`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Инсайдер в вашей компании: семь способов обнаружения

Когда дело доходит до ИТ-безопасности, важно сбалансировать и смягчить риски со свободой сотрудников эффективно выполнять свою работу. В то время как сотрудники должны иметь возможность широко использовать Интернет без неоправданных ограничений, вы также должны убедиться, что ваша организация останется в безопасности.

Тенденция использования BYOD усложнила усилия корпораций сохранить данные в безопасности. Например, компании часто запрещают использование внешней веб-почты типа Yahoo или Gmail на рабочем месте. Но многие сотрудники используют их для своих личных целей, обычно входя в систему через личные смартфоны или ноутбуки, и тем самым подвергая корпоративные сети угрозам, не зависящим от компании.

На фоне всех этих действий в компании могут существовать и инсайдеры, действия которых направлены на нанесение финансового и информационного вреда компании.

Вот 7 шагов по поиску инсайдеров:

1) Сбор данных

С появлением больших объемов данных, организации все больше осознают ценность информации. Первым шагом в решении этой задачи является сбор данных, доступа, информации со шлюзов, IPS/IDS и логов с NetFlow или NETSTAT. Следует определить также и структуру данных. Например, при использовании баз данных или инструментов, таких как Hadoop может потребоваться структурирование хранения данных. Использование инструментов индексации, таких как Splunk или Elastic Search облегчают процесс индексирования через расширенную аналитику.

2) Использование аналитики обнаружения аномального трафика

Многие из явных признаков деятельности инсайдеров заключаются в аномальных действиях, которые они совершают для достижения своих целей. Раскрытие аномалий требует понимания обычного нормального поведения. Программное обеспечение для обнаружения аномалий будет наиболее полезным при настройке алгоритмов автоматического определения нормального поведения систем и пользователей.

3) Поиск необычного исходящего трафика

Журналы прокси пропускают большие объемы информации, которые могут использоваться для обнаружения деятельности инсайдеров на ранних стадиях. Обратите внимание на необычные URL, необычный исходящий трафик или высокий уровень трафика в нерабочее время суток.

4) Определить однородные группы пользователей

Инсайдер действует нетипично по сравнению с другими членами рабочей группы. Так определение этих однородных групп будет иметь большое значение, помогая вам обнаружить пользователей осуществляющих деятельность вне этих норм.

5) Группа Сравнений А – Необычный уровень трафика

Если деятельность инсайдера включает кражу информации, он часто может проявляться в передаче больших файлов. Данные Netstat или NetFlow могут быть чрезвычайно полезными в их обнаружении, нужно смотреть не только на пиковые нагрузки (т.к. продвинутые злоумышленники смогут находиться ниже критической отметки радара путем передачи большого количества мелких файлов), но и включать в проверку по IP и времени активности.

6) Группа Сравнений B – Необычные методы доступа

Расследования инсайдерской деятельности показывают, что вредоносные пользователи также демонстрируют привычку доступа к ресурсам с необычных устройств. Там, где большинство пользователей могут иногда использовать смартфон или планшет для доступа к ресурсам на рабочем месте, эти пользователи выделяются, часто предпочитая их с помощью настольного или портативного устройства. Попытки доступа к информации с нетипичных браузеров или ОС должны стать толчком для дальнейшего расследования.

7) Группа Сравнений C – Необычные часы работы

Инсайдеры также имеют склонность работать в нерабочее время, прикрываясь тем, что не успели завершить работу. Ваши журналы имеют отметки времени, обратите внимание на модели трафика, которые не соответствуют обычному рабочему дню или рабочей неделе.

Небольшие организации могут выполнить большинство из этих шагов с помощью обычных средств мониторинга. Но если ваша организация является более сложным механизмом, вы можете рассмотреть программы для автоматического обнаружения аномалий, которые работают путем определения «нормального» поведения ресурсов и пользователей, а затем выявляют исключения.

Инсайдер в вашей компании: 7 способов обнаружения

NSS Labs предлагают Международный проект по закупке уязвимостей

Ежедневно исследователи обнаруживают новые уязвимости, но если они решат продать их по высокой цене, нет никаких гарантий, что покупатель будет использовать информацию в благих целях.

Для устранения возможностей злоупотребления уязвимостями, особенно в случаях критических zero-day, компания NSS Labs, занимающаяся исследованиями информационной безопасности и консалтингом, выдвинула инициативу о покупке багов.

"Настало время лишить доступа злоумышленникам к новым уязвимостям путем систематического приобретения информации о них на уровне или выше цен черного рынка", написали исследователи NSS Labs Стефан Фрей (Stefan Frei) и Франсиско Артес (Francisco Artes) в своем докладе "International Vulnerability Purchase Program".

Фрей и Артес обнаружили, что расходы на приобретение всех уязвимостей поставщика незначительны по сравнению его с доходами в те же сроки. Кроме того, они обнаружили, что расходы на приобретение этих уязвимостей являются номинальными, сравнивая его с ожидаемыми убытками, понесенными в результате преступлений.

"Если все уязвимости для всех продуктов приобретаются за USD $ 150 000 каждый, то это по-прежнему будет составлять менее 0,01 процента от годового ВВП для США или ЕС. А расходы для основных поставщиков программного обеспечения, составят меньше одного процента от своих доходов", пишет Фрей и Артес.

NSS Labs предлагают Международный проект по закупке уязвимостей

Исследователи обнаружили 64-разрядную версию трояна ZeuS

Исследователи из Лаборатории Касперского обнаружили новую веху в развитии банковского трояна Zeus: 64-разрядная версию ZeuS, который взаимодействует с ее C&C-серверами через анонимные сети Tor.

Интересно, что 64-битная версия популярного банковского вредоноса был найдена "зашитой внутрь 32-разрядной версии," в соответствии с заявлением Kaspersky Lab.

Также интересно, что киберпреступникам на самом деле не нужно иметь 64-разрядную версию, чтобы успешно осуществить в подавляющее большинство своих атак, так как большинство пользователей все еще используют 32-битные браузеры, даже на 64-битных операционных системах.

"ZeuS в основном предназначен для перехвата данных, проходящих через браузеры, фильтруя эти данные, позволяет оператору, так украсть информацию, связанную с онлайн-банкингом, чтобы после этого можно было легко замести следы", отметил эксперт Лаборатория Касперского Дмитрий Тараканов в своем блоге.

64-разрядная версия ZeuS ведет себя как любая другая ZeuS-угроза и размещает свои файлы в папках случайно сгенерированных имен в каталоге %AppData%.

Конфигурационный файл для этой версии ZeuS включает обширный список программ, которые вредоносная программа может настроить для хищения данных.

Полный отчет с дополнительной информацией на вредоносных программ можно найти на здесь.

Исследователи обнаружили 64-разрядную версию трояна ZeuS

Ученые разработали вредоносное ПО способное установливать связь между устройствами, не имеющими активных сетевых подключений

Исследователи доказали правильность концепции программного обеспечения, которое позволяет автономным компьютерам общаться через встроенные динамики и микрофоны.

Используя встроенные микрофоны и громкоговорители, найденные на ПК, созданный лабораторией прототип вредоносной программы использует неслышимые звуковые сигналы для передачи небольших объемов данных на расстояние почти 20 метров. Расстояние может быть увеличено путем создания сети устройств, которые повторяют сигнал.

Доказательство правильности концепции программного обеспечения, подробно описанного в Journal of Communications, говорит о том, что отсутствия подключения к Интернету не достаточно, чтобы оградить внутренние компьютерные системы от внешнего мира.

Несмотря на небольшие скорости передачи, исследователи предупреждают, что злоумышленники могут вооружить вредоносы клавиатурными шпионами для записи конфиденциальной информации, такой как учетные данные входа в систему.

"Концепция скрытой акустической ячеистой сети обезоруживает общепринятые концепции безопасности, так как акустические связи, как правило, в них не учитываются", пишут исследователи.

Как контрмеру, исследователи предлагают использовать хост-систему на основе обнаружения вторжений для анализа звуковых сигналов и фильтрацию низких частот, которая позволяит проходить низкочастотным сигналам, постепенно уменьшая силу высокочастотных сигналов.

Ученые разработали вредоносное ПО способное установливать связь между устройствами, не имеющими активных сетевых подключений

NATO проводит учения кибервойск

Северо-Атлантический альянс запустил самые крупные в истории кибер-учения «Киберкоалиция-2013» по отражению массированных хакерских атак на компьютерные системы государств-членов альянса и его партнеров.

Трехдневные учения проходят в центре кибербезопасности NATO в Таллине (Эстония), там же находятся большинство их участников – около ста человек. Еще 300 специалистов принимают участие удаленно. В маневрах задействованы ИТ-специалисты, юристы и правительственные эксперты 32 государств – членов и партнеров NATO.

Пресс-секретарь Минобороны Эстонии Ролан Муроф заявил, что сценарий игр предполагает попытку одновременной атаки информационных систем с помощью различных способов, включая «ботнеты» и инфицированные веб-сайты. «Нападающими изображены несуществующие организации, поддерживаемые вымышленными нациями, не имеющими связи с настоящим миром», – уточнил Муроф.

Мир меняется на глазах.

NATO проводит учения кибервойск

Компания FireEye выпустила отчет об особенности и отличительных чертах национально-государственных кибер-атак

Компания FireEye выпустила отчет об особенности и отличительных чертах национально-государственных кибер-атак

FireEye, Inc, лидер в области предотвращения нового поколения кибер-атак, выпустил доклад под названием «Мировая война C: Понимание национально-государственных мотивов сегодняшних кибер-атак», который описывает уникальные международные и местные особенности кампаний кибер-атак, ведущихся правительствами по всему миру.

«Кибер-оружие используются преимущественно в реальных конфликтах», говорит Кеннет Гирс (Kenneth Geers), старший аналитик глобальных угроз FireEye. «Регионы имеют свой собственный набор кибер-оружия, которые они будут использовать в своих интересах, когда дело доходит до конфликтов или, чтобы помочь своим союзникам. Поскольку атаки локализованы, своеобразное понимание геополитики каждого региона может помочь в защите от кибер-угроз». Кибер-атаки уже зарекомендовали себя как недорогой, высокоэффективный способ защитить национальный суверенитет и национальные проекты действующей власти. Ключевыми характеристиками в некоторых регионах являются:

  • Азиатско-Тихоокеанский регион, родина крупных, бюрократические хакерских групп, таких, как «Comment Crew», которые действуют по плану высокочастотных, brute-force атак на свои цели.
  • Россия / Восточная Европа. Эти кибер-атаки более технически передовые, высокоэффективны в уклонении от обнаружения. Как заявляют эксперты FireEye, Россия и страны Восточной Европы являются родиной для многих самых сложных и передовых кибер-атак. В частности, русский вредоносный код может быть значительно скрытным, чем его китайский коллега. Аналитики FireEye даже привели примеры, в которых хакеры работают «под чужими флагами», а атаки появляются, как если бы они пришли из Азии. Еще одна проблема для исследователей кибер-безопасности в том, что такие кампании трудно отличить от передовых взломов злоумышленников.
  •  Ближний Восток. Эти злоумышленники динамичны, часто используют креативность, обман и социальную инженерию, чтобы заставить пользователей нанести ущерб своим компьютерам.
  • Соединенные Штаты. Самые сложные, целенаправленные, и тщательно разработанные кибер-атаки.

Кроме того, отчет предполагает, факторы, которые могут изменить кибер-безопасность в мире, в ближней и среднесрочной перспективе, в том числе:

  • Выход из строя национальной критически-важной инфраструктуры с помощью кибер-атак.
  • Вопросы конфиденциальности PRISM, спонсируемого правительством США.
  • Новые действующие лица на кибер-арене, в первую очередь, Бразилия, Польша и Тайвань.
  • Повышенное внимание в разработке методов уклонения, чтобы обойти проверку.

Полная версия отчета доступна в блоге FireEye: http://www.fireeye.com/resources/pdfs/fireeye-wwc-report.pdf

Компания FireEye выпустила отчет об особенности и отличительных чертах национально-государственных кибер-атак

IBM переходит на новый уровень надежности банковских операций и покупок через смартфоны

IBM-NFC_270x300Новая система IBM обеспечивает смартфонам при ближней связи с чипом банковской карты дополнительный уровень безопасности.

«Наша технология двухфакторной аутентификации, основана на стандарте Advanced Encryption Standard и обеспечивает надежное решение безопасности. К 2017 году один миллиард пользователей мобильных телефонов будет использовать свои устройства для банковских целей, это делает мобильные устройства подходящей мишенью для хакеров,» — сказал Диего Ортис-Йепес (Diego Ortiz-Yepes), исследователь мобильной безопасности в IBM Research. «Технология IBM основана на сквозном шифровании между смарт-картой и сервером с помощью стандарта AES (Advanced Encryption Standard)».

Система доступна с сегодняшнего дня для любого NFC-устройства на платформе Android 4.0. В будущем обновления будут добавляться и на другие устройства, оборудованные NFC-датчиками.

IBM переходит на новый уровень надежности банковских операций и покупок через смартфоны

Индонезия обогнала Китай по количеству исходящих интернет-атак

«Индонезия обогнала Китай, в объемах исходящего вредоносного трафика и стала главным источником интернет-атак во втором квартале 2013 года», говорится в докладе компании-исследователя Интернета Akamai.

С апреля по июнь, трафик атак из Индонезии подскочил до 38 процентов,что на 17 процентов больше, чем в предыдущем квартале, говорится в докладе. Доля Китая снизилась до 33 процентов.

Завершает топ-10 в списке компании Akamai вредоносного трафика атаки по странам: США, Тайвани, Турции, Индии, России, Бразилии, Румынии и Южной Кореи. Эти десятка стран стала источником 89 процентов атак, говорится в докладе. В общей сложности, Akamai наблюдали атаки, исходящие от 175 уникальных стран/регионов во втором квартале, что в два раза меньше, чем в первом квартале.

Akamai также сообщила во втором квартале было 318 целевых DDoS-атак, что на 54 процента больше, чем в предыдущем квартале, и то что корпоративные клиенты были наиболее часто мишенью.

soti

Индонезия обогнала Китай по количеству исходящих интернет-атак

SRL провела исследования уязвимостей сервиса iPhone Fingerprint

Немецкая кампания SRL провела исследования уязвимостей сервиса iPhone Fingerprint и iCloud, которые позволяют хакеру получить доступ к заблокированному устройству и контроль над аккаунтом Apple ID.

SRL утверждает, что переведя iPhone в режим Airplane, можно отключить на украденном телефоне блокировку экрана, а при отключенном Wi-Fi — закрыть доступ к устройству через приложение Find My iPhone .

Сервис Find My iPhone выполняет обнаружение и очистку устройства, если оно подключено к Интернету, а т.к. в режиме полета подключение к Интернету будет отключено, это может дать вору достаточно времени, чтобы создать поддельные отпечатки пальцев на ламинированном листе, а затем заменить его на свой отпечаток.

SRLabs предлагает несколько способов решения проблемы Apple. К ним относятся и недоступность режима Airplane Mode из экрана блокировки по умолчанию, а также предупреждать пользователей, чтобы не хранили пароль e-mail аккаунтов активного сброса на мобильном устройстве.

SRL провела исследования уязвимостей сервиса iPhone Fingerprint

Репозитории GitHub потрясла очередная атака DDoS

На GitHub, онлайн-хранилище популярной среди разработчиков программного обеспечения, был нанесен серьезный удар, направленный на отказ служб и сервисов, который был охарактеризован как DDoS-атака. Первое отключение было зафиксировано на странице статуса GitHub в четверг 15 августа 15:47 UTC (8:47 утра по тихоокеанскому времени).

GitHub является основным хранилищем кода, используемого разработчиками по всему миру. Здесь находится смесь государственных и частных проектов, разделенных открытым и закрытым исходным кодом.

Сайт работает, используя Git-систему контроля версий, которая является широко используемым инструментом разработчиков по всему миру. За последние несколько лет, сайт стал одним из главных мест, на котором люди отстаивали свои репозитории, и по этой причине отключения имеют большое влияние на сообщество разработчиков.

Публичные хранилища могут быть размещены бесплатно, но компании должны заплатить, чтобы получить частные. Сайт является частой мишенью DDoS-атак: последнее крупное нападение было 4-го августа, а до этого 29 и 19 июля.

Одной из возможных причин, почему они происходят так часто, это центральное хранилище для большого количества проектов, некоторые из которых являются закрытыми источниками. DDoS-атаки часто используются хакерами как способ зондирования уязвимостей в сайте, так что есть шанс, что такие сбои происходят из-за попыток зондирования хакерами, стремящихся получить коды хранящихся служб.

Репозитории GitHub потрясла очередная атака DDoS

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT