Coraz powszechniejsze wśród cyberprzestępców staje się wykorzystywanie wyspecjalizowanego szkodliwego oprogramowania w celu przeprowadzania ataków na korporacje, obejścia popularnych narzędzi służących do ochrony przed szkodliwym oprogramowaniem oraz utrudniania wykrywania i odpierania ataków.

„Stopień zaawansowania i złożoności ataków zwiększa potrzebę stosowania zaawansowanych rozwiązań ochrony przed szkodliwym oprogramowaniem, które uwzględniają różnorodne wektory ataków (sieć, urządzenie itd.) w celu wniknięcia do punktu końcowego i minimalizują zasoby niezbędne do odparcia takich ataków jak również ochrony urządzeń oraz danych” – powiedział Kevin Bailey, dyrektor ds. badań, dział odpowiedzialny za polityki dotyczące produktów i usług bezpieczeństwa na region EMEA, IDC.

Technologie ochrony proaktywnej firmy Kaspersky Lab

Kaspersky Lab agresywnie inwestuje w rozwój technologii heurystycznych i proaktywnych, co oznacza, że jego rozwiązania potrafią wykrywać szkodliwe oprogramowanie, nawet jeśli wcześniej nie zostało zidentyfikowane lub jest wykorzystywane po raz pierwszy.

• Z wszystkich nowych zagrożeń wykrytych w 2012 r. przez produkty Kaspersky Lab, 87% zostało zidentyfikowanych z pomocą technologii heurystycznych zawartych w wielu produktach, w tym Kaspersky Endpoint Security for Business. Niezależnie od metody wykorzystywanej w celu przeniknięcia do sieci korporacyjnej, cyberprzestępcy muszą zmierzyć się z tymi technologiami. Jeśli atakujący będą wiedzieli, że w komputerach korporacyjnych znajduje się oprogramowanie zawierające niezałatane luki, mogą próbować wykorzystać je w celu ukradkowego zainfekowania komputerów korporacyjnych.

Narzędzia cyberprzestępstw

Cyberprzestępcy zwykle wykorzystują luki w zabezpieczeniach popularnego oprogramowania, takiego jak Adobe Flash, Adobe Reader, Java, przeglądarki internetowe czy komponenty systemu operacyjnego. Ponieważ tego typu aplikacje są legalne i często wykorzystywane przez pracowników korporacyjnych, osoby atakujące liczą na to, że rozwiązania bezpieczeństwa „nie zauważą” nietypowego zachowania jakiegoś powszechnie wykorzystywanego programu, dzięki czemu szkodliwe oprogramowanie wniknie niezauważenie do sieci. Produkty firmy Kaspersky Lab zawierają moduł Kontrola systemu, który regularnie analizuje kod pod kątem podejrzanych modyfikacji, nawet w zaufanych aplikacjach. Ponadto wyspecjalizowana technologia Automatyczne zapobieganie exploitom, zaimplementowana w ramach modułu Kontrola systemu, potrafi wykrywać i blokować zachowanie typowe dla exploitów.

• Cyberprzestępcy często próbują zainfekować komputery w sieci korporacyjnej przy użyciu tzw. rootkitów i bootkitów. Te wysoce niebezpieczne rodzaje szkodliwego oprogramowania modyfikują sektor rozruchowy dysku twardego atakowanego komputera, aby móc uruchomić się przed systemem operacyjnym czy zainstalowanym oprogramowaniem bezpieczeństwa. Technologia ochrony przed rootkitami, zaimplementowana w Kaspersky Endpoint Security for Business i kilku innych produktach firmy, przechwytuje i analizuje wszystkie przypadki dostępu do sektora rozruchowego dysku, sprawdzając ich legalność i zapobiegając potencjalnej infekcji.

BYOD ułatwia ataki

Szeroki wachlarz urządzeń mobilnych i systemów operacyjnych zapewnia przestępcom szeroki wybór wektorów ataków. Na przykład luka w zabezpieczeniach urządzenia mobilnego podłączonego do sieci korporacyjnej, jeśli zostanie wykorzystana, może zapewnić cyberprzestępcy dostęp do sieci, nawet jeśli pozostałe segmenty są dobrze chronione. Dostępne w rozwiązaniu Kaspersky Endpoint Security for Business technologie służące do zabezpieczenia i zarządzania korporacyjnymi urządzeniami mobilnymi oferują mocną ochronę przed coraz większą liczbą i złożonością wektorów ataków dostępnych w środowiskach, w których zezwala się na przynoszenie do pracy własnych urządzeń.

Oprócz skanowania urządzeń mobilnych pod kątem wykrywania szkodliwego oprogramowania, technologia Kaspersky Lab może stosować różne restrykcyjne polityki dotyczące zainstalowanych aplikacji, identyfikować urządzenia złamane przy użyciu jailbreakingu (iOS) lub rootowania (Android) i zdalnie usuwać przechowywane na urządzeniu dane korporacyjne, jeżeli istnieje obawa, że dostęp do niego może uzyskać niepowołana osoba.

autor: Cezary Tchorek-Helm

Spółka LOG Systems specjalizująca się w zarządzaniu zasobami informatycznymi przedsiębiorstw zanotowała rekordowe wyniki finansowe. Pod względem wielkości przychodów w zakończonym 31 marca 2012, spółka odnotowała wzrost o 47 proc. w porównaniu w rokiem poprzednim.

- W roku finansowym 2012 podpisaliśmy wiele intratnych kontraktów z dużymi firmami oraz instytucjami. Jednak co ważniejsze obserwuję coraz wyższą świadomość menadżerów, którzy zrozumieli, że odpowiednio zarządzając aplikacjami i sprzętem można sporo zaoszczędzić – zauważa Grzegorz Filarowski Prezes Zarządu LOG Systems.

Głównym produktem firmy jest LOG System - rozbudowana aplikacja służąca do ewidencjonowania zasobów oprogramowania i urządzeń, zarządzania licencjami, a także do audytu legalności oprogramowania w przedsiębiorstwach. Co istotne LOG System nadzoruje status zasobów informatycznych organizacji w trybie on-line. Software umożliwia sprawdzenie w dowolnym momencie, gdzie jakie aplikacje, czy sprzęt są zainstalowane. Dzięki odpowiedniej personalizacji administrator IT jest natychmiast powiadamiany o pojawieniu się lub zniknięciu z firmowej sieci oprogramowania czy urządzeń. Ponadto LOG System wyróżnia zaawansowany system identyfikacji oprogramowania Log Query, rozwijany przez programistów LOG Systems od dekady. Stanowi on klucz do precyzyjnych audytów legalności.

- W czasach spowolnienia gospodarczego coraz większą uwagę poświęca się na optymalizację zasobów w firmie. W ten trend idealnie wpisuje się nasze oprogramowanie, które pokazuje przykładowo kto korzysta z jakiej aplikacji, lub czy drukarka jest dostatecznie obciążona. Dzięki temu można ograniczyć inwestycje przenosząc nieużywane zasoby w inne miejsca – dodaje Grzegorz Filarowski.

• Obecnie dostępna jest nowa wersja produktu - LOG System 4.0. Czwarta generacja oprogramowania zawiera kilka istotnych innowacji - odświeżone raporty, darmowy silnik bazy danych oraz nową szatę graficzną.

autor: informacja prasowa/Logsystem

Większość tych ataków na świecie to dzieło grupy zwanej Qassam Cyber Fighters, która ostatnio na portalu Pastebin przypomniała czytelnikom o motywach swojego działania i podsumowała swoją kampanię DDoS zwaną Operation Ababil. Z kolei inna grupa, Haktivist, uruchomiła swoje ataki DDoS wymierzone w instytucje oferujące usługi finansowe, które skoncentrowane były na formularzach web i zawartości stron. Ostatnio słychać było również o cyberzamachach organizowanych na skalę krajową, wymierzonych w banki i rządowe agencje, które wykorzystywały skomplikowane, działające na wielu płaszczyznach ataki łączące DDoS z próbami modyfikacji a nawet fałszowania kont za pośrednictwem Internetu.

• Ostatnie półtora roku pokazało, że działalność hakerów jest zjawiskiem coraz częstszym i nieustannie ewoluującym. Niedawne incydenty bezpieczeństwa mające miejsce w bankach każdego rodzaju są dowodem na to, że istnieje wiele rodzajów ataków DDoS. Wśród nich znajdują się tradycyjne ataki wykorzystujące SYN oraz DNS flood, jak również DNS amplification, ataki na warstwę aplikacji i metody wymierzone w zawartość strony.
• Ataki Denial of Service (DoS) wymierzone w szyfrowane przez SSL zasoby i treść, stanowią, oprócz wspomnianych, dodatkowe wyzwanie. W niektórych przypadkach, hakerzy zaczęli stosować kombinację różnych ataków wykorzystujących trudniejsze do powstrzymania metody celujące w warstwę aplikacji w miejsce „tanich”, zmasowanych ataków, które mogą być filtrowane i blokowane w prostszy sposób.

W celu powstrzymania tak nasilonej aktywności hakerów, dyrektorzy ds. IT i bezpieczeństwa oraz ich podwładni muszą przygotować plan i rozważyć inwestycję w całą gamę narzędzi ochronnych, łączących technologie on-premise oraz usługi osadzone w chmurach. Konieczna jest również implementacja i zastosowanie techniki zbierania i udostępniania informacji na temat ataków, która może pomóc w projektowaniu kompleksowej strategii ochrony przeciwko DoS

1. Korzystanie z usług scrubbing lub z usług innego dostawcy pozwalających na powstrzymywanie zmasowanych ataków

Skala ruchu wywoływanego przez ataki DDoS osiągnęła poziom, w którym 80Gbps jest już normą. Zdarzały się nawet sytuacje, w których ruch generowany przez atak był rzędu 300 Gbps. Tylko nieliczne, o ile w ogóle jakiekolwiek przedsiębiorstwa, są w stanie utrzymać odpowiednią przepustowość, aby poradzić sobie z takim atakiem. Pierwszą rzeczą, którą firma powinna zrobić mając do czynienia z tak zmasowanym atakiem, jest rozważenie przekierowania ruchu przez dedykowaną usługę scrubbing osadzoną w chmurze, która będzie w stanie usunąć złośliwe pakiety ze strumienia danych. Dostawcy takich usług są pierwszą linią obrony przeciwko atakom na dużą skalę – posiadają wystarczającą przepustowość i odpowiednie narzędzia do oczyszczenia ruchu sieciowego, co sprawia, że pakiety DDoS zostają powstrzymane w chmurze, a normalny ruch BAU (business as usual) jest przepuszczany do sieci firmowej.

2. Inwestycja w dedykowane urządzenie do zwalczania DDoS w celu identyfikowania, izolowania I powstrzymywania ataków

Złożoność ataków DoS i tendencja do łączenia zmasowanych ataków i metod aplikacyjnych wymaga wykorzystania kombinacji technik zapobiegawczych. Najlepszym sposobem na zwalczanie wspomnianych elementów ataku jest wykorzystanie dedykowanych urządzeń on-premise. Firewalle i systemy zapobiegające włamaniom są krytyczne w kontekście ochrony przed zagrożeniami, a urządzenia bezpieczeństwa zaprojektowane dla DDoS zapewniają dodatkową warstwę ochrony poprzez zaawansowane technologie identyfikujące i blokujące ataki DoS w czasie rzeczywistym. Administratorzy mają również możliwość skonfigurowania swoich urządzeń on-premise tak, by w przypadku ataku przekierowywały ruch do usługi typu scrubbing osadzonej w chmurze.

3. Przedsiębiorstwa muszą dostosować swoje firewalle, aby mogły radzić sobie z dużymi częstotliwościami połączeń

Firewall to również element, który odegra istotną role w trakcie ataku DDoS. Administratorzy powinni skonfigurować opcje firewalla pod kątem rozpoznawania i powstrzymywania zmasowanych ataków i ataków w warstwie aplikacji. Dodatkowo, w zależności od dostępnych funkcjonalności firewalla, powinno się uruchomić blokowanie pakietów DDoS i zwiększyć wydajność firewalla w trakcie ataku.

4. Projekt metodologii lub strategii chroniącej aplikacje przed atakami typu DDoS

Technologie bezpieczeństwa mogą zapewnić silną ochronę przeciwko atakom DDoS. Jednak dodatkowo administratorzy powinni rozważyć udoskonalenie swoich serwerów web, modyfikację techniki równoważenia obciążenia (load balancing) oraz metod dostarczania treści w ten sposób, by zagwarantować jak najszybszy start działania systemu po ataku. Dodatkowym zabezpieczeniem może być zastosowanie blokowania prób wielokrotnego logowania. Innym ciekawym podejściem jest powstrzymywanie automatycznie wykonywanych przez maszynę działań poprzez dołączanie do treści strony szczegółów oferty, jak np. możliwości zmniejszenia odsetek lub informacji na temat nowego produktu, które wymuszają na użytkowniku kliknięcie przycisku „Akceptuj” lub „Nie, dziękuję” w celu dalszej możliwości przeglądania strony.

Kolejnym ważnym elementem jest analiza zawartości. Może to polegać nawet na czymś tak prostym, jak upewnienie się, że na krytycznych dla działania przedsiębiorstwa serwerach nie znajdują się duże pliki PDF.

Coraz istotniejsze staje się również znalezienie i implementacja odpowiedniej techniki zbierania i rozpowszechniania informacji na temat ataków. Rozwiązanie powinno analizować dane wewnątrz sieci firmowych i rozszerzać wiedzę o informacje przesyłane z innych firm z sektora usług finansowych.

autor: Wypowiedź ekspercka