eWAY s.r.o.

Ransomvér: ako sa k vám dostane a ako sa proti nemu včas ochrániť?

Data protection

Ransomvér: ako sa k vám dostane a ako sa proti nemu včas ochrániť?

Jeden z dôvodov, prečo je ransomvér taký zničujúci, je, že namiesto slabých miest v sieti sa často zameriava na slabé miesta u ľudí. Uznávajúc túto skutočnosť, denník The Washington Post nedávno urobil rozhovor s EVP spoločnosti Proofpoint pre stratégiu kybernetickej bezpečnosti Ryanom Kalemberom o kritickej úlohe, ktorú môžu zamestnanci hrať pri predchádzaní ransomvérovým útokom pri práci. Kalember ponúkol svoje postrehy o tom, prečo je útok ransomvéru úspešný, na koho je zameraný a čo sa s tým dá robiť:

Ako to funguje?

Ransomvér sa zvyčajne začína ako prispôsobený e-mail odoslaný konkrétnemu cieľu v spoločnosti. E-mail často odkazuje na určité záujmy alebo preferencie, ktoré môže mať zamestnanec podľa identifikačného prieskumu jeho sociálnych médií pred útokom. Pretože ľudia radi čítajú o svojich záujmoch alebo o nich počúvajú od podobne zmýšľajúcich ľudí, vždy sa tým zvyšuje „otvorenosť“ e-mailu a potenciálne poškodenie. E-maily však nie sú náhodne zamerané na ľudí.

Z denníka The Washington Post: „V závislosti od ich rolí v spoločnosti nájdu niektorí zamestnanci svoje schránky doručenej pošty zahltené stovkami phishingových e-mailov určených na ukradnutie prístupov príjemcu,“ hovorí Kalember. Proofpoint historicky spája pokusy o ransomvér zamerané na zamestnancov s titulmi ako účtovníci, CEO alebo podobne zameraných zamestnancov. Ak má niekto prístup k privilegovaným informáciám, budú na neho skôr či neskôr zamerané podvodné e-maily.

Pokazil som to, čo teraz?

Povedzme, že ste zamestnanec sediaci vo svojej kancelárii alebo doma na home-office a nadávate si, pretože ste práve zdieľali citlivé informácie s niekým, kto sa vydával za Vášho riaditeľa. Alebo ste možno boli podvedení kliknutím na podvodný odkaz, ktorý môže ale aj nemusí viesť k budúcemu poškodeniu organizácie. Mali by ste iba predstierať, že sa to nestalo a dúfať, že sa nepríde na to, že za to môžete práve vy?
Rýchla odpoveď je – určite nie.

“Toto je často prvá reakcia a nie je to ideálne,” hovorí Kalember. “Keď podľahnete nejakému podvodu, útočník má stále nejaké časové obdobie, v ktorom musí zistiť, čo za informácie práve dostali a či vôbec stojí za to to využiť.”

Tento časový interval, medzi Vašou chybou a útočníkmi, ktorí rozhodujú o tom, ako na tom zarobiť, je to, čo bezpečnostný priemysel nazýva „čas zotrvania“, čas, ktorý môže „podporiť“ alebo zneškodniť útok. Kalember hovorí, že najdôležitejšou vecou, ​​ktorú môžete počas tohto medzičasu urobiť, je informovať IT, čo sa práve stalo. To môže spoločnosti pomôcť nielen zmierniť škody, ale môže tiež chrániť Vás. Okamžitá správa o Vašom stretnutí s phishingovým e-mailom môže tiež pomôcť pri stanovení vzdialenosti medzi skutočným incidentom a budúcou škodlivou aktivitou vychádzajúcou z Vašich účtov.

Ako znížiť riziko, že sa niekto stane „vinníkom“

Mnoho pracovníkov sa pochopiteľne pýta: „Prečo by to mal byť môj problém?“ V ideálnom prípade by nemal byť. Kalember tvrdí, že by malo byť zodpovednosťou spoločnosti filtrovať škodlivé e-maily, ale to by 100% fungovalo iba v ideálnom svete. Kým sa tento ideál nedosiahne, musia sa zamestnanci podieľať na obrane svojej organizácie. Washington Post navrhuje, ako môžu organizácie znížiť pravdepodobnosť toho, že sa niekto stane vinníkom zodpovedným za ransomvérový útok:

  • Vyškoľte zamestnancov, aby odhalili pokusy o phishing. Znamená to praktické, interaktívne školenie s pravidelnými cvičeniami. Čím dlhšie sú zamestnanci bez zaškolenia / preškolenia, tým horšie výsledky dosahujú pri odhaľovaní phishingových útokov. Metódy sa neustále vyvíjajú a rovnako by sa malo vyvíjať aj učebné osnovy výcviku. Tiež by to malo byť povinné pre každého zamestnanca, ktorý pracuje s internetom.
  • Overte svoju podnikovú e-mailovú doménu. Mala by blokovať podvodníkov v doručovaní správ z falošných alebo podozrivých domén.
  • Ujasnite si, čo by mali zamestnanci robiť, keď kliknú na podozrivý odkaz alebo prílohu – ak si zamestnanci nie sú istí, ako niečo nahlásiť, neurobia to. Kalember odporúča automatizované hlásenie, ktoré umožňuje zamestnancom hlásiť škodlivý e-mail kliknutím na tlačidlo.
  • Ponechajte priestor pre ľudskú chybu. Chyby sa stávajú, preto zvážte technológiu zameranú proti phishingu, ako sú vzdialené prehliadače, v ktorých sa adresy URL otvárajú v špeciálnom prostredí v cloude. Bez ohľadu na to, čo adresa URL obsahuje, nemôže byť kompromitujúca pre zamestnanca ani pre jeho zamestnávateľa.
  • Vykonávajte neustále testovanie bezpečnosti. Zraniteľnosť softvéru je ďalším spôsobom, ako môžu narušitelia získať prístup. IT tím vašej spoločnosti – alebo tretia strana – by mal aktívne hľadať hrozby vo vašej sieti.

Crowdstrike Reporting Tool for Azure

CrowdStrike Azure blog

Bezplatný nástroj CrowdStrike Reporting Tool for Azure pre kontrolu vášho Azure AD prostredia

CrowdStrike uvádza na trh CrowdStrike Reporting Tool for Azure (CRT), bezplatný komunitný nástroj, ktorý pomôže organizáciám rýchlo a ľahko skontrolovať nesprávne nastavené prístupové oprávnenia v ich prostrediach Azure AD, pomôže určiť slabé miesta v konfigurácii a poskytne rady na zníženie rizika. CrowdStrike pozoroval výzvy, ktorým organizácie čelia pri audite povolení Azure AD a zistil, že ide  o časovo náročný a zložitý proces – preto sa rozhodol vytvoriť nástroj, ktorý pomôže užívateľom Azure AD.  

Obchodný partner CrowdStrike bol ako jedna z mnohých spoločností  v nedávnom čase napadnutý rozľahlým kybernetickým útokom SUNBURST, no vďaka ich úrovni zabezpečenia po kontrole zistil, že nič z ich produkčného a interného prostredia nebolo zasiahnuté a nezaznamenal teda žiaden dopad na svoje produkty. 

CrowdStrike ale kvôli tomu samozrejme ihneď vykonal dôkladnú kontrolu nielen prostredia Azure, ale celej infraštruktúry ktorá obsahuje indikátory zdieľané so spoločnosťou Microsoft.
Crowdstrike počas celej analýzy  na vlastnej koži zažil ťažkosti, ktorým zákazníci čelia pri správe administratívnych nástrojov Azure. Zistil aké vzťahy a oprávnenia existujú v rámci  Azure užívateľov, a to  najmä s partnermi / predajcami tretích strán.  Zistil, že je obzvlášť náročné korigovať ich, že mnohé kroky potrebné na prešetrenie nie sú zdokumentované. Kľúčové informácie by mali byť ľahko dostupné, ale nie sú.

Pri podpore organizácií ovplyvnených incidentom SUNBURST vytvoril tím CrowdStrike Services komunitný nástroj s názvom CrowdStrike Reporting Tool for Azure (CRT) na rýchle a ľahké zistenie vyšších prístupových opatrení a ďalších dôležitých informácií o vašom prostredí Azure AD.
Patria sem delegované povolenia a povolenia aplikácií, Federation configurations, Federation trusts, pravidlá preposielania pošty, zodpovedné osoby, objekty s KeyCredentials a ďalšie.  Tento nástroj Crowdstrike sprístupnil komunite v ich úložisku CrowdStrike github.

Odporúčajú však všetkým správcom Azure AD skontrolovať ich konfiguráciu Azure AD, aby mohli zistiť, či náhodou neboli ovplyvnení spomínaným útokom, a podniknúť kroky na zabránenie prienikom. Dúfajú, že tento nástroj pomôže organizáciám z celého sveta.

Dôrazne tiež odporúčajú, aby všetky organizácie využívali CRT na kontrolu svojich Azure tenants a pochopili, či potrebujú podniknúť akékoľvek kroky v oblasti konfigurácie alebo povolení, najmä pokiaľ ide o tretie strany, ktoré môžu byť prítomné vo vašom prostredí Azure. Okrem toho je dôležité zabezpečiť, aby ste skontrolovali prístup svojho partnera / predajcu a aby ste pre Vašich partnerov navrhli overovanie viacfaktorovou autentifikáciou (MFA).   

Predstavenie CrowdStrike Reporting Tool pre Azure

Nevyhnutné predpoklady

CRT používa PowerShell a automaticky inštaluje moduly Exchange Online PowerShell V2, MSOnline a AzureAD. Aj keď odporúčame, aby bol tento nástroj spustený s účtom s oprávneniami Global Reader, niektoré „read-only“ funkcie si napriek tomu vyžadujú autentifikáciu ako používateľ s globálnym správcom alebo podobne vysokými oprávneniami. Ak  pre Vás oprávnenie globálneho správcu nie je k dispozícii, nástroj vás upozorní na informácie, ktoré pre vás nebudú k dispozícii.

CrowdStrike for Azure

Ukážka prostredia CRT zbierajúceho povolenia aplikácií

Ukážka prostredia CRT s CSV a JSON format

Prístup k novému bezplatnému nástroju získate tu: CrowdStrike Reporting Tool for Azure (CRT).

 Ďalšie odporúčania

Na základe reakcie na tento incident, vykonanej tímom CrowdStrike Services chceme zdôrazniť niekoľko ďalších odporúčaní na zmiernenie Vášho ohrozenia:

Logovanie

CrowdStrike odporúča centralizovať ukladanie protokolov na bezpečné miesto, aby sa zabránilo neoprávnenej manipulácii, neoprávnenému prístupu a súdnej ochrane. Musia byť povolené určité zdroje protokolov a je potrebné pridať diagnostické nastavenia, aby boli k dispozícii dostatočné podrobnosti. Ak tieto ďalšie nastavenia nie sú nakonfigurované, príslušné udalosti sa nezachytia.

Minimálne by sa nasledujúce protokoly mali zaznamenávať v systéme SIEM  alebo v prostredí úložiska protokolov oddelene od Azure:

  • Unified Audit Log
  • Azure Activity Logs
  • Azure Services Logs
  • Azure NSG Flow Logs
  • Azure AD Logs:
    • Azure AD Audit Logs
    • Azure AD Sign-In Logs
    • Azure AD Managed Identity Sign-In Logs (Preview)
    • Azure AD Non-Interactive User Sign-In Logs (Preview)
    • Azure AD Service Principal Sign-In Logs (Preview)
    • Azure AD Provisioning Logs
    • Azure AD Risky Sign-In events

Kontrola konfigurácie a hardening

CrowdStrike odporúča skontrolovať konfigurácie a podľa potreby uplatniť nasledujúce hardening opatrenia:

  • Skontrolujte vzťahy dôvery s partnermi vrátane IT konzultantov, predajcov a predajcov a obmedzte oprávnenia. Informácie o role partnera sú k dispozícii pre účty globálnych správcov na tomto odkaze. Zdá sa, že tieto informácie nie sú k dispozícii prostredníctvom zdokumentovaných rozhraní API.
  • Skontrolujte existujúce federations. Identifikujte neautorizované alebo neuznané federations a zrušte ich.
  • Uložte SAML kľúč podpisového certifikátu do hardvérového bezpečnostného modulu (HSM), aby nebolo možné ukradnúť podpisový kľúč. Prípadne pravidelne striedajte podpisové certifikáty SAML.
  • Skontrolujte poskytovateľov identity povolených v službe Azure AD (poskytovatelia identity SAML prostredníctvom priamej federation alebo sociálnych prihlásení) a identifikujte a odstráňte tých, ktorí nie sú legitímni.
  • Skontrolujte prístup externých identít Azure B2B na portál Azure a identifikujte a odstráňte tie, ktoré už nie sú potrebné alebo ktoré nie sú legitímne.
  • Zaistite, aby sa do cloudu synchronizovali iba požadované miestne organizačné jednotky AD (OU) a objekty. Pri vytváraní obojsmernej dôveryhodnosti a synchronizácii privilegovaných identít, účtov služieb alebo organizačných jednotiek medzi miestnymi a cloudovými servermi buďte mimoriadne opatrní.
  • Implementujte zásady Azure na obmedzenie konkrétnych akcií v tenantovi.
  • Obmedzte použitie regiónu
  • Vynúťte označovanie citlivých zdrojov
  • Skontrolujte princípy prístupu na portál správcu Azure pomocou princípov najvyššieho oprávnenia.
  • Skontrolujte služby, ktoré môžu mať prístup k miestnym prostrediam, ako aj k Azure, a pokiaľ je to možné, obmedzte oprávnenia a prístup.

Aplikácie Azure ADOAuth

  • Skontrolujte existujúce aplikácie s nedávno pridanými povereniami.
  • Skontrolujte aplikácie a povolenia, ktoré neregistruje spoločnosť Microsoft, a zrušte povolenia a poverenia pre všetky nerozpoznané aplikácie.
  • Skontrolujte a odstráňte nepoužívané aplikácie.
  • Politiku povolení aplikácií obmedzte iba na schválených správcov.

Kontrola oprávnení

  • Zaistite, aby sa na správu cloudu používali iba vyhradené účty správcu cloudov.
  • Kontrolujte si zásady pridelených privilégií a odstráňte nepotrebné privilégiá.
  • Skontrolujte používateľov, ktorým bolo udelené členstvo v administrátorských rolách alebo skupinách:
  • Používatelia so zvýšenými oprávneniami prostredníctvom nasledujúcich rol by mali byť podrobení osobitnej kontrole:
  • Správca autentifikácie
  • Správca fakturácie
  • Správca podmieneného prístupu
  • Správca a administrátor E-Discovery
  • Správca výmeny
  • Globálny správca
  • Správca technickej podpory
  • Správca hesla
  • Správca bezpečnosti
  • Správca SharePointu
  • Správca prístupu používateľov
  • Správca používateľov
  • Skontrolujte privilégiá a vynúťte požiadavky na viacfaktorové overovanie pre hostí.
  • Zaistite, aby mali prístup k rozhraniu Azure CLI tenantov iba príslušní používatelia.

Overenie

  • Vynútiťte viacfaktorovú autentizáciu (MFA) pre všetkých používateľov.
  • Skontrolujte nové neznáme registrácie MFA a obmedzte účty služieb z registrácie MFA.
  • Nastavte politiku prístupu pre viacfaktorové overenie na „Nepovoliť používateľom vytvárať heslá aplikácií na prihlásenie do aplikácií, ktoré nie sú prehliadačmi“, aby ste zabránili obchádzaniu MFA.
  • Skontrolujte a presadzujte zásady podmieneného prístupu:
    • Využite geografické obmedzenie.
    • Vynútiť moderné overovanie a blokovanie pôvodného overovania.
    • Blokujte „rizikové prihlásenia“.
  • Monitorujte požiadavky na autentifikáciu od neznámych poskytovateľov identity.
  • Monitorujte, či sa prihlasovacie údaje pridávajú k principálom služby.
  • Zaistite, aby boli povolené žiadosti o samoobslužné obnovenie hesla (SSPR), ktoré upozorňujú používateľov na zmenu ich hesiel.

Exchange

  • Skontrolujte pravidlá preposielania e-mailov a odstráňte neoprávnené pravidlá vrátane:
  • Pravidlá toku pošty v rámci celého tenantu
  • Jednotlivé poštové schránky
  • Skontrolujte delegácie e-mailov a odstráňte nepotrebné delegácie.
  • Zaistite, aby bolo používanie servera Exchange PowerShell povolené iba pre správcov servera Exchange.

Systémy Harden on-Premise a Self-Managed

Je dôležité zdôrazniť potrebu bezpečnostne posilniť miestne systémy, ako aj systémy hostované v cloude a dátovom centre, za ktoré je organizácia v konečnom dôsledku zodpovedná. Privilegovaní používatelia, roly a organizačné jednotky by sa mali synchronizovať medzi cloudovými a miestnymi alebo samostatne spravovanými adresármi s mimoriadnou opatrnosťou. Roly správcov v cloude sa musia spoliehať na autentifikáciu iba v cloude a neoverovať sa pomocou SAML SSO, rovnako ako roly správcov pre lokálne / samostatne spravované sa nesmú overovať prostredníctvom cloudových služieb.

Endpoint detection and response (EDR)

Nasaďte riešenie na detekciu a reakciu koncových bodov, napríklad Falcon Insight, aby ste poskytli viditeľnosť a prevenciu v rámci podnikových koncových bodov a cloudových pracovísk.

Správa Cloud security Posture (CSPM)

Monitorujte Azure pomocou riešenia Cloud Security Posture Management, ako je Falcon Horizon.

Implementovanie Risk Based Conditional Access

Dosiahnite jednotnú viditeľnosť a adaptívne presadzovanie pre lokálne aj v cloudové prostriedky a zabráňte hrozbám založených  na krádeže identity v reálnom čase pomocou riešenia, ako je Falcon Zero Trust. Patrí sem aj ochrana starších systémov, nespravovaných zariadení a všetkých typov účtov (privilegované, zamestnanecké, vzdialené a servisné).

Správa privilegovaných identít (PIM)

Implementujte riešenie Privileged Identity Management, ktoré sa bude využívať na obmedzenie vystavenia správcovských povolení. Falcon Zero Trust môže tiež pomôcť rozšíriť základnú funkčnosť PIM na systémy, ktoré vyžadujú podmienený prístup, keď PIM nie je uskutočniteľná pre všetky aplikácie, pracoviská a privilegovaných používateľov.

Vynútenie šifrovania a podpisovania pošty

Presaďte komplexného šifrovania a podpisovania e-mailov môže pomôcť zabrániť neoprávnenému prístupu a overiť autenticitu komunikácie.

Riešenie Security e-mail gateaway

Mať zabezpečené riešenie e-mailovej brány poskytne ochranu, viditeľnosť a ochranu údajov.

Mail DNS control

Implementácia záznamov SPF, DKIM a DMARC zabezpečí autenticitu e-mailu, zabráni falšovaniu a zabezpečí viditeľnosť.

Usporiadanie phishingovej kampane a školenia

Pravidelné phishingové cvičenia a školenia zamerané na zvyšovanie povedomia môžu zamestnancom pomôcť rozpoznať, vyhnúť sa a nahlásiť potenciálne hrozby, ktoré by mohli ohroziť životné prostredie.

 

 

crowdstrike logo

Zdroj informácií: blog CrowdStrike (ENG)

Vianoce prinášajú aj zvýšený počet kybernetický útokov

Data protection

Vianoce prinášajú aj zvýšené množstvo kybernetických útokov

Vianočné prázdninové obdobie sa k nám už rýchlo blíži – dokonca by sa dalo povedať, že už je tu! Aj keď sviatky prinášajú veľa radosti mnohým ľuďom, tak je tiež faktom, že sviatky ohrozujú podniky aj spotrebiteľov. Falošné ponuky a oznámenia zaplavujú firemné i osobné e-maily, mobilné zariadenia a sociálne stránky. A podvodníci vedia, že ľudia sú rozptýlení sviatočnou náladou a že svoj zlý úmysel šikovne zamaskujú ako legitímny vianočný obchod.

Kvôli súčasnej situácii budú používatelia tráviť viac času online ako v kamenných obchodoch. A aj mimo podnikovej siete, prostredníctvom e-mailu či smsiek môžu dostávať množstvo podvodných ponúk. Kybernetickí zločinci boli tento rok s vynaliezavosťou nových podvodných taktík neoblomní a určite využijú vianočné nákupy – lebo online nakupovanie je pre nich ideálnym cieľom.

Preto je možno dôležitejšie ako kedykoľvek predtým, aby zákazníci venovali zvýšenú pozornosť pri online nakupovaní a praktikovali osvedčené postupy v oblasti kybernetickej bezpečnosti. Pre nakupujúcich online je ale tiež užitočné vedieť, ako v praxi vyzerajú phishingové útoky, podvody na sociálnych sieťach či ďalšie kybernetické podvody.

Poďme sa pozrieť na niekoľko zahraničných ukážok typických podvodov v tomto období:

Podvodné oznámenia a akcie od veľkých obchodných značiek (ako Amazon, Ebay,..)

amazon phishing

Bohužiaľ pre väčších obchodníkov, ich veľkosť a dosah robia ich značky dokonalými pre potreby podvodníkov. Pretože spotrebitelia často dostávajú e-maily od spoločností, ako je Amazon, môžu sa mylne domnievať, že každý e-mail, ktorý vyzerá ako od Amazonu, je legitímny. Venujte zvýšenú pozornosť pri e-mailoch s výhodnými ponukami a overujte si odosielateľa takýchto správ.

Falošné oznámenia o dodávaní balíka

slovenska posta phishing
DHL pshishing

Falošné poštové e-maily sú pre útočníkov stále obľúbené a počas sviatkov sa stávajú čoraz častejšie. Opäť sa snažia pôsobiť reálne a snažia sa nahnať zákazníkovi nejaké obavy o jeho balíček, napokon nikto nechce, aby nastal problém s tovarom, ktorý si objednal, alebo s balíkmi, ktoré poslal. Dobre si teda všímajte kam smerujú URL odkazy e-mailu a z akej adresy e-mail prišiel.

Falošné reklamy a stránky na sociálnych sieťach

Kybernetickí zločinci majú úžitok z nemiestnej dôvery spotrebiteľov na sociálnych médiách. V prieskumoch, ktoré uskutočnil Proofpoint, sa zistilo, že mnohí používatelia sociálnych sietí sa mylne domnievajú, že predajné miesta, ako sú Facebook, Twitter a Instagram, schvaľujú obchodné stránky skôr, ako sú zverejnené – to je bohužiaľ omyl. Stránku aj reklamu s hocijakou podvodnou stránkou môže uverejniť ktokoľvek. Preto si dobre všímajte vznik stránky, fanúšikov, komentáre či recenzie, rovnako ako aj stránky na ktoré sa reklama odkazuje.

Podvodné SMS správy s ponukami

Kybernetickí zločinci naďalej aktívne využívajú výhody našej digitálnej reality prostredníctvom náporu útokov typu phishing (SMS), ktoré údajne pochádzajú od rôznych renomovaných spoločností. Dávajte si pozor na textové správy, ktoré neočakávate a ktoré obsahujú odkazy.

Pokusy o kradnutie účtov streamovacích služieb

netflix phishing

V tomto období sa množstvo ľudí uchýli k pohodlnému sviatočnému sledovaniu seriálov či filmov. To môže znieť pomerne bezpečne – avšak IT podvodníci sa radi pokúšajú kradnúť Vaše údaje k týmto streamovacím službám, najlepšie aj spoločne s platobnými údajmi. Ako môžete vidieť, ich falošné stránky sú veľmi rafinované a graficky takmer nerozoznateľné od originálu  – sú však zväčša posielané ako odkazy v e-mailoch, väčšinou tvrdiacich, že s Vaším kontom je nejaký problém a musíte sa znova prihlásiť – a práve to môže byť pre Vás varovným signálom. Prihlasujte sa vždy radšej len priamo cez oficiálne stránky streamovacích služieb.

Na záver už len doplníme – buďte obozretní! Najmä v tomto sviatočnom období kedy sa snažíme čo najviac zrelaxovať je riziko narazenia a nachytania sa na jeden z podobných kybernetických útokov veľmi vysoké. Preto vždy radšej dva krát skontrolujte, kto vám správu posiela, kam smeruje URL adresa, či je profil na sociálnych sieťach naozaj dôveryhodný a či správa ktorú ste dostali sa môže týkať reálneho balíčka či služby, ktoré očakávate.

Home-office pracovníci pod útokom ransomware

homeoffice ransomware problem

Home-office pracovníci pod útokom ransomvérových hrozieb

homeoffice ransomware problem

Súčasná situácia s koronavírusom spôsobila zásadnú zmenu v našich pracovných režimoch. V mnohých prípadoch už táto zmena môže ostať trvalou aj po skončení pandémie, nakoľko práca z domu sa ukázala vo viacerých odvetviach ako výhodná. Ale zároveň aj práca z domu má svoje vlastné riziká.
Jedným z nich je, že môžete naraziť na ransomvéry od počítačových zločincov, ktorý sa predtým zameriavali na podnikové siete. Prečo? Pretože ako vzdialený pracovník ste čoraz viac považovaní za ľahší cieľ – niečo ako otvorené dvere k vydieraniu zamestnávateľa.

Nové trendy v oblasti ransomvérov

Minulý rok spoločnosť Trend Micro zaznamenala viac ako 61 miliónov hrozieb súvisiacich s ransomvérom, čo je oproti roku 2018 nárast o 10%. Od tejto chvíle sa však všetko zhoršilo. V prvej polovici roku 2020 globálne zaznamenali 20% nárast počtu detekcií ransomvéru, a v samotnom USA sa zvýšil na 109%. A prečo je to tak?

Jednoducho povedané – ransomvér vyhľadáva a šifruje väčšinu súborov na cieľovom počítači, aby boli nepoužiteľné. Obete sú potom požiadané, aby v stanovenom čase zaplatili „výkupné“, aby dostali dešifrovací kľúč, ktorý potrebujú na odblokovanie svojich súborov a údajov. Ak to neurobia a nemali svoje údaje zálohované, tak by ich mohli kvôli takémuto ransomvér útoku navždy stratiť.
Trendom poslednej doby sa stalo zameranie sa na organizácie verejného aj súkromného sektora, ktorých zamestnanci pracujú z domu. Je pravdepodobné, že vzdialení pracovníci sú menej schopní brániť sa pred útokmi ransomvéru, zároveň však často pracujú s citlivými údajmi zo spoločnosti, v ktorej pracujú. Kybernetickí zločinci sa navyše čoraz viac usilujú ukradnúť citlivé údaje, ešte predtým ako ich zašifrujú.

Homeoffice pracovníci sú viac napádaní z mnohých dôvodov:

  • Môžu byť viac rozptýlení ako tí pracujúci z kancelárie
  • Zabezpečenie domácej siete a koncových bodov spravidla nie je na úrovni zabezpečenia spoločnosti
  • Domáce systémy (smerovače, inteligentné domáce zariadenia, počítače atď.) nemusia byť aktuálne, a preto sú ľahšie napadnuteľné
  • Vzdialení pracovníci s väčšou pravdepodobnosťou navštevujú nezabezpečené stránky, sťahujú rizikové aplikácie alebo zdieľajú svoje zariadenia / siete
  • Firemné IT tímy môžu byť zahltené inými úlohami a nemôžu poskytnúť rýchlu podporu vzdialenému pracovníkovi
  • Malé množstvo firiem investuje do vzdelávania v oblasti kybernetickej bezpečnosti, a preto sa zamestnanci pracujúci z domu nevedenia dostatočne chrániť a identifikovať hrozby

Ako zhruba môžu vyzerať útoky na home office pracovníkov?

Zločinci sa teraz snažia získať prístup do podnikovej siete, ku ktorej máte prístup z domova napríklad prostredníctvom siete VPN. Prípadne do Vašich cloudových systémov, ktoré používate na prácu, alebo cez zdieľanie súborov – aby najskôr ukradli a potom šifrovali firemné údaje pomocou ransomvéru v čo najširšej miere. Ale ich metódy útokov sú našťastie pomerne známe:

  • Skúsia Vás zacieliť pomocou phishingového e-mailu : klasická stratégia, ktorá vás núti kliknúť na podvodný odkaz, ktorý Vás dovedie na stránku vyžadujúcu Vaše údaje, stiahnutie nejakej (podvodnej) aplikácie alebo obsahujúcu malvér
  • Pokúsia sa ukradnúť alebo uhádnuť Vaše prihlasovacie údaje – do pracovného e-mailu alebo cloudových úložísk, a podobne. To sa môže stať teda tiež na základe phishingového e-mailu, alebo cez nástroje ktoré bežne používate (Teams, Skype, Microsoft Remote Desktop,…). Napríklad jeden nový ransomvér pre Mac s názvom EvilQuest má zabudovaný keylogger -ktorý si zapamätáva Vaše heslá bez toho aby ste to vedeli, a následne je možné tak ukradnúť a zašifrovať Vaše údaje
  • Zacielený malvér na Vašu VPN alebo na aplikácie vzdialeného prístupu (Teamviewer, etc.) ak sú dostatočne zraniteľné. Opäť sa k Vám môže dostať pomocou phishingu, alebo sťahovaním aplikácie cez torrenty
  • Zameranie sa na inteligentné domáce zariadenia/internetové routre – riziko najmä ak používate jednoduché alebo všeobecné heslá pre viacero zariadení, ktoré sa dajú uhádnuť alebo prelomiť. A Vašu domácu sieť použijú ako odrazový mostík pre vniknutie k dátam Vašej organizácie.

Ako môžem pri práci z domu zabrániť ransomvéru?

Dobrou správou je, že Vy, ako vzdialený pracovník, môžete vopred podniknúť pomerne jednoduché kroky, ktoré vám pomôžu zmierniť zvyšujúce sa riziko, ktoré pre Vás a Vašu spoločnosť predstavujú ransomvéry:

  • Pri phishingových e-mailoch buďte opatrní. Využite výhody firemných školení a kurzov zvyšovania povedomia
  • Udržujte firmvér domáceho routeru, počítačov, mobilných zariadení, softvéri, prehľadávače a operačné systémy vždy aktualizované na najnovšie verzie – vrátane nástrojov na vzdialený prístup a sietí VPN
  • Zaistite, aby bola vaša domáca sieť, počítače a mobilné zariadenia chránené pomocou kvalitného antivírusového programu od renomovaného dodávateľa. (Antivírusové riešenia by mali obsahovať funkcie proti vniknutiu, anti-spamu, phishingu a samozrejme anti-ransomwarové funkcie.)
  • Zaistite, aby boli nástroje vzdialeného prístupu a používateľské účty chránené pomocou viac-faktorovej autentifikácie (MFA), ak sa používajú, a zakážte vzdialený prístup k domácemu smerovaču.
  • Zakážte makrá spoločnosti Microsoft, kde je to možné. Sú typickým útočným vektorom.
  • Pravidelne zálohujte dôležité súbory

Zdroj: blog Trend Micro (ENG)

Prečo investovať do ochrany proti vnútorným hrozbám

insider threat management

Prečo investovať do ochrany proti vnútorným hrozbám

insider threat management

Tradičná kybernetická ochrana je navrhnutá tak, aby obraňovala vašu spoločnosť od vonkajších hrozieb a chránila teda organizácie predovšetkým zvonku. Aj keď to samo o sebe mohlo kedysi postačovať,  prudký nárast vnútorných hrozieb v posledných rokoch si vyžaduje  nový prístup k ochrane. Taký, ktorý chráni vašu organizáciu aj zvnútra.

Vnútorné hrozby sú rozšírenejšie ako kedykoľvek predtým, pričom hlásené incidenty sa len v minulom roku zvýšili takmer o 50%. Rovnako stúpajú aj priemerné náklady organizácií, ktorých sa to dotýka. Za posledné dva roky sa zvýšili až o 31% na 11,45 milióna dolárov.

Za týmito štatistikami sa ich skrýva ešte oveľa viac. Poukazujú nám na zničujúci dopad vnútorných hrozieb, či už z dôvodu nedbanlivosti, zlomyseľnosti alebo priameho kriminálneho úmyslu.

Pri príležitosti začiatku mesiaca povedomia o vnútorných hrozbách sme sa rozhodli zdieľať niektoré z najpútavejších.  Ak teda ešte nemáte zavedený žiaden ochranný program ako napríklad Insider Threat Management (ITM), tu prinášame desať dôvodov, prečo je ten správny čas do jedného investovať:

  1. 52% prípadov porušenia ochrany údajov sa týka dôverných informácií. Či už úmyselne alebo z nedbalosti, väčšina hrozieb, ktoré vedú k strate údajov, pochádza od osôb zvnútra vašej spoločnosti. (Zdroj: Verizon)
  2. Takmer dve tretiny vnútorných hrozieb sú spôsobené zamestnancami, dodávateľmi alebo nedbanlivosťou tretích strán. (Zdroj: Ponemon)
  3. Čím rýchlejšie dôjde k zadržaniu, tým nižšie sú náklady. Incidenty, ktoré trvajú dlhšie ako 90 dní, stoja v priemere 13,71 milióna dolárov, v porovnaní s 7,12 miliónmi dolárov za tie, ktoré sa vyriešia do 30 dní d vzniku. (Zdroj: Ponemon)
  4. Priemerný incident vnútorných hrozieb sa odhaľuje viac ako dva mesiace (77 dní). Iba 13% je odhalených do 30 dní. (Zdroj: Ponemon)
  5. 15% takýchto incidentov zahŕňa krádež kreditných kariet, čo organizácie stojí v priemere 2,79 milióna dolárov ročne. (Zdroj: Ponemon)
  6. Priemerné náklady na jeden incident sa v prípade krádeže poverenia strojnásobia, a to až na 871 686 dolárov. (Zdroj: Ponemon)
  7. Za väčšinu hlásených incidentov môže ľudské zlyhanie, vrátane stratených, odcudzených alebo napadnutých zariadení (33%), neopravených chybovostí/zraniteľností softvéru (32%), nezabezpečenej aktivity v sieti (31%) a straty poverení (29%). (Zdroj: The Economist Intelligence Unit)
  8. Zachytenie hrozby predstavuje jednu tretinu nákladov na incident vnútornej hrozby – nasleduje sanácia (23%) a reakcia na incident (18%). (Zdroj: Ponemon)
  9. Čím väčšia organizácia, tým vyššie náklady – na 7,92 milióna dolárov pre ľudí s 25 001 až 75 000 zamestnancami a 6,92 milióna dolárov pre spoločnosti s 500 až 1 000 zamestnancami. (Zdroj: Ponemon)
  10. Spoločnosti môžu nasadením riešení zameraných na aktivitu používateľov a ich prístupy znížiť náklady na interné hrozby až o 3,1- 3,4 milióna dolárov. (Zdroj: Ponemon)

Ochrana pred vnútornými hrozbami môže byť zložitá záležitosť. Útočníci si buď dávajú veľký pozor, aby zakryli svoje stopy, alebo si  ani neuvedomujú, že vôbec predstavujú hrozbu – takže je ťažké ich definovať a ešte ťažšie odhaliť.

Efektivita  ITM programu spočíva v tom, že sa zameriava na tri kľúčové oblasti: technológie, procesy a ľudia. Najskôr nasadí nástroje potrebné na sledovanie aktivity používateľa a na označenie akéhokoľvek neobvyklého správania. Ďalej navrhne jasné pokyny, ktoré upravujú prístup k sieti, prijateľné používanie, správu zariadení a iné. Na záver sa uistí, že vaši zamestnanci rozumejú nielen tomu, ako odhaliť vnútornú hrozbu, ale aj tomu, aký sú dôležitý na to, aby sa jej zabránilo.

Ostražitosť a schopnosť reagovať sú nevyhnutné pri znižovaní rizika vnútorných hrozieb  v novej pracovnej realite. Realite, kde zamestnanci, ale aj dodávatelia tretích strán, poskytovatelia služieb, konzultanti, partneri dodávateľského reťazca a aj zákazníci tvoria nový, členitý parameter, ktorý je čoraz ťažšie kontrolovať bez pomoci. Prostredie rôznych hrozieb pre spoločnosti sa rozšírilo a s ním aj potreba ochrany pred vnútornými hrozbami.

Teraz je čas vytvoriť si plán na zmenšenie vašej zraniteľnej plochy. Začnite teda riešením, ktoré vám poskytne prehľadné informácie o vašich zamestnancoch, ekosystémoch a systémových prostrediach, tak aby ste ich aj seba mohli chrániť pred vnútornými hrozbami – či už úmyselnými alebo nie. A na to vám môže poslúžiť práve Proofpoint’s Insider Threat Management solution.

Zdroj: Proofpoint

Zvýšte svoju kybernetickú bezpečnosť bez nárastu zdrojov

kybernetickú bezpečnosť

Zvýšte svoju kybernetickú bezpečnosť bez nárastu zdrojov

Aktuálne, zložité a komplexné hrozby v oblasti kybernetickej bezpečnosti

  • Zvýšené riziko cielených útokov: práca na diaľku zvyšuje pravdepodobnosť úspešných cielených útokov
  • Ľudská chyba a nedbanlivosť: dnešní internetoví zdatní zamestnanci majú notoricky známe laxné postoje ku kybernetickej bezpečnosti
  • Nebezpečné oneskorenia pri náprave: počítačoví zločinci využívajú skutočnosť, že podniky často krát nie sú schopné dostatočne rýchlo analyzovať, reagovať a napraviť detegovaný kybernetický incident.

Odpoveďou spoločnosti Kaspersky sú tieto špičkové produkty:

  1. Kaspersky EDR Optimum
  2. Kaspersky Sandbox
  3. Kaspersky Endpoint Security for Business

Implementáciou týchto nástrojov výrazne znížite riziko cieleného útoku. Poskytnite svojim odborníkom v oblasti IT otvorenú viditeľnosť, ktorú potrebujú na pochopenie a rozsah možných útokov v danom okamihu.
Vykonajte opatrenia skôr, ako dôjde k škodám. Automatizovaná pokročilá prevencia hrozieb a kontroly IoC významne znižujú zaťaženie vášho IT tímu.
Okamžité a jednoduché prijatie funkcií EDR v rámci oceneného predinštalovaného koncového agenta so zjednotenou a ľahkou správou.
Dodatočná vrstva zabezpečenia. Bojujte s rastúcim počtom a komplexnosťou moderných hrozieb, a to aj bez ďalších interných pracovníkov v oblasti IT bezpečnosti.
Automatická reakcia. Pokročilá detekcia a automatická odozva vo všetkých chránených koncových bodoch bez vplyvu na výkonnosť koncového bodu. Žiadne ďalšie náklady analytika zabezpečenia IT. Uvoľňuje nadpriemerne platených bezpečnostných analytikov, ktorí sa môžu zameriavať na riešenie iba tých najdôležitejších úloh.

Kľúčové vlastnosti:
  • Jediné integrované riešenie. Zjednotená riadiaca konzola. K dispozícii v cloude alebo on-premise.
    Jeden agent koncového bodu.
  • Škálovateľné, s bezplatnými aktualizáciami bez ďalších nákladov.
  • Automatizovaný sandbox. Umožňuje hĺbkovú dynamickú analýzu nových a zložitých hrozieb.
    Emulácia podozrivých objektov. Cache verdiktov objektov pre skrátenie reakčného času.
  • Automatická reakcia. Automatizovaná reakcia na všetkých chránených koncových bodoch.
    Bezproblémová integrácia s ochranou koncových bodov.
  • Pridáva viac ochrany bez dodatočných ľudských zdrojov. Plne automatizované – nepotrebujete analytikov v oblasti IT. Jednoduchá inštalácia a prevádzka. Jeden agent koncového bodu.
  • Bezpečnosť, ktorej môžete veriť. Najskúsenejšia a najoceňovanejšia kybernetická bezpečnosť na svete. Chráni akékoľvek IT prostredie – PC, Mac, Linux, iOS, Android, servery Windows (a akúkoľvek kombináciu). Anomaly, Device, Application a Web control. Host intrusion prevention.
  • Najkomplexnejšie riešenie. Obsahuje správu šifrovania a ochrany údajov, správu systému a vulnerability assessment. Ďalej časovo úsporné nasadzovanie OS a softvéru, vrátane Patch Management.

Viac informácií o Kaspersky EDR nájdete v tomto videu (EN) alebo priamo na stránkach výrobcu (EN)

Práca z domu

práca z domu

Problém: Keď vaši zamestnanci pracujú v kancelárii v miestnej sieti, vaše bezpečnostné riešenia zabezpečujú procesy výmeny údajov. Avšak práca z domu toto zmení a Vy neviete nič o bezpečnostných opatreniach a nemáte nad nimi kontrolu. V niektorých prípadoch sú domáce internetové pripojenia prístupné nielen pre vášho zamestnanca, ale aj pre potenciálneho útočníka. Stručne povedané, je lepšie nezdieľať firemné tajomstvá prostredníctvom takýchto komunikačných kanálov.

Riešenie: Ak sa vaši zamestnanci musia pripájať k podnikovým zdrojom na diaľku, nezabudnite im nastaviť spoľahlivé zabezpečenie siete VPN, tak aby ste vytvorili bezpečný kanál medzi ich pracovnou stanicou a vašou infraštruktúrou a chránili podnikové údaje pred vonkajším narušením alebo krádežou. Zároveň zakážte pripojenie k podnikovým zdrojom z externých sietí bez VPN.

Problém: pri práci na diaľku nemôže Váš pracovník iba prejsť ku kolegovi, aby prediskutovali pracovný problém, takže môžete očakávať nárast korešpondencie vrátane nových účastníkov (ľudí, s ktorými bola komunikácia čisto verbálna). Stručne povedané, keď nemáte všetkých pracovníkov v kancelárii, práca z domu zásadne zmení ich rutiny. Toto dáva útočníkovi viac priestoru na používanie podvrhnutých emailov. Uprostred nárastu firemnej korešpondencie bude jeden mail s Phishingom ťažko spoznateľný. Inými slovami, falošná správa požadujúca údaje nebude vyzerať tak neobvykle alebo podozrivo, ako by to za normálnych okolností bolo.

Riešenie: Po prvé, aj keď sú doma, všetci zamestnanci by mali používať iba pracovný e-mail. Toto môže uľahčiť odhalenie pokusu kybernetického zločinca vydávať sa za pracovníka, ak použije účet v inej doméne (inej adrese). Po druhé, uistite sa, že vaše poštové servery sú chránené technológiami, ktoré dokážu zistiť pokusy o zmenu odosielateľa správy. Naše riešenia pre poštové servery a Microsoft Office 365 takéto technológie poskytujú. Ak nemáte takéto zabezpečenie, neváhajte nás kontaktovať – urýchlene Vám vygenerujeme testovacie licencie na 30 dní.

Problém: po strate osobného kontaktu sa zamestnanci môžu uchýliť k iným metódam spolupráce, z ktorých niektoré nemusia byť najspoľahlivejšie a bezpečné. Napríklad dokument Google Docs s nesprávne nakonfigurovanými prístupovými oprávneniami môže byť indexovaný vyhľadávacím nástrojom a stať sa zdrojom úniku podnikových údajov. To isté sa môže stať aj údajom v cloudovom úložisku. Prostredie pre spoluprácu, ako je napríklad Slack, môže tiež spôsobiť únik a náhodne pridaný útočník by mohol získať prístup k celej histórii súborov a správ.

Riešenie: samozrejme, je vo vašom záujme zvoliť prostredie pre spoluprácu, ktoré je vhodné z hľadiska bezpečnosti a funkcií. V ideálnom prípade by registrácia mala vyžadovať firemnú e-mailovú adresu. Usporiadajte informačné stretnutie (vzdialené) a trvajte na tom, aby používali iba systém spolupráce nasadený vo vašej spoločnosti (alebo vami schválený). Pomôže tiež zopakovať, že sú zodpovední za ochranu podnikových tajomstiev. Ak používate MS Office 365 určite zabezpečte firemný OneDrive a SharePoint. V prípade, že nemáte bezpečnostné nástroje na ochranu týchto cloud-ových služieb, opäť nás kontaktujte a naši pracovníci Vám zriadia dočasné licencie.

Problém: spravidla nie všetci zamestnanci majú prístup k firemným notebookom. A mobilné telefóny nie sú vhodné na všetky úlohy. Preto môžu zamestnanci začať používať svoje domáce počítače. Pre spoločnosti bez politiky BYOD to môže predstavovať vážnu hrozbu.

Riešenie: Najprv, ak je to možné, poskytnite im firemné notebooky a telefóny. Malo by byť samozrejmé, že zariadenia musia byť chránené vhodnými bezpečnostnými riešeniami. Okrem toho by tieto riešenia mali poskytovať možnosť vzdialene vymazávať podnikové informácie, uchovávať osobné a podnikové údaje oddelené a obmedzovať inštaláciu aplikácií. Nastavte ich tak, aby automaticky kontrolovali aj najnovšie dôležité softvérové ​​a OS aktualizácie.

Ak z nejakého dôvodu musia zamestnanci používať osobné zariadenia, je čas zaviesť zásady BYOD na správu podnikových údajov na týchto zariadeniach – napríklad vytvorením samostatných adresárov pre obchodné a osobné údaje. Ďalej trvajte na tom, aby všetci zamestnanci nainštalovali antivírusový softvér, aj keď iba ako bezplatné riešenie. V ideálnom prípade by ste takýmto zariadeniam mali umožniť pripojenie k podnikovým sieťam iba po overení, či je nainštalované bezpečnostné riešenie a či je operačný systém aktuálny.

Nová verzia Kaspersky Web gateway

internet proxy gateway

Kaspersky Web Traffic Security Gateway uvádza nové možnosti implementácie. Okrem inštalácie k existujúcemu proxy serveru, ktorý je už súčasťou vašej infraštruktúry, môže byť nasadený aj ako hotový proxy server s integrovanou ochranou. Toto riešenie môže byť implementované ako virtuálna appliance alebo ako hardvérové ​​riešenie. Minimalizuje náklady na nasadenie a údržbu systému zabezpečenia webového prenosu.

Táto špičková web gateway spoločnosti Kaspersky je navrhnutá tak, aby ju bolo možné nainštalovať a nakonfigurovať bez akýchkoľvek vedomostí o systéme Linux. Postačujú všeobecné zručnosti v oblasti správy siete; Sprievodca konfiguráciou a pohodlné ponuky ovládacej konzoly pomáhajú s nastavením. Datasheet tu

Sophos 2020 Threat Report

Logo IT security spoločnosti Sophos

Popredná svetová firma zameraná na kybernetickú bezpečnosť prináša výhľad na rok 2020. Podrobne sa pozrite na vývoj a výzvy, ktorým svet čelí v kybernetickej bezpečnosti do roku 2020, pomocou 30-stranového dokumentu o nebezpečenstvách z dielne výskumného tímu SophosLabs.

Online hrozby sa neustále vyvíjajú – musíme sa vyvíjať rýchlejšie, aby sme ich zastavili. Hackeri sa prispôsobujú najlepším postupom a najnovším obranám proti nim a menia taktiku tak, aby obchádzali najnovšie riešenia. Odborníci v oblasti bezpečnosti musia súčasne nájsť spôsoby, ako poraziť tieto najnovšie variácie pri útokoch, ako aj zostať o krok pred ďalším vektorom útoku.

V tomto reporte nájdete:

  • Ako ransomware zvyšuje podiel na útokoch
  • Trendy v mobilnom škodlivom softvéri
  • Bežné chyby v zabezpečení cloudu
  • Nástup automatizácie pri útokoch
  • Vývoj vo využívaní strojového učenia na obranu

Dokument na stiahnutie je tu

Forrester Wave™ Cloud Workload Security

public cloud security companies

Spoločnosť Forrester porovnala najvýznamnejších “hráčov” v oblasti zabezpečenia virtualizovanej infraštruktúry a Public Cloud. Kvalitu riešenia Kaspersky ohodnotila označením “Strong performer”. Špičkový produkt Kaspersky Hybrid Cloud Security dosiahol maximum bodov v 13 skúmaných kritériach, vrátane najvyššieho skóre v oblasti “hypervisor protection and scalability of hypervisor protection”.  Zo štyroch najvyššie umiestnených výrobcov zastupujeme troch a radi poskytnem ďalšie informácie o produktoch 😊 

Report spoločnosti Forrester napríklad tu