Mennyire jó az incidenskezelési tervünk?

A kiberbiztonsági incidensekre történő reagáláskor sokminden rosszul sülhet el, éppen ezért kiemelt fontosságú, hogy legyen egy megfelelő cselekvési terv, a károk kezelése és enyhítése érdekében. Ahogy Tim Stiller is felvázolta webinárjában, az incidensek kezelése kihívásokat okozhat, de egy sikeres csapatnak 6 lépésre van szüksége a szervezéshez és összehangoláshoz.


Támadások ipari vezérlőrendszerek ellen

A legtöbb ipari szervezet úgy véli, hogy az ICS hálózaton biztonságba vannak, mivel a fenyegetések leginkább az informatikai hálózatokat veszik célba. Azonban két korábbi kriptovaluta-bányász malware azt mutatja, hogy az ICS hálózatok nem „sterilek”. Ráadásul a tény, hogy ezek az incidensek orosz és európai kritikus létesítményekben zajlottak, megdönti azt a mítoszt hogy az ICS/OT hálózatok „légmentesen zártak”, valamint, hogy a Windows és más gépek a hálózaton védve vannak a malware és egyéb támadásokkal szemben.


Infografika | Top kiberbiztonsági fenyegetettségek


A digitális világ háborúi: egy nap a fenyegetéselemző életéből

Ebben a cikkben a Palo Alto Networks fenyegetettség-elemző munkatársának életét és a témával kapcsolatos gondolatait mutatjuk be.

A kibertámadások elkerülhetetlenek a mai digitális világban. Eme fenyegetések jövőbeli enyhítésének egyetlen módja, hogy megértsük működésüket és tudásunkat megosszuk másokkal.

A felderítési kör, a rosszindulatú szereplőkre való vadászat egy kipróbált módja. Beletartozik az információgyűjtés arról, hogy hogyan hajtották végre a támadást, hogyan exploitálták az adott célt vagy rendszert, elérték-e a céljukat és arról, hogy miképp kommunikáltak vissza a támadóhoz.

Mivel a kérdésekre adott válasz egyedülálló minden egyes kártevőre nézve, ezért rá kell jönni a támadó gondolkodására, hogy meg lehessen állítani a jövőben.


Mimikatz támadások kivédése

A Mimikatz alkalmazás kulcsfontosságú szerepet játszik a penetrációs tesztekben. Lényege, hogy a ramból tiszta és hashelt formában próbál kiszedni hitelesítő adatokat, így az egyik legjobb eszköz Windows rendszerek ellen. Jelentések szerint a támadók is előszeretettel használják, főleg, mivel a Metasploit Framework egyik moduljáról van szó. Annak ellenére, hogy még a Windows 2008 Servernél régebbi rendszerekre is van patch, még mindig hatékony. Óriási támadássorozatok, zsarolóvírusok és egyéb kártevők részét képezi.


Reaktív és proaktív malware-védelem

Mi a célja a malware-támadásnak?

Ha egy rosszindulatú aktor úgy dönt, hogy megtámad egy weboldalt, akkor azokon keresztül sebezhető számítógépek sokaságát keresheti. Ez lehet több száz vagy több ezer számítógép. A célja, hogy találjon egy hibát és automatizált szoftverekkel kártékony kódot telepítsen, botnet hálózatot létrehozva. Innentől a támadott számítógépek a hackert szolgálják. Ezeket felhasználhatja kriptobányászatra, vagy éppen zsarolóvírus, kémszoftver telepítésére, melyekből ugyancsak haszna lehet. A lehetőségek száma szinte végtelen.


Netcat, a hálózatok svájcibicskája

A Netcat számos eszközzel ellentétben nem csak egy dologra jó, hanem képes jóformán az összes hálózati kapcsolattípus megteremtésére. Ez nagyon hatékony hálózati hibakereső eszközzé teszi. Képes TCP és UDP protokollokon keresztül is kommunikálni. A fő célja a hibakeresés, de ezen felül számos célra használható, legyen szó chatelésről, fájlátvitelről, portscannelésről stb. Képes más programok szolgáltatásain dolgozni, de ha az adott feladat megköveteli, betöltheti a szerver és a kliens funkciót is egyszerre.


Vadásszunk kártékony powershell kódra a registry-ben

A hagyományos, rosszindulatú alkalmazások könnyen észlelhető nyomokat hagynak maguk után, azonban az elmúlt időszakban egyre több rejtőzködő kártevővel találkozni amik a Windows regisztrációs adatbázisát igénybe véve a memóriában tárolódnak el, így nagyon nehéz őket megtalálni. A lemezen semmi nyomot nem hagynak, így a hagyományos vírusirtók esélytelenek, a támadó azonosítása pedig szinte lehetetlen. A kártevők szolgáltatásokat, registry bejegyzéseket hozhatnak létre és PowerShell szkripteket futtathatnak.

  • Emailben, fájlként vagy linkként terjed, miután rákattintottunk, magát a registrybe írja és eltűnik.
  • A már fertőzött gépet registry cleanerrel lehet „javítani”.

Infografika | Érdekes kiberbiztonsági számok 2018-ban


Fenyegetésvadászat DNS használatával

Saját hálózaton a DNS forgalom figyelése sok információval szolgálhat egy esetleges támadásról, mivel az internet egyik alapszolgáltatásáról beszélünk, mely a szöveges neveket a gépek által is érthető IP címekre fordítja le. Pont ezért, szinte minden szolgáltatás használja: appok, frissítések és még a kártevőknek is haza kell telefonálniuk utasításokért/parancsokért. Ennek okán is fontos a DNS forgalom figyelése, hiszen ebből lehet következtetni a hálózatunkon terjedő esetleges rosszindulatú alkalmazásokra.

A malware írók számos DNS trükköt bevetnek, hogy eredményesen terjedhessen a találmányuk, például:

  • Domain generáló algoritmusok
  • Fast flux domains
  • DNS rejtett csatornák
  • Ismert címek „másolása

Page 1 of 212