eWAY s.r.o.

eWAY s.r.o. logo
Linkedin Facebook

Kybernetická bezpečnosť

Ako efektívne zabrániť interným hrozbám

od autora:
interne hrozby blog

Interné hrozby: ako sa efektívne brániť?

Problémom interných hrozieb  sme vás previedli už dávnejšie, dnes  Vám prinášame záverečnú časť tejto problematiky – riadene rizika vnútorných hrozieb. V poslednom blogu  sme sa zaoberali tým, či je Vaša spoločnosť na tieto hrozby pripravená – teraz sa pozrieme na to, čo by pre účinnú obranu proti tomuto problému mala robiť.

Interné hrozby sú čoraz väčším problémom zameraným na ľudí – Vašich zamestnancov. V minulom roku tieto hrozby stáli organizácie 11,45 milióna dolárov – čo je nárast o 31% za iba dva roky. Zistenie incidentov vnútorných hrozieb  môže byť náročné, pretože môžu zahŕňať zamestnancov, dodávateľov alebo partnerov. Nehovoriac o tom, že tri štvrtiny týchto incidentov sa stali náhodou.

Každý dobrý program na ochranu proti vnútorným hrozbám by  mal obsahovať kombináciu správnych politík,  postupov a procesov. Tu sú štyri základné súčasti, ktoré spadajú do týchto dvoch kategórií:

1. Vyšetrovanie a zmierňovanie hrozieb

Dôležitým aspektom každého programu na riadenie vnútorných hrozieb je schopnosť proaktívne zmierňovať vnútorné riziká. Organizácie najčastejšie reagujú na incidenty, ku ktorým už došlo, bez toho aby mali nejaký prehľad o možných rizikách predtým. Preto môže byť ťažké zistiť hlavnú príčinu incidentu – vyšetrovanie incidentov vnútorných hrozieb môže niekedy trvať týždne, mesiace alebo dokonca dlhšie.

Čím dlhšie vyšetrovanie trvá, tým je incident nákladnejší. Keďže interné hrozby zahŕňajú všetok personál, okrem IT tímov sú v týchto vyšetrovaniach zapojení všetci kľúčoví aktéri okrem iných aj personalisti, právni a riadiaci pracovníci.

Aktívne zníženie rizika vnútorných hrozieb znamená prehľad o používateľskej aj dátovej aktivite. Mnoho starších bezpečnostných nástrojov sa zameriava iba na dátovú časť problému. V skutočnosti sú to ľudia, čo presúvajú údaje. Jasné dôkazy o tom, kto čo kedy, kde a prečo mohol urobiť, môžu výrazne pomôcť pri vyšetrovaní. Ak je incident výsledkom chyby používateľa, tieto dôkazy môžu rovnako očistiť nevinných ľudí, ktorí sa len snažili vykonávať svoju prácu a žiadny únik informácií neplánovali.

2. Správa a politika

Dôkladný program začína jasne definovanou firemnou politikou. Je nevyhnutné zabezpečiť, aby tejto politike mohol ľahko porozumieť ktokoľvek v organizácii – vrátane externých dodávateľov alebo partnerov, ktorí pracujú s citlivými údajmi. Pravidelné školenie o zvyšovaní povedomia o bezpečnosti môže pomôcť posilniť túto politiku u používateľov (o tom si však ešte povieme neskôr).

Ďalšou vrstvou riadenia je interný plán, ktorý určuje reťazec velenia pri vyšetrovaní incidentov. Tieto zásady a postupy by mali zjednocovať aspekty bezpečnosti pri porušení/úniku dôverných informácií zo strany interných osôb s personálnymi povinnosťami organizácie. Mali by tiež všade, kde je to možné, brať do úvahy súkromie používateľov.

3. Preverenia zamestnancov

Preverenia potenciálnych zamestnancov minulosti boli štandardným operačným postupom pre mnoho organizácií v procese prijímania nových kolegov. Komplexná kontrola predchádzajúcich pracovných skúseností so zamestnancom môže odhaliť mnoho potenciálnych predchodcov vnútornej hrozby. Takéto kontroly môžu tiež pomôcť tímom ľudských zdrojov lepšie sa rozhodnúť o prijatí do zamestnania v súlade s právnymi protokolmi. Rozsah takýchto previerok je však obmedzený, a nie je jednoduché sa dostať k správnym informáciám.

V skutočnosti môžu byť ešte účinnejšie pravidelné kontroly na základe správania a sentimentu zamestnancov. Potenciálnymi indikátormi vnútorných hrozieb môžu byť napríklad finančný stres, nespokojnosť s prácou a podobné problémy s pracoviskom.

4. Školenia pre zvyšovanie povedomia

Vaši ľudia sú prvou líniou obrany proti vnútorným rizikám. Aj keď sa určité typy základného povedomia o bezpečnosť vzťahujú na všetkých zasvätených (zamestnancov, partnerov a dodávateľov), mali by ste sa usilovať aj o prispôsobenie svojho školenia. Napríklad privilegovaní používatelia IT by mali dostať inú úroveň školenia ako priemerný zamestnanec na základe samotnej úrovne prístupu.

Cieľom školenia by malo byť, aby sa Vaši používatelia dostali ďalej, než len do povedomia o bezpečnostných politikách a problémoch, ale aby ste ich skutočne vzdelávali. Používatelia by mali dostať pokyny, prečo a ako hodnotiť riziká a bezpečnostné dôsledky rôznych situácií. Bezpečnostný tím by mal tiež overiť, či pracovníci vedia, ako pri každodennom výkone používať osvedčené postupy v oblasti zabezpečenia.

Zdroj: Proofpoint blog (ENG)

50 štatistík o phishingu – časť II.

od autora:
blog štatistiky

50 štatistík o phishingu, ktoré by Vás v roku 2021 mali zaujímať - časť II.

Dnes Vám prinášame pokračovanie zaujímavých štatistík a faktov o phishingu, zozbieraných spoločnosťou Expert Insights, ktoré Vám môžu pomôcť udržať si aktuálny prehľad. V tejto časti sa bližšie pozrieme na to, akú sú pre spoločnosti najčastejšie dôsledky týchto útokov a aj ako sa proti nim brániť.

Dopady phishingového útoku

Phishingové útoky môžu byť pre organizácie, ktoré sa stanú ich obeťou, zničujúce, a to viacerými spôsobmi. Začnime skúmaním finančných dôsledkov pádu na návnadu.

Finančné náklady pri porušení ochrany údajov

Podľa IBM sú priemerné náklady na incident porušenia ochrany údajov 3,86 milióna dolárov. To je o niečo menej v porovnaní s predchádzajúcim rokom, nemalo by Vás to však viesť k domnienke, že narušenie ochrany údajov je finančne nenáročné. Realita je úplne opačná: štúdia IBM ukazuje rastúcu tendenciu, pokiaľ ide o náklady na narušenie v organizáciách s pokročilejšími bezpečnostnými procesmi a aj tých, ktoré majú zavedených menej procesov.

Ďalej spoločnosť IBM zistila, že osobné identifikačné údaje zákazníkov (PII) sú najčastejšie kompromitovaným typom údajov a sú aj najnákladnejšie. 80% organizácií, ktoré podľahli útoku, nahlásilo stratu PII zákazníkov v roku 2020 .

IC3 zistil, že phishingové podvody patria medzi najnákladnejšie kybernetické útoky, pričom americké podniky utrpeli straty vo výške viac ako 54 miliónov dolárov.

Toto sú dosť veľké čísla na predstavu – a tak to znížme na úroveň jednotlivých firiem: podľa APWG stál v Q2 2020 priemerný pokus o BEC útok s pokusom o prevod viac ako 80 000 dolárov – čo je obrovský nárast oproti 54 000 dolárov, nahlásených v 1. štvrťroku.

Záver? Phishingové útoky sú drahé a tieto náklady sa iba zvyšujú.

Dôsledky porušenia

Proofpoint vysvetľuje dôsledky úspešného phishingového útoku rozdelením do nasledujúcich kategórií:

  • Prestoje používateľov
  • Čas nápravy
  • Poškodenie dobrého mena
  • Strata duševného vlastníctva
  • Priame peňažné straty
  • Pokuty za dodržiavanie predpisov
  • Náklady na reakciu a nápravu
  • Strata výnosov a zákazníkov
  • Právne poplatky

Finančné straty však nie sú jediným dopadom, ktorý môže mať phishingový útok na Vašu organizáciu. Štúdia spoločnosti Proofpoint sa pýtala vedúcich pracovníkov na dôsledky úspešných phishingových útokov a iba 18% z nich uviedlo ako najhorší dopad finančnú stratu.
Ostatné hlavné  dôsledky boli tieto:

  • Stratené údaje (60%)
  • Napadnuté účty alebo poverenia (52%)
  • Ransomvérové ​​infekcie (47%)
  • Malvérové ​​infekcie (29%)

Takže 60% vedúcich pracovníkov považovalo stratu údajov za najväčší dôsledok pokusu o phishing, ale čo strata údajov konkrétne znamená? Podľa spoločnosti Verizon ide o najbežnejšie typy údajov, ktoré sú napádané, kradnuté a následne zneužívané:

  • Poverovacie údaje – napríklad používateľské mená a heslá.
  • Osobné údaje – ako sú adresy a telefónne čísla.
  • Interné údaje – napríklad údaje o predaji.
  • Lekárske údaje – ako napríklad informácie o poistných udalostiach.
  • Bankové údaje – napríklad informácie o kreditnej karte.

Dopady phishingového útoku

V minulom roku došlo k masívnym zmenám spôsobu našej práce – od migrácie z kancelárií a rýchlej digitálnej transformácie až po zvýšenie využívania technológií AI. Mnoho z týchto zmien bolo urýchlených pandémiou COVID-19 a je zrejmé, že koronavírus a následný globálny prechod na prácu na diaľku mali obrovský vplyv na útoky, ktorým čelíme.

Podľa organizácie Barracuda Networks medzi februárom a marcom 2020, keď sa organizácie počas prvej vlny pandémie usilovali umožniť svojim zamestnancom prácu z domu, počet phishingových e-mailov stúpol o ohromujúcich 667%.

Tento vrchol odzrkadľuje výskum spoločnosti Abnormal Security, ktorý hlási obrovský nárast útokov s tematikou COVID-19 od prvého štvrťroka, pričom týždenný objem kampaní sa medzi prvým a druhým štvrťrokom ďalej zvyšoval o 389%. Avšak v Q3 došlo k poklesu počtu kampaní spojených s COVID-19, podvodníci namiesto toho uprednostňovali útoky založené na podvodoch s faktúrami a platbami. Počas celého Q3 sa počet útokov BEC na faktúry a platby zvýšil o 81%.

IBM tiež hlási 11% nárast počtu útokov BEC v Q2, pretože hackeri využili v prospech scenáre vzdialenej práce. Okrem zvýšenia objemu útokov na pracovníkov aj práca na diaľku samotná zvýšila celkové priemerné náklady na porušenie ochrany údajov o takmer 137 000 dolárov, čo ich zvýšilo až na 4 milióny dolárov.

A tu štatistiky stále nekončia! V USA IC3 uvádza, že v roku 2020 prijali viac ako 28 500 sťažností týkajúcich sa témy COVID-19. Tieto sťažnosti hlásia útoky zamerané na zákony o pomoci, úľave a hospodárskej bezpečnosti počas pandémie (zákon CARES), ktorý sa počas pandémie usiloval o podporu malých podnikateľov. Tieto útoky sa konkrétne zameriavali na poistenie v nezamestnanosti, pôžičky na ochranu proti výplatám (PPP) a pôžičky na problémy súvisiace s ekonomickým zranením pre malé podniky.

Bohužiaľ, obrovské množstvo týchto útokov bolo úspešných. Viac ako štvrtina podnikateľov utrpela narušenie bezpečnosti spôsobené kybernetickým útokom, pretože sa viac obchodov uskutočňovalo online. Výsledkom je, že 76% vlastníkov firiem tvrdí, že sa od začiatku pandémie cítia viac vystavení podvodom, a 66% tvrdí, že majú obavy z toho, že budú terčom podvodníkov v priebehu roku 2021.

Správa spoločnosti Microsoft New Future work ukazuje podobné výsledky a uvádza, že 80% bezpečnostných profesionálov zaznamenalo od prechodu na prácu na diaľku nárast bezpečnostných hrozieb. Z týchto 80% až 62% uvádza, že phishingové kampane sa zvýšili viac ako akýkoľvek iný typ hrozby.

Tieto obavy a skúsenosti nie sú neopodstatnené ani neopodstatnené: Zscaler zistil, že len medzi januárom a marcom sa počet blokovaných podozrivých správ zameraných na vzdialených pracovníkov zvýšil o 30 000% – áno, to je tridsaťtisíc – a že počet COVID-19 zameraných phishingových útokov vzrástlo o 667%.

Ako môžete chrániť svoje podnikanie pred phishingovými útokmi?

Bohužiaľ neexistuje jednokroková nepriestrelná ochrana pred phishingom. Odporúčame k ochrane pred phishingom zaujať viacvrstvový prístup implementáciou rady technických riešení a aj riešení zameraných na zamestnancov. Vaša hlavná ochrana by mala pozostávať z:

Secure e-mail gateaway

Zabezpečené e-mailové brány (SEG) monitorujú prichádzajúce a odchádzajúce e-maily Vašich zamestnancov a skenujú ich, či neobsahujú škodlivý obsah. Ak SEG zistí akékoľvek spamové, phishingové alebo malvérové ​​hrozby, umiestni e-mail do karantény alebo blokuje tak, aby sa nikdy nedostal k určenému príjemcovi.

Aj keď sú však SEG veľmi účinné pri blokovaní spamu a tradičných pokusov o phishing, sofistikované útoky typu phishing sa im môžu vyhnúť tak, že sa vydávajú za známych, dôveryhodných odosielateľov. Na ochranu vašich údajov pred vnútornými hrozbami musíte implementovať riešenie, ktoré chráni každého používateľa na individuálnej úrovni.

Školenie o povedomí o kybernetickej bezpečnosti

Aj keď sú Vaši zamestnanci srdcom Vašej organizácie, sú zároveň Vašou najväčšou zraniteľnosťou. Školiace platformy na zvyšovanie povedomia o bezpečnosti a školiace a simulačné platformy na zvyšovanie povedomia o phishingu poskytujú programy pútavých materiálov v kombinácii so simulovanými phishingovými kampaňami, vďaka ktorým sa Vaši zamestnanci dostanú z potenciálnych cieľov útokov do silnej obrannej línie proti útokom.

Silný vzdelávací program môže mať obrovský vplyv na spôsob, akým vaši zamestnanci reagujú na pokusy o phishing. Nedávna správa spoločnosti Cofense  zistila, že zamestnanci, ktorí absolvovali školiaci program zameraný na zvyšovanie povedomia o bezpečnosti, oveľa pravdepodobnejšie nahlásia podozrivý e-mail ako tí, ktorí tak neurobili, čo výrazne skracuje dobu zdržania phishingového e-mailu – tj. čas na detekciu a nápravu útoku.

Štúdia spoločnosti Cofense, ktorá analyzovala milióny výsledkov z ich vlastných simulovaných phishingových kampaní, zistila, že 82% vyškolených zamestnancov nahlásilo simulovaný phishing do hodiny od jeho prijatia, 52% ho nahlásilo do 5 minút a 19% do 30 sekúnd.

Úspešnosť školení zameraných na zvyšovanie povedomia ďalej podporuje výskum spoločnosti KnowBe4, ktorý zistil, že po absolvovaní jedného roku školenia o zvýšení povedomia o phishingu bola priemerná miera zlepšenia vo všetkých odvetviach a veľkostiach organizácií 87%.

Zdroj článku (ENG): expertinsights.com

Kubesploit – nový efektívny nástroj na testovanie kontajnerových prostredí

od autora:
blog kyberneticka bezpecnost

Kubesploit - nový efektívny nástroj na testovanie kontajnerových prostredí

Dnes by sme Vám radi predstavili nový open-source nástroj Kubesploit na testovanie prostredí Kubernetes. Ide o full framework  určený pre Kubernetes, ktorý má pomáhať pentesterom a členom Red Team-u pri vykonávaní komplexných a hĺbkových testov, ktoré napodobňujú scenáre útokov v reálnom svete, ktoré ohrozujú mnoho organizácií na celom svete.

Pretože čoraz viac organizácií používa vo svojej architektúre mikroslužby a kontajnery  , Kubernetes je stále populárnejší. Podľa prieskumu Cloud Native Computing Foundation (CNCF) viac ako 84% organizácií prevádzkuje kontajnery vo sovojom produkčnom prostredí a viac ako 78% sa spolieha na Kubernetes pri orchestrácií kontajnerov. Popularita tejto technológie vyžaduje, aby útočníci zdokonalili svoje schopnosti Kubernetes.

Aby sa dali chrániť klastre Kubernetes pred útokmi, museli vývojári čeliť výzvam cieľovej technológie a organizáciám, ktoré bývajú napadané. Väčšina nástrojov, ktoré sú dnes k dispozícii, je zameraná na pasívne skenovanie zraniteľností v klastri a chýba komplexnejšie pokrytie vektormi útokov. Tieto nástroje Vám môžu umožniť vidieť problém, ale ďalej ho hlbšie neskúmajú.
Je dôležité spustiť exploit na simuláciu útoku v reálnom čase, aby ste vedeli určili odolnosť proti takémuto útoku v celej Vašej sieti. Pri využívaní testovacie útoku si precvičíte manažovanie kybernetických udalostí organizácie, čo sa nestane len pri skenovaní problémov. A práve to môže pomôcť organizácii naučiť sa, ako pracovať, keď dôjde k skutočným útokom, zistiť, či jej ďalšie detekčné systémy fungujú podľa očakávaní, a pochopiť, aké zmeny by sa mali vo svojom systéme vykonať. Preto bol vytváraný nástroj, ktorý by spĺňal tieto požiadavky.

Boli ale aj ďalšie dôvody na vytvorenie takéhoto nástroja. Tím CyberArk Labs už má dva nástroje typu open-source (KubiScan a kubeletctl) súvisiace s Kubernetes, a chceli vytvoriť ešte ďalšie nástroje pre tieto prostredia. Namiesto vytvorenia projektu pre každý z nich ale usúdili, že by bolo lepšie vytvoriť jediný centralizovaný nástroj, ktorý vznikol pre spoločnosť Kubesploit.

Kubesploit je framework vytvorený v Golangu a postavený na projekte Merlin (od Russel Van Tuyl), multiplatformového post-exploitačného servera a agenta HTTP / 2 Command & Control. Merlin má tiež spôsob, ako dynamicky pridávať nové moduly, čo nám umožňuje vytvárať príslušné moduly pre Kubernetes.

Čo je nové

Spoločnosť CyberArc chcela, aby sa dali dynamicky načítať nové moduly, ktoré bežia v agentovi, a stále udržať agenta nenáročným a flexibilným. Preto do Kubesploit pridali „Go Interpeter“  s názvom „Yaegi“. Vďaka tejto schopnosti je možné zapísať nové moduly Golang za chodu a spúšťať ich, kým je agent stále v prevádzke. Podpora kódu Golang môže umožniť písanie zložitých kódov a integrovať výhody už zapísané v Go. To tiež uľahčuje open-source komunite prispievať novými modulmi a skutočnosť, že Kubernetes bol tiež napísaný v Golangu, môže umožniť ľahšiu integráciu súvisiacich častí kódu.

Vyvinuli aj nové moduly súvisiace s vektormi útoku v kontajnerizovanom prostredí, ako je napríklad únik z kontajneru na hostiteľa, útok kubelet, skenovanie známych chýb zabezpečenia v klastri a skenovanie služieb a portov. V budúcnosti plánujú pridať ďalšie moduly a podporiť príspevky pre nové moduly týkajúce sa Kubernetes a kontajnerizovaného prostredia všeobecne.

Kubesploit prostredie

CVE scan module output

Udržiavanie bezpečnosti

Hlavným cieľom je prispieť k zvýšeniu povedomia o bezpečnosti kontajnerizovaného prostredia a zlepšeniu opatrení implementovaných v rôznych sieťach. Cieľom je dosiahnuť toto všetko prostredníctvom frameworku, ktorý poskytuje príslušné nástroje pre tímy penetračného testovania a Red Team-y počas ich aktivít v týchto prostrediach.
Ako to urobiť  spočíva v zaujatí veľmi jasného a zodpovedného pohľadu na používanie týchto nástrojov v bezpečnostnej komunite. Preto bolo pre CyberArc dôležité udržiavať ho v maximálnej možnej miere bezpečný. Preto (tu máme 2.x preto) zverejnili nástroj s 3-krokovou ochranou, ktorý má pomôcť zaistiť legitímne použitie Kubesploit.

Prvým krokom z nej sú techniky zmierňovania a tipy pripojené ku každému modulu na ochranu pred vektormi útoku, ktorý je demonštrovaný.
Druhým krokom sú pravidlá YARA na zachytávanie binárnych súborov, ktoré súvisia s Kubesploit. To by malo pomôcť nájsť akékoľvek použitie binárnych súborov Kubesploit pri skutočnom útoku, a nie ako súčasť legitímneho penetračného testovania.
Tretím krokom je integrácia IoC do kódu, ktorý zaznamenáva aktivitu. Agent zapisuje svoju činnosť do stroja, z ktorého beží. Akékoľvek pokyny odoslané serverom zaznamenáva agent a ukladajú sa lokálne, čo by malo pomôcť pri ďalšom vyšetrovaní.

Rýchly štart

Dúfame, že ste z tohto nástroja rovnako nadšení ako my! A neexistuje lepší spôsob, ako sa naučiť niečo nové, ako si to trochu vyskúšať.

CyberArk vytvorili sme vyhradené prostredie Kubernetes v Katacode, kde môžete experimentovať s Kubesploit. Je to úplná simulácia s kompletnou sadou automatizovaných pokynov na používanie Kubesploit.
Odporúčame vám, aby ste to vyskúšali!

Viac informácií nájdete na stránke Kubesploit GitHub.

Zdroj: CyberArk Blog (ENG)

9 tipov ako identifikovať phishingové e-maily

od autora:
phishing útok

9 tipov ako identifikovať phishingové e-maily

phishing

Útoky a kompromitovanie firemných e-mailov (BEC) stoja spoločnosti v súčasnosti aj milióny eur. A počet phishingových e-mailov na spotrebiteľov je na historickom maxime.
Pre organizácie by  prvou líniou obrany pred podvodmi s e-mailmi  mala byť vždy pokročilá bezpečnostná technológia. Zabezpečená e-mailová brána a ochrana proti autentifikácii e-mailov, ako napríklad DMARC (hlásenie a konfirmácia overenia na základe domény), sú najlepším spôsobom ochrany vašich zamestnancov a zákazníkov.

Bohužiaľ, bez ohľadu na to, aká sofistikovaná je e-mailová stratégia Vašej spoločnosti, niektoré phishingové e-maily sa dostanú do doručenej pošty. A tieto e-maily bývajú mimoriadne účinné. Verizon zistil, že až 30 % cieľových príjemcov otvorí phishingové správy a 12 % klikne na škodlivé e-mailové prílohy.
Kritickým prvkom Vašej stratégie zabezpečenia e-mailov teda okrem bezpečnostných technológií  musí byť aj vzdelávanie zamestnancov.

Tu je deväť najdôležitejších tipov na identifikáciu phishingového e-mailu:

Tip 1: Neverte zobrazovanému odosielateľovi

Obľúbenou taktikou phishingu medzi počítačovými zločincami je falšovanie zobrazovaného mena odosielateľa e-mailu. Funguje to takto: Ak by sa podvodník chcel vydávať za hypotetickú značku „My bank“, e-mail môže vyzerať napríklad takto:

phishing email priklad

Pretože My Bank nevlastní doménu „secure.com“, nebude ochrana e-mailovej autentifikácie tento e-mail v mene My bank blokovať.
Po doručení sa e-mail javí ako legitímny, pretože väčšina priečinkov doručenej pošty používateľov a hlavne na mobilných telefónoch bude uvádzať iba zobrazované meno (My Bank). Vždy skontrolujte celú e-mailovú adresu v hlavičke odosielateľa – ak vyzerá doména za “@” podozrivo, e-mail je veľmi pravdepodobne phishingový.

Tip 2: Pozerajte sa, ale neklikajte

Kybernetickí zločinci radi vkladajú škodlivé odkazy do legitímne znejúcich e-mailov. Umiestnite kurzor myši na odkazy, ktoré nájdete v tele svojho e-mailu. Na ľavom rohu obrazovky sa Vám zobrazí skutočná url adresa, kam Vás odkaz presmeruje – čo nemusí korešpondovať s názvom falošného linku. Ak adresa odkazu znie zvláštne, neklikajte na ňu. Ak máte voči odkazu nejaké výhrady, pošlite e-mail priamo Vášmu tímu IT zabezpečenia.

Tip 3: Skontrolujte pravopisné chyby

Značky to s e-mail marketingom väčšinou myslia dosť vážne. Legitímne správy zvyčajne nemajú väčšie pravopisné chyby alebo zlú gramatiku. Pozorne si prečítajte svoje e-maily a nahláste alebo vymažte všetko, čo sa Vám zdá podozrivé, od preklepov, cez zlú gramatiku či nesprávne skloňovanie, až po používanie náhodných cudzích slov.

Tip 4: Analyzujte pozdrav a oslovenie

Je e-mail adresovaný priamo Vám, alebo nejasnému „váženému zákazníkovi“? Ak je to tak, dávajte pozor – skutočné firmy väčšinou použijú osobný pozdrav s Vašim menom a priezviskom miesto všeobecnej formulky.

Tip 5: Nezdieľajte osobné ani firemné dôverné informácie

Väčšina spoločností nikdy nebude vyžadovať osobné údaje prostredníctvom e-mailu – najmä banky či pošta. Zastavte sa a zamyslite sa skôr, ako prezradíte akékoľvek dôverné informácie e-mailom. Ak od Vás e-mail takéto informácie požaduje, je veľmi pravdepodobné, že pôjde o podvod.

Tip 6: Dajte si pozor na urgujúci alebo výhražný jazyk v predmete predmetu

Vyvolávanie pocitu naliehavosti alebo strachu je bežnou phishingovou taktikou. Dávajte pozor e-maily, ktoré tvrdia, že váš „účet bol pozastavený“ alebo vás žiada, aby ste vykonali „urgentnú žiadosť o platbu“.

Tip 7: Skontrolujte podpis

Nedostatok podrobností o osobe, ktorá podpisuje e-mail alebo o tom, ako kontaktovať spoločnosť z ktorej Vás kontaktuje, výrazne naznačuje phishing. Legitímne podniky vždy poskytnú svoje kontaktné údaje. Skontrolujte ich.

Tip 8: Neklikajte na prílohy

Bežná taktika phishingu je zahrnutie škodlivých príloh, ktoré obsahujú vírusy alebo malvér. Malvér môže poškodiť súbory vo vašom počítači, ukradnúť Vaše heslá alebo Vás online špehovať bez vášho vedomia. Neotvárajte žiadne prílohy e-mailov, ktoré ste neočakávali, alebo sú súčasťou e-mailov s podozrivými prvkami spomenutými vyššie.

Tip 9: Neverte všetkému, čo vidíte

Phisheri sú v tom, čo robia, mimoriadne dobrí. Mnoho škodlivých e-mailov obsahuje presvedčivé logá značiek, jazyk a zdanlivo platnú e-mailovú adresu. Pri svojich e-mailových správach buďte skeptickí – ak sa vám zdajú byť nepovedomé a o danej spoločnosti ste ešte napríklad ani nepočuli, nevyplnili ste súhlas o kontaktovaní či odoberaní newslettera, prípadne Vám príde komunikácia známej značky niečím zvláštna, neotvárajte ich.

Zdroj: Prooofpoint blog (ENG)

Ukončenie podpory ESET produktov ochrany e-mailu

od autora:
email ochrana blog

Ukončenie podpory ESET ochrany e-mailu/gateway pre Linux servery

Prevádzkujete svoj poštový server na Linuxe a boli ste do tohto momentu používateľmi e-mail/gateaway ochrany od spoločnosti ESET? Z dôvodu ukončenia podpory týchto produktov budete zrejme musieť siahnuť po inej kvalitnej alternatíve – a my Vám ju radi pomôžeme vybrať!

Spoločnosť ESET v marci oznámila, že ku koncu roka 2021 prestane predávať a poskytovať podporu produktov ESET Mail Security pre Linux/ BSD a ESET Gateway Security pre Linux/ BSD a momentálne žiaľ neponúka žiadnu inú vhodnú alternatívu.

E-mailové účty sú najlákavejším a najčastejším cieľom kybernetických útokov. Ochrana Vášho e-mailu je dôležitá, nakoľko e-mailová komunikácia môže byť zneužitá na niekoľko účelov, od bezohľadného marketingu založeného na nevyžiadanej pošte až po finančný podvod alebo distribúciu škodlivého softvéru. Vďaka implementovaniu ochrany Vášho poštového serveru môžete chrániť svojich ľudí, dáta a dobré meno vašej firmy pred dnešnými kybernetickými hrozbami, ako napríklad: phishing, malware, spam či hromadné maily.

Našťastie existujú overení výrobcovia podobných riešení pre ochranu e-mailových serverov podporujúcich aj poštové servery Linux, ktorých kvalitné produkty máme u nás v ponuke:

Proofpoint Email Protection

Proofpoint ochrana e-mailu

Robustná antispamová a viacvrstvová antivírusová ochrana od spoločnosti Proofpoint Vám pomôže zabezpečiť a kontrolovať prichádzajúce a odchádzajúce e-maily prostredníctvom ľahko použiteľného cloudového riešenia. Spoločnosť Gartner (už 7 rokov) a spoločnosť Frost & Sullivan (už 5 rokov) v rade uznávajú spoločnosť Proofpoint ako lídra na globálnom trhu s bezpečnosťou e-mailov.

Kaspersky Security for Mail Server

ochrana emailu

Kvalitné riešenie od spoločnosti Kaspersky, ktoré zabezpečuje filtrovanie nevyžiadanej prichádzajúcej pošty a blokovania škodlivých e-mailov všetkých typov. Server Kaspersky Security for Mail Server obsahuje neustále obohacovaný balík technológií podporovaných umelou inteligenciou a vynikajúcu úroveň ochrany, ktorá sa neustále potvrdzuje v nezávislých výsledkoch testov a oceneniach.

Útoky na OneDrive a SharePoint

od autora:
Data protection

Útoky na OneDrive a SharePoint - ako vyzerajú a ako sa proti nim brániť?

Kybernetickí útočníci pozorne sledujú podnikovú migráciu do cloudového prostredia, či už z dôvodu pokroku alebo pandémie. Snažia sa preto kompromitovať a preberať používateľské účty, aby sa mohli voľne pohybovať v rámci organizácie, odcudziť jej údaje alebo komunikovať v jej mene s obchodnými partnermi či zákazníkmi a žiadať ich o rôzne podvodné bankové prevody.

Na hosťovanie a distribúciu škodlivého obsahu používajú práve cloudovú a e-mailovú infraštruktúru. Útočníci využívajú kontakty používateľov a po úspešnom útoku si môžu prechádzať ich e-maily, aby porozumeli vzťahom dôvery a mapovali si tak organizácie.

Len v prvej polovici roku 2020 Proofpoint identifikoval až 5,9 milióna e-mailových správ so škodlivými odkazmi na SharePoint Online a OneDrive. Aj keď tieto správy tvorili asi iba 1% z celkovej vzorky phishingových správ, predstavovali viac ako 13% kliknutí používateľov. Vyvodiť sa z toho dajú tieto tvrdenia:

  • 4-krát vyššia pravdepodobnosť, že užívatelia kliknú na škodlivé odkazy na SharePoint
  • 11-krát vyššia pravdepodobnosť, že užívatelia kliknú na škodlivé odkazy na OneDrive

Škodlivé odkazy na SharePoint / OneDrive a životný cyklus prevzatia účtu

Útoky môžu byť teraz častejšie a efektívnejšie ako kedykoľvek predtým, keďže využívajú spôsob, akým moderní zamestnanci pracujú, napríklad zdieľanie súborov. Výskum spoločnosti Proofpoint v skutočnosti ukazuje, že u používateľov je sedemkrát vyššia pravdepodobnosť, že kliknú na škodlivé odkazy na SharePoint Online alebo OneDrive, ktoré sú hostované na legitímnych doménach spoločnosti Microsoft.

Phishing na SharePoint sa zvyčajne začína kompromitáciou cloudového účtu. Keď už má útočník kontrolu nad účtom, nahrá škodlivý súbor a potom zmení povolenia na zdieľanie súboru na „Verejné“, aby bolo možné zdieľať nový anonymný odkaz s kýmkoľvek. Útočník pošle odkaz e-mailom alebo ho zdieľa s kontaktmi používateľa, ktorého účet kompromitoval alebo aj s inými zacielenými účtami, vrátane externých. Keď príjemcovia otvoria súbor a kliknú na vložený škodlivý odkaz, dôjde k phishingu, ktorý znova spustí celý cyklus. Tieto útoky môžu viesť k krádeži údajov alebo aj väčším podvodom.

Príklad PDF

V príklade nižšie dostal používateľ e-mail so zdieľaným odkazom na súbor PDF (INV_1100110.pdf), ktorý vyzerá ako faktúra. Keď používateľ klikne na odkaz v súbore pdf, bude presmerovaný na phishingový web, ktorý je falošnou prihlasovacou stránkou služby OneDrive.

Sharepoint phishing

Niekedy môže byť odkazom v zdieľanom dokumente jedinečná URL, a preto môže byť ťažké zistiť jej podvodnosť, pretože by sa nenašla v žiadnom archíve reputácie URL adries.

Príklad OneNote

Tu je príklad útoku, ktorý používa SharePoint na hosťovanie škodlivého súboru OneNote vydávajúceho sa za hlasovú poštu:

OneNote Voice príklad

Škodlivé súbory OneNote môžu byť tiež náročné na detekciu, pretože sa nedajú stiahnuť a izolovať na karanténe. Detekcia si vyžaduje ďalší krok – web-scraping pred tým ako môžu byť vložené odkazy analyzované.

Príklad formulára Microsoft 365 sady

OneDrive Document príklad
Onde drive portal phishing

V tomto príklade je zdieľaný dokument Word s odkazom na verejne zdieľaný súbor Microsoft Forms (falošná prihlasovacia stránka), ktorý sa používa na získavanie poverení služieb Office 365. Vzhľadom na to, že tento útok využíva legitímne služby spoločnosti Microsoft, predstavuje väčšiu výzvu pre detekciu a ešte ťažšie ho blokovať/zmierniť, ak vám chýba celkový prehľad Vášho e-mailového aj cloudového prostredia.

Napádané platformy

SharePoint Online a OneDrive samozrejme nie sú jedinými doménami služieb spolupráce, ktoré sú zneužívané útočníkmi. Nasledujúci graf zobrazuje zoznam 10. najnapádanejších domén, kliknutím na škodlivé odkazy hostovaných na týchto doménach, v prvej polovici roka. Zaujímavou je služba Sway, keďže je to nová aplikácia spoločnosti Microsoft na vytváranie a zdieľanie interaktívneho obsahu, ako sú správy a newsletters. Druhým je úložisko Googleapis, čo je služba hostovania súborov (napríklad softvérových opráv), ktorú útočníci používajú na podvody technickej podpory.

phishing sharepoints blog

Ochrana pred hybridnými e-mailovými a cloudovými hrozbami

Na obranu proti hybridným útokom, ako je phishing na SharePoint a OneDrive, musia organizácie získať prehľad naprieč e-mailovými a cloudovými hrozbami a holisticky riešiť takéto reťazce útokov. Musia pochopiť riziko napadnutia svojich zamestnancov a hrozby ktoré pre vašu organizáciu predstavujú. Základné otázky, ktoré by si mala každá spoločnosť klásť sú asi tieto:

  • Na koho sa hrozby zameriavajú najviac?
  • Aké techniky sa používajú na útok na používateľov?
  • Kto klikol na škodlivé odkazy?
  • Ktorí používatelia sú náchylní na klikanie?
  • Ktoré účty sú napadnuté?
  • Ktoré napadnuté účty vykazujú podozrivú aktivitu so súbormi?

Proofpoint Targeted Attack Protection a CASB prinášajú vhodný prístup zameraný na ohrozených ľudí k zabezpečeniu e-mailov a cloudov a bránia cloudové účty proti takýmto útokom pomocou pokročilých analýz, ako sú:

  • Prediktívne sandboxovanie e-mailových správ s odkazmi od služieb pre spoluprácu, ako sú SharePoint, OneDrive, Disk Google, Dropbox atď.
  • Adresy URL sú prepísané tak, aby chránili používateľov v akomkoľvek zariadení alebo sieti a tiež poskytovali karanténu v reálnom čase pri každom kliknutí
  • Odhalenie a náprava napadnutého účtu
  • Adaptívne kontroly prístupu, ktoré zabraňujú neoprávnenému prihláseniu alebo vynútia viacfaktorové overenie
  • Zistenie a zmiernenie aktivity po prevzatí súboru a aktivita poštovej schránky

Pomôcť Vám môže taktiež výcvik zvyšovania povedomia o kybernetickej bezpečnosti od Proofpointu, ktorý Vám navyše poskytuje cielené vzdelávanie, ktoré zaisťuje správne budúce reakcie  používateľov v prípade sofistikovaných útokov, ako sú phishing typu SharePoint a OneDrive.

Zdroj: Proofpoint blog (ENG)

Interné hrozby – ako je na ne Vaša spoločnosť pripravená?

od autora:
interne hrozby blog

Interné hrozby - ako je na ne Vaša spoločnosť pripravená?

V poslednom blogovom článku o interných hrozbách sme si osvetlili, čo to vlastne tie interné/vnútorné hrozby sú. Interná hrozba nastane, keď niekto s autorizovaným prístupom k dôležitým informáciám alebo systémom zneužije tento prístup – buď úmyselne, alebo náhodne. A nemusí to  prísť iba priamo od zamestnancov – touto hrozbou sa môžu stať bývalí zamestnanci, zmluvní pracovníci, partneri v dodávateľskom reťazci alebo poskytovatelia služieb. Zahŕňajú sa sem sabotáže, podvody, krádeže údajov alebo neúmyselné a náhodné škody. A ako ste sa už minule mohli dozvedieť, až 62 % incidentov interných hrozieb je neúmyselná.

Dnes sa zameriame na štyri dôležité otázky, ktoré je potrebné položiť pri hodnotení rizika interných hrozieb:

1. Máte vo Vašom riadiacom pláne zahrnutú aj možnosť vnútorných hrozieb?

Na začiatku tvorby riadiaceho plánu musí byť vytvorený solídny program, práve pre riziká vnútorných hrozieb, ktorý zahŕňa ľudí, procesy a technológie. Program musí obsahovať metódy detekcie a špecifické reakcie pre rôzne možné interné incidenty. Do úvahy sa ale musí brať súkromie a dodržiavanie predpisov.
Ak Vám to veľkosť spoločnosti a podmienky dovoľujú, začnite vytvorením pracovnej skupiny pre interné hrozby. Táto pracovná skupina by mala pravidelne kontrolovať metriky rizika interných osôb – technické aj procesné. Mala by mať za úlohu identifikovať a merať nové oblasti možného rizika. A na záver by mala vytvoriť ročné hodnotenie, týkajúce sa interného prostredia ale aj s externými audítormi.

2. Ste vo firme nastavený na sledovanie nielen údajov, ale aj ľudí?

Čím dlhšie ostáva incident spôsobený vnútornou hrozbou nevyriešený, tým viac to bude stáť. Podľa The Ponemon Institute incidenty, ktorých riešenie trvá 77 dní alebo dlhšie stoja spoločnosti milióny. Na zdokonalenie programu pre sledovanie vnútorných hrozieb by mala vaša organizácia okrem pohybu údajov monitorovať aj aktivitu používateľov.
Tím, ktorý sa vnútornými hrozbami zaoberá, by mal dostávať upozornenia v reálnom čase na zmeny údajov ale aj na aktivitu používateľov – vrátane zamestnancov, dodávateľov a partnerov. Kontrolovať by sa mal prístup k systémom, podozrivé online správanie a ďalšie možné hrozby. Reagovať je možné len na hrozby, o ktorých organizácia vie, takže detekcia je veľmi dôležitým aspektom každého plánu na správu interných hrozieb.

3. Je váš tím pripravený reagovať na incidenty interných hrozieb?

Vyspelé organizácie už dnes chápu, že rýchla reakcia na incident je kriticky dôležitá. Keďže incidenty interných hrozieb sa týkajú ľudí,  musíte zahrnúť všetkých z Vašej organizácie.
Preto majú sofistikované plány  reakcie na vnútorné hrozby zavedený formálny plán reakcie na incidenty. To by malo zahŕňať minimálne školenie personálu v oblasti bezpečnosti a IT, sledovanie činnosti používateľov, spoluprácu medzi tímami a komunikáciu o potenciálnych bezpečnostných incidentoch v celej organizácii.

 4. Chránite súkromie používateľov a údajov?

Dodržiavate osvedčené postupy na zaistenie súkromia používateľov a údajov pri ochrane záujmov organizácie? Presné regulačné požiadavky sa budú pre jednotlivé podniky líšiť. Každý program na kontrolu vnútorných hrozieb by však mal obsahovať plán na dodržiavanie a udržanie súladu s ochranou súkromia.

V závislosti od požiadaviek sa bude líšiť aj vyšetrovanie takýchto incidentov. Najskôr je dôležité pochopiť, či je takáto činnosť zámerne škodlivá alebo náhodná. To sa dá zistiť aj zatiaľ čo používateľom zostane zachovaná anonymita. Ak potom dôjde k eskalácii incidentu, môžete podniknúť rýchle kroky založené na dôkazoch.

Kľúčový poznatok:

Pochopenie rizika interných hrozieb znamená vedieť, ako sú nastavené súčasné procesy na zisťovanie, vyšetrovanie a reakciu na takéto hrozby a ako sa predchádza strate údajov. Pretože sa množstvo incidentov interných hrozieb stane kvôli chybe/nepozornosti používateľa, je pre niektoré organizácie ťažké vyhodnotiť ich celkové riziko. Len čo však získate lepší prehľad o probléme, je jednoduchšie vedieť, ako naštartovať svoj plán na správu vnútorných hrozieb. Tomu sa budeme venovať v ďalšom blogu v tejto sérii.

Zdroj: Proofpoint blog (ENG)

Crowdstrike Reporting Tool for Azure

od autora:
CrowdStrike Azure blog

Bezplatný nástroj CrowdStrike Reporting Tool for Azure pre kontrolu vášho Azure AD prostredia

CrowdStrike uvádza na trh CrowdStrike Reporting Tool for Azure (CRT), bezplatný komunitný nástroj, ktorý pomôže organizáciám rýchlo a ľahko skontrolovať nesprávne nastavené prístupové oprávnenia v ich prostrediach Azure AD, pomôže určiť slabé miesta v konfigurácii a poskytne rady na zníženie rizika. CrowdStrike pozoroval výzvy, ktorým organizácie čelia pri audite povolení Azure AD a zistil, že ide  o časovo náročný a zložitý proces – preto sa rozhodol vytvoriť nástroj, ktorý pomôže užívateľom Azure AD.  

Obchodný partner CrowdStrike bol ako jedna z mnohých spoločností  v nedávnom čase napadnutý rozľahlým kybernetickým útokom SUNBURST, no vďaka ich úrovni zabezpečenia po kontrole zistil, že nič z ich produkčného a interného prostredia nebolo zasiahnuté a nezaznamenal teda žiaden dopad na svoje produkty. 

CrowdStrike ale kvôli tomu samozrejme ihneď vykonal dôkladnú kontrolu nielen prostredia Azure, ale celej infraštruktúry ktorá obsahuje indikátory zdieľané so spoločnosťou Microsoft.
Crowdstrike počas celej analýzy  na vlastnej koži zažil ťažkosti, ktorým zákazníci čelia pri správe administratívnych nástrojov Azure. Zistil aké vzťahy a oprávnenia existujú v rámci  Azure užívateľov, a to  najmä s partnermi / predajcami tretích strán.  Zistil, že je obzvlášť náročné korigovať ich, že mnohé kroky potrebné na prešetrenie nie sú zdokumentované. Kľúčové informácie by mali byť ľahko dostupné, ale nie sú.

Pri podpore organizácií ovplyvnených incidentom SUNBURST vytvoril tím CrowdStrike Services komunitný nástroj s názvom CrowdStrike Reporting Tool for Azure (CRT) na rýchle a ľahké zistenie vyšších prístupových opatrení a ďalších dôležitých informácií o vašom prostredí Azure AD.
Patria sem delegované povolenia a povolenia aplikácií, Federation configurations, Federation trusts, pravidlá preposielania pošty, zodpovedné osoby, objekty s KeyCredentials a ďalšie.  Tento nástroj Crowdstrike sprístupnil komunite v ich úložisku CrowdStrike github.

Odporúčajú však všetkým správcom Azure AD skontrolovať ich konfiguráciu Azure AD, aby mohli zistiť, či náhodou neboli ovplyvnení spomínaným útokom, a podniknúť kroky na zabránenie prienikom. Dúfajú, že tento nástroj pomôže organizáciám z celého sveta.

Dôrazne tiež odporúčajú, aby všetky organizácie využívali CRT na kontrolu svojich Azure tenants a pochopili, či potrebujú podniknúť akékoľvek kroky v oblasti konfigurácie alebo povolení, najmä pokiaľ ide o tretie strany, ktoré môžu byť prítomné vo vašom prostredí Azure. Okrem toho je dôležité zabezpečiť, aby ste skontrolovali prístup svojho partnera / predajcu a aby ste pre Vašich partnerov navrhli overovanie viacfaktorovou autentifikáciou (MFA).   

Predstavenie CrowdStrike Reporting Tool pre Azure

Nevyhnutné predpoklady

CRT používa PowerShell a automaticky inštaluje moduly Exchange Online PowerShell V2, MSOnline a AzureAD. Aj keď odporúčame, aby bol tento nástroj spustený s účtom s oprávneniami Global Reader, niektoré „read-only“ funkcie si napriek tomu vyžadujú autentifikáciu ako používateľ s globálnym správcom alebo podobne vysokými oprávneniami. Ak  pre Vás oprávnenie globálneho správcu nie je k dispozícii, nástroj vás upozorní na informácie, ktoré pre vás nebudú k dispozícii.

CrowdStrike for Azure

Ukážka prostredia CRT zbierajúceho povolenia aplikácií

Ukážka prostredia CRT s CSV a JSON format

Prístup k novému bezplatnému nástroju získate tu: CrowdStrike Reporting Tool for Azure (CRT).

 Ďalšie odporúčania

Na základe reakcie na tento incident, vykonanej tímom CrowdStrike Services chceme zdôrazniť niekoľko ďalších odporúčaní na zmiernenie Vášho ohrozenia:

Logovanie

CrowdStrike odporúča centralizovať ukladanie protokolov na bezpečné miesto, aby sa zabránilo neoprávnenej manipulácii, neoprávnenému prístupu a súdnej ochrane. Musia byť povolené určité zdroje protokolov a je potrebné pridať diagnostické nastavenia, aby boli k dispozícii dostatočné podrobnosti. Ak tieto ďalšie nastavenia nie sú nakonfigurované, príslušné udalosti sa nezachytia.

Minimálne by sa nasledujúce protokoly mali zaznamenávať v systéme SIEM  alebo v prostredí úložiska protokolov oddelene od Azure:

  • Unified Audit Log
  • Azure Activity Logs
  • Azure Services Logs
  • Azure NSG Flow Logs
  • Azure AD Logs:
    • Azure AD Audit Logs
    • Azure AD Sign-In Logs
    • Azure AD Managed Identity Sign-In Logs (Preview)
    • Azure AD Non-Interactive User Sign-In Logs (Preview)
    • Azure AD Service Principal Sign-In Logs (Preview)
    • Azure AD Provisioning Logs
    • Azure AD Risky Sign-In events

Kontrola konfigurácie a hardening

CrowdStrike odporúča skontrolovať konfigurácie a podľa potreby uplatniť nasledujúce hardening opatrenia:

  • Skontrolujte vzťahy dôvery s partnermi vrátane IT konzultantov, predajcov a predajcov a obmedzte oprávnenia. Informácie o role partnera sú k dispozícii pre účty globálnych správcov na tomto odkaze. Zdá sa, že tieto informácie nie sú k dispozícii prostredníctvom zdokumentovaných rozhraní API.
  • Skontrolujte existujúce federations. Identifikujte neautorizované alebo neuznané federations a zrušte ich.
  • Uložte SAML kľúč podpisového certifikátu do hardvérového bezpečnostného modulu (HSM), aby nebolo možné ukradnúť podpisový kľúč. Prípadne pravidelne striedajte podpisové certifikáty SAML.
  • Skontrolujte poskytovateľov identity povolených v službe Azure AD (poskytovatelia identity SAML prostredníctvom priamej federation alebo sociálnych prihlásení) a identifikujte a odstráňte tých, ktorí nie sú legitímni.
  • Skontrolujte prístup externých identít Azure B2B na portál Azure a identifikujte a odstráňte tie, ktoré už nie sú potrebné alebo ktoré nie sú legitímne.
  • Zaistite, aby sa do cloudu synchronizovali iba požadované miestne organizačné jednotky AD (OU) a objekty. Pri vytváraní obojsmernej dôveryhodnosti a synchronizácii privilegovaných identít, účtov služieb alebo organizačných jednotiek medzi miestnymi a cloudovými servermi buďte mimoriadne opatrní.
  • Implementujte zásady Azure na obmedzenie konkrétnych akcií v tenantovi.
  • Obmedzte použitie regiónu
  • Vynúťte označovanie citlivých zdrojov
  • Skontrolujte princípy prístupu na portál správcu Azure pomocou princípov najvyššieho oprávnenia.
  • Skontrolujte služby, ktoré môžu mať prístup k miestnym prostrediam, ako aj k Azure, a pokiaľ je to možné, obmedzte oprávnenia a prístup.

Aplikácie Azure ADOAuth

  • Skontrolujte existujúce aplikácie s nedávno pridanými povereniami.
  • Skontrolujte aplikácie a povolenia, ktoré neregistruje spoločnosť Microsoft, a zrušte povolenia a poverenia pre všetky nerozpoznané aplikácie.
  • Skontrolujte a odstráňte nepoužívané aplikácie.
  • Politiku povolení aplikácií obmedzte iba na schválených správcov.

Kontrola oprávnení

  • Zaistite, aby sa na správu cloudu používali iba vyhradené účty správcu cloudov.
  • Kontrolujte si zásady pridelených privilégií a odstráňte nepotrebné privilégiá.
  • Skontrolujte používateľov, ktorým bolo udelené členstvo v administrátorských rolách alebo skupinách:
  • Používatelia so zvýšenými oprávneniami prostredníctvom nasledujúcich rol by mali byť podrobení osobitnej kontrole:
  • Správca autentifikácie
  • Správca fakturácie
  • Správca podmieneného prístupu
  • Správca a administrátor E-Discovery
  • Správca výmeny
  • Globálny správca
  • Správca technickej podpory
  • Správca hesla
  • Správca bezpečnosti
  • Správca SharePointu
  • Správca prístupu používateľov
  • Správca používateľov
  • Skontrolujte privilégiá a vynúťte požiadavky na viacfaktorové overovanie pre hostí.
  • Zaistite, aby mali prístup k rozhraniu Azure CLI tenantov iba príslušní používatelia.

Overenie

  • Vynútiťte viacfaktorovú autentizáciu (MFA) pre všetkých používateľov.
  • Skontrolujte nové neznáme registrácie MFA a obmedzte účty služieb z registrácie MFA.
  • Nastavte politiku prístupu pre viacfaktorové overenie na „Nepovoliť používateľom vytvárať heslá aplikácií na prihlásenie do aplikácií, ktoré nie sú prehliadačmi“, aby ste zabránili obchádzaniu MFA.
  • Skontrolujte a presadzujte zásady podmieneného prístupu:
    • Využite geografické obmedzenie.
    • Vynútiť moderné overovanie a blokovanie pôvodného overovania.
    • Blokujte „rizikové prihlásenia“.
  • Monitorujte požiadavky na autentifikáciu od neznámych poskytovateľov identity.
  • Monitorujte, či sa prihlasovacie údaje pridávajú k principálom služby.
  • Zaistite, aby boli povolené žiadosti o samoobslužné obnovenie hesla (SSPR), ktoré upozorňujú používateľov na zmenu ich hesiel.

Exchange

  • Skontrolujte pravidlá preposielania e-mailov a odstráňte neoprávnené pravidlá vrátane:
  • Pravidlá toku pošty v rámci celého tenantu
  • Jednotlivé poštové schránky
  • Skontrolujte delegácie e-mailov a odstráňte nepotrebné delegácie.
  • Zaistite, aby bolo používanie servera Exchange PowerShell povolené iba pre správcov servera Exchange.

Systémy Harden on-Premise a Self-Managed

Je dôležité zdôrazniť potrebu bezpečnostne posilniť miestne systémy, ako aj systémy hostované v cloude a dátovom centre, za ktoré je organizácia v konečnom dôsledku zodpovedná. Privilegovaní používatelia, roly a organizačné jednotky by sa mali synchronizovať medzi cloudovými a miestnymi alebo samostatne spravovanými adresármi s mimoriadnou opatrnosťou. Roly správcov v cloude sa musia spoliehať na autentifikáciu iba v cloude a neoverovať sa pomocou SAML SSO, rovnako ako roly správcov pre lokálne / samostatne spravované sa nesmú overovať prostredníctvom cloudových služieb.

Endpoint detection and response (EDR)

Nasaďte riešenie na detekciu a reakciu koncových bodov, napríklad Falcon Insight, aby ste poskytli viditeľnosť a prevenciu v rámci podnikových koncových bodov a cloudových pracovísk.

Správa Cloud security Posture (CSPM)

Monitorujte Azure pomocou riešenia Cloud Security Posture Management, ako je Falcon Horizon.

Implementovanie Risk Based Conditional Access

Dosiahnite jednotnú viditeľnosť a adaptívne presadzovanie pre lokálne aj v cloudové prostriedky a zabráňte hrozbám založených  na krádeže identity v reálnom čase pomocou riešenia, ako je Falcon Zero Trust. Patrí sem aj ochrana starších systémov, nespravovaných zariadení a všetkých typov účtov (privilegované, zamestnanecké, vzdialené a servisné).

Správa privilegovaných identít (PIM)

Implementujte riešenie Privileged Identity Management, ktoré sa bude využívať na obmedzenie vystavenia správcovských povolení. Falcon Zero Trust môže tiež pomôcť rozšíriť základnú funkčnosť PIM na systémy, ktoré vyžadujú podmienený prístup, keď PIM nie je uskutočniteľná pre všetky aplikácie, pracoviská a privilegovaných používateľov.

Vynútenie šifrovania a podpisovania pošty

Presaďte komplexného šifrovania a podpisovania e-mailov môže pomôcť zabrániť neoprávnenému prístupu a overiť autenticitu komunikácie.

Riešenie Security e-mail gateaway

Mať zabezpečené riešenie e-mailovej brány poskytne ochranu, viditeľnosť a ochranu údajov.

Mail DNS control

Implementácia záznamov SPF, DKIM a DMARC zabezpečí autenticitu e-mailu, zabráni falšovaniu a zabezpečí viditeľnosť.

Usporiadanie phishingovej kampane a školenia

Pravidelné phishingové cvičenia a školenia zamerané na zvyšovanie povedomia môžu zamestnancom pomôcť rozpoznať, vyhnúť sa a nahlásiť potenciálne hrozby, ktoré by mohli ohroziť životné prostredie.

 

 

crowdstrike logo

Zdroj informácií: blog CrowdStrike (ENG)

Povedomie o kybernetickej bezpečnosti – interné hrozby

od autora:
interne hrozby ransomware

Povedomie o kybernetickej bezpečnosti – interné hrozby

interne hrozby ransomware

Vnútorné hrozby sú často nepochopenou kategóriou kybernetickej bezpečnosti. Aby ste vo svojej spoločnosti mohli začať s implementovaním povedomia o kybernetickej bezpečnosti, je dôležité, aby každý vo Vašom tíme mal základné znalosti aj o interných hrozbách.

V tomto článku sa zameriame na to, ako môžete sprostredkovať informácie o interných hrozbách svojim zamestnancom – to znamená definovať ich a tiež vysvetliť dôvod, prečo sú práve teraz také relevantné.

Čo alebo kto je vlastne internou/vnútornou hrozbou?

Internou osobou môže byť každý, kto je blízky organizácii. To znamená zamestnanec, dodávateľ alebo aj partner. A interné hrozby vyplývajú zo zneužitia autorizovaného prístupu internej osoby k dôležitým informáciám alebo systémom.

Väčšina ľudí verí, že interné hrozby vždy od začiatku zamýšľané. Titulky správ sa najčastejšie zameriavajú na senzačné príbehy, ako sú vo firme nejakí tajní špióni. V skutočnosti spôsobí až 62 % interných osôb  incidenty náhodne a neúmyselne. Napríklad môžu omylom zdieľať dokument s nesprávnou e-mailovou adresou prostredníctvom cloudovej služby. Alebo môžu kliknúť na phishingový odkaz. Niektorí interní pracovníci (22 %) sú kompromitovaní, čo znamená, že sú obeťami krádeže súkromných údajov – ako napr. hesiel. Iba 14 % z incidentov interných hrozieb je spôsobených zámerne.

Kľúčový poznatok: Tieto štatistické údaje sa budú v jednotlivých organizáciách líšiť v závislosti od fluktuácie Vašich zamestnancov, pracovného tlaku, závislosti na tretích stranách a umiestnenia pracovných síl. To je ešte väčší dôvod na to, aby ste všetku svoju pracovnú silu – Vašich zamestnancov – poučili o rizikách ktorým môže organizácia čeliť prostredníctvom školenia o zvýšení povedomia o bezpečnosti. Mnohým interným hrozbám sa dá predísť. Dobrý vzdelávací program o interných hrozbách zosúlaďuje nie len povedomie o bezpečnosti ale aj iné obranné mechanizmy (ako je ochrana, detekcia, reakcia a obnova).

Prečo je teraz dôležité hovoriť o vnútorných hrozbách?

Pandémia mala za následok veľké zmeny pre väčšinu organizácií. Niektoré z týchto zmien zvýšili riziko vnútorných hrozieb. Napríklad veľa tímov je distribuovaných po rôznych domácich pracoviskách v iných mestách a pracuje na diaľku. Nie je isté, ako a kedy sa ľudia vrátia k tradičnému kancelárskemu prostrediu. Nehovoriac o tom, že organizácie sa teraz pri uskutočňovaní práce spoliehajú na menej zdrojov.

To znamená, že sa možno teraz využívajú viac napríklad externí dodávatelia a predajcovia. A takéto externé skupiny nemusia dôkladne porozumieť Vašim bezpečnostným politikám. Nemusia tiež vedieť, čo sa nachádza na Vašom zozname schválených technológií. Mnohí dodržiavajú svoje vlastné bezpečnostné politiky, ktoré sa môžu líšiť od toho, čo požaduje Vaša organizácia. Vami využívané tretie strany by mali teda tiež porozumieť bezpečnostnému povedomiu rovnako ako Vaši vlastní zamestnanci, aby boli skutočne dôveryhodné.

Vďaka práci na diaľku sa zamestnanci viac spoliehajú na technológie pre vzdialenú spoluprácu a správu a často používajú aj súkromné počítače. A možno nevedia, ktoré z týchto nových nástrojov či programov zapadajú do politík kybernetickej bezpečnosti. Zvyšuje sa tak šanca na stratu údajov, najmä v dôsledku interných chýb.

Kľúčový poznatok: Vysvetlite svojim zamestnancom dôvody prečo je pochopenie vnútorných hrozieb dôležité viac ako kedykoľvek predtým. Urobte to zaujímavým spôsobom, tak aby to utkvelo v pamäti -rozprávanie príbehu alebo použitie príkladu bude vo Vašom publiku často rezonovať viac ako len teória. Príkladov z praxe je mnoho – skúste napríklad načrtnúť príklad ako bola nejaká partnerská organizácia v správach kvôli bezpečnostnému incidentu spôsobeného internou
hrozbou – môžete o incidente diskutovať, riešiť aké opatrenia či mechanizmy by sa dali použiť a ako k takému problému pristupovať – tak pomôžete svojim zamestnancom pochopiť riziká kybernetickej bezpečnosti.

Zdroj: Proofpoint blog (ENG)

Vianoce prinášajú aj zvýšený počet kybernetický útokov

od autora:
Data protection

Vianoce prinášajú aj zvýšené množstvo kybernetických útokov

Vianočné prázdninové obdobie sa k nám už rýchlo blíži – dokonca by sa dalo povedať, že už je tu! Aj keď sviatky prinášajú veľa radosti mnohým ľuďom, tak je tiež faktom, že sviatky ohrozujú podniky aj spotrebiteľov. Falošné ponuky a oznámenia zaplavujú firemné i osobné e-maily, mobilné zariadenia a sociálne stránky. A podvodníci vedia, že ľudia sú rozptýlení sviatočnou náladou a že svoj zlý úmysel šikovne zamaskujú ako legitímny vianočný obchod.

Kvôli súčasnej situácii budú používatelia tráviť viac času online ako v kamenných obchodoch. A aj mimo podnikovej siete, prostredníctvom e-mailu či smsiek môžu dostávať množstvo podvodných ponúk. Kybernetickí zločinci boli tento rok s vynaliezavosťou nových podvodných taktík neoblomní a určite využijú vianočné nákupy – lebo online nakupovanie je pre nich ideálnym cieľom.

Preto je možno dôležitejšie ako kedykoľvek predtým, aby zákazníci venovali zvýšenú pozornosť pri online nakupovaní a praktikovali osvedčené postupy v oblasti kybernetickej bezpečnosti. Pre nakupujúcich online je ale tiež užitočné vedieť, ako v praxi vyzerajú phishingové útoky, podvody na sociálnych sieťach či ďalšie kybernetické podvody.

Poďme sa pozrieť na niekoľko zahraničných ukážok typických podvodov v tomto období:

Podvodné oznámenia a akcie od veľkých obchodných značiek (ako Amazon, Ebay,..)

amazon phishing

Bohužiaľ pre väčších obchodníkov, ich veľkosť a dosah robia ich značky dokonalými pre potreby podvodníkov. Pretože spotrebitelia často dostávajú e-maily od spoločností, ako je Amazon, môžu sa mylne domnievať, že každý e-mail, ktorý vyzerá ako od Amazonu, je legitímny. Venujte zvýšenú pozornosť pri e-mailoch s výhodnými ponukami a overujte si odosielateľa takýchto správ.

Falošné oznámenia o dodávaní balíka

slovenska posta phishing
DHL pshishing

Falošné poštové e-maily sú pre útočníkov stále obľúbené a počas sviatkov sa stávajú čoraz častejšie. Opäť sa snažia pôsobiť reálne a snažia sa nahnať zákazníkovi nejaké obavy o jeho balíček, napokon nikto nechce, aby nastal problém s tovarom, ktorý si objednal, alebo s balíkmi, ktoré poslal. Dobre si teda všímajte kam smerujú URL odkazy e-mailu a z akej adresy e-mail prišiel.

Falošné reklamy a stránky na sociálnych sieťach

Kybernetickí zločinci majú úžitok z nemiestnej dôvery spotrebiteľov na sociálnych médiách. V prieskumoch, ktoré uskutočnil Proofpoint, sa zistilo, že mnohí používatelia sociálnych sietí sa mylne domnievajú, že predajné miesta, ako sú Facebook, Twitter a Instagram, schvaľujú obchodné stránky skôr, ako sú zverejnené – to je bohužiaľ omyl. Stránku aj reklamu s hocijakou podvodnou stránkou môže uverejniť ktokoľvek. Preto si dobre všímajte vznik stránky, fanúšikov, komentáre či recenzie, rovnako ako aj stránky na ktoré sa reklama odkazuje.

Podvodné SMS správy s ponukami

Kybernetickí zločinci naďalej aktívne využívajú výhody našej digitálnej reality prostredníctvom náporu útokov typu phishing (SMS), ktoré údajne pochádzajú od rôznych renomovaných spoločností. Dávajte si pozor na textové správy, ktoré neočakávate a ktoré obsahujú odkazy.

Pokusy o kradnutie účtov streamovacích služieb

netflix phishing

V tomto období sa množstvo ľudí uchýli k pohodlnému sviatočnému sledovaniu seriálov či filmov. To môže znieť pomerne bezpečne – avšak IT podvodníci sa radi pokúšajú kradnúť Vaše údaje k týmto streamovacím službám, najlepšie aj spoločne s platobnými údajmi. Ako môžete vidieť, ich falošné stránky sú veľmi rafinované a graficky takmer nerozoznateľné od originálu  – sú však zväčša posielané ako odkazy v e-mailoch, väčšinou tvrdiacich, že s Vaším kontom je nejaký problém a musíte sa znova prihlásiť – a práve to môže byť pre Vás varovným signálom. Prihlasujte sa vždy radšej len priamo cez oficiálne stránky streamovacích služieb.

Na záver už len doplníme – buďte obozretní! Najmä v tomto sviatočnom období kedy sa snažíme čo najviac zrelaxovať je riziko narazenia a nachytania sa na jeden z podobných kybernetických útokov veľmi vysoké. Preto vždy radšej dva krát skontrolujte, kto vám správu posiela, kam smeruje URL adresa, či je profil na sociálnych sieťach naozaj dôveryhodný a či správa ktorú ste dostali sa môže týkať reálneho balíčka či služby, ktoré očakávate.

Zdroj: Proofpoint blog