Polski - 5/11 - S4E S.A.

Uważaj na oprogramowanie ransomware: koszty ataku i dylemat dotyczący…

8 czerwca 2021
by admin@evl.pl

W naszym poprzednim artykule omówiliśmy anatomię ataku ransomware Colonial Pipeline, niepokojące nowe trendy i techniki wykorzystywane przez cyberprzestępców oraz nowe cele i taktyki, których używają, aby zwiększyć skuteczność swoich ataków. Ważne jest, aby rozmowa dotycząca oprogramowania ransomware obejmowała koszty tych ataków – zarówno finansowe, jak i niematerialne – a także etyczny dylemat związany z zapłaceniem okupu.

Zwiększone koszty

Raport Cybercrime Magazine za rok 2020 szacuje, że globalne szkody związane z cyberprzestępczością w tym roku przekroczą 6 bilionów dolarów, z czego 20 miliardów dolarów jest bezpośrednio związanych z oprogramowaniem ransomware (57-krotny wzrost w stosunku do 2015 roku). Wraz z rosnącym zaawansowaniem, częstotliwością i nowymi celami nietrudno zauważyć, że koszt ataków ransomware będzie znacznie rósł z roku na rok.

W rzeczywistości światowy koszt ataków za pośrednictwem oprogramowania ransomware jest znacznie wyższy – po części dlatego, że niektóre organizacje nie zgłaszają, kiedy płacą okup. Tu szczerze powiedziawszy, prawdziwy koszt ataku ransomware nie ogranicza się tylko do kosztu okupu. Obejmuje on również koszty utraconej produktywności, utraty reputacji marki, odtworzenia po ataku, a także inne koszty zarówno materialne, jak i niematerialne. Łącząc te czynniki, staje się jasne, że ransomware będzie wyzwaniem w 2021 roku.

Konsekwencje szersze niż tylko pieniądze

W ostatnich latach zespół ds. badań bezpieczeństwa Hillstone widział wiele incydentów związanych z oprogramowaniem ransomware, ale większość z nich nie zwróciła uwagi mediów głównego nurtu. Co sprawiło, że niedawne ataki ransomware, które trafiają na nagłówki gazet, są tak różne od innych? Odpowiedź: cele!

Na przykład Colonial Pipeline to nie tylko prywatna firma, to część infrastruktury krytycznej kraju. Konsekwencje ataku ransomware na Colonial, organizację dostarczającą prawie połowę paliwa zużywanego na Wschodnim Wybrzeżu, odbiły się echem w społeczeństwie. Obecnie niepokoi nas niedobór i gromadzenie paliw, zakłócenia w transporcie oraz bezpieczeństwo infrastruktury krajowej.

W przypadku większości firm „miękkie” koszty ataku ransomware mogą z łatwością być znacznie większe niż koszt okupu. Na przykład utracone możliwości sprzedaży, niezadowoleni klienci, uszczerbek na reputacji firmy, zachwiane zaufanie akcjonariuszy, kary za niewykonane zobowiązania umowne, grzywny za nieprzestrzeganie przepisów oraz koszty naprawy i odtwarzania po ataku mogą szybko osiągnąć miliony dolarów.

Płacić czy nie płacić?

Z zasady eksperci ds. cyberbezpieczeństwa nie zalecają płacenia okupów. Biznes ransomware szybko by zniknął, gdyby nikt nie zapłacił. Jednak w przypadku niektórych wysoce ukierunkowanych i bardzo szkodliwych ataków ofiara może nie mieć innego wyjścia, jak tylko spełnić żądania okupu.

Nie ma złotej zasady, czy zapłacić okup, czy nie, ponieważ każdy przypadek jest inny; rozważ te punkty:

Nie ma gwarancji, że firma otrzyma klucz deszyfrujący lub że będzie działał po otrzymaniu. W końcu są to cyberprzestępcy.
Płacenie może otworzyć drzwi do większej liczby ataków ransomware. Po zapłaceniu okupu, informacja ta krąży wśród cybergangów i inni mogą spróbować kolejnego „zarobku”.
Jeśli atakujący wykradli dane, załóż, że zniknęły. Nie ma pewności, czy dane zostały przesłane do dark web lub innych witryn.
Płacenie okupu utrwala problem z atakami ransomware. Gdy napastnicy zdobędą pieniądze, mogą je zainwestować w bardziej zaawansowane ataki na organizacje.

Niektóre organizacje czują się zmuszone do zapłaty. Na przykład, organizacje opieki zdrowotnej lub wydziały policji, w których zagrożone jest ludzkie życie / bezpieczeństwo, a przywracanie z kopii zapasowych trwałoby zbyt długo, potrzebowałyby ich danych wcześniej niż później. Na decyzję mogą mieć również wpływ inne czynniki, takie jak to, czy kopie zapasowe są aktualne, czy nie, lub czy uszkodzenie systemu operacyjnego wymaga całkowitego wyczyszczenia i odbudowania wielu komputerów.

Oczywiście jako pierwszą linię ochrony przed atakami ransomware należy rozważyć rozwiązanie do tworzenia kopii zapasowych i odzyskiwania po awarii. Mogą one pomóc w radzeniu sobie z następstwami ataku. Ale co możesz zrobić, aby zapobiec atakowi ransomware? Istnieje wiele odpowiedzi dotyczących ochrony punktów końcowych i sieci, które mogą być bardzo skuteczne przed atakami ransomware. Omówimy je w następnej części naszego artykułu.

Oryginalna treść artykułu: https://www.hillstonenet.com/blog/beware-ransomware-the-costs-and-the-dilemma/

____________________________________

Zainteresowały Cię rozwiązania Hillstone?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Zrozumienie podstaw równoważenia obciążenia

1 czerwca 2021
by admin@evl.pl

W tym artykule omówimy kilka podstawowych pomysłów dotyczących równoważenia obciążenia, aby pomóc Ci zrozumieć, jak uzyskać najlepszą konfigurację dla swojej aplikacji.

Równoważenie obciążenia jest istotną częścią każdego wdrożenia aplikacji, aby zapewnić jej wysoką dostępność, wydajność i bezpieczeństwo. Skoncentrujemy się na zrozumieniu i wyborze algorytmów planowania i trwałości połączeń oraz wykorzystaniu nowej funkcji LoadMaster Network Telemetry do weryfikacji wyników.

Kluczowe zagadnienia:

Należy równoważyć połączenia, a nie przepustowości.
Aby wyrównać obciążenie w całej puli serwerów, musisz znaleźć odpowiednią kombinację planowania, trwałości i limitu czasu.

Krótkie wyjaśnienie planowania i trwałości połączenia

Podczas równoważenia obciążenia należy podjąć dwie główne decyzje:

Kiedy przychodzi nowe połączenie klienta, do którego serwera w puli powinno ono zostać wysłane? To właśnie kontroluje algorytm planowania.
Kiedy klient powraca w celu ponownego połączenia, w jaki sposób powinien zostać zidentyfikowany, aby można go było zwrócić na ten sam serwer, co ostatnim razem? To jest zadanie algorytmu trwałości.

Razem te dwa algorytmy kształtują wzorce ruchu w puli serwerów, a tym samym obciążenie każdego serwera.

Unikanie nierównego obciążenia

Chociaż planowanie i trwałość są prostymi pojęciami, błędne ich pomylenie może prowadzić do stanu zwanego nierównym równoważeniem obciążenia. Dzieje się tak, gdy obciążenie całej puli serwerów jest bardzo nierównomierne. Uniknięcie tego i uzyskanie równomiernej dystrybucji w całej puli serwerów jest głównym celem równoważenia obciążenia.

Ważną rolę odgrywają tu zarówno planowanie, jak i trwałość, a kluczem jest uzyskanie odpowiedniej kombinacji dla aplikacji.

Podstawowe metody równoważenia obciążenia

Istnieje kilka podstawowych metod, za pomocą których można osiągnąć jednolite obciążenie na wszystkich serwerach aplikacji, z których każda ma swoje zastosowania w zależności od scenariusza.

Algorytm karuzelowy (round robin)

Round Robin jest często używany jako domyślna metoda planowania, w której każde nowe połączenie jest przydzielane do następnego serwera w puli. Gdy każdy serwer otrzyma jedno połączenie, przechodzi z powrotem do początku listy i ponownie przechodzi do niej w pętli. Jest to najprostsza metoda planowania i jeśli połączenia są bardzo krótkie i równe, a aplikacja jest bezstanowa, może to działać dobrze bez większych problemów. W tym prostym przypadku nie potrzebujesz trwałości połączenia, a powtarzające się połączenia są nadal redystrybuowane w puli serwerów, dzięki czemu są dość równe.

Problemy zaczynają się pojawiać, gdy połączenia są nierównomierne i gdy sesje klienta trwają dłużej, na przykład gdy trzeba zachować stan sesji i używana jest trwałość (np. poczta internetowa lub sesja CRM). Może to z czasem spowodować bardzo nierównomierne obciążenie, ponieważ niektóre serwery są narażone na ciężkie i długotrwałe sesje, podczas gdy inne otrzymują lekkie i krótkotrwałe sesje. Z biegiem czasu liczba połączeń na serwer zaczyna być nierównomierna, podobnie jak obciążenie serwera.

Algorytm najmniejszej liczby połączeń (least connection)

Least Connection to kolejna metoda, która może lepiej wyrównać obciążenie w czasie. Zamiast przełączać pulę serwerów, Least Connection sprawdza liczbę bieżących połączeń na serwer i wybiera serwer z najmniejszą liczbą połączeń w tym czasie. Oznacza to, że w miarę upływu czasu przywraca równowagę połączeń na serwer i zapobiega ich zbytniemu, nierównemu obciążaniu.

Nawet w przypadku metody najmniejszej liczby połączeń możesz skończyć w bardzo nierównym stanie, gdy używana jest trwałość, ponieważ trwałość zastępuje planowanie dla klientów powracających. Wszystko zależy od tego, jak zidentyfikujesz powracające połączenie klienta. Źródłowy adres IP to powszechna i prosta metoda, ale w tym problem - jest zbyt prosta. Jeśli za urządzeniem NAT znajduje się duża liczba klientów, wszyscy pojawią się jako pojedynczy klient i wszyscy zostaną wysłani do tego samego serwera w puli. Może się to również zdarzyć, jeśli użytkownicy przychodzą z serwera terminali. Z drugiej strony klienci mobilni często zmieniają źródłowy adres IP, gdy wędrują po sieci i tracą stan sesji, ponieważ są ponownie równoważeni.

Aktywny plik cookie (active cookie)

W przypadku aplikacji internetowych użycie metody takiej jak Active Cookie jest znacznie lepszym sposobem identyfikacji poszczególnych użytkowników. Moduł równoważenia obciążenia wstrzykuje plik cookie z unikalnym identyfikatorem za każdym razem, gdy nowy klient otwiera sesję. Dzięki temu moduł równoważenia obciążenia może śledzić tego klienta w czasie, niezależnie od tego, skąd pochodzi jego ruch.

Ostatnim czynnikiem jest limit czasu trwałości połączenia. Kontroluje to, jak długo rekord trwałości klienta jest przechowywany, zanim zostanie ponownie zrównoważony na inny serwer. Zbyt krótki czas, a stan sesji klienta zostanie utracony, zbyt długi i istnieje ryzyko nagromadzenia się nierównego obciążenia na niektórych serwerach. Jeśli nie masz pewności, ustawienie 8-godzinnego okna jest bezpiecznym założeniem, aby wyrównać go ze standardowym dniem pracy, jednak najlepiej jest znać wzorce aplikacji i czas przebywania użytkownika w sesji. Dłuższe limity czasu trwałości oznaczają większą szansę na nierównomierne obciążenie serwerów.

Na tym prostym przykładzie widać, jak opcje planowania i trwałości połączenia wpływają na obciążenie, które gromadzi się na każdym serwerze i jak ważne jest zrozumienie wzorców aplikacji, aby uzyskać odpowiednią konfigurację.

Szczegółowe informacje na temat wszystkich metod planowania i metod trwałości można znaleźć w naszej Bazie wiedzy pomocy technicznej firmy Kemp.

Dostrajanie za pomocą telemetrii sieciowej

Dzięki nowej funkcji telemetrii sieciowej w LoadMaster możesz zmienić system równoważenia obciążenia w źródło danych o przepływie ruchu dla Twojego kolektora Flowmon. Dzięki temu możesz uzyskać natychmiastową informację zwrotną na pulpicie nawigacyjnym Flowmon na temat gromadzenia się połączeń i przepustowości na każdym serwerze i wykryć nierówne warunki równoważenia obciążenia. Umożliwia to łatwe monitorowanie i reagowanie w celu dostrojenia konfiguracji dla każdej aplikacji.

Kluczowe wskaźniki wydajności i statystyki ruchu na pulpicie nawigacyjnym Kemp Flowmon

Po stronie Flowmon Collector można utworzyć kompleksowy pulpit nawigacyjny, który pokazuje kluczowe metryki wydajności aplikacji na podstawie telemetrii sieciowej dostarczanej przez LoadMaster. Topologia aplikacji wizualizuje wykorzystanie przepustowości i pokazuje, czy ruch aplikacji jest równoważony w równym stopniu dla poszczególnych serwerów w puli. Wykres ruchu przedstawia metryki objętości i wydajności na osi czasu, aby zapewnić zrozumienie wzorców ruchu w obciążeniu aplikacji. Kluczowe wskaźniki wydajności, takie jak czas odpowiedzi serwera i czas podróży w obie strony, pozwalają rozróżnić problemy po stronie sieci i aplikacji, które są częstym źródłem wskazywania palcem między zespołami. Ponadto te metryki można porównać między poszczególnymi serwerami w puli i wskazać serwer, który może nie działać zgodnie z oczekiwaniami. Czołowe statystyki pokazują dane w podziale na klienta posortowane według najgorszego czasu odpowiedzi serwera, ilości przesłanych danych i liczby żądań (przepływów).

Podsumowanie

Bardzo ważne jest, aby pamiętać, że równoważysz połączenia, a nie przepustowość. Jeśli połączenia różnią się przepustowością, nawet połączenia na serwer nie będą równe przepustowości na serwer. Wybór odpowiedniej kombinacji planowania, trwałości i limitu czasu jest kluczem do równomiernego obciążenia puli serwerów.

Jeśli zauważysz, że cierpisz na nierówne równoważenie obciążenia i masz problemy z prawidłową konfiguracją, pamiętaj, że zawsze możesz skontaktować się z naszym, światowej klasy zespołem pomocy technicznej, aby uzyskać pomoc.

Czy chcesz samodzielnie wypróbować system równoważenia obciążenia Kemp? Wypróbuj bezpłatną wersję próbną Load Balancer. Jeśli napotkasz jakiekolwiek problemy, skontaktuj się z nami, a z przyjemnością pomożemy.

Oryginalna treść artykułu: https://www.flowmon.com/en/blog/understanding-load-balancing-essentials

.....................................................................................

Zainteresowały Cię rozwiązania Kemp Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Kemp Flowmon Packet Investigator 11.1 – nowy interfejs użytkownika

31 maja 2021
by admin@evl.pl

Kemp Flowmon Packet Investigator 11.1 jest łatwiejszy w użyciu i obejmuje szerszy zakres scenariuszy analizy przyczyn źródłowych.

Mniej szumu, większy komfort

Przeprojektowaliśmy interfejs użytkownika, aby zawierał bardziej intuicyjne elementy sterujące i zmniejszył szum informacyjny w prezentacji wyników.

Interfejs użytkownika pokazuje teraz tylko to, co jest istotne. Oznacza to, że stan analizy i wyniki są wyświetlane jako komunikaty wyświetlające liczbę głównych problemów, jeśli takie zostały znalezione. Jeśli nie, komunikat informuje o liczbie drobnych problemów, a jeśli nie wykryto żadnych problemów, komunikat nie zawiera żadnych wyników.

Grafika nr 1 - Nowy interfejs użytkownika i elementy sterujące

Odczyt stanu Niedostępny oznacza, że nagranie nie zostało jeszcze przeanalizowane.

Klikając wiadomość, można uzyskać dostęp do pełnych wyników analizy drzewa decyzyjnego.

Grafika nr 2 - Pełne szczegóły analizy (protokół SIP)

Elementy Akcja znajdują się w podobnym wierszu, co wyniki analizy, w których wyświetlane jest tylko polecenie, które jest najbardziej odpowiednie dla etapu analizy. Zobaczysz kolumnę Analizuj obok nagrań, które nie zostały jeszcze poddane analizie i Pobierz obok tych, które zostały przeanalizowane. Jednak wszystkie te operacje są również dostępne przez cały czas z menu kontekstowego po prawej stronie.

Więcej scenariuszy, więcej kontekstu

Możliwości analityczne programu Packet Investigator zostały rozszerzone o kilka nowych protokołów. Oprócz przemysłowych protokołów IoT (CoAP, IEC104, GOOSE, MMS i MQTT), obejmują one ARP, ICMP i NTP.

W szczególności analiza ARP może natychmiast rozpoznać zduplikowane adresy IP w sieci lokalnej, niezamówione odpowiedzi ARP lub próby wyliczenia aktywnych hostów w sieci lokalnej, co jest przydatne do diagnostyki sieci niskiego poziomu, badania ogólnych problemów z łącznością lub adresami IP lub śledzenia działań przeciwnika w sieci, które zostały wcześniej wykryte przez Kemp Flowmon ADS.

Podobnie, zagłębianie się w analizę ICMP może ujawnić potencjalne pętle routingu, nieosiągalne części sieci, źle skonfigurowaną jednostkę MTU na interfejsach sieciowych lub zapory sieciowe odmawiające przepuszczania ruchu. Analiza protokołu może dostarczyć cennego kontekstu z niższych poziomów stosu protokołów sieciowych, tak jak w przypadku na poniższym rysunku. Pokazuje, jak problem z udostępnianiem plików w protokole SMB można prześledzić do jego głównej przyczyny, w tym przypadku zablokowanego portu na serwerze.

Grafika nr 3 - Analiza protokołów SMB i ICMP

Wreszcie, protokół NTP może być pomocny w identyfikowaniu głównych przyczyn problemów z synchronizacją zegara między urządzeniami oraz jako dodatkowe narzędzie bezpieczeństwa, które może analizować ataki z amplifikacją NTP przechwycone w nagraniach ruchu sieciowego.

Pozwól maszynie wykonać pracę

Kemp Flowmon Packet Investigator 11.1 to znakomity przykład narzędzia, które łączy w sobie automatyzację, wbudowaną wiedzę i przejrzyste doświadczenie użytkownika.

Uzyskaj bezpłatną ocenę swojej sieci od Kemp

Oryginalna treść artykułu: https://www.flowmon.com/en/blog/packet-investigator-11-1-a-new-user-experience

.....................................................................................

Zainteresowały Cię rozwiązania Kemp / Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Promocja Commvault

Exchange Mailbox – ContentStore Mailbox – Journal

28 maja 2021
by Dominika Gorska

Platforma Commvault oferuje wiele metod ochrony danych, przekazywanych poprzez pocztę elektroniczną. Obok dedykowanych agentów chroniących bazy danych systemów pocztowych, posiadamy również konfigurację agentów garnulanych działających na poziomie skrzynek pocztowych (mailbox) z granularnością odtwarzania (a nawet zarządzania) do poziomu pojedynczej wiadomości.

Exchange Mailbox - ContentStore Mailbox oferuje możliwość granularnej ochrony ruchu pocztowego bazującego na protokole SMTP. Dzięki temu cały ruch pocztowy, który trafia do specjalnie przygotowanego klienta (pełniącego rolę serwera SMTP), może być kopiowany za pomocą mechanizmów ochrony Commvault a także, powielany oraz indexowany.

Zaletą tego mechanizmu jest przeniesienie roli Journal na platformę Commvault - system pocztowy będzie mniej obciążony.

Dzięki skalowalnej architekturze, możemy osiągnąć dużo lepszą wydajność niż w przypadku standardowego klienta Journal Mailobx (dla konfiguracji z systemem pocztowym MS Exchange)

Dodatkowym plusem jest opcja wykorzystania tego klienta dla innych systemów pocztowych, co czyni tę funkcję wręcz uniwersalną.

Indexowanie oraz funkcja Complianace Search pozwalają w bardzo prosty sposób znaleźć dane, których potrzebujemy.

Więcej informacji na stronie Producenta:

https://documentation.commvault.com/commvault/v11/article?p=28934.htm

---------------------------------------------------------------------

Jeżeli masz dodatkowe pytania, skontaktuj się z naszym serwisem w oparciu o procedurę aplikacyjną.

Zapraszam również do kontaktu

Mateusz Szyba
Senior System Engineer / CASP Leader

+48 607 440 016
mateusz.szyba@s4e.pl

Nowości Security

Nowa odsłona Kemp Flowmon Anomaly Detection System już dostępna

28 maja 2021
by admin@evl.pl

Nowy Kemp Flowmon ADS 11.3 poprawia zrozumienie kontekstu dzięki wbudowanej wiedzy na temat taktyk i technik przeciwnika opisanych w ramach MITRE ATT&CK Framework.

Co to jest MITRE ATT&CK®?

MITRE ATT&CK® to baza wiedzy na temat taktyk i technik stosowanych przez przeciwników do przeprowadzania cyberataków. Opisuje cały cykl życia naruszenia, od początkowych etapów uzyskiwania dostępu do złośliwych działań na końcu gry, powodujących szkody w środowisku ofiary.

Struktura ATT&CK® rozróżnia taktyki i techniki. Taktyka to szerszy termin odnoszący się do etapów ataku, który opisuje, jak daleko przeciwnik dotarł do docelowego środowiska. Taktyka przebiega w kolejności, która w mniejszym lub większym stopniu kopiuje zwykłe zachowanie atakujących w sieci.

Każda taktyka zawiera kilka technik. Opisują konkretne działania, które przeciwnik wykonuje w celu przyspieszenia ataku.

Aby uzyskać więcej informacji na temat MITRE ATT&CK®, odwiedź oficjalną stronę.

Co to oznacza dla ADS?

Kemp Flowmon ADS 11.3 przypisuje teraz kategorie ATT&CK® do wykrytych zdarzeń, aby umożliwić zrozumienie, co dane zdarzenie może oznaczać. Mówiąc najprościej, system przedstawia dyskretną anomalię, która powstała w twojej sieci, z informacjami na temat globalnie obserwowanych ruchów przeciwników. Określona kategoria ATT&CK® pojawia się następnie w szczegółach zdarzenia, a także na liście wykrytych zdarzeń.

Ta funkcja zapewnia pełną świadomość sytuacyjną i umożliwia szybką ocenę etapu naruszenia, jego zakresu oraz przewidywanie kolejnego ruchu przeciwnika.

W jaki sposób przypisywane są kategorie ATT&CK®?

Kemp Flowmon ADS przeprowadza analizę kontekstową zdarzenia i określa, która kategoria lub nawet więcej kategorii pasuje do niego najbardziej. Ten proces musi uwzględniać kilka różnych czynników, aby poprawnie przypisać kategorię, ponieważ jedno zdarzenie może wskazywać na kilka różnych taktyk lub technik. Przypisana taktyka lub technika może również zmieniać się w czasie, w zależności od tego, jak rozwija się wydarzenie, gdy napływają nowe dane.

Gdzie mogę zobaczyć kategorie?

Ulepszenia obejmują pulpit nawigacyjny, raporty, zdarzenia i filtrowanie.

Pulpit nawigacyjny to miejsce, w którym można uzyskać ogólny przegląd stanu bezpieczeństwa systemu. Dostępny jest nowy widżet, który daje szybki raport o tym, jak radzi sobie Twoja infrastruktura w kategoriach MITRE ATT&CK®, pokazując poszczególne taktyki przeciwnika z liczbą / listą odpowiednich wydarzeń poniżej.

Grafika nr 1 - Widżet pulpitu nawigacyjnego MITRE ATT&CK®

Lista wydarzeń zawiera nową opcję widoku, która umożliwia grupowanie wydarzeń według przynależności do taktyki ATT&CK®. Ten widok służy do przedstawienia bardziej szczegółowego wglądu w techniki, które zostały użyte na tym konkretnym etapie, ułatwiając lepszą ocenę tego, co próbuje osiągnąć napastnik.

Grafika nr 2 - Zdarzenia pogrupowane techniką MITRE ATT&CK®

Oba te elementy - widżet wysokiego poziomu i grupy zdarzeń według taktyk - są również dostępne jako nowe rozdziały w raportach.

Grafika nr 3 - Raport zawierający rozdziały MITRE ATT&CK®

Wreszcie, obsługiwane jest teraz filtrowanie zdarzeń za pomocą technik MITRE ATT&CK®. Dlatego też, jeśli używasz struktury w obróbce analizy incydentów, znacznie uprości to i przyspieszy dochodzenie.

Grafika nr 4 - Filtrowanie zdarzeń według techniki

Inne nowości?

Wreszcie, ADS 11.3 poprawia również definicję reguł fałszywie pozytywnych, aby system był bardziej dostrajany. Możesz teraz zdefiniować czas wykrywania wraz z filtrem docelowym lub adresem, co pozwala uniknąć wykrywania fałszywych alarmów w znanych Ci sytuacjach i mających miejsce o określonej porze dnia, takich jak kopie zapasowe.

Kemp Flowmon ADS 11.3 stanowi ważny krok ewolucyjny w kierunku badania anomalii uwzględniającego kontekst. I dobrze, ponieważ świadomość kontekstu jest kluczem do prawidłowego zrozumienia wydarzeń i skutecznego łagodzenia skutków naruszeń.

Uzyskaj bezpłatną ocenę swojej sieci od Kemp

Oryginalna treść artykułu: https://www.flowmon.com/en/blog/kemp-flowmon-ads-11-3-boost-situational-awareness

.....................................................................................

Zainteresowały Cię rozwiązania Kemp / Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Uważaj na oprogramowanie ransomware: co musisz wiedzieć

27 maja 202127 maja 2021
by admin@evl.pl

Oprogramowanie ransomware znalazło się ostatnio na pierwszych stronach gazet, z powodu ataków na Colonial Pipeline, policję w Waszyngtonie i inne ofiary. Ataki te są coraz częstsze, droższe i bardziej ukierunkowane. Ponadto ataki ransomware są w coraz większym stopniu zasilane przez sztuczną inteligencję w celu zwiększenia skuteczności i mogą obejmować taktyki „podwójnego wymuszenia” - eksfiltrację poufnych danych przed atakiem ransomware i groźbę ich udostępnienia - w celu zwiększenia szans na wyłudzenie okupu. Krótko mówiąc, oprogramowanie ransomware może stać się pandemią w sieciach korporacyjnych, rządowych i innych organizacji.

Anatomia ataku ransomware

Niedawno hakerzy ukradli prawie 100 gigabajtów danych z sieci Colonial Pipeline, zanim zablokowali jej komputery oprogramowaniem ransomware i zażądali zapłaty. Firma stwierdziła, że proaktywnie wstrzymała wszystkie operacje związane z rurociągami, aby odizolować atak. Rząd USA ogłosił stan wyjątkowy, aby pozostawić otwarte linie paliwowe po wyłączeniu. Kanał firmy Colonial o długości 5500 mil transportuje dziennie 2,5 miliona baryłek na Wschodnie Wybrzeże, czyli 45% zasobów oleju napędowego, benzyny i paliwa lotniczego w regionie.

Wiele źródeł, w tym FBI, zidentyfikowało atak ransomware jako dokonany przez rosyjską grupę cyberprzestępczą Dark Side. Według mediów, urzędnicy federalni uważają, że złośliwe oprogramowanie było skierowane na systemy back-office firmy Colonial, a nie na systemy kontrolne rurociągu. Wstępne dochodzenie ujawniło podobno słabe praktyki bezpieczeństwa, które sprawiły, że hakerzy „dość łatwo” zinfiltrowali sieć firmy.

Ransomware nie zniknie

Choć wydaje się to przerażające, eksperci od cyberbezpieczeństwa przewidują, że cyberprzestępczość (czyli oprogramowanie ransomware) nie zniknie - w rzeczywistości będzie tylko gorzej. Eksperci przewidują, że większość oprogramowania ransomware będzie nadal pochodzić ze sponsorowanej przez państwo cyberwojny, głównie z Rosji, Iranu i Korei Północnej.

Ransomware nadal będzie jedną z najczęstszych form cyberataku. Staje się metodą „do zrobienia”, częściowo napędzaną przez zewnętrznych dostawców oprogramowania ransomware-as-a-service (RaaS). Usługi te sprawiają, że ataki ransomware są znacznie łatwiejsze i bardziej dostępne, a także pomagają zwiększyć stopień wyrafinowania złośliwego oprogramowania.

Oprogramowanie ransomware będzie nadal wykorzystywać zachowania użytkowników i słabe praktyki korporacyjne w zakresie bezpieczeństwa. Phishing i spear-phishing nadal będą najskuteczniejszymi metodami wstępnego włamania, chyba że użytkownicy staną się bardziej wyedukowani i ostrożni w otwieraniu podejrzanych wiadomości e-mail.

Zmieniające się trendy, większa wyrafinowanie

Ataki ransomware stają się coraz bardziej wyrafinowane i częste, a najprawdopodobniej będą jeszcze bardziej ukierunkowane. Coraz częściej do tworzenia bardziej wyrafinowanych i precyzyjnych ataków ransomware wykorzystuje się technologie typu open source i inne technologie, w tym sztucznej inteligencji (AI). Na przykład sztuczną inteligencję można wykorzystać do konstruowania profili użytkowników pochodzących z mediów społecznościowych i innych źródeł, a następnie do tworzenia bardzo przekonujących taktyk phishingu i spear-phishingu, aby otworzyć drzwi do ataku ransomware.

Deepfake to kolejny problem, w którym sztuczna inteligencja jest używana do modyfikowania wideo tak, aby wyglądało na to, że ktoś mówi coś, czego w rzeczywistości nie powiedział. Deepfake mógłby w sposób możliwy (i przekonujący) nakazać pracownikowi na przykład wysłanie płatności bezpośrednio na konto osoby atakującej lub ujawnienie tajemnic firmowych.

Z powodu tych trendów wielu ekspertów ds. bezpieczeństwa zgadza się, że sztuczna inteligencja musi odegrać znacznie większą rolę w ochronie przed oprogramowaniem ransomware w nadchodzących latach - głównie dlatego, że zagrożenia, z którymi się teraz borykamy, same w sobie są wspomagane przez sztuczną inteligencję.

Nowe cele i taktyka

Jak wspomniano, oprogramowanie ransomware jest coraz częściej celem ataków. W ostatnim czasie wiele głośnych ataków ransomware uderzyło w placówki oświatowe i służby zdrowia, a coraz więcej ataków jest przeprowadzanych na organizacje rządowe na poziomie hrabstw i miast.

W roku 2020 zespoły badawcze wywiadu zauważyły, że grupy hakerów przeszły z powszechnej, masowej dystrybucji do wysoce ukierunkowanych kampanii. Niepokojące jest to, że oprogramowanie ransomware było często wdrażane za pośrednictwem zagrożonych dostawców usług zarządzania bezpieczeństwem (MSSP). Trendy te pokrywają się z trendem przechodzenia na bardziej prywatny model oprogramowania ransomware jako usługi (RaaS).

Innym niepokojącym trendem jest eksfiltracja danych przed procesem szyfrowania ransomware. Umożliwia to atakującym „podwójne wyłudzenie” od ofiar, grożąc wyciekiem poufnych danych, jeśli nie zapłacą. Ponieważ firmy na całym świecie usprawniły zarządzanie danymi, tworząc częstsze i bezpieczniejsze kopie zapasowe, groźba utraty danych może nie wystarczyć, aby przekonać ofiary do zapłacenia. W rezultacie biznes ransomware ewoluował, aby dostosować się do zmieniających się okoliczności poprzez podwójne wymuszenia.

W niektórych przypadkach publikacja poufnych informacji może być znacznie bardziej szkodliwa niż utrata danych, a tym samym znacznie zwiększa prawdopodobieństwo wyłudzenia przez atakującego żądanej płatności za atak ransomware. Na przykład podczas incydentu Colonial Pipeline hakerzy wyprowadzili 100 gigabajtów danych przed zablokowaniem komputerów. Cyber-gang, który zaatakował stołeczną policję w Waszyngtonie, opublikował eksfiltrowane informacje z plików baz danych personelu i gangów do Dark Web.

Coraz częściej podmioty zagrażające, ręcznie wybierają cele na podstawie ich postrzeganej zdolności do zapłaty. Lub, w zależności od ich taktyki, mogą również skorzystać z wrażliwości eksfiltrowanych danych, aby zwiększyć gotowość celu do zapłacenia okupu w celu zachowania integralności ich danych.

Dowiedz się więcej o oprogramowaniu ransomware – kontynuacja niebawem

W następnym artykule będziemy dalej omawiać koszty finansowe i inne koszty ataków ransomware oraz dylemat, przed jakim stają firmy, czy zapłacić (lub nie) zapłacić okup. Ponadto udostępnimy przydatne taktyki i techniki, które pomogą chronić Twoją sieć w nowej erze pandemii oprogramowania ransomware.

Oryginalna treść artykułu: https://www.hillstonenet.com/blog/beware-ransomware-what-you-need-to-know/

Podobne tematycznie artykuły Hillstone:

Przyszłość cyberbezpieczeństwa: sztuczna inteligencja

Dlaczego potrzebujesz ochrony przed spamem na swoim NGFW

Nowa, przyszłościowa generacja urządzeń Hillstone serii A

__________________________________________________

Zainteresowały Cię rozwiązania Hillstone?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Omówienie architektury Kemp Zero Trust Access Gateway

26 maja 202126 maja 2021
by admin@evl.pl

W dzisiejszym krajobrazie bezpieczeństwa infrastruktury, brak zaufania oznacza wiele rzeczy dla różnych ludzi. Kiedy się nad tym zastanowić, nie jest to zbyt wielkim zaskoczeniem, biorąc pod uwagę, że nie jest to pojedynczy produkt ani „stos”. W rzeczywistości zerowe zaufanie to trzy rzeczy u podstaw. Po pierwsze i najważniejsze, jest to strategia, która dyktuje postawę, jaką należy przyjąć przy próbach uzyskania dostępu do aplikacji i zasobów sieciowych - niezależnie od źródła. Po drugie, jest to architektura i podejście do sposobu rozmieszczenia elementów w sieci, środowisku aplikacji i tożsamości w celu poprawy stanu bezpieczeństwa dzięki domyślnemu modelowi „bez zaufania”. Po trzecie, jest to model kontekstowy, który usuwa binarne podejmowanie decyzji o przyznaniu aplikacji i działań usługowych, biorąc pod uwagę warunki żądania. Zasady koncentrują się na założeniu, że wszystkie podmioty próbujące uzyskać dostęp mogą stanowić zagrożenie - wewnętrzne lub zewnętrzne. Prowadzi to do weryfikacji pierwszego i zapewnienia ograniczonego dostępu (z podejrzeniem) do drugiego modelu.

Gdybyś próbował chronić cenny zasób fizyczny, nie kładłbyś czerwonego dywanu od wejścia do budynku, który go zawiera, prosto do sekretnych drzwi, w których się znajduje. Jest to jednak typowe podejście w przypadku opublikowanych aplikacji. Ścieżki do miejsc, w których istnieją te usługi, są łatwe do zidentyfikowania, a w niektórych przypadkach są reklamowane. Dopiero przy próbie uzyskania dostępu następuje pewnego rodzaju weryfikacja, czy łączący się podmiot ma jakąś potrzebę biznesową, aby uzyskać dostęp do usługi, czy nie.

Podejście oparte na zerowym zaufaniu ma na celu odwrócenie tego modelu do góry nogami poprzez próbę wykrycia intencji łączącego się podmiotu na wcześniejszym etapie przepływu i podjęcie decyzji, czy dalsza komunikacja jest prawidłowa, czy nie, przed umożliwieniem bliższego dostępu do chronionej usługi.

Tradycyjne modelowanie bezpieczeństwa

W tradycyjnym modelu bezpieczeństwa sieci często stosowano podejście oparte na „zamku”, w którym zbudowano silne mury obronne, i „fosie”, w którym zakładano, że wszystko na zewnątrz jest niebezpieczne, dopóki nie zostanie udowodnione inaczej, a wszystko wewnątrz murów uznano za bezpieczne, dopóki nie zostanie udowodnione inaczej. To samo w sobie było zbudowane na fałszywej logice, biorąc pod uwagę, że zawsze istniały wektory ataku, które mogłyby zostać użyte przez złego aktora. Na przykład, jeśli frontendowe serwery WWW, które odpowiadały na prawidłowo wynegocjowane sesje, istniały w strefie DMZ i miały jakiś łańcuchowy dostęp do innych zasobów wewnętrznych, można to wykorzystać. Jeśli środowisko miało serwery bramy poczty e-mail, które mogłyby służyć jako przekaźnik lub przynajmniej akceptowały wiadomości e-mail (niektóre potencjalnie złośliwe), zapewniało to kolejne drzwi przez mury zamku bezpośrednio do użytkowników, ich urządzeń i dostępu, jaki mają do systemów i danych. Co więcej, logika silnej granicy uległa dalszemu osłabieniu, ponieważ użytkownicy, urządzenia i dane często i tak żyją teraz poza granicami sieci w lokalizacji. Trendy BYOD, WFH, mobile i SaaS ostatecznie stworzyły nowy paradygmat, który zostanie z nami. Podmioty chmurowe, mobilne i IoT często znajdują się poza granicami zapory i jako takie wymagane są kontrole tożsamości i dostępu, które zapewniają spójność zarówno w środowisku lokalnym, jak i w chmurze.

Zero zaufania - nowy paradygmat

W świetle tego wszystkiego, nic dziwnego, dlaczego sprawdza się modele alternatywne. Bezpieczeństwo IT stało się bardziej złożone niż kiedykolwiek, a exploity bardziej wyrafinowane. W wielu środowiskach starsza infrastruktura jest zlokalizowana obok mniej bezpiecznych technologii IoT. Zagrożenia zero-day i udane ataki polimorficzne gwałtownie wzrosły, a więcej ataków niż kiedykolwiek ma charakter oparty na tożsamości. Tu właśnie bryluje zerowe zaufanie - zakładając, że każdy klient może stanowić zagrożenie, duży nacisk kładzie się na kontekst i sygnały w celu określenia wyniku decyzji o dostępie. Tylko dlatego, że wprowadzono poprawną nazwę użytkownika i hasło, nie oznacza, że dostęp do aplikacji powinien być zawsze przyznawany i o to właśnie chodzi… Lokalizacja segmentu sieci, informacja do czego następuje próba dostępu i inne czynniki, które mają znaczenie, powinny być brane pod uwagę w przypadku modelu just-in-time i wystarczającego dostępu (just-enough-access), opartego na silnej polityce bezpieczeństwa.

Chociaż zerowe zaufanie nie jest nową koncepcją sieciową, dopiero niedawno znalazło się na torze masowej adopcji. Zgodnie z zasadami architektury kontroli dostępu do sieci (NAC) z 2004 roku, firma Forrester ukuła termin „Zero Trust” i po raz pierwszy opublikowała na łamach BeyondCorp w 2014 roku. Zdefiniowana programowo grupa robocza Cloud Security Alliance również przyczyniła się do rozwoju koncepcji związanej z zerowym zaufaniem. W ciągu ostatniego roku National Institute of Standards and Technology (NIST) opublikował również dokument SP 800-207 Zero Trust Architecture, mający na celu opisanie środowiska zerowego zaufania dla architektów bezpieczeństwa w przedsiębiorstwach i służący jako środek do zrozumienia tego podejścia.

Oczekuje się, że wszystkie te czynniki jeszcze bardziej zwiększą przyjmowanie podejścia zerowego zaufania do bezpieczeństwa aplikacji w organizacjach.

Jak Kemp pomaga klientom osiągnąć cele zerowego zaufania

Ze względu na ogromne zainteresowanie klientów, cieszymy się, że możemy wprowadzić naszą nową architekturę bramy dostępu zerowego zaufania, która umożliwia klientom uproszczenie stosowania złożonych zasad dostępu do opublikowanych aplikacji i usług. Nasze doświadczenie w zakresie application proxy do zaawansowanego sterowania ruchem i wstępnego uwierzytelniania stawia nasze zaawansowane moduły równoważenia obciążenia aplikacji w najlepszej pozycji do promowania strategii zerowego zaufania.

Podobnie jak systemy równoważenia obciążenia są często wykorzystywane do konsolidacji zarządzania certyfikatami, głębokiej inspekcji pakietów i zapór na poziomie aplikacji, uprzywilejowana pozycja ruchu przychodzącego i wychodzącego jest również optymalna do wymuszania zasad dostępu. Nasze rozwiązanie obejmuje natywne możliwości publikowania aplikacji w warstwie 7 w połączeniu z integracją iDP i złożoną dystrybucją żądań klientów w oparciu o charakterystykę ruchu. Oznacza to, że można wykorzystać różne warunkowe dane wejściowe, aby zdecydować, czy należy przyznać dostęp do usług z równoważeniem obciążenia, wraz z kontrolą nad tym, jaki typ komunikacji lub działań będzie dozwolony. Segment sieci źródłowej lub to, czy klient jest wewnętrzny, czy zewnętrzny, można wykorzystać do określenia, czy zostaną dostarczone dodatkowe czynniki uwierzytelniania. W przypadku proxy obiektowej pamięci masowej można również dyktować i egzekwować kontrolę nad tym, jakie metody S3 są dozwolone lub nie, i w jakich okolicznościach.

Aby uprościć tworzenie, stosowanie i utrzymanie pożądanych zasad, opracowano infrastructure-as-a-code opartą na opakowaniu PowerShell naszego interfejsu API RESTful. Dzięki temu klienci mogą wykorzystywać pliki definicji do odczytu maszynowego do udostępniania zasad bezpieczeństwa aplikacji. Przykładowe pliki konfiguracyjne zasad zostały opracowane w celu usprawnienia procesu rozpoczynania pracy. Głównym motorem tego podejścia jest pomoc naszym klientom w obniżeniu kosztów wdrożenia, poprawie skalowalności poprzez wyeliminowaniu zadań wykonywanych ręcznie oraz usunięciu niespójności i błędnych konfiguracji - głównych przyczyn pogorszenia działania aplikacji oraz przestojów.

Typowe przypadki użycia

Ogólnie rzecz biorąc, nakreślona filozofia jest często wykorzystywana, aby pomóc klientom w rozwiązaniu problemu z ugruntowanymi przypadkami użycia, takimi jak dostęp do aplikacji dla użytkowników zdalnych, bardziej precyzyjna kontrola dostępu dla użytkowników wewnętrznych i ogólna zgodność ze stanem bezpieczeństwa informacyjnego organizacji. Istnieje wiele tradycyjnych rozwiązań, które mogą rozwiązać niektóre z nich, ale nie zawsze są one odpowiednie. Na przykład niektóre organizacje polegały wyłącznie na dostępie opartym na sieci VPN w celu rozwiązywania scenariuszy ze zdalnymi użytkownikami. Coraz większym problemem związanym z tym podejściem jest fakt, że bez ręcznie utrzymywanych wysoce szczegółowych reguł kontroli dostępu w sieci zazwyczaj możliwe jest boczne przemieszczanie się z niezarządzanych i niezaufanych urządzeń. W scenariuszu BYOD - który staje się coraz bardziej popularny, jeśli urządzenie klienta, nad którym dział IT nie ma kontroli, jest w stanie uzyskać dostęp sieciowy do ekosystemu, niewykluczone, że jeśli takie urządzenie zostanie przejęte, może spowodować wiele szkód. Dzięki systemowemu podejściu, które zapobiega „wędrowaniu” po ekosystemie przez zdalne urządzenia, możliwa jest przede wszystkim poprawa stanu bezpieczeństwa.

Pojawiło się również wiele rozwiązań SaaS opartych na chmurze, których głównym celem jest dołączanie klientów, którzy zaczynają przyjmować zerowe zaufanie. Jednak przejście na te rozwiązania zazwyczaj wymaga fundamentalnej zmiany sposobu projektowania środowiska i dostępu do niego. Chociaż takie rozwiązanie może być celem, często nie jest to pierwszy punkt docelowy. Zamiast tego na drodze do zerowego zaufania często warto ocenić, co już zostało wdrożone, jak można to zorganizować i ponownie rozmieścić, aby rozpocząć transformację organizacyjną.

Jak się tam dostać

Pierwszym krokiem do takiego przejścia jest wstępne zrozumienie obszaru chronionego, a następnie zrozumienie sposobu, w jaki komunikują się dziś aplikacje, klienci i usługi. To w połączeniu z inwentaryzacją istniejących potencjalnych punktów kontrolnych w środowisku napędza architekturę dostosowanego podejścia do Twojego unikalnego ekosystemu. W tym momencie klienci często oceniają, co mogą selektywnie wprowadzić, aby przyspieszyć drogę do zerowego zaufania, na przykład identyfikacja w chmurze w celu ujednolicenia modeli dostępu w środowisku hybrydowym lub dodatkowe usługi warstwy 7, które mogą mieć pozytywny wpływ.

Po ustaleniu tego kontekstu można zdefiniować podejście do definiowania polityki. Najlepszym sposobem, aby się tu dostać, jest przejrzenie spisu ważnych aplikacji i zapytanie, kto powinien mieć dostęp, co powinien być w stanie zrobić, skąd ten dostęp powinien być przyznany i jakie metody dostępu są prawidłowe lub nie, dla różnych powiązanych usług. Po udokumentowaniu tego możesz teraz określić, które wejścia lub sygnały mogą być użyte do podjęcia tych decyzji. Inteligentne moduły równoważenia obciążenia w połączeniu z innymi częściami ekosystemu, takimi jak system twojego dostawcy tożsamości, można następnie skonfigurować w taki sposób, aby wykorzystywały te dane wejściowe w procesie podejmowania decyzji. Ostatnim krokiem jest ostatecznie wprowadzenie modelu iteracyjnego i ciągłego doskonalenia. Jest to możliwe tylko dzięki solidnemu systemowi monitorowania, który pozwala wiedzieć, czy zamierzone wyniki, które miałeś, zostały faktycznie osiągnięte, lub czy realizowane są niezamierzone negatywne skutki, takie jak części twojego ekosystemu, które powinny mieć dostęp do chronionej aplikacji, mają go teraz blokowany.

Poza tym, właściwy rodzaj monitorowania jest ważny, ponieważ nie ma rozwiązania - poza brakiem połączenia z siecią - które może zapobiec wszystkim możliwym zagrożeniom. W rezultacie posiadanie systemów, które mogą zidentyfikować pozornie luźno powiązane wskaźniki wyprzedzające, aby uzyskać dostęp do naruszeń i pomóc w stworzeniu jasnego obrazu z perspektywy informatyki śledczej, ma również kluczowe znaczenie dla zapobiegania i skrócenia czasu do wykrycia / rozwiązania problemu.

Podstawowym kluczem do sukcesu jest rozpoczęcie od skupienia się na celach biznesowych do osiągnięcia przez Twoją organizację. To z kolei napędza konkretne podejście, które podejmiesz do oceny opcji i rozpoczęcia podróży z zerowym zaufaniem. Jednak obecny krajobraz bezpieczeństwa IT absolutnie wymaga innego podejścia do modeli, które były wcześniej wykorzystywane. Zacznij od przyjrzenia się temu, co już masz i jak można to rozszerzyć, abyś mógł zacząć wprowadzać niektóre z podstawowych zasad strategii zerowego zaufania. Posiadanie odpowiedniego modelu może pomóc Ci wyprzedzić złych aktorów, a także zachować przewagę konkurencyjną, zapobiegając niektórym problemom z bezpieczeństwem oraz umożliwiając szybsze wykrywanie innych problemów i reagowanie na nie.

Dowiedz się więcej o tym, co Kemp robi w przestrzeni zerowego zaufania i oceń naszą architekturę Zero Trust Access Gateway, odwiedzając dedykowaną stronę, z możliwością zgłoszenia chęci przetestowania rozwiązania Kemp ZTAG.

Oryginalna treść artykułu: https://kemptechnologies.com/blog/zero-trust-kemp/

Informacja o autorze artykułu:

Jason Dover

Dyrektor ds. Zarządzania liniami produktów w KEMP Technologies. Jason Dover jest ekspertem w dziedzinie technologii przesyłania wiadomości i dostarczania aplikacji, który ma doświadczenie w projektowaniu i wdrażaniu rozwiązań Enterprise Unified Communication & Directory. Obecnie jest członkiem zespołu ds. zarządzania produktami KEMP Technologies odpowiedzialnego za działania marketingowe w ramach portfolio produktów KEMP Technologies. Przed dołączeniem do KEMP Technologies, pracował w branży finansowej i świadczył usługi konsultacyjne w zakresie komunikacji i usług katalogowych oraz migracji dla NYSE Euronext i Deutsche Bank, a także pełnił funkcję kierownika technicznego w globalnym zespole ds. obsługi komunikacji i usług katalogowych w AllianceBernstein.

.....................................................................................

Zainteresowały Cię rozwiązania Kemp Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Kemp wprowadza architekturę Zero Trust upraszczając bezpieczny dostęp do…

25 maja 202125 maja 2021
by admin@evl.pl

Zero Trust Access Gateway umożliwia klientom korzystanie z rozwiązania ADC do precyzyjnej kontroli dostępu do udostępnianych aplikacji i usług.

Firma Kemp, dostawca load balancera zapewniającego nieprzerwany dostęp do aplikacji (AX), ogłosiła wprowadzenie architektury Zero Trust Access Gateway (ZTAG), upraszczając zastosowanie modelu Zero Trust do zabezpieczania udostępnianych procesów i usług. Rozwiązanie Kemp ZTAG składa się z zestawu funkcji proxy, uwierzytelniania, reguł dostępu i automatyzacji, które pomagają klientom stosować podejście Zero Trust do aplikacji internetowych podlegających równoważeniu obciążenia.

Zero Trust w świecie bez granic

Wzrost popularności pracy z domu, chmury hybrydowej, BYOD i IoT zaciera granicę między tym, co jest lokalne, a tym, co znajduje się poza granicami sieci. Stwarza to nowe wyzwania związane z utrzymaniem zgodności i spójnym stanem bezpieczeństwa bez uszczerbku dla łatwego dostępu do usług dla użytkowników. Organizacje IT muszą reagować na rozszerzające się granice sieci, jednocześnie znajdując niezawodne sposoby zapewnienia użytkownikom bezpiecznego dostępu do aplikacji.

Load balancer jako brama dostępu z podejściem Zero Trust

Jako główny punkt końcowy udostępnianych aplikacji, load balancer jest optymalnie zlokalizowany, aby pomóc we wdrożeniu kompleksowego modelu Zero Trust. Architektura Kemp Zero Trust Access Gateway umożliwia rozwiązaniom Kemp LoadMaster ochronę aplikacji o znaczeniu krytycznym poprzez zastosowanie aktywnego sterowania ruchem w oparciu o lokalizację klienta i poziom strefy bezpieczeństwa usług backend. Dostęp do usługi jest określany na podstawie takich parametrów, jak przynależność do grupy bezpieczeństwa, sieć źródłowa i informacje zawarte w komunikacji HTTP. Policy Builder oparty na interfejsie API firmy Kemp umożliwia zautomatyzowane oraz usprawnione tworzenie i stosowanie konfiguracji ZTAG.

„Podejście Zero Trust to przyszłość dostępu do aplikacji i wciąż zyskuje na popularności wśród klientów” - powiedział Jason Dover, wiceprezes ds. strategii produktowej firmy Kemp. „Kemp wykorzystuje optymalną pozycję load balancera w połączeniu z naszym rozbudowanym modelem automatyzacji, aby pomóc klientom wprowadzić ideologię Zero Trust do ich ekosystemu aplikacji”.

Zintegrowane podejście Zero Trust

Ponieważ użytkownik, który wydaje się być bezpieczny, może zmienić swój status, gdy dojdzie do kompromitacji jego stacji roboczej, połączenie wstępnego uwierzytelniania z ciągłą weryfikacją na wyższych warstwach stosu aplikacji ma kluczowe znaczenie. Po włączeniu, wbudowana zapora aplikacyjna (WAF) load balancera Kemp i system zapobiegania włamaniom (IPS) sprawdzają uwierzytelniony ruch użytkowników pod kątem naruszeń i chronią przed exploitami wykorzystywanymi przez cyberprzestępców. Integracja ze źródłami reputacji IP dodatkowo uniemożliwia znanym zagrożeniom uzyskanie dostępu do chronionych aplikacji.

W odróżnieniu od innych rozwiązań opartych o podejście Zero Trust, Kemp zapewnia dodatkową korzyść w postaci głębokiej telemetrii sieci, która umożliwia szczegółowy wgląd w chronione usługi aplikacji. W połączeniu z portfolio produktów Kemp zapewniających widoczność sieci, operatorzy sieci i dostawcy usług bezpieczeństwa są w stanie prze my związane z wydajnością i zagrożeniami, które mogą negatywnie wpłynąć na działanie aplikacji.

Dostępność

Kemp Zero Trust Access Gateway jest dostępny już teraz. Aby dowiedzieć się więcej lub rozpocząć testy wejdź na stronę: https://kemptechnologies.com/solutions/zero-trust-access-gateway/.

Uzyskaj bezpłatną ocenę swojej sieci od Kemp

Oryginalna komunikatu prasowego Kemp: https://kemptechnologies.com/news/kemp-launches-zero-trust-architecture-simplify-secure-application-access/

O Kemp

Kemp odpowiada za bezpieczne, niezawodne i wydajne dostarczanie aplikacji, którego wymagają przedsiębiorstwa i dostawcy usług sieciowych. Rozwiązania równoważenia obciążenia, monitoringu wydajności sieci oraz wykrywania zagrożeń i reagowania stanowią kompletną wartość dzięki uproszczonemu wdrożeniu, elastycznemu licencjonowaniu i najwyższej klasy obsłudze technicznej. Kemp jest światowym dostawcą najpopularniejszych rozwiązań równoważenia aplikacji z ponad 100 tysiącami wdrożeń w 138 krajach. Szersze informacje na stronie kemp.ax.

.....................................................................................

Zainteresowały Cię rozwiązania Kemp Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Mapa rozwoju rozwiązań Kemp Flowmon w 2021 roku

24 maja 202124 maja 2021
by admin@evl.pl

Jeśli jesteś użytkownikiem rozwiązań Flowmon, to lektura poniższego artykułu przetłumaczonego przez zespól presales Kemp Polska może udzielić wielu odpowiedzi na Twoje potrzeby. Jeśli jeszcze nie znasz rozwiązań Kemp Flowmon, tym bardziej zachęcamy do lektury i testów rozwiązań po niej. Wasze opinie, aktualne trendy i spora ilość innowacji są tym, co kształtuje obecne i przyszłe oblicze rozwiązań w ofercie Kemp. Czytaj dalej, aby dowiedzieć się, co wydarzy się w 2021 roku.

Rozwiązania w ofercie Kemp Flowmon dzielą się na rodziny NetOps i SecOps, dla każdej z tych rodzin przygotowaliśmy osobne omówienie najważniejszych zmian i ulepszeń w produktach w tym roku.

Network Operations

Znakomita wydajność i elastyczność

Jako element rozbudowy rozwiązania Flowmon opracowaliśmy od nowa mechanizm przetwarzania flow’ów (przepływu danych), który zaprezentujemy w Kemp Flowmon 12 jeszcze w tym roku. Jest to najbardziej radykalna zmiana architektoniczna od momentu wprowadzenia produktu na rynek. Nowy silnik zapewnia 2-7x większą wydajność przetwarzania i analizy danych (w zależności od typu zapytania) w porównaniu z poprzednimi wersjami systemu. Ponadto nowy silnik będzie charakteryzował się zwiększoną elastycznością w zakresie obsługi nowych pól L7 lub obsługi IPFIX z zewnętrznych źródeł danych.

Dzięki opiniom naszych klientów nowe Dashboardy będą bardziej interaktywne z dostępnymi opcjami analitycznymi bezpośrednio z ogólnego widoku. Również raportowanie zostanie przeprojektowane, aby raporty były jeszcze łatwiejsze do odczytania i zrozumienia.

Pełna widoczność w środowiskach hybrydowych

Istniejące wsparcie dla danych pochodzących z AWS zostanie rozszerzone o zbieranie informacji o przepływach danych w Microsoft Azure i Google Cloud. Umożliwi to Kemp Flowmon Collector zbieranie danych bezpośrednio od wszystkich głównych dostawców chmury publicznej i umocni pozycję naszego produktu na pozycji lidera rozwiązania do monitorowania infrastruktury hybrydowej.

Zapobiegaj problemom z wydajnością

Rozpoczynając od wersji 12.1 Flowmon zaoferuje funkcję analizy trendów i przewidywania przyszłej wydajności. Nowa funkcja ostrzeże administratorów systemu o potencjalnych problemach na kilka tygodni przed ich wystąpieniem. Dzięki otrzymanym powiadomieniom administratorzy będę mieli mnóstwo czasu na proaktywne działanie i uniknięcie nadchodzących problemów.

Mechanizm analizy trendów jest szczególnie dobrze dostosowany do monitorowania wydajności w perspektywie długoterminowej i interpretacji wskaźników wydajnościowych takich jak round-trip time, server-response time, retransmissions.

Rysunek 1 – przykładowa wizualizacja topologii dostarczania aplikacji

Chmurowe i hybrydowe wdrożenie w AWS będą w stanie dostarczać lepszych danych dzięki dodaniu flag TCP do danych dostarczanych z AWS (flow logs) zapewniając większą szczegółowość o komunikacji, a tym samym bardziej wiarygodne dane do analizy i wykrywania anomalii.

Usługodawcy oraz każdy, kto musi wdrożyć wiele urządzeń Flowmon, będzie mógł skorzystać z możliwości wykonania konfiguracji za pomocą skryptów. Będzie to wygodny sposób na zautomatyzowanie wdrażania dużej liczby urządzeń bez zbędnej pracy manualnej.

Intuicyjne monitorowanie zasobów

Wybiegając wprzód do wersji 13 Flowmon zaproponuje zupełnie nowy sposób organizacji pracy w systemie wprowadzając monitorowanie sieci pod kątem zasobów - podsieci, sieci, aplikacji - tworząc znacznie bardziej intuicyjny obraz monitorowanego środowiska.

Ponadto interfejs użytkownika umożliwi łatwiejszy dostęp do niektórych szczegółów z wysokopoziomowych dashboardów, a lepsze opcje filtrowania pomogą oddzielić istotne informacje od nieistotnego szumu.

Rysunek 2 - Przeprojektowany interfejs użytkownika Kemp Flowmon 13

Wbudowana wiedza ekspercka rozwiązania zostanie rozszerzona o analizę jakości danych NetFlow, aby umożliwić rozpoznanie typowych problemów i błędów w przychodzących danych, pomagając w ten sposób uniknąć utraty wiarygodności z powodu błędnej konfiguracji źródeł danych lub niezgodności między danymi pochodzącymi z urządzeń różnych dostawców. Nowa funkcja pozwoli na automatyczne rozpoznawanie problemów w przychodzących danych, które mogą mieć wpływ na późniejszą analizę w systemie.

Więcej szczegółów z pakietów

W zeszłym roku przekształciliśmy Traffic Recorder, wyposażając go we wbudowaną wiedzę i umożliwiając automatyczną analizę pakietów przechwyconego ruchu.

W tym roku ulepszamy Packet Investigator, dodając w wersji 11.1 nowe protokoły, rozszerzając w ten sposób wachlarz scenariuszy możliwych do wykorzystania, w tym również wykorzystania analizy w niektórych protokołach przemysłowych IoT.

Rysunek 3 – Pełna analiza zdarzeń

Packet Investigator będzie zawierał również uproszczoną prezentację wyników analizy, zaprojektowaną w celu ograniczenia rozpraszaczy i zwrócenia uwagi na najważniejsze wyniki analizy.

Rysunek 4 – Nowy interfejs Packet Investigatora

Security Operations

Natychmiastowa świadomość sytuacji

Powiadomienie o zdarzeniu naruszenia bezpieczeństwa to jedno, ale zrozumienie, jakie mogą być tego konsekwencje dla firmy i jej zasobów, to zupełnie inny temat. Kemp Flowmon ADS 11.3 znacznie ułatwi ocenę sytuacji, wprowadzając macierz MITRE ATT&CK, która pojawi się już wiosną 2021 roku.

Rysunek 5 – Dashboard MITRE ATT&CK

MITRE ATT&CK to framework opisujący działania atakującego we wszystkich fazach przeprowadzanego ataku. Interfejs użytkownika ADS wykorzystuje tę strukturę do wizualizacji sytuacji, umożliwiając natychmiastowy wgląd i zrozumienie zakresu naruszenia, jego wagi oraz przewidywanie możliwej eskalacji.

Więcej scenariuszy bezpieczeństwa

Jeszcze w tym roku pojawi się ADS 12 wyposażony w nowe metody wykrywania zagrożeń. Oprócz udoskonalenia istniejących mechanizmów, nowa wersja przyniesie kilka nowych metod, w tym metod wykorzystujących machine learning do wykrywania domen generujących złośliwe oprogramowanie.

Proste udostępnianie funkcji NDR

Zarówno klienci MSP jak i duże przedsiębiorstwa z zadowoleniem przyjęły wsparcie dla koncepcji multi-tenancy wprowadzonej we Flowmon 11. Multi-tenancy w ADS 12 będzie zgodny z koncepcją Flowmon i uprości udostępnianie funkcji NDR klientom i użytkownikom końcowym systemu.

Ponadto system otrzyma szereg ulepszeń w celu uproszczenia konfiguracji metod wykrywania. Na przykład filtry danych wejściowych, które pozwolą na łatwiejsze dostrojenie systemu i wyeliminowanie false positive przez umieszczanie na białej liście pewnych wystąpień, takich jak duża liczba zapytań DNS generowanych do znanych sług np. Office 365, które w przeciwnym razie zostałyby wykryte jako anomalia.

Z optymizmem patrzymy w przyszłość

Miniony rok przyniósł wiele zmian w naszej ofercie i firmie i w tym roku nie będzie inaczej. Cieszymy się, że jesteś z nami i że razem możemy dzielić się radością z odkrywania nowych horyzontów.

Uzyskaj bezpłatną ocenę swojej sieci od Kemp

Oryginalna treść artykułu: https://www.flowmon.com/en/blog/kemp-flowmon-roadmap-2021

.....................................................................................

Zainteresowały Cię rozwiązania Kemp / Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl

Nowości Security

Podstawowe zasady zerowego zaufania dla bezpieczeństwa aplikacji

20 maja 2021
by admin@evl.pl

Zero-Trust staje się coraz bardziej popularnym słowem w cyberprzestrzeni, które przyciąga zainteresowanie organizacji, które chcą sprostać współczesnym wyzwaniom w zakresie bezpieczeństwa.

Chociaż czasami postrzegane jako zastąpienie istniejących zdolności do kompleksowej obrony, w rzeczywistości zerowe zaufanie jest rozszerzeniem postawy bezpieczeństwa z silniejszym naciskiem na tożsamość, segmentację i kontrolę dostępu podmiotów, niezależnie od tego, czy są one częścią Twojego „zaufanego” środowiska albo nie. Prawdziwym celem tego modelu jest wyeliminowanie zaufania do systemu, ponieważ zaufanie w sieci jest luką, która jest wykorzystywana, a próba uzyskania prawdziwego zaufania w systemach polega wtedy na integracji z wybrakowanym modelem.

Ogólnie rzecz biorąc, podejście oparte na zerowym zaufaniu zapewniające bezpieczny dostęp do aplikacji obejmuje następujące atrybuty:

Uwierzytelnienie przed dostępem

Zasadniczo uwierzytelnianie i weryfikacja tożsamości żądających dostępu podmiotów muszą zostać przeprowadzone przed pokazaniem im, gdzie znajdują się chronione zasoby. Wymaga to zaprojektowania środowiska w taki sposób, aby klienci - w tym wewnętrzni - nie mieli bezpośredniej ścieżki do aplikacji lub usług uwierzytelniających, aby zmniejszyć powierzchnię ataku i zmniejszyć ryzyko naruszenia bezpieczeństwa tych elementów. Pełnomocnictwo do uwierzytelniania i dostępu do aplikacji z kontrolą polityki obejmującą okoliczności, w których dostęp jest dozwolony, jest również kluczem do rozpoczęcia podróży w kierunku zerowego zaufania.

Model najmniej uprzywilejowanego dostępu

W dzisiejszym świecie BYOD i pracy zdalnej nie zawsze jest możliwe lub praktyczne ograniczenie dostępu do aplikacji dla urządzeń kontrolowanych organizacyjnie, w których można wymusić silną ochronę punktu końcowego. Jako minimum, do kontrolowania łączności urządzeń należy wykorzystywać zasady oparte na pewnym poziomie stanu urządzenia lub weryfikacji lokalizacji. Następnym krokiem jest określenie, co próbuje osiągnąć łączący się podmiot, jakiego rodzaju usługi są dostępne i jakie protokoły komunikacyjne są potrzebne. Po ustaleniu, można zweryfikować, czy dostęp powinien być dozwolony, czy nie, w oparciu o bieżące okoliczności. Nawet jeśli dostęp zostanie udzielony, należy go zapewnić w sposób, który umożliwia tylko niezbędne przepływy komunikacyjne i nic więcej.

Segmentacja

Miejsce źródłowe, z którego przychodzą żądania do aplikacji, powinno być uwzględnione w rachunku poziomu i typu przyznanego dostępu. Nawet w przypadku wewnętrznej komunikacji z klientami różne segmenty sieci mogą mieć różne poziomy bezpieczeństwa i definicji strefy bezpieczeństwa. Architektura proxy chroniąca Twoje aplikacje powinna umożliwiać wykrycie tej segmentacji i podejmować decyzje nie tylko w oparciu o tożsamość i kontekst żądania, ale także lokalizację, z której pochodzi żądanie.

Bieżąca weryfikacja / monitorowanie

Ponieważ rzeczy mogą się zmienić, raz zaufany nie zawsze jest zaufany. Nawet po zapewnieniu dostępu do aplikacji danemu użytkownikowi z danej lokalizacji na danym urządzeniu, wymagane jest ciągłe monitorowanie komunikacji i stanu, aby w przypadku zmiany poziomu ryzyka można było zakończyć łączność w celu zminimalizowania ryzyka. Na przykład, jeśli pochodzą ze źródła publicznego, czy też źródła informacji o zagrożeniach zaktualizowały adres, który był znany z podejrzanych działań, czy w sesji wystąpiły próby podobne do wzorców ataków aplikacji L7, zawartości, których nie powinno być jak w ruchu ICMP lub innym nietypowym zachowaniu. Łącząc proxy i infrastrukturę dostępu z innymi elementami w środowisku, takimi jak stos widoczności sieci, zapora aplikacyjna i inne narzędzia do monitorowania bezpieczeństwa, można stworzyć strukturę, która pomaga zapobiegać wykorzystywaniu początkowo legalnych sesji klienta.

Poza tymi podstawowymi zasadami kolejną najlepszą praktyką jest szyfrowanie danych w ruchu i składowanych, niezależnie od tego, czy uzyskiwany jest dostęp wewnętrzny, czy zewnętrzny. Tylko dlatego, że ruch klientów ma charakter wewnętrzny, nie oznacza to, że domyślnie powinno istnieć zaufanie - w końcu zagrożenie ze strony wielu exploitów polega na tym, że przed uruchomieniem destrukcyjnego zachowania najpierw wydają się być zasobem wewnętrznym.

Wreszcie struktura, która umożliwia monitorowanie z punktu widzenia sieci, jest kluczem do wykrywania anomalii, które są symptomami niezabezpieczonych wektorów w architekturze i przyczynia się do ogólnej, solidnej pozycji w zakresie bezpieczeństwa. Zabezpieczenia na brzegu sieci zapewniają pokrycie ruchu, który w pionie przekracza granice środowiska, a zabezpieczenia punktów końcowych zapewniają głęboki i wąski kontekst, jednak to sieć jest wiarygodnym źródłem informacji, a model zerowego zaufania powinien być połączony z widocznością w czasie rzeczywistym w jaki sposób dostęp do sieci i przepływ pakietów łączy się z komunikacją w warstwie aplikacji. W przypadku dalszego rozszerzenia w celu zapewnienia automatycznej reakcji na podejrzane zachowanie, uzyskasz przewagę nad podmiotami zagrażającymi bezpieczeństwu danych.

Oryginalna treść artykułu: https://kemptechnologies.com/blog/zero-trust-principles-application-security/

Informacja o autorze artykułu:

Mike Bomba

Mike Bomba przez ponad 35 lat pracował w Departamencie Obrony. Obecnie jest federalnym architektem rozwiązań KEMP Technologies. Mike pełnił różne funkcje kierownicze w ciągu 35 lat kariery w Departamencie Obrony, w tym jako: Chief of Integration, Director of Projects, Plans and Architecture, Director of Projects and Engineering, Director, Operational Engineering Directorate, U.S. Army Network Enterprise Technology Command i 6 lat jako oficer w społeczności sygnałowej armii amerykańskiej. Bezpośrednio przed dołączeniem do KEMP był starszym architektem rozwiązań Riverbed Technology dla Departamentu Obrony (DoD).

.....................................................................................

Zainteresowały Cię rozwiązania Kemp / Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl