INFORMACJE

Rynek Lotniczy

Linie Lotnicze

Porty Lotnicze

Samoloty

Drony

Dostawcy Usług

Prawo

Turystyka

BRANŻA

Nawigacja powietrzna

Innowacje & Technologie

Personalne

Rozmowy PRTL.pl

Komentarz tygodnia

Aviation Breakfast

Polski Klub Lotniczy

Przegląd prasy

INNE

Księgarnia

Szkolenia i konferencje

Studenckie koła i org. lotnicze

Znajdź pracę

Katalog firm

Przydatne linki

REKLAMA





Partnerzy portalu



Language selection


English Deutsch French Russian

Publikacje


SecureVisio: polska odpowiedź na Dyrektywę NIS. Część III

Janusz Mierzejewski, 2018-10-30
     

Realistyczna strategia bezpieczeństwa zakłada, że nie ma możliwości usunięcia wszystkich podatności i pomimo regularnego instalowania poprawek bezpieczeństwa i wdrożonych zabezpieczeń dojdzie do incydentów (np. w wyniku ataku 0-day). Wykorzystanie narzędzi SecureVisio umożliwia identyfikację incydentu na wczesnym etapie i niedopuszczenie do poważnego naruszenia bezpieczeństwa (np. intruz uruchomi malware i uzyska dostęp do systemu IT, ale nie zdąży odnaleźć i ukraść wrażliwych danych ani zablokować ważnego procesu działania organizacji). Narzędzia SecureVisio są użyteczne na każdym etapie cyberataku. Zostanie to omówione z użyciem opracowanego przez Lockheed Martin modelu współczesnego cyberataku Cyber Kill Chain®. Model ten opisuje cyberatak jako ciąg działań złożony z siedmiu etapów (zob. rysunek 7).

 

Etap 1. Rozpoznanie - identyfikacja adresów email pracowników organizacji i dostępnych usług IT, a także rozpoznanie podatności (dziur bezpieczeństwa) i wybór celów ataku. SecureVisio z użyciem wbudowanego lub zewnętrznego skanera podatności zgodnie z ustalonym harmonogramem skanuje środowisko teleinformatyczne i systemy IT, odczytuje raport na temat wykrytych podatnościach i automatycznie poddaje go ocenie ryzyka pod kątem wykonania priorytetyzacji biznesowej podatności (m.in. wskazanie systemów IT krytycznych dla organizacji, gdzie wykryto nowe istotne dziury bezpieczeństwa). Wczesne wykrycie istotnych podatności umożliwia uniknięcie poważnych incydentów. W przypadku kiedy intruz znajduje się wewnątrz organizacji, SecureVisio umożliwia na podstawie analizy flowów i logów wykrywanie prób skanowania i rekonesansu. Dzięki temu możliwe jest na wczesnym etapie wykrycie komputerów firmowych, które są w rękach cyberprzestępców i mogą posłużyć im do rozpoznania i zaatakowania innych, ważnych dla organizacji systemów IT.

 

Etap 2. Uzbrojenie - przygotowanie cyberbroni, czyli narzędzi do wykonania ataku, np. strony Web z exploitami na podatności przeglądarki Web, dokumentu PDF z exploitem na aplikację Adobe Reader, exploitów na określoną usługę, itp. W tym etapie przygotowywany jest także kod malware, za pomocą którego cyberprzestępcy połączą się ze swoim centrum dowodzenia (command & control) i przejmą kontrolę nad komputerem. Możliwe jest także przygotowanie złośliwej aplikacji, którą uruchomi sam nieświadomy użytkownik i odda komputer w ręce cyberprzestępców. Ten etap odbywa się po stronie cyberprzestępców. Sukces tego etapu cyberataku jest uzależniony od identyfikacji i znajomości podatności (błędów bezpieczeństwa), a także dostępności exploitów na wykrytą podatność.

 

SecureVisio utrudnia cyberprzestępcom przygotowanie exploitów na określone usługi systemów IT poprzez wczesne wykrywanie podatności tych systemów. Po zainstalowaniu poprawek bezpieczeństwa lub włączeniu na zabezpieczeniach IPS lub WAF tzw. wirtualnych poprawek, cyberprzestępcy mają znacznie mniejsze możliwości wykonywania ataków. W zakresie ataków na użytkownika (np. phishing), narzędzia SecureVisio należy uzupełnić o odpowiednie dla organizacji akcje programu Security Awareness. Więcej informacji można znaleźć w portalu edukacyjnym www.bezpiecznypracownik.pl.

 

Etap 3. Dostarczenie - przekazanie cyberbroni do ofiary ataku. Występują trzy popularne metody wykonania tej fazy ataku: załączniki e-mail, strony Web (wodopój) i przenośne nośniki danych (np. pen-drive). Sukces cyberprzestępców jest uzależniony od słabości zabezpieczeń (np. zabezpieczenia IPS i anti-malware nie poddają inspekcji ruchu zaszyfrowanego SSL/TLS) oraz niskiej świadomości użytkowników i ich podatności na ataki socjotechniczne. Redukowanie ryzyka odbywa się przez stosowanie zabezpieczeń IPS i anti-malware, w szczególności Sandbox, a także program Security Awareness.

 

W zależności od wdrożonych zabezpieczeń, SecureVisio wspomaga administratorów bezpieczeństwa w szybkim identyfikowaniu sytuacji wymagających ich działania, np. SecureVisio może odczytywać logi anti-malware sandbox w celu wykrywania i alarmowania administratorów w sytuacji gdy tzw. 0-day malware został wykryty w sandbox, ale zabezpieczenia nie zablokowały złośliwego programu i znajduje się na komputerze w sieci wewnętrznej, co wymaga podjęcia natychmiastowego działania administratorów.

 

Etap 4. Wykorzystanie - po dostarczeniu cyberbroni do komputera ofiary następuje uruchomienie złośliwego kodu (zwykle exploit), który z wykorzystaniem podatności (zwykle błędu bezpieczeństwa) uruchomi na komputerze malware. Malware w kolejnych etapach cyberataku będzie służył cyberprzestępcom do komunikacji ze swoim centrum dowodzenia (command & control), rozpoznania ofiary ataku, instalacji innych złośliwych programów, itp. Sukces cyberprzestępców jest uzależniony od występujących na komputerze podatności oraz słabości lokalnych zabezpieczeń anti-malware i IPS, a także niskiej świadomości użytkowników i ich podatności na ataki socjotechniczne. Redukowanie ryzyka odbywa się przez stosowanie zabezpieczeń IPS i anti-malware, w szczególności Sandbox, a także program Security Awareness. W zależności od wdrożonych zabezpieczeń, SecureVisio podobnie jak w poprzednim etapie cyberataku wspomaga administratorów bezpieczeństwa w szybkim identyfikowaniu sytuacji wymagających ich działania (np. alarmy generowane przez lokalne zabezpieczenia IPS i anti-malware są prioryteryzowane pod kątem identyfikacji atakowanych komputerów, gdzie znajdują się dane wrażliwe).

 

 

Rysunek 7. Działania SecureVisio w trakcie współczesnego cyberataku

 

Etap 5. Instalacja - uruchomienie i zwykle na trwałe zainstalowanie malware na komputerze ofiary, za pomocą którego cyberprzestępy przejmą kontrolę nad tym komputerem. Sukces tego etapu ataku jest uzależniony od błędów oprogramowania i konfiguracji komputera (np. użytkownik pracuje na koncie administratora) oraz słabości lokalnych zabezpieczeń IPS i anti-malware. Redukowanie ryzyka odbywa się m.in. przez stosowanie zabezpieczeń IPS i anti-malware. SecureVisio poddaje analizie alarmy generowane przez lokalne zabezpieczenia komputerów i dokonuje ich priorytetyzacji biznesowej w celu identyfikacji incydentów wymagających natychmiastowego działania (np. wykryto próby instalacji malware na komputerach, z których możliwy jest dostęp do ważnych zasobów organizacji).

 

Etap 6. Przejęcie kontroli (C&C) - po ustanowieniu kanału komunikacji z centrum dowodzenia C&C, cyberprzestępcy otrzymują dostęp do komputera ofiary. Sukces cyberprzestępców jest uzależniony przede wszystkim od słabości narzędzi monitorowania i wykrywania incydentów. SecureVisio na podstawie analizy flow-ów i logów oraz integracji z innymi systemami wykrywania incydentów (m.in. SIEM, UEBA, NBA) umożliwia szybkie identyfikowanie komputerów przejętych przez cyberprzestępców. Szybka identyfikacja incydentów i automatyczne powiadamianie o tym właściwych osób w organizacji, a także oferowane przez SecureVisio gotowe do użycia scenariusze obsługi incydentów umożliwiają szybkie naprawnienie zainfekowanych systemów, co znacząco utrudnia cyberprzestępcom wykorzystanie przejętych komputerów do spowodowania naruszenia bezpieczeństwa (np. znalezienia i kradzieży danych wrażliwych).

 

Etap 7. Realizacja celów - cyberprzestępcy mogą wykorzystać komputer ofiary do różnych celów, m.in. kradzież danych, zaszyfrowanie danych i żądanie okupu, atak na inne dostępne systemy. Sukces cyberprzestępców jest uzależniony od zasobów dostępnych na komputerze, zasobów dostępnych z komputera oraz przywilejów użytkownika komputera w systemie informatycznym (np. dostęp uprzywilejowany do baz danych), a także słabości narzędzi monitorowania i wykrywania incydentów. Poważne w skutkach incydenty bezpieczeństwa często wynikają z błędów w projekcie zabezpieczeń teleinformatycznych.

 

SecureVisio dzięki narzędziom audytowania bezpieczeństwa umożliwia identyfikację błędów projektu zabezpieczeń (np. komputery podatne na cyberataki znajdują się w strefie bezpieczeństwa razem z systemami krytycznymi dla organizacji). Poprawny projekt zabezpieczeń teleinformatycznych znacząco utrudnia cyberprzestępcom dostęp do krytycznych systemów organizacji oraz ułatwia szybkie wykrywanie incydentów w obszarach narażonych na cyberataki. Podobnie jak w poprzednim etapie wczesne wykrycie przez SecureVisio incydentów dotyczących ważnych systemów IT umożliwia organizacji uniknięcie poważnych konsekwencji.

 

Przeczytaj:

  1. część I artykułu
  2. część II artykułu

 

Janusz Mierzejewski

Inżynier Wsparcia Sprzedaży ds. Cyberbezpieczeństwa

INTERTRADING SYSTEMS TECHNOLOGY

 

 

 

Tagi:

Bezpieczeństwo | Cyberbezpieczeństwo | system | technologia


powrót


Aby otrzymać dostęp do komentowania artykułów musisz się zalogować.

LOGIN

HASŁO




Jeżeli nie masz jeszcze konta, załóż je teraz

Rejestracja


Komentarze do tego artykułu:

REKLAMA


REKLAMA



Informacje EKES



REKLAMA


Giełda transportowa
Clicktrans.pl







Home | O nas | Polityka prywatności | Korzystanie z serwisu | Reklama w portalu | Kontakt | Mapa strony