pojawiające się cyberzagrożenie na platformie Microsoft 365, Antigena szybko przerywa atak z chirurgiczną precyzją, umożliwiając kontynuowanie normalnej pracy.
Autonomiczne działania Antigena SaaS są inteligentne i proporcjonalne do charakteru zagrożenia. Operatorzy badający nietypową aktywność SaaS mogą również uruchamiać działania bezpośrednio z dedykowanej konsoli SaaS.

Pomożemy Ci zabezpieczyć Twoją firmę
W Integrity Partners profesjonalnie zajmujemy się wdrażaniem rozwiązań Microsoft i Darktrace, dlatego już teraz zachęcamy Cię do uruchomienia bezpłatnego okresu próbnego technologii Darktrace Enterprise Immune System. Szczegóły znajdziesz tutaj.

Zasada najniższych uprawnień – sposób na zarządzanie dostępem uprzywilejowanym w chmurze
4.03.2021
CyberArk

Zasada najniższych uprawnień – sposób na zarządzanie dostępem uprzywilejowanym w chmurze

W ostatnich latach coraz więcej organizacji decyduje się na przeniesienie zasobów do chmury publicznej. Czy Ty również zdecydowałeś się na ten krok? Jeśli tak, to wiesz już jakie korzyści niesie za sobą dostęp do zasobów z dowolnego miejsca, urządzenia i w dowolnym czasie. Wygodny i szybki dostęp do danych uwidocznił jednak nowy problem – rosnącą liczbę nadawanych uprawnień.  
W organizacjach korzystających z różnych dostawców chmury publicznej, szybko gromadzące się uprawnienia, stanowią nowe wyzwanie dla bezpieczeństwa. Każdego dostawcę chmury publicznej cechuje konieczność zarządzania wieloma modelami uprawnień.  To niespójne podejście do zarządzania uprawnieniami staje się poważnym zagrożeniem dla wydajności operacyjnej wielu organizacji.  
Jak zmniejszyć ryzyko związane z przejęciem tożsamości uprzywilejowanych w chmurze? 
Załóżmy, że zasoby Twojej firmy hostowane są w różnych chmurach publicznych. Aby ograniczyć ryzyko związane z przejęciem dostępów uprzywilejowanych – najlepszym sposobem będzie wdrożenie zasady najniższych uprawnień. Dlaczego?
Zasada najniższych uprawnień jest jedną z najważniejszych koncepcji bezpieczeństwa infrastruktury chmury. W myśl tej zasady minimalny dostęp powinien być przyznany wszystkim tożsamościom (ludzkim lub nieludzkim) tylko na minimalny, niezbędny do ukończenia zadania czas. To właśnie ta koncepcja ograniczonego dostępu oraz minimalnego czasu jest najczęściej zapominana i najtrudniejsza do wdrożenia w dynamicznym, złożonym środowisku wielochmurowym. 
Co zyskasz dzięki wdrożeniu zasady najniższych uprawnień:  

zmniejszysz potencjalną powierzchnię ataku 
zwiększysz zgodność z przepisami i dobrymi praktykami  
poprawisz higienę nadawania i odbierania uprawnień 
zwiększysz stabilność infrastruktury chmurowej poprzez ograniczenie szkód, które mogą wynikać z eskalacji lub nieautoryzowanego pozyskania poświadczeń. 

Wiemy już jaki wpływ na bezpieczeństwo naszych zasobów z chmurze ma zasada minimalnych uprawnień. Ale w jaki sposób wprowadzić tę zasadę w życie? Rozwiązaniem może być CyberArk Cloud Entitlements Manager. 
Cloud Entitlements Manager opiera się o usługę IAM (Identity & Access Management) do identyfikowania i mapowania uprawnień w chmurze. Ale w odróżnieniu od innych tego typu rozwiązań dodatkowo wykrywa zagrożenia związane z uprawnieniami np. Shadow Admins, które zwykle nie są śledzone przez narzędzia IAM większości dostawców chmurowych. Cloud Entitlements Manager zbiera dane dotyczące wykorzystania wszystkich istniejących uprawnień w rozproszonym środowisku chmurowym. Dzięki temu identyfikuje nadmiernie używane lub nieużywane poświadczenia, które następnie można usunąć, bez wpływu na działanie usług.
https://www.youtube.com/watch?v=d6QAYVB5RdA

Bezpieczne zarządzanie dostępem uprzywilejowanym w chmurze za pomocą CyberArk Cloud Entitlements Manager. 
Cloud Entitlements Manager to rozwiązanie SaaS, które w znaczący sposób zmniejsza ryzyko związane z przejęciem tożsamości uprzywilejowanych, dzięki wykorzystaniu zasady najmniejszych uprawnień. Usługa pozwala na zarządzanie uprawnieniami w chmurach publicznych: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) i EKS. 
Cloud Entitlements Manager w środowisku chmurowym: 

centralizuje widoczność i kontrolę uprawnień w całej chmurze organizacji 
zapewnia możliwe do wdrożenia środki zaradcze, umożliwiające usunięcie nadmiernych uprawnień 
zbiera dane i za pomocą sztucznej inteligencji dokonuje oceny poziomu zagrożenia w całym rozproszonym środowisku chmurowym
umożliwia ciągłą ocenę poziomu uprawnień i identyfikuje zalecenia dotyczące redukcji ryzyka. 

Dzięki wyjątkowym funkcjom CyberArk Cloud Entitlements Manager zapewni Twojej organizacji:
Zwiększenie bezpieczeństwa, poprzez:

wymuszenie polityki najmniejszych uprawnień 
identyfikację nadmiernie używanych, nieużywanych i ukrytych uprawnień
automatyzację procesu usunięcia uprawnień, co daje możliwość reakcji na potencjalne zagrożenia w czasie rzeczywistym. 

Ciągłą widoczność uprawnień, poprzez: 

zmniejszenie nadmiernie wykorzystywanych, ukrytych, nieużywanych uprawnień w chmurach publicznych AWS, Azure GCP oraz EKS 
kontrolę i widoczność uprawnień w czasie rzeczywistym. 

Kontrolę uprawnień, poprzez: 

budowę i tworzenie uprawnień w chmurze wraz z zasadami dostępu, co pozwala na zmniejszenie ryzyka związanego z nadmiernie wykorzystywanymi uprawnieniami dotyczącymi zarówno zasobów ludzkich jak i infrastruktury. 

Zmniejszenie ryzyka ekspozycji zasobów chmurowych, poprzez: 

ocenę i zmniejszenie ryzyka związanego z nadmiernymi uprawnieniami na wielu platformach chmurowych 
wymuszenie polityki najniższych uprawnień na wielu platformach chmurowych. 

Na tle innych rozwiązań Cloud Entitlements Manager wyróżnia to, że jest to usługa dostarczana w modelu SaaS, co zmniejsza czas oraz koszty operacyjne, wymagane do uruchomienia i obsługi tej platformy. Kolejną cechą wyróżniającą CEM spośród innych rozwiązań jest obsługa wielu platform chmurowych w jednym, centralnym miejscu, co znacznie ułatwia zarządzanie uprawnieniami. Ponad to, mamy zwiększone bezpieczeństwo dostępu do usługi CEM, poprzez możliwość wykorzystania drugiego faktora autentykacji (MFA). Wyjątkowość Cloud Entitlements Manager podkreśla także możliwość implementacji automatycznych i manualnych akcji, polegających na usuwaniu nadmiernie wykorzystywanych uprawnień dotyczących infrastruktury i zasobów ludzkich. 
Podsumowując, zarządzanie bezpieczeństwem organizacji w chmurze niesie ze sobą wiele wyzwań, a jednym z nich jest niewątpliwie zarządzanie dostępem uprzywilejowanym. Dynamiczny charakter infrastruktury chmurowej nie ułatwia zadania. Dzięki takim rozwiązaniom jak Cloud Entitlements Manager jesteśmy jednak w stanie ochronić nasze zasoby, zapobiegać kradzieży danych i zapewnić ciągłość działania usług powołanych w chmurze. 
Jeżeli chcesz dowiedzieć się więcej na temat rozwiązania CyberArk Cloud Entitlements Manager – skontaktuj się z nami. 

Hakerzy To nie mój problem…5 typów hakerów i sposoby jak się przed nimi ochronić
9.02.2021
Integrity Partners

Hakerzy? To nie mój problem… 5 typów hakerów i sposoby jak się przed nimi ochronić.

Początkowo słowo haker nie miało tak negatywnego znaczenia, jakie znamy dzisiaj. W latach siedemdziesiątych ubiegłego wieku hakera definiowano jako – entuzjastę komputerów. Wspomniany entuzjasta interesował się odkrywaniem szczegółów dotyczących oprogramowania, ich układem i sposobem rozszerzania możliwości tych układów. To „rozszerzanie możliwości” niestety bardzo szybko nabrało całkiem nowego, niebezpiecznego znaczenia.
Wraz z rozwojem sieci komputerowych i Internetu, pasjonaci coraz wnikliwiej przeglądali schematy, funkcję, a wręcz poszczególne linie kodu. Nikt wówczas nie przypuszczał, że to z pozoru niegroźne i bardzo amatorskie wyszukiwanie luk w oprogramowaniu da początek całej gałęzi przemysłu hakerskiego.
Pierwsze wirusy komputerowe służyły do robienia psikusów (np. wyłączały monitor). Z czasem jednak programy takie stały się coraz bardziej groźne, wirus potrafił np. trwale uszkodzić dysk komputera. Na przestrzeni lat psikusy zamieniły się w bardzo niebezpieczne i często opłakane w skutkach profesjonale ataki hakerskie. Dzisiaj wiemy już sporo na temat naszych przeciwników.  Żeby jednak bronić się skuteczniej, warto poznać bliżej współczesnych aktorów rynku cyberNIEbezpieczeństwa.
Ze względu na motywy, którymi się kierują oraz sposób działania aktorów rynku cyberNIEbezpieczeństwa możemy podzielić na kilka grup:

Hakerzy: WhiteHat, BlackHat i Script Kiddies
Haktywiści
Przestępcy
Konkurencja
Pracownicy wewnętrzni

Słysząc termin „haker”, nasze skojarzenia mogą pójść w różne strony. Od siedzących w piwnicach geniuszy (zapewne zza wschodniej granicy), przez sygnalistów z pierwszych stron gazet, walczących o swoje idee, po zamaskowanych przestępców, którzy realizują brudne, korupcyjno-przestępcze interesy. Wreszcie hakerem może okazywać się “zwykły” użytkownik, który wykorzysta swoje uprawnienia do zaszkodzenia organizacji lub nielegalnego wykorzystania danych.  I w każdym z tych skojarzeń możemy odnaleźć ziarno prawdy. Jednak codzienność może okazać się bardziej prozaiczna, a “hakera” możemy odnaleźć bliżej niż nam się wydaje. Jak może on wpłynąć na naszą firmę? Zapraszamy do lektury:
Hakerzy
WhiteHat – od jakiegoś czasu firmy decydują się na zatrudnianie tzw. Ethical hacking – wykwalifikowanych, niezależnych, “etycznych” hakerów, którzy dostają dostęp do zasobów firmowych. WhiteHat zatrudniani są w celu wyszukiwania luk w zabezpieczeniach. Jeśli ich motywy są szczere – pomagają firmom wychwycić słabe punkty w organizacji i podnieść poziom bezpieczeństwa. Bywa, że hakerzy tzw. BlackHat wykorzystują wiedzę zdobytą o firmie dla własnych celów. Zdarzają się przypadki kradzieży danych i szantażu.
Wskazówka! Jeżeli zdecydujesz się na usługi WhiteHat, upewnij się, że Twoje dostępy do kont są dobrze zabezpieczone. Ważna jest systematyczna rotacja haseł oraz odpowiednie zabezpieczenie urządzeń końcowych. Rozwiązaniem doskonale wpisującym się w te potrzeby jest CYBERARK ENDPOINT PRIVILEGE MANAGER (EPM)
Script kiddies (złośliwe dzieciaki) – amatorzy, mniej wykwalifikowani, ale często równie niebezpieczni niszczyciele zabezpieczeń Internetowych. Script kiddies wykorzystują już istniejące, łatwe i dobrze znane techniki i programy do wyszukiwania i wykorzystywania słabych punktów w innych komputerach. Typowy atak script kiddy opiera się na tworzeniu fałszywych witryn internetowych. Nieświadomy zagrożenia użytkownik wprowadza tam swój login, dając w ten sposób atakującemu dostęp do swojego konta. Motywy tej grupy są najczęściej ideowe – z racji na zwykle młody wiek atakujących, ich celem jest bardziej zdobycie popularności wśród rówieśników niż zyski finansowe.
Wskazówka! Każdy użytkownik komputera jest narażony na potencjalne zagrożenia. Ważna jest świadomość tych zagrożeń oraz wiedza jak sobie z nimi radzić. Przydatne mogą być szkolenia Security Awareness – czyli bezpieczeństwo IT dla każdego. Najlepszym rozwiązaniem, które pomoże w edukacji, budowaniu świadomość oraz uodporni Twój zespół na zagrożenia będzie CYBEREADY.
Haktywiści
To użytkownicy sieci, naruszający obowiązujące prawo na podstawie motywacji ideologicznych lub politycznych. Głównym ich celem jest zwrócenie uwagi poprzez rozpowszechnianie treści propagandowych lub szkodzenie organizacjom, z których polityką się nie zgadzają. Tą grupę charakteryzują ataki typu DDoS. Przykładowy atak haktywistów to np. sytuacja, kiedy zbyt wiele osób próbuje wejść na daną stronę www, co w efekcie doprowadza do przeciążenia serwera. Kiedy o ataku robi się głośno, kolejne osoby wchodzą na stronę jeszcze chętniej – nieświadomie wspierając wysiłek atakujących. Haktywiści wykorzystują swoje umiejętności w celu podniesienia świadomości na ich temat oraz popieranych przez nich idei.
Wskazówka! Jeżeli chcesz zapewnić kompleksową ochronę przed utratą danych, atakami DDoS oraz wszelkimi znanymi zagrożeniami warstwy aplikacji sprawdź możliwości rozwiązania BARRACUDA WEB APPLICATION FIREWALL (WAF).
Przestępcy
To zorganizowane grupy przestępcze, nastawione na cel biznesowy. Dla tej grupy najczęstszą motywacją ataku są zyski finansowe. Grupy są zwykle bardzo liczne, świetnie zorganizowane i wykfalifikowane. Dysponują własnymi narzędziami do przeprawienia skutecznego ataku. Specjalizują się w atakach typu atak-as-a-service. Często motywem nie-na-zamówienie jest budowanie botnetów do późniejszych ataków DDoS lub po prostu cryptolockery i wymuszenie okupu.
Wskazówka! Zorganizowane grupy przestępcze to niewątpliwie jeden z najtrudniejszych przeciwników. Dobrze zorganizowane i przeszkolone zespoły hakerów dysponują ogromną wiedzą i zasobami, które zapewniają im dużą skuteczność ataków. W tym przypadku niezbędne będzie narzędzie, które będzie w stanie ubiec plany hakerów. Doskonale sprawdzi się rozwiązanie, które wykrywa, klasyfikuje i wizualizuje potencjalne zagrożenia w oparciu o mechanizmy sztucznej inteligencji – DARKTRACE.
Pracownicy wewnętrzni
To najczęściej byli lub obecni niezadowoleni pracownicy, szukający zemsty na byłym pracodawcy lub korzyści finansowych. To jeden z najbardziej niebezpiecznych typów atakujących. Posiadają personalną motywację i często wyszukują „dziury” w naszym stacku bezpieczeństwa (24/7), podczas gdy firmy bronią się najczęściej aktywnie podczas standardowych godzin pracy pracowników (8/5). Do tej grupy hakerów możemy także zaliczyć osoby, które zatrudniają się celowo w organizacji, by szpiegować i zdobywać informacje, a następnie przekazywać te informacje do współpracujących z nimi grup przestępczych.  
Wskazówka! W celu zabezpieczenia firmy przed wyciekiem danych oraz kontrolę nad tym, jakie treści i do kogo są przekazywane wewnątrz organizacji umożliwi MICROSOFT AIP. Dodatkową ochronę zapewni także rozwiązanie FIDELIS NETWORK. W całodobowej kontroli bezpieczeństwa pomoże ANTIGENA firmy Darktrace, którą można ustawić na automatyczne działanie tylko poza godzinami biurowymi. Natomiast w godzinach biurowych może działać w systemie Human Confirmation.
Konkurencja
Nieczyste zagrania między konkurencyjnymi firmami na rynku nie są nowością. Organizacje od zawsze walczą między sobą o klienta. Są jednak hakerzy, którzy umiejętnie wykorzystują te walkę dla swoich celów.  Znane są przypadki, kiedy to jedna firma wynajmuje hakera lub całą grupę przestępczą w celu pogrążenia konkurencji. Takie ataki mają na celu kompromitacje przeciwnika, osłabienie jego pozycji na rynku i przede wszystkim odebranie klientów.
Wskazówka! W atakach na konkurencję hakerzy najczęściej wykorzystują najbardziej sprawdzone i skuteczne metody. Jak szybko pozbawić firmę dostępu do danych i skompromitować w oczach klientów? Wystarczy dobrze przeprowadzony phishing. Wiadomość e-mail imitująca legalne komunikaty zwabia odbiorcę i wywołuje pożądaną reakcję. W natłoku zadań pracownicy często nie wychwytują podejrzanych treści, klikając w link, padają ofiarą zamierzonych działań przestępcy. Pracownik jest najczęściej tym słabym ogniwem, o który trzeba odpowiednio zadbać. Żeby wzmocnić odporność firmy na phishing i wszystkie inne zagrożenia związane z social engineering, warto skorzystać z autonomicznej platformy szkoleniowej CYBEREADY.
Motywy działania cyberprzestępców są bardzo różne. Atakującymi mogą kierować względy ideowe, finansowe lub polityczne. Bez względu na to, czym kierują się hakerzy – atak na naszą organizację może okazać się katastrofalny w skutkach.  Na rynku istnieje jednak wiele rozwiązań, które pozwalają toczyć codzienną walkę z cyberprzestępczością i co najważniejsze – pozwalają nam wyjść z niej zwycięsko.
W odpowiedzi na powyższe zagrożenia Integrity Partners oferuje wiele sprawdzonych technologii, które idealnie wpisują się w potrzeby bezpieczeństwa każdej firmy. Pomożemy Ci w wyborze właściwego rozwiązania, a nasi eksperci zapewnią kompleksowe konsultacje. Nawet jeśli Twoja firma nie dysponuje ogromnymi zasobami IT – zaproponujemy Ci odpowiednie warstwy ochrony w ramach usług MANAGED SERVICES. Chcesz dowiedzieć się więcej? Napisz do nas

Czas zwiększyć świadomość phishingową – rozszerzenie możliwości symulatora ataków w Microsoft Defender for Office 365
25.09.2020
Kuba Borkowski

Czas zwiększyć świadomość phishingową – rozszerzenie możliwości symulatora ataków w Microsoft Defender for Office 365

Phishing nie znika – on tylko rośnie!

Kilka słów wstępu dot. naszego głównego bohatera, czyli phishingu – zdawać by się mogło, że wraz z rozwojem technologii, zobaczymy coraz to nowsze rodzaje ataków i zagrożeń. Faktycznie regularnie pojawiają się raporty o nowych wektorach ataku i włamaniach o dotąd niespotykanej skali. Jednak niezmiennie najpopularniejszy jest phishing – najprostsza i, wydawać by się mogło, najmniej skuteczna metoda ataku (nic bardziej mylnego!). Tutaj do gry wchodzi rozwiązanie w ramach pakietu Microsoft Defender for Office 365.

W pierwszym kwartale 2020 zaobserwowano wzrost ataków phishingowych do rozmiarów nienotowanych od 2016 roku [1]!

Żeby podkreślić jeszcze fakt, że to nie jest tylko wyciąganie pojedynczych informacji – 22% wycieków danych wynikało lub zawierało w sobie właśnie ataki phishingowe[2]!

Nie tylko technologia, ale ŚWIADOMOŚĆ

Sama formuła ‘phish’ nie do końca oddaje różnorodność ataków, które za tym się kryją. To trochę tak, jak każdą osobę w IT określić mianem informatyka – programistów, oficerów bezpieczeństwa, architektów etc. Oprócz typowego podmieniania odnośnika lub podszywania się pod inną osobę – zaobserwowano sporo technik nieco bardzie wysublimowanych, a co za tym idzie – trudniejszych do wykrycia.

Przykłady – zyskujący na popularności zombie phishing, gdzie atakujący przejmują konto i następnie wykorzystują stare konwersacje mailowe i odpowiedzi na nie, do których dodają jakiś link phishngowy. Jako potencjalny cel takiego ataku – znamy odbiorcę, znamy temat rozmowy.

Idąc dalej – chyba każdy z nas doświadczył już odnośników skróconych (bitly itd.) czy kierujących na znane serwisy jak np. google drive.

Dlatego właśnie tak ważne jest, aby zadbać o świadomość użytkowników – informować ich o różnych metodach ataku, o tym jak rozpoznawać podrobione wiadomości, co zrobić, kiedy mamy wątpliwości, jak reagować i, co BARDZO ważne (a często zapominane), przekonywać ich do zgłaszania wszelkich prób!

Microsoft Defender for Office 365 – Zrobimy swój własny phishing, z blackjackiem i …

Jak najlepiej budować świadomość użytkowników? Symulacjami!

W ramach Microsoft Defender for Office 365 w planie 2, mamy dostępne bardzo fajne narzędzie jakim jest symulator ataków. W dużym skrócie – dzięki niemu możemy sami tworzyć wiadomości „phishingowe” wysyłane do naszych użytkowników. Dorzucamy tam np. odnośnik do zewnętrznej strony czy pdf z ‘fakturą od dostawcy’ i patrzymy kto to u nas kliknie na taki podrobiony element lub, co chyba gorsze, poda poświadczenia na podrzuconej stronie.

Samo rozwiązanie działa bardzo fajnie, jednak wymaga sporo przygotowania po naszej stronie (mało szablonów) i nie daje wielu możliwości symulacji (tylko dwie opcje – załącznik lub odnośnik). W najbliższym czasie jednak się to zmieni – poznajcie nową odsłonę Attack Simulator!

Rozbudowany symulator ataków w ramach Microsoft Defender for Office 365

Pierwsza wiadomość – dostajemy dużo więcej gotowych szablonów! Spodziewam się, że na początku większość z nich będzie dostępna w języku angielskim, ale (jak Ci którzy korzystają z obecnej formy attack simulator wiedzą) wersja polska z czasem na pewno się pojawi.

Co ważne – możemy planować kampanie w czasie, z podziałem np. na odpowiednie grupy użytkowników czy strefy czasowe.

Microsoft, żeby zapewnić kompletność oferty, podjął współpracę z firmą Terranova Security – odpowiedzialni są oni za część kolejną (post-symulacyjną) czyli wszelkiego rodzaju szkolenia użytkowników. To chyba największa różnica w stosunku do tego co mamy dostępne obecnie (czyli wbudowanej strony z generycznymi informacjami dla tych którzy się ‘złapali’ na symulacje phishu lub alternatywnie możliwość wskazania wew. witryny).

Szkolenia dla użytkowników będą dzielić się na kilka różnych wątków (rozróżnienie różnych ataków, np. malware, phishing, social engineering etc.) i zawierać różne metody przekazu – nagrania wideo, tekst czy odnośniki do zewnętrznych materiałów. Dodatkowo miałem okazję zobaczyć autentyczne przykłady maili wyłudzających dane i ćwiczenia dla użytkownika, który ma wskazać, dlaczego np. dana wiadomość jest podrobiona.

Nie ma niestety informacji o wsparciu dla naszego rodzimego języka polskiego – nie spodziewałbym się dostępności w najbliższym czasie (ale może pozytywnie się zaskoczę 😊).

Ważne do odnotowania – wszystkie powyższe elementy (uczenie, symulacje itd.) oczywiście są mierzalne i posiadają konkretne raportowanie.
Więcej informacji na temat Attack Phishing Simulator znajduje się na stronie Microsoft.

Co, gdzie, kiedy?

Z wersji obecnej symulatora ataków (gdzie możemy uruchamiać kampanie z odnośnikiem lub załącznikiem) możecie korzystać już teraz – wystarczy dodatek Office 365 ATP (lub obecnie Microsoft Defender for Office 365) Plan 2 (lub subskrypcja, która taki plan posiada – Microsoft 365 E5).

[1] Phishing Activity Trends Report, APWG, Q1 2020, Published 11 May 2020

[2] Verizon’s 2020 Data Breach Investigation Report

Integrity Partners ze statusem Darktrace Platinum Partner
14.08.2020
Integrity Partners

Integrity Partners ze statusem Darktrace Platinum Partner

Darktrace, globalny lider w wykrywaniu anomalii w sieci, wyróżnił Integrity Partners statusem Darktrace Platinum Partner! Jest to kolejne, najwyższe wyróżnienie od partnera technologicznego oraz kolejne mocne potwierdzenie naszych kompetencji w obszarze cybersecurity.

Integrity Partners z pierwszym w Polsce statusem Platynowego Partnera Darktrace

Co oznacza status Darktrace Platinum Partner?

Inżynierowie i konsultanci Integrity Partners przeszli wymagający proces szkolenia oraz pozyskali odpowiednie certyfikaty partnerskie. Ale to nie wszystko. Platynowe Partnerstwo jest potwierdzeniem największej liczby wdrożeń rozwiązań Darktrace w Polsce. Oznacza to, że klienci mają dostęp do wykwalifikowanej kadry inżyniersko-handlowej pozwalającej na szybkie wdrożenie i adaptację rozwiązania w środowisku klienta. Ponadto klienci otrzymują najwyższy poziom wsparcia technicznego, zarówno pierwszej, jak I kolejnych linii. Jest to szczególnie istotne w przypadku zaawansowanej technologii, która dzień po dniu dostosowuje swoje algorytmy do nowopowstałych zagrożeń.

Jak mówi Patryk Pieczko, Cyber Security Vice Director w Integrity Partners: „włączenie produktów Darktrace do naszej oferty dopełnia wachlarz produktów cybersecurity, które obecnie proponujemy naszym Klientom. Zagrożenia występujące w sieciach (IT oraz OT) są niezwykle istotne. Zarówno w czasach spokojnych dla gospodarki, jak i w tak „ciekawych”, jak era Covid-19. Dynamika wprowadzanych zmian w systemach, konfiguracji stacji roboczych, podłączanie do sieci firmowych szeregu słabiej chronionych urządzeń oraz brak wykwalifikowanej kadry znacznie zwiększają ekspozycję firm na możliwe ataki. Zapewnienie ochrony w takim środowisku wymaga podejścia opartego o monitorowanie zagrożeń na poziomie sieci. A najlepiej – monitorowanie proaktywne, zawsze „o krok przed” niebezpieczeństwem. To jest właśnie znak rozpoznawczy Darktrace.”

„Inteligentna” ochrona dostępna już w Polsce

Darktrace jest światowym liderem w wykrywaniu i analizie zagrożeń w dowolnych typach sieci w czasie rzeczywistym. Pionierska technologia the Enterprise Immune System wykorzystuje uczenie maszynowe oraz sztuczną inteligencję, aby wykrywać, klasyfikować i wizualizować potencjalne zagrożenia, których nie są w stanie wykryć starsze systemy.

Anomalies Detection i Anomalies Response to technologie, dzięki którym nieregularne aktywności w sieci są wykrywane, a w przypadku pakietu AI – również izolowane w sieci, w której zostają zainstalowane. Tego rodzaju podejście oznacza zajęcie pole position w nieustającym wyścigu z zagrożeniami dla sieci firmowych – szkodliwe oprogramowanie może jeszcze nawet nie być zdefiniowane, a Darktrace jest w stanie zauważyć podejrzaną aktywność i przesłać alert do osób odpowiedzialnych za bezpieczeństwo.
https://www.youtube.com/watch?v=5iaGuOUdfHc

 
Decyzje podejmowane w ułamku sekundy są niezbędne tak w F1, jak i w ochronie danych.

Zapraszamy do śledzenia naszego profilu na LinkedIn, gdzie na bieżąco zapraszamy na organizowane przez nas webinary. Dzięki nim możesz być na bieżąco z najnowszymi informacjami na temat monitorowania zagrożeń w sieci firmowej.

CyberArk liderem Magic Quadrant PAM 2020
14.08.2020
Integrity Partners

CyberArk liderem Magic Quadrant PAM 2020

CyberArk – kluczowy partner Integrity Partners po raz kolejny otrzymał wyróżnienie branżowe w zakresie Privileged Access Management. Pozycja samodzielnego lidera w tzw. Magic Quadrant przygotowanym przez analityków Gartnera to potwierdzenie wiodącej roli CyberArk w zakresie zarządzania dostępem uprzywilejowanym.

CyberArk powiększa przewagę w oczach Gartnera

Rozwiązania CyberArk nie tylko utrzymały, ale także wzmocniły swoją pozycję na rynku dostępu uprzywilejowanego. Opublikowany na początku sierpnia raport wyraźnie wskazuje przewagę rozwiązań nad produktami konkurencyjnych vendorów. Magic Quadrant pozycjonuje urządzenia CyberArk zarówno jako charakteryzujące się najwyższą skutecznością, jak i wizjonerskim podejściem do bezpieczeństwa. Jest to uwidocznione na poniższej grafice:

Rozwiązania CyberArk zostały sklasyfikowane w Magic Quadrant jako lider zarówno pod względem wizji, jak i skuteczności.

Szczegółowy raport jest dostępny do pobrania bezpośrednio ze strony producenta.

Cieszymy się, że jako najlepszy partner CyberArk w Europie Wschodniej w roku 2019 mamy okazję dołożyć swoją cegiełkę do tego imponującego sukcesu. Ponad 25 wdrożeń Privileged Access Management na naszym koncie to efekt świetnej współpracy i doskonałej jakości produktów CyberArk. Serdecznie gratulujemy!

Poznaj portfolio CyberArk

Integrity Partners oprócz wyróżnionego modułu Privileged Access Management ma w swoim portfolio szereg innych rozwiązań CyberArk. Są to między innymi:

CyberArk Conjur,
CyberArk Endpoint Privilege Manager,
CyberArk Enterprise Password Vault,
CyberArk Idaptive.

Zapraszamy do kontaktu z naszym działem handlowo-technicznym, który z przyjemnością przedstawi Państwu szczegóły oferty CyberArk, adresowanej do organizacji zainteresowanych ochroną dostępu uprzywilejowanego.

Raport Verizon DBIR 2020
28.07.2020
Integrity Partners

Raport Verizon DBIR 2020

Data Breach Investigations Report to coroczny raport przygotowywany przez firmę Verizon na temat obecnie obserwowanych trendów w cyberbezpieczeństwie. Bazując na danych z ponad 81 organizacji na całym świecie raport przedstawia, między innymi, najczęściej występujące zagrożenia i najczęstsze powody włamań w firmach i organizacjach. Co więcej, na tej podstawie, otrzymujemy też zalecenia na temat działań, jakie powinniśmy podjąć, aby zredukować prawdopodobieństwo włamania do naszej firmy.

Tak się składa, że Verizon wypuścił niedawno nowy Raport na rok 2020 a nam udało się przez niego przebrnąć. Cały raport ma 119 stron, ale nie martw się – przeczytaliśmy go za Ciebie i wypisaliśmy najważniejsze informacje, żebyś Ty nie musiał/a tego robić i swój czas mógł/mogła spędzić w ciekawszy sposób.

Poniżej znajdziesz wyciąg z informacji, jakie można znaleźć w raporcie wraz z krótkim komentarzem z naszej strony. Skupiamy się na rynku polskim, który w niektórych przypadkach jest znacząco różny od rynku globalnego.

Włamania wewnętrzne vs zewnętrzne

Wielu uważa pracowników wewnętrznych za najczęstszą przyczynę naruszeń, ale dane DBIR nadal pokazują, że ataki przeprowadzone przez podmioty zewnętrzne są – i zawsze były – częstsze. W rzeczywistości 70% naruszeń w tym roku było spowodowanych przez osoby z zewnątrz.

Nasz komentarz: W Polsce nie spotkaliśmy się jeszcze z przekonaniem, że większości zagrożeń powinniśmy spodziewać się od wewnątrz. Panuje raczej zaufanie do pracownika (często zbyt duże, gdyż incydenty związane z pracownikami wewnętrznymi również się zdarzają . To, na co warto tu zwrócić uwagę, to fakt, że pracownikowi wewnętrznemu o wiele łatwiej jest pokonać nasze zabezpieczenia. Osoba z organizacji zna wewnętrzne procesy biznesowe, a jeśli jest pracownikiem IT być może zna też stosowane przez nas mechanizmy obrony i łatwiej jest mu ominąć nasze zabezpieczenia.

A może w rzeczywistości współczynnik wewnętrznych naruszeń do zewnętrznych powinien być trochę większy? A może niektórych przypadków nie udaje nam się po prostu wykryć?

Motywacja atakujących

Szpiegostwo przemysłowe trafia do nagłówków gazet, ale stanowi zaledwie 10% naruszeń w tegorocznych danych. Większość (86% naruszeń) jest nadal motywowana finansowo. Zaawansowane zagrożenia (Advanced Persistent Threat) – które również są bardzo głośne – stanowią tylko 4% naruszeń.

Nasz komentarz: W Polsce osobiście nie słyszeliśmy o głośnych przypadkach szpiegostwa przemysłowego – jest to raczej domena rynków zagranicznych. Zgadzamy się jednak, że większość naruszeń jest obecnie motywowana finansowo. Wśród naszych klientów mamy takich, którzy w przeszłości padli ofiarą zagrożeń typu Ransomware lub udanego ataku Phishing. To wiązało się niestety z łatwym zarobkiem dla atakujących. Zagrożenia typu APT są stosunkowo rzadkie i mało prawdopodobne jest, aby polskie firmy z sektora SMB były na ich celowniku. Natomiast ze względu na globalny zasięg tego typu zagrożeń polskie firmy mogą stać się ich przypadkową ofiarą, jak to było w przypadku operacji Shadowhammer.

Taktyki atakujących

Kradzież poświadczeń, ataki w mediach społecznościowych (Phishing i włamania na służbowe skrzynki e-mail) oraz błędy konfiguracyjne są powodem większości naruszeń (67% lub więcej). Te taktyki okazują się skuteczne dla atakujących, więc wracają do nich od czasu do czasu. W przypadku większości organizacji te trzy taktyki powinny znajdować się w centrum wysiłków związanych z bezpieczeństwem.

Nasz komentarz: Niezmiennie, najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek. Phishing jest jednym z najbardziej powszechnych zagrożeń zarówno w Polsce jak i na świecie. Dlatego też naszym zdaniem warto inwestować w odpowiednie szkolenia. Edukacja buduje świadomość pracowników i pozwoli im na łatwe odróżnienie Phishingu od prawdziwych wiadomości email. W swojej ofercie posiadamy rozwiązanie, które adresuje tego typu potrzeby. Managed Phishing Simulation Services w prosty i angażujący sposób nauczy Twoich pracowników jak rozpoznawać Phishing.

Odnosząc się natomiast do błędów konfiguracyjnych – na rynku trudno jest znaleźć wykwalifikowanych specjalistów od bezpieczeństwa a idąc za tym często są oni przeładowani obowiązkami. W takich warunkach nawet dobremu specjaliście łatwo jest popełnić błąd. Dlatego też warto rozważyć powierzenie swojego bezpieczeństwa zewnętrznym firmom przez usługi zarządzane – Managed Services. Decydując się na takie rozwiązanie przenosimy część odpowiedzialności na firmę zewnętrzną. Innym sposobem uniknięcia błędów konfiguracyjnych jest regularny audyt naszych urządzeń pod względem zgodności z dobrymi praktykami – taką możliwość dają nam rozwiązania typu NAC (Network Access Control) jak np. Forescout.

Ransomware

Ransomware stanowi obecnie 27% incydentów związanych ze złośliwym oprogramowaniem, a 18% organizacji zablokowało co najmniej jeden atak ransomware. Żadna organizacja nie może sobie pozwolić na zignorowanie tego problemu.

Nasz komentarz: Niestety, ransomware staje się coraz częściej występującym zagrożeniem, również w Polsce. Aby zabezpieczyć się przed tym zagrożeniem do tej pory wiele organizacji decydowało się na backup – i rzeczywiście, dobrze zabezpieczony backup może uratować nas przed nieodwracalną utratą danych. Jedna z naszych usług – Managed Backup Services adresuje ten problem.

Jeśli chcemy ograniczyć potencjalny wpływ Ransomware i nie pozwolić mu na rozprzestrzenianie się po naszej sieci warto unikać stosowania kont uprzywilejowanych na stacjach roboczych, które, w przypadku przejęcia, mogłyby posłużyć do wyrządzenia szkód na kolejnych systemach. Aktualnie liderem rozwiązań służących do ochrony kont uprzywilejowanych jest produkt CyberArk EPM.

Obecnie niektórzy włamywacze, oprócz zaszyfrowania danych, kopiują je na zewnątrz, grożąc później udostępnieniem ich, jeśli nie zapłacimy okupu. W tym przypadku backup nam nie pomoże. Możemy natomiast polegać na rozwiązaniach monitorujących naszą sieć i wykrywających anomalie, takich jak szybkie zapisywanie zasobów udostępnionych w udziałach sieciowych. Jedno z takich rozwiązań oferujemy w ramach naszej usługi – jest to Managed Anomalies Response Services.

Ataki na aplikacje internetowe

Ataki na aplikacje internetowe były częścią 43% naruszeń, ponad dwukrotnie więcej niż w ubiegłym roku. Gdy procesy biznesowe przenoszą się do chmury, atakujący podążają za nimi. Najczęstsze metody atakowania aplikacji internetowych to użycie skradzionych lub uzyskanych metodą brute-force danych uwierzytelniających (ponad 80%) lub wykorzystanie luk w zabezpieczeniach (mniej niż 20%) w aplikacji internetowej w celu uzyskania dostępu do poufnych informacji.

Nasz komentarz: W obecnych czasach prawie każda firma/organizacja posiada swoją stronę internetową. Często strona internetowa jest częścią naszych procesów biznesowych (sprzedaż produktów/usług), generowanie leadów, świadczenie usług firmom zewnętrznym. Idąc tym tropem, atak na nią może wiązać się z dużymi stratami finansowymi. Jeśli ma ona dostęp do danych osobowych, możemy zostać pociągnięci do odpowiedzialności w przypadku, gdy dane te wyciekną lub zostaną skradzione. Jeśli natomiast strona internetowa pełni jedynie rolę naszej wizytówki włamanie może skutkować utratą reputacji, którą trudno będzie potem odbudować.

W swoim portfolio posiadamy usługę, która adresuje ten konkretny problem i pozwala zabezpieczyć strony internetowe przed wyciekiem danych, niedostępnością i atakami brute-force – jest to usługa Managed Web Application Firewall Services. Do problemu włamań z wykorzystaniem skradzionych kont lub ataków brute-force można także podejść w inny sposób – stosując rozwiązanie MFA (Multi Factor Authentication), na przykład Idaptive MFA.

Kradzież danych osobowych

Dane osobowe kradzione są coraz częściej – lub te kradzieże są zgłaszane częściej z powodu przepisów dotyczących ujawniania informacji. Tak czy inaczej, kradzież danych osobowych była związana z 58% incydentów, prawie dwa razy więcej niż w zeszłym roku. Obejmuje to adresy e-mail, nazwiska, numery telefonów, adresy fizyczne i inne rodzaje danych, które można znaleźć w wiadomości e-mail lub przechowywać w źle skonfigurowanej bazie danych.

Nasz komentarz: Wszyscy zdajemy sobie sprawę z tego, jak bardzo sytuacja zmieniła się po wejściu w życie RODO/GDPR. W związku z wymogami tych przepisów jesteśmy zmuszeni zapewnić odpowiednią ochronę danych osobowych, które przetwarzamy. W przypadku wycieku danych nie tylko jesteśmy zmuszeni powiadomić o tym ich właścicieli, co wiąże się z utratą reputacji, ale także ryzykujemy nałożeniem na nas kary finansowej przez UODO (patrz: Morele i kara 2.8 mln zł). Do ochrony danych osobowych przed wyciekiem najlepiej sprawdzi się rozwiązanie typu Data Loss Prevention. Jeśli natomiast szukamy bardziej uniwersalnego rozwiązania, zamiast tego możemy zastosować rozwiązania, które posiadają w sobie mechanizmy zbliżone do DLP – Web Application Firewall (np. nasza usługa Managed Web Application Firewall Services) oraz rozwiązania bazujące na wykrywaniu anomalii i mogące wykryć wyciek dużej ilości danych poza naszą organizację, niezależnie czy są one zaszyfrowane czy nie (np. nasza usługa Managed Anomalies Response Services).

Zachęcamy do przeczytania przynajmniej niektórych rozdziałów pełnego raportu. Znajdziecie tam też dane pogrupowane według poszczególnych branż („Industry Highlights”).

Źródło:

Executive Summary: https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf

Pełny Raport: https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf

Network Visibility - oczami Twojej infrastruktury
1.06.2020
Integrity Partners

Network Visibility – oczami Twojej infrastruktury

Ruch sieciowy dostarcza wszystkich niezbędnych informacji o tym, co dzieje się w infrastrukturze Twojej firmy. Bazowanie tylko na jego wycinku lub niepełnych danych może prowadzić do różnego rodzaju naruszeń. Z kolei natężenie ruchu obniża wydajności narzędzi analitycznych. Jak w takim razie wybrać najlepsze rozwiązania network visibility?

Różni dostawcy – różne definicje widoczności w ruchu sieciowym.

Wielu dostawców zabezpieczeń twierdzi, że zapewnia widoczność w ruchu sieciowym. Podczas gdy, tak naprawdę większości z nich, koncentruje się tylko na fragmencie układanki (firewall, endpoint itp.). Warto potraktować widoczność jako fundament infrastruktury, ponieważ ma to zasadnicze znaczenie dla jej stabilności, bezpieczeństwa i wydajności. Widoczność ruchu w sieci, powinna stanowić podstawowy element infrastruktury, dostosowany do działania we wszystkich typach środowisk: fizycznych, wirtualnych oraz w chmurze.

Przepustowość – sukces Twojej firmy zależy od szybkości sieci.

Rozbudowane sieci i coraz większe ilość danych jakie przez nie przepływają powoduje, że większość sieci firmowych nie jest już w stanie udźwignąć rosnących obciążeniem. Dodatkowym czynnikiem spowalniającym przepustowość mogą być narzędzia bezpieczeństwa. Dlatego rozwiązania Security z jakich korzystamy w naszych organizacjach powinny nie tylko chronić naszą sieć ale jednocześnie mieć wpływ na poprawę jej wydajności.

Oznacza to, że widoczność musi być wdrożona niezależnie od używanych narzędzi bezpieczeństwa. Niestety, w sytuacji gdy, widoczność jest dostarczana jako narzędzie zwykle kończy się to obniżeniem wydajności i przepustowości sieci. Przepustowość jest zatem kluczowa w obsłudze stałego wzrostu ruchu sieciowego. Jeśli chcemy jednocześnie utrzymać płynność działania firmy i zapewnić jej bezpieczeństwo należy skorzystać z rozwiązań widoczności – nie spowalniających sieć.

Widoczność – zobacz i przetwarzaj cały ruch, od pakietów po aplikacje.

Na wybór najlepszego rozwiązania network visibility ma wpływ także sposób jego podłączenia oraz elastyczność narzędzia. Ważna jest możliwość wpięcia rozwiązania na kopii ruchu, in-linowo lub w razie potrzeby zastosowanie obu tych wariantów jednocześnie. Przydatne mogą okazać się także dodatkowe funkcje takie jak: De-duplication, Packet Slicing, Application Session Filtering, Metadata and NetFlow IPFIX Generation, Masking czy też SSL Decryption. Aby w pełni wykorzystać zalety widoczności sieci należy wybrać rozwiązanie, które posiada wszystkie funkcje niezbędne do skutecznego działania narzędzi sieciowych i zabezpieczeń w ramach naszej infrastruktury.

Chmura – a widoczność sieci.

Wciąż niewielu dostawców widoczności sieci obsługuje infrastrukturę hybrydową (fizyczną, wirtualną, chmurową). Ciężko jest zapewnić wspólne zarządzanie w całej infrastrukturze hybrydowej.  Wymaga to bowiem, zbudowania platformy widoczności na jednej architekturze, która niejednokrotnie obejmuje bardzo złożone i różnorodne środowisko IT. Z kolei bez wspólnego widoku na całość, niemożliwe jest zapewnienie pełnej widoczności we współczesnej infrastrukturze IT.

Podsumowując, skuteczne rozwiązania network visibility powinno mieć wspólną architekturę w całej infrastrukturze hybrydowej. Zapewniając w ten sposób pełną widoczność ruchu w sieci.

Wybór właściwego rozwiązania network visibility nie jest łatwe, zwłaszcza gdy na rynku wciąż jest problem z właściwym zdefiniowaniem widoczności sieci. Dobrze znanym i sprawdzonym rozwiązaniem zapewniającym widoczność i optymalizacje ruchu sieciowego jest Gigamon.

Jeśli zainteresował Cię temat widoczności ruchu sieciowego i chciałbyś dowiedzieć się czegoś więcej na temat rozwiązania Gigamon. Zachęcamy do kontaktu nami.

źródło: https://allofsecurity.pl/2020/04/08/damian-kozlowski-doradza-jak-wybrac-dostawce-network-visibility-w-pieciu-krokach/

13.05.2020
Integrity Partners

Przyszłość cyberbezpieczeństwa w rękach sztucznej inteligencji

W ostatnich latach technologie oparte o sztuczną inteligencje zyskują coraz więcej zwolenników. Z powodzeniem technologię te wykorzystują biolodzy, lekarze i inżynierowie na całym świecie. Nie do podważenia jest też rola sztucznej inteligencji w rozwoju bezpieczeństwa cybernetycznego.  

Doskonałym przykładem wykorzystania AI do walki z cyberprzestępczością jest rozwiązanie Darktrace. Platforma Cyber AI wykorzystuje algorytmy sztucznej inteligencji do ochrony sieci korporacyjnych przed atakami. Dzięki zastosowaniu uczenia maszynowego, Darktrace wykrywa i neutralizuje dotąd nieznane zagrożenia we wszystkich typach sieci. 

Wykorzystanie sztucznej inteligencji zrewolucjonizowało bezpieczeństwo IT. Czy to jednak koniec walki o cyberprzestrzeń? 

Od kilku lat niezmiennie najpopularniejszą formę atak stanowią phishing i spear-phishing. W przypadku spear-phishingu atakujący poświęcają wiele czasu zanim przystąpią do działania. Muszą dokonać dokładnej rewizji środowiska wybranej ofiary (w tym przegląd mediów społecznościowych, zarówno prywatnych jak i biznesowych). Jest to zabieg czasochłonny i kosztowny, ale na pewno bardzo skuteczny. Gdyby prace ludzką w projektowaniu szkodliwego mailingu zastąpić złośliwą sztuczną inteligencją, efekt mógłby być zatrważający.  

Hipotetycznie: E-wiadomość wysłana przez złośliwą AI o wiele łatwiej przenika do wybranych struktur firmowych niż tradycyjny phishing. Złośliwe oprogramowanie napędzane przez sztuczną inteligencję omija nawet najbardziej zaawansowane systemy obronne i niezauważone wtapia się w normalną aktywność. W ten sposób złośliwe oprogramowanie pozostaje nieuchwytne i „po cichu” skanuje sieć w poszukiwaniu słabych punktów. Następnie szkodliwe AI samodzielnie odnajduje czułe punkty i przenika do wrażliwych danych zainfekowanej organizacji.  

Podsumowując

Atak przeprowadzony z udziałem sztucznej inteligencji może być bardzo precyzyjny i wręcz niemożliwy do wykrycia. Dodatkowo szacuje się, że czas skonstruowania takiego maila jest kilkakrotnie krótszy niż standardowy email phishing. Sztuczna inteligencja staje się coraz bardziej wyrafinowana w swojej zdolności do modelowania ludzkich zachowań. W związku z tym, musimy ponownie przemyśleć nasze podejście do bezpieczeństwa cybernetycznego, aby w przyszłości lepiej bronić się przed „inteligentnymi napastnikami”. 

Rozwój sztucznej inteligencji nabiera zaskakującego tempa. Niedawno machine learning stał się zdolny do generowania i modyfikowania obrazów i wideo. Twarz generowana przez sztuczną inteligencję wykorzystuje sieci neuronowe do tworzenia fałszywych obrazów (GAN). Technologia ta kryje się pod nazwą deepfakes. Deepfakes mnożą się w Internecie przybierając formę wysokiej rozdzielczości zdjęć ludzi, którzy naprawdę nie istnieją.  

Podczas gdy GAN są wykorzystywane głównie do tworzenia fałszywychobrazów i wideo – te same lub bardzo podobne technologie są już wykorzystywane do złośliwych celów. Tak jak AI produkuje deepfake’y, tak sztuczna inteligencja zastosowana podczas kampanii spear-phishingowych może produkować e-maile, które wyglądają i brzmią dokładnie tak samo jak prawdziwe wiadomości z wiarygodnego źródła. Rezultatem jest prawie pewna metoda oszukiwania niczego nieświadomych ofiar. 

Wchodzimy w nową erę technologiczną, w której sztuczna inteligencja oprócz pozytywnego zastosowania, staje się jednocześnie niebezpieczną bronią w rękach cyberprzestępców. Jedyną technologią, która będzie w stanie przeciwdziałać złośliwej AI – jest sama AI.  

Organizacje na całym świecie coraz częściej poszukują rozwiązań opartych o cybernetyczną inteligencję do ochrony przed niepewną przyszłością. Firma Darktrace dostarcza rozwiązania oparte o tą nowoczesną i obecnie bardzo pożądaną technologię AI. Darktrace podaje, że liczba klientów korzystających z rozwiązania do inteligentnej ochrony poczty elektronicznej – Antigena Email, od stycznia 2020 roku wzrosła dwukrotnie. 

Zdolność Antigena Email do odróżniania złośliwych wiadomości e-mail od legalnej komunikacji biznesowej oraz powstrzymywania tych wiadomości przed dotarciem do skrzynki odbiorczej pracownika – nigdy nie była bardziej krytyczna. Technologia ta, napędzana przez cyberinteligencję, po wdrożeniu w struktury firmy uczy się „normalnych zachowań” pracowników i procesów jakie w niej zachodzą. Pozwala to na wykrywanie i zatrzymywanie wszelkich anomalii oraz nietypowych działań, które mogą poważnie zaszkodzić infrastrukturze firmy. 

Podsumowując, technologie oparte o sztuczną inteligencję – to przyszłość naszego cybernetycznego świata. Tylko od nas zależy, czy wykorzystamy AI do ochrony naszych firm, czy też padniemy jej ofiarą. 

Jeśli masz pytania dotyczące rozwiązania Darktrace – zapraszamy do kontaktu z nami.

Źródło: https://www.wired.com/brandlab/2020/02/offensive-ai-surfacing-truth-age-digital-fakes/

 

Ten serwis używa plików "cookies" zgodnie z POLITYKĄ PRYWATNOŚCI. Brak zmiany ustawień przeglądarki oznacza jej akceptację. View more
Rozumiem