Artykuł Panda: nowy model ochrony dla firm pochodzi z serwisu CRN.
]]>
Monitorowane procesy
zachodzące na urządzeniach końcowych porównuje się z katalogiem Pandy,
obejmującym bezpieczne i szkodliwe aplikacje. Zawiera on 1,2 mld
pozycji, dzięki czemu odróżnienie działań niebezpiecznych od nieszkodliwych
jest możliwe zwykle ze 100-procentową pewnością. Katalogiem nie musi zarządzać
administrator, ponieważ ocena procesów została zautomatyzowana. W wersji
Panda Adaptive Defense 360 udostępniono także skaner antywirusowy, który można
dodatkowo wykorzystać w miejsce tradycyjnego programu AV.
Adaptive Defense jest
przeznaczony dla klientów, u których działa przynajmniej kilkaset
komputerów. Proces ochrony przebiega w trzech etapach. W pierwszym
agent chroniący stację roboczą monitoruje wszystkie prowadzone w niej
działania (m.in. pobieranie plików, instalacja programów, upgrade sterowników,
ładowanie bibliotek, budowanie usług). Każde zdarzenie jest rejestrowane
i przesyłane do centralnego serwera w chmurze. To etap wstępny,
będący niejako przygotowaniem firmowych urządzeń końcowych do późniejszej
regularnej ochrony. Może potrwać nawet około dwóch tygodni.
Drugi etap polega na ciągłej analizie procesów uruchomionych
na stacjach roboczych z wykorzystaniem technik Data Mining oraz Big Data
Analytics. Automatyczna klasyfikacja pozwala ocenić, czy proces jest
bezpieczny. W razie potrzeby ocena zostaje dodatkowo dokonana przez
eksperta Panda Labs.
W trzecim etapie następuje bieżąca ocena wiarygodności
każdego procesu, w oparciu o napływające o nim informacje.
Wszystko, co zostanie negatywnie sklasyfikowane, podlega blokadzie, a do
danych i newralgicznych funkcji systemu operacyjnego mają dostęp tylko
zaufane aplikacje.
Panda Adaptive Defense
jest oferowany w wersji Standard i Extended. W pierwszej można
na własną odpowiedzialność uruchomić niesklasyfikowany proces, w drugiej
już nie. Tryb Extended daje 100-proc. pewność skutecznej ochrony już
w ciągu 24 godz. od pojawienia się nowego zagrożenia (w Standardzie
100-proc. skuteczność zapewniana jest po 7 dniach od momentu wystąpienia
zagrożenia). Sygnaturowe antywirusy nigdy nie dają całkowitej pewności ochrony.
W grudniu 2014 r. Gartner umieścił Pandę w grupie
wizjonerów w „Magic Quadrant for Endpoint Protection Platforms”. Analitycy
chwalą producenta za rozwój zaawansowanych narzędzi niezbędnych na wszystkich
etapach zabezpieczania stacji roboczych, poczty i zasobów sieci. Według
Gartnera dostępny w chmurze Adaptive Defense jest skuteczny i łatwo
nim zarządzać.
Od kilku lat producent oferuje także rozwiązania UTM. Ich
wprowadzenie umożliwiło mu marsz w kierunku rozwiązań dla korporacji.
W czasach, gdy liczba ataków i cyberzagrożeń nieustannie rośnie, dla
Pandy jest to bardzo przyszłościowy kierunek rozwoju oferty.
Artykuł Panda: nowy model ochrony dla firm pochodzi z serwisu CRN.
]]>Artykuł KLASYFIKACJA ATAKÓW NA SYSTEMY IT pochodzi z serwisu CRN.
]]>
ŹRóDŁO
Zewnętrzne (zdalne)
Atak przeprowadzony z systemu znajdującego się poza siecią ofiary (najczęściej przez Internet).
Wewnętrzne (lokalne)
Atak przeprowadzony z systemu podłączonego do zagrożonej sieci. Cyberprzestępca musi mieć fizyczny dostęp do sieci lub posiadać konto na jednym z serwerów. Przeważnie zna ludzi oraz politykę wewnętrzną firmy. Nie wszystkie wewnętrzne ataki są celowe, w niektórych przypadkach zagrożenie może sprowadzić niefrasobliwy pracownik, który ściągnie i uruchomi wirusa, czyli nieświadomie wprowadzi go do wnętrza sieci.
Rozproszone
Agresor inicjuje wiele jednoczesnych uderzeń na jeden lub wiele celów. Zwykle takie działanie przebiega w dwóch fazach. Początkowo cyberprzstępca musi przygotować węzły, z których atak taki mógłby być przeprowadzony. Polega to na ich znalezieniu i zainstalowaniu oprogramowania, które będzie realizowało właściwą fazę ataku rozproszonego. Cechą charakterystyczną drugiej fazy jest wysyłanie pakietów z węzłów pośredniczących a nie z hosta atakującego. Atak rozproszony charakteryzuje się utajnieniem jego źródła, zmasowaną siłą i wreszcie trudnością w jego zatrzymaniu. Umożliwia cyberprzestępcy poszerzenie wiedzy na temat obranego celu. Klasycznym przykładem tego typu agresji jest DDoS (Distributed Denial of Service).
Pośrednie
Aby ukryć oryginalne źródła ataku cyberprzestępca wykorzystuje systemy i urządzenia pośredniczące. Najczęściej są to systemy typu open proxy i open relay lub inne rozwiązania, umożliwiające dalsze przekazywanie łączności sieciowej bez odpowiedniego filtrowania. Atak pośredni może być również przeprowadzony na etapie wykorzystania luk w zabezpieczeniach. Po złamaniu zabezpieczeń zaufanego serwisu WWW, przestępca wykorzystuje go jako źródło rozpowszechniania destrukcyjnych programów używanych następnie do włamywania się do wybranych komputerów.
Bezpośrednie
Atak przeprowadzony bezpośrednio na zagrożone systemy (zdalnie lub lokalnie) bez użycia rozwiązań i urządzeń pośredniczących. Bazuje na wykrytych lukach, których specyfikacja uniemożliwia wykorzystanie pośredników do przekazania strumienia ataku. Taka forma agresji bardzo często jest kierowana na cel za pomocą wcześniej przejętych systemów. W ten sposób cyberprzestępca ma możliwość przeprowadzenia bezpośredniej napaści, a przez pełną kontrolę nad przejętym systemem „atrapą” zatarcia śladów oryginalnego źródła ataku.
SKUTEK
Udany ATAK
Uderzenie kończy się osiągnięciem zamierzonego celu, np. przeskanowaniem sieci lub wykryciem luki w firmowym zabezpieczeniu, która może być wykorzystywana do kolejnych napaści czy włamań. Następnie atakujący zaciera za sobą ślady i opuszcza wybrany cel. Udany skutek ataku możemy podzielić na:
• aktywny – w wyniku agresji system komputerowy traci integralność (np. atak włamywacza, który usuwa pewną ilość ważnych danych oraz powoduje zmianę działania programów); ewentualnie możemy mieć do czynienia z modyfikowaniem strumienia danych lub tworzeniem danych fałszywych,
• pasywny – polega na wejściu do systemu bez dokonywania w nim żadnych zmian (np. atak włamywacza, który kopiuje pewną ilość ważnych danych, nie powodując zmian w działaniu programów); atakiem pasywnym może być także podsłuchiwanie lub monitorowanie przesyłanych danych (w tym przypadku celem cyberprzestępcy jest odkrycie zawartości komunikatu lub analiza przesyłanych danych); ataki pasywne są bardzo trudne do wykrycia, ponieważ nie wiążą się z modyfikacjami jakichkolwiek danych.
Nieudany ATAK
Rozpoczęty atak nie kończy się osiągnięciem zamierzonego celu. Na przykład na skutek przeskanowania sieci agresor wykrywa lukę w zabezpieczeniu, wykorzystuje ją do uderzenia, które jednak okazuje się nietrafne i kończy niepowodzeniem. Brak możliwości zatarcia śladów powoduje ryzyko wykrycia ataku jak i samego cyberprzestępcy.
CEL
Przerwanie PRACY
Atak polegający na częściowym zniszczeniu systemu lub spowodowaniu jego niedostępności (niezdolności do normalnego użytkowania). Przykładem może być fizyczne zniszczenie fragmentu komputera lub sieci, np. uszkodzenie dysku czy też przecięcie linii łączności między wybranymi komputerami.
Przechwycenie informacji
Podstawą tego typu agresji jest naruszenie poufności. Występuje wtedy, gdy ktoś niepowołany uzyskuje dostęp do zasobów systemu komputerowego (np. podsłuch pakietów w celu przechwycenia danych w sieci i nielegalne kopiowanie plików lub programów).
Modyfikacja danych
Atak polega na zdobyciu dostępu do zasobów przez niepowołaną osobę, która wprowadza do nich jakieś zmiany w celu uzyskania wyższych praw lub otrzymania dostępu do danego systemu (np. zmiana wartości w pliku z danymi, wprowadzenie zmiany w programie w celu wywołania innego sposobu jego działania lub modyfikacja komunikatów przesyłanych w sieci).
Podrobienie danych
Napaść skutkująca naruszeniem autentyczności danych. Na przykład podczas ich przesyłania z jednego komputera do drugiego, trzeci blokuje transmisję, a sam wprowadza do systemu drugiego komputera fałszywe obiekty (chociażby nieautentyczne komunikaty do sieci).
Kradzież informacji (atak APT)
Włamanie w celu uzyskania poufnych informacji. Skradzione dane mogą zostać użyte do różnych celów lub sprzedane. Zjawisko to nasiliło się w ostatnich latach, a przeprowadzone badania wskazują, że ataki APT często są inicjowane przez placówki rządowe różnych krajów.
Kradzież tożsamości
Przedmiotem kradzieży stają się informacje osobiste, co ma na celu przejęcie czyjejś tożsamości. Używając takich informacji włamywacz może wyrobić sobie określone dokumenty, wyłudzić kredyt lub dokonać zakupów w sieci. Jest to coraz powszechniejsza forma włamania sieciowego powodująca globalnie wielomiliardowe straty.
Blokada DoS(Denial of Service)
Zalanie systemu (lub sieci) ruchem, aby zablokować ruch pochodzący od użytkowników. Atakom takim ulegają pojedyncze komputery lub grupy komputerów, co uniemożliwia korzystanie z określonych usług. Celem agresji mogą być systemy operacyjne, serwery, routery i łącza sieciowe.
Istnieje kilka typów ataków DoS. Dwa podstawowe to:
• zalewanie synchroniczne serwera pakietami rozpoczynającymi nawiązanie połączenia; pakiety te zawierają nieprawidłowy źródłowy adres IP; serwer nie odpowiada na żądania użytkowników, ponieważ jest zajęty generowaniem odpowiedzi na fałszywe zapytania,
• ping śmierci (ping of death) – do urządzenia sieciowego wysyłany jest pakiet o rozmiarze większym niż maksymalny (65?535 bajtów); taki pakiet może spowodować awarię systemu.
O wiele bardziej wyrafinowaną i potencjalnie bardziej szkodliwą odmianą ataku DoS jest atak DDoS (Distributed Denial of Service). Do jego przeprowadzenia służą najczęściej komputery zombie, nad którymi przejęto kontrolę przy użyciu specjalnego złośliwego oprogramowania. Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie ten oferuje.
Artykuł KLASYFIKACJA ATAKÓW NA SYSTEMY IT pochodzi z serwisu CRN.
]]>