Για πολλούς οργανισμούς που εφαρμόζουν διαχείριση προνομιακής πρόσβασης (PAM) βρίσκεται ψηλά στην λίστα των προτεραιοτήτων τους – και για καλό λόγο. Η προνομιακή πρόσβαση αποτελεί την οδό προς τις πολυτιμότερες πληροφορίες και τα περιουσιακά στοιχεία ενός οργανισμού και η προστασία τους αποτελεί υπόθεση πρωταρχικής σημασίας.

Πολλοί οργανισμοί και εταιρείες ωστόσο δεν έχουν ορατότητα στο που βρίσκονται προνομιακοί λογαριασμοί, διαπιστευτήρια και εμπορικά μυστικά, και αυτό σημαίνει ότι η επιφάνεια επίθεσης που σχετίζεται με τα προνόμια είναι συχνά πολύ μεγαλύτερη από την αναμενόμενη. Έτσι πριν ξεκινήσετε με οποιαδήποτε ανάπτυξη PAM (Privileged Access Management) θα πρέπει να βρείτε την απάντηση σε μία σημαντική ερώτηση: Πως ιεραρχείτε τον κίνδυνο;

Παρακάτω ακολουθούν ορισμένα βήματα που μπορούν να σας βοηθήσουν:

1. Προσδιορίστε όλους τους προνομιακούς λογαριασμούς και τα διαπιστευτήρια. Ανάλογα με το πόσα περιουσιακά στοιχεία (συστήματα, βάσεις δεδομένων, εφαρμογές, SaaS, παρόχους cloud και εργαλεία DevOps) έχετε, μπορεί να υπάρχουν δεκάδες, εκατοντάδες, χιλιάδες ή και εκατοντάδες χιλιάδες προνομιακά διαπιστευτήρια και μυστικά σε ολόκληρο το περιβάλλον σας. Πώς μπορείτε να προστατεύσετε λοιπόν κάτι όταν δεν γνωρίζετε καν την ύπαρξη του;

Το πρώτο βήμα για την ιεράρχηση των κινδύνων είναι η σάρωση και ο εντοπισμός όλων των προνομιακών λογαριασμών και διαπιστευτηρίων (κωδικοί πρόσβασης, κλειδιά SSH, hashes κωδικών πρόσβασης, κλειδιά πρόσβασης AWS και άλλα) στο περιβάλλον σας (στις εγκαταστάσεις σας), στο σύννεφο, στις τερματικές συσκευές και κατά μήκος των διεργασιών DevOps – για να κατανοήσετε το εύρος της πιθανής έκθεσης.

2. Ταξινόμηση κατηγοριών προνομιακής πρόσβασης με βάση την επικινδυνότητα. Κατά τη διάρκεια ή μετά τη διαδικασία απογραφής, θα πρέπει να καθορίσετε μια μέθοδο για την αξιολόγηση της επικινδυνότητας. Δεδομένου ότι δεν μπορείτε να διορθώσετε τα πάντα ταυτόχρονα, είναι καλύτερο να ακολουθήσετε μια προσέγγιση με βάση το μέγεθος του κινδύνου, να αντιμετωπίζετε πρώτα τις πιο επικίνδυνες περιοχές και στη συνέχεια να επεκταθείτε σε καινούργιους τομείς με την πάροδο του χρόνου. Ορισμένα παραδείγματα προτεραιοτήτων βάσει επικινδυνότητας μπορεί να περιλαμβάνουν τον προσδιορισμό:

• Των πλέον κρίσιμης σημασίας συστημάτων του οργανισμού σας (χρησιμοποιώντας σύστημα ταξινόμησης επικινδυνότητας ή μηχανισμούς αξιολόγησης κινδύνου)
• Των συστημάτων που περιέχουν δεδομένα που πρέπει να προστατευθούν λόγω κανονιστικών απαιτήσεων
• Των συστημάτων με πνευματική ιδιοκτησία ή δεδομένα πελατών
• Των γνωστών ευάλωτων συστημάτων (εφόσον έχουν διαπιστωθεί στο παρελθόν ζητήματα από ελέγχους, δοκιμές διείσδυσης ή ασκήσεις Red Team)

Οι περισσότεροι οργανισμοί ξεκινούν με τον εντοπισμό ενός μικρού συνόλου λογαριασμών που είναι σχετικά εύκολο να εντοπιστούν και παρουσιάζουν υψηλή επικινδυνότητα και στη συνέχεια να διεξάγουν ένα «Sprint» για να εφαρμόσουν κρίσιμους προνομιακούς ελέγχους πρόσβασης σε σύντομο χρονικό διάστημα (δηλαδή 30 ημέρες). Στη συνέχεια, με την πάροδο του χρόνου, ο οργανισμός επεκτείνει την κάλυψη σε νέες φάσεις, προσθέτοντας ελέγχους σε περισσότερους λογαριασμούς.

3. Προστατεύστε πρώτα τους λογαριασμούς που αποτελούν τον μεγαλύτερο κίνδυνο για να αποφύγετε τις επιθέσεις που έχουν στόχο να καταλάβουν το δίκτυο σας. Στις περισσότερες περιπτώσεις, οι εταιρείες και οργανισμοί επικεντρώνουν τις αρχικές προσπάθειες τους στην διασφάλιση κρίσιμης σημασίας στοιχεία tier0 και tier1, όπως είναι οι λογαριασμοί διαχειριστή τομέα και οι λογαριασμοί διαχειριστών με πρόσβαση σε μεγάλο αριθμό υπολογιστών, και κυρίως διακομιστών, καθώς και λογαριασμούς εφαρμογών που χρησιμοποιούν προνόμια διαχειριστή τομέα.

Επειδή οι κυβερνοεπιθέσεις που φτάνουν στο επίπεδο του ελεγκτή τομέα μπορούν να οδηγήσουν σε εχθρική κατάληψη του δικτύου και των περιουσιακών στοιχείων, οι εισβολείς ξεκινούν να εφαρμόζουν αυτή την προσέγγιση ακολούθως σε νέα περιβάλλοντα, στοχεύοντας σε κονσόλες cloud και εργαλεία «ενορχήστρωσης». Οι επιτιθέμενοι που αποκτούν τέτοιο επίπεδο προνομιακής πρόσβασης μπορούν στη συνέχεια να ελέγξουν οποιοδήποτε διακομιστή, ελεγκτή, τερματική συσκευή ή κομμάτι δεδομένων, οπουδήποτε σε ένα δίκτυο.

Ανεξάρτητα από το περιβάλλον, όλοι οι λογαριασμοί προνομιακής πρόσβασης σε περιουσιακά στοιχεία tier0 και tier1 θα πρέπει να απομονώνονται, και όλα τα διαπιστευτήρια διαχειριστή θα πρέπει να τοποθετούνται και να «αλλάζουν» (rotated) σε ψηφιακό vault προστατευμένο με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ενώ η πρόσβαση θα πρέπει να παρακολουθείται συνεχώς. Πρέπει επίσης να βεβαιωθείτε ότι δεν υπάρχουν εκ σχεδιασμού υπολείμματα κατακερματισμού (hash) και ότι είστε σε θέση να ανιχνεύσετε και να αποκλείσετε επιθέσεις που βρίσκονται σε εξέλιξη σε ελεγκτές τομέα.

4. Ελέγξτε και ασφαλίστε τους λογαριασμούς υποδομής σας. Ακολούθως, πολλές οργανώσεις στρέφουν την προσοχή τους στη διασφάλιση και τη διαχείριση των ισχυρών προεπιλεγμένων λογαριασμών υποδομής που υπάρχουν επί τόπου στις εγκαταστάσεις (on-premise) καθώς και σε περιβάλλοντα cloud και DevOps. Μόλις οι επιτιθέμενοι πάρουν στα χέρια τους αυτούς τους λογαριασμούς, μπορούν να αποκτήσουν την κυριότητα ολόκληρης της τεχνολογικής στοίβας, χρησιμοποιώντας έναν μη προστατευμένο λογαριασμό υποδομής που συνεχίζει να έχει τον προεπιλεγμένο και μη αλλαγμένο κωδικό πρόσβασης. Τα ίδια διαπιστευτήρια μπορούν να χρησιμοποιηθούν και να αποκτήσουν –οι επιτιθέμενοι- πρόσβαση και σε άλλα παρόμοια περιουσιακά στοιχεία.

Εργαστείτε για τη διαχείριση του εκατό τοις εκατό αυτών των λογαριασμών χρησιμοποιώντας ασφαλείς διαδικασίες και μια λύση PAM που θα επιφορτιστεί με το έργο της διαχείρισης αυτών των λογαριασμών με συνέπεια και ασφάλεια. Όλοι οι γνωστοί λογαριασμοί υποδομής θα πρέπει να φυλάσσονται σε vault και οι προνομιακές συνεδρίες θα πρέπει να απομονώνονται και να καταγράφονται ώστε να ελαχιστοποιούνται οι κίνδυνοι.

5. Περιορίστε το «lateral movement» προστατεύοντας τα προνόμια σε επίπεδο τερματικής συσκευής. Κάθε σταθμός εργασίας σε έναν οργανισμό περιέχει προνόμια από προεπιλογή. Οι ενσωματωμένοι λογαριασμοί διαχειριστή επιτρέπουν στην ομάδα διαχείρισης της ασφάλειας να διορθώνει θέματα τοπικά, αλλά δημιουργεί ένα τεράστιο κενό ασφαλείας που στοχεύουν και εκμεταλλεύονται οι επιτιθέμενοι. Οι τελευταίοι μπορούν να εκμεταλλευτούν αυτά τα επικίνδυνα συστήματα καθώς εισέρχονται και στη συνέχεια μετακινούνται από σταθμό εργασίας σε σταθμό εργασίας μέχρι να φτάσουν σε αυτό που ψάχνουν.

Είναι σημαντικό να εφαρμοστεί η τακτική των λιγότερων προνομίων και «just-in-time elevation και access» και επίσης να καταργηθούν τα τοπικά δικαιώματα διαχειριστή από τους σταθμούς εργασίας. Χωρίς να υπάρχει ισχυρή ασφάλεια τερματικών συσκευών, οι επιτιθέμενοι μπορούν εύκολα να κινούνται εσωτερικά και γύρω από το δίκτυο.

6. Προστατεύστε τα διαπιστευτήρια για τις εφαρμογές τρίτων. Για να μπορούν τα διάφορα συστήματα να συνεργάζονται, θα πρέπει να μπορούν να έχουν πρόσβαση το ένα στο άλλο. Αυτός είναι και ο λόγος για τον οποίο ο αριθμός των μηχανών και των εφαρμογών που απαιτούν προνομιακή πρόσβαση είναι μεγαλύτερος από εκείνον των ανθρώπων στους περισσότερους οργανισμούς. Και η παρακολούθηση, η ανίχνευση ή ακόμα και ο εντοπισμός αυτών των μη-ανθρώπινων οντοτήτων αποτελεί δύσκολη υπόθεση.

Επιπλέον, οι εμπορικές, off-the-shelf (COTS) εφαρμογές απαιτούν συνήθως πρόσβαση σε διάφορα τμήματα του δικτύου που μπορούν να εκμεταλλευτούν οι εισβολείς. Θυμηθείτε: είστε τόσο ισχυροί όσο ο ασθενέστερος κρίκος σας.

Όλοι οι προνομιακοί λογαριασμοί που χρησιμοποιούνται από εφαρμογές τρίτων πρέπει να αποθηκεύονται κεντρικά, να διαχειρίζονται και να γίνονται rotate σε ένα ψηφιακό vault. Επιπλέον, όλα τα hard-coded διαπιστευτήρια θα πρέπει να καταργηθούν από τις εφαρμογές COTS για να ελαχιστοποιηθούν οι κίνδυνοι.

7. Διαχειριστείτε τα Κλειδιά *NIX SSH. Τα κλειδιά SSH αποτελούν καθαρό χρυσό για έναν χάκερ ή κακόβουλο χρήστη/ εργαζόμενο, καθώς μπορούν να τα χρησιμοποιήσουν για να συνδεθούν με πρόσβαση root και να αναλάβουν τον έλεγχο της τεχνολογικής στοίβας *NIX (Linux και Unix). Τα συστήματα Unix και Linux στεγάζουν μερικά από τα πιο ευαίσθητα περιουσιακά στοιχεία της επιχείρησης, και το Linux είναι ένα λειτουργικό σύστημα που το αναπτύσσουν συνήθως σε περιβάλλοντα cloud. Συχνά ωστόσο, ατομικοί προνομιακοί λογαριασμοί και διαπιστευτήρια – συμπεριλαμβανομένων και κλειδιών SSH – που χρησιμοποιούνται για την απόκτηση προνομίων root παραβλέπονται από τις ομάδες ασφαλείας

8. Διαχείριση των μυστικών DevOps στο Cloud και On-Premises. Για οργανισμούς που υιοθετούν τεχνολογίες DevOps, είναι σημαντικό να αφιερώσουμε μια φάση στην διασφάλιση (και ακολούθως στην συνεχή διαχείριση) των διαπιστευτηρίων και των μυστικών που χρησιμοποιούνται από τα εργαλεία DevOps (π.χ. Ansible, Jenkins και Docker) και από λύσεις Platform as a Service (PaaS) όπως για παράδειγμα είναι οι OpenShift και Pivotal Cloud Foundry κ.ά.

Βεβαιωθείτε ότι αυτά τα διαπιστευτήρια και τα μυστικά μπορούν να ανακτηθούν άμεσα on-the-fly, να αλλάζουν (να γίνονται rotate) και να είναι διαχειριζόμενα αυτόματα. Ουσιαστικά αυτό σημαίνει ότι ο κώδικας σας θα πρέπει να είναι σε θέση να ανακτήσει τα απαραίτητα προνομιακά διαπιστευτήρια από μια λύση PAM αντί να είναι hard-coded σε μια εφαρμογή. Οι πολιτικές επίσης για το rotation των μυστικών μειώνουν σημαντικά τον κίνδυνο να πέσουν σε λάθος χέρια.

9. Προστατεύστε τους διαχειριστές SaaS και τους Προνομιούχους Επιχειρησιακούς Χρήστες. Πολύ συχνά, το Software as a Service (SaaS) και οι προνομιούχοι επιχειρησιακοί χρήστες μπορούν να ξεχαστούν στις προσπάθειες ιεράρχησης των προτεραιοτήτων σας. Ωστόσο, οι εγκληματίες του κυβερνοχώρου θα κλέψουν τα διαπιστευτήρια που χρησιμοποιούν οι διαχειριστές SaaS και οι προνομιούχοι επιχειρησιακοί χρήστες για να αποκτήσουν υψηλού επιπέδου μυστική πρόσβαση σε ευαίσθητα συστήματα.

Παραδείγματα κρίσιμης σημασίας για τις επιχειρήσεις εφαρμογών SaaS μπορεί να είναι οτιδήποτε, από το λογισμικό CRM (Customer Relationship Management) μέχρι εφαρμογές που χρησιμοποιούνται από τις ομάδες χρηματοδότησης, HR και μάρκετινγκ. Οι προνομιούχοι επιχειρησιακοί χρήστες που έχουν πρόσβαση σε τέτοιου τύπου εφαρμογές μπορούν να εκτελούν πολύ ευαίσθητες ενέργειες, όπως τη λήψη και τη διαγραφή ευαίσθητων δεδομένων. Για να αποφευχθεί αυτό το είδος επίθεσης, απομονώστε καθολικά την πρόσβαση σε κοινόχρηστα αναγνωριστικά (IDs) και εφαρμόστε MFA. Επίσης, παρακολουθήστε και καταγράψτε τις συνεδρίες των διαχειριστών SaaS και των προνομιούχων επιχειρησιακών χρηστών.

Παρόλο που δεν υπάρχει κάποια ενιαία προσέγγιση για την ασφάλεια (που να ταιριάζει σε όλους), η εφαρμογή των παραπάνω βημάτων μπορεί να βοηθήσει την εταιρεία σας να μειώσει τους κινδύνους σε μικρότερο χρονικό διάστημα και να ικανοποιήσει τους στόχους ασφάλειας και κανονιστικών ρυθμίσεων με λιγότερους εσωτερικούς πόρους.

Για να μάθετε περισσότερα, διαβάστε το eBook της CyberArk, Privileged Security Security for Dummies.

Ποιος είναι υπεύθυνος για την ασφάλεια στο δημόσιο cloud;

Μπορεί σε κάποιους να μοιάζει παράξενη η συγκεκριμένη ερώτηση, όμως όταν συνεργάζεσαι με ένα πάροχο υπηρεσιών cloud όπως είναι οι Amazon Web Services (AWS), Microsoft Azure ή Google Cloud Platform, είναι σημαντικό να γίνει κατανοητό ότι η ασφάλεια αποτελεί κοινή ευθύνη.

Οι πάροχοι δημόσιου cloud προσφέρουν στους πελάτες τους μεγάλη ευελιξία στον τρόπο που μπορούν να δημιουργήσουν τα περιβάλλοντα cloud τους. Μία συνέπεια όμως αυτής της ευελιξίας, είναι οι πάροχοι αυτών των υπηρεσιών να μην προσφέρουν πλήρη προστασία για εικονικά δίκτυα, εικονικές μηχανές ή δεδομένα που βρίσκονται στο σύννεφο.

Αυτό το μοντέλο κοινής ευθύνης σημαίνει ότι οι πάροχοι υπηρεσιών cloud έχουν την ευθύνη της ασφάλειας στο cloud, ενώ ο οργανισμός (ο πελάτης του πάροχου cloud, δηλαδή εσείς) είναι υπεύθυνος για οτιδήποτε τρέχει στο cloud. Όμως, οι διαχειριστές δεν γνωρίζουν πάντα για ποια πράγματα έχει φροντίσει ο πάροχος cloud και ποια είναι τα στοιχεία ή χαρακτηριστικά ασφαλείας που πρέπει να εφαρμόσουν οι ίδιοι. Και αυτό, όπως μπορείτε να φανταστείτε, οδηγεί σε εκτεθειμένα «στιγμιότυπα» (snapshots) δεδομένων, αρχείων, βάσεων δεδομένων και σκληρών δίσκων.

Μπορεί να έχετε ακούσει για παραβιάσεις S3 buckets – και τέτοιες υπήρξαν πολλές! Όμως, αυτή η σειρά άρθρων στοχεύει στο να επισημάνει όλους τους άλλους μεγάλους κινδύνους παραβιάσεων της ασφάλειας αλλά και να υποδείξει τρόπους για να προστατευτείτε, ξεκινώντας από τους περισσότερο κοινότυπους από όλους.

Δημόσια έκθεση Amazon S3

Δεν θα χρειαστεί να ψάξετε πολύ για να βρείτε παραδείγματα παραβιάσεων δεδομένων που σχετίζονται με το S3 (Amazon Simple Storage Service) και που προκαλούνται από εσφαλμένες ρυθμίσεις, επειδή οι ρυθμίσεις ασφαλείας S3 έχουν αφεθεί στη ρύθμιση “Δημόσιο” (Public). Η Amazon έχει κυκλοφορήσει μια ενημερωμένη έκδοση για την πλατφόρμα AWS ώστε να βοηθήσει τους πελάτες να αποφύγουν κάτι τέτοιο, που αποτελεί και μία από τις μεγαλύτερες αιτίες των παραβιάσεων δεδομένων που βρίσκονται στο cloud.

Διαβάζοντας σχετικά με τις χιλιάδες περιπτώσεις παραβιάσεων, θα σας συγχωρούσαμε αν σκεφτόσασταν ότι οι επιτιθέμενοι ενδιαφέρονται μόνο για τα ευαίσθητα δεδομένα ενός οργανισμού στις επιθέσεις τους. Δυστυχώς, θα ήσασταν λάθος.

Εκτός από οικονομικά δεδομένα και δεδομένα PII, μία από τις βασικές χρήσεις των λογαριασμών cloud storage όπως οι Amazon S3 buckets είναι η φιλοξενία στατικού περιεχομένου ιστοσελίδων, όπως αρχείων HTML, JavaScript και Style Sheets (CSS). Οι επιθέσεις που έχουν στόχο τους πόρους αυτούς, δεν στοχεύουν σε εκτεθειμένα δεδομένα. Αντ ‘αυτού, θέλουν να τροποποιήσουν τα αρχεία ιστοτόπων με κακόβουλο τρόπο με στόχο να κλέψουν πληροφορίες χρηστών που σχετίζονται με τραπεζικούς λογαριασμούς, πιστωτικές κάρτες και άλλης φύσεως οικονομικά δεδομένα.

Δύο μονοπάτια (για τους επιτιθέμενους)

Και οι δύο αλυσίδες επίθεσης φαίνονται ίδιες στην αρχή, με τους επιτιθέμενους να σαρώνουν το διαδίκτυο για εσφαλμένα διαμορφωμένους S3 buckets χρησιμοποιώντας αυτοματοποιημένους σαρωτές S3. Σε αυτό το σημείο όμως δημιουργούνται δύο μονοπάτια για την επίθεση.

Σε μία τυπική παραβίαση δεδομένων S3, οι επιτιθέμενοι ξεκινούν να καταγράφουν και να συγχρονίζουν τα πολύτιμα περιεχόμενα σε ένα τοπικό δίσκο και αποκτούν πρόσβαση σε όλα τα δεδομένα που έχουν λανθασμένα ρυθμιστεί σε λειτουργία “δημόσια” (public).

Στην περίπτωση της επίθεσης τροποποίησης των δεδομένων μας: μόλις αποκτήσουν πρόσβαση, οι επιτιθέμενοι αναζητούν περιεχόμενο JavaScript και το τροποποιούν ώστε να συμπεριλαμβάνει κακόβουλο κώδικα. Όταν ένας χρήστης επισκέπτεται τον μολυσμένο ιστότοπο, φορτώνεται ο κακόβουλος κώδικας JavaScript, καταγράφοντας όλα τα στοιχεία των πιστωτικών ή χρεωστικών καρτών που έχουν εισαχθεί στις φόρμες πληρωμής. Αυτά τα δεδομένα αποστέλλονται στον διακομιστή του κυβερνοεγκληματία.

Πως να προσδιορίσετε και να αποτρέψετε την έκθεσή του S3 bucket

Οι τυχαίες ή κακόβουλες αλλαγές στις παραμέτρους αποθήκευσης S3 που αφήνουν τους οργανισμούς εκτεθειμένους είναι πολύ συνηθισμένες. Το Cloud Optix διευκολύνει τον γρήγορο εντοπισμό τυχόν δεδομένων ή αρχείων μίας ιστοσελίδας που είναι εκτεθειμένα δημοσίως και αναλαμβάνει να διασφαλίσει την ιδιωτικότητα τους. Προσθέτει ένα πρόσθετο επίπεδο ασφάλειας σε αυτές τις κρίσιμες υπηρεσίες με το χαρακτηριστικό Guardrails, για να διασφαλιστεί ότι δεν πραγματοποιούνται αλλαγές στις ρυθμίσεις χωρίς άδεια.

Το Cloud Optix σας ειδοποιεί για τυχόν εκτεθειμένους S3 buckets μέσα σε λίγα λεπτά, παρέχοντας contextual ειδοποιήσεις που ομαδοποιούν τους πόρους που επηρεάζονται, παρέχει μία περιγραφή του ζητήματος και σας υποδεικνύει τα βήματα αποκατάστασης. Αυτά τα βήματα περιλαμβάνουν τη δυνατότητα αυτόματης αποκατάστασης – ενημερώνοντας τα δικαιώματα ανάγνωσης/ εγγραφής πόρων, όπου το S3 storage έχει παραμείνει ανοικτό στο δημόσιο διαδίκτυο.

Πηγαίνοντας ένα βήμα παραπέρα, χάρη στις δυνατότητες AI για την ανίχνευση ύποπτων συμβάντων σύνδεσης χρήστη, το Cloud Optix ειδοποιεί τους οργανισμούς στην περίπτωση που το περιεχόμενο ενός S3 bucket έχει τροποποιηθεί από μια ασυνήθιστη τοποθεσία – γεγονός που υποδηλώνει ότι τα διαπιστευτήρια χρηστών χρησιμοποιούνται εξ αποστάσεως ή έχουν κλαπεί.

Όποιος και αν είναι ο τελικός στόχος μιας παραβίασης της υπηρεσίας S3, το Cloud Optix καθιστά απλή την υπόθεση να παραμείνετε ένα βήμα μπροστά από τους επιτιθέμενους.

Από την ώρα που το XG Firewall εντάχθηκε στο Sophos Central στις αρχές της χρονιάς, η Sophos ξεκίνησε να του προσθέτει χαρακτηριστικά για να διευκολύνει την καθημερινή διαχείριση των firewall σας. Πρόσφατα, η ομάδα της Sophos βρέθηκε στην ευχάριστη θέση να ανακοινώσει την έναρξη του προγράμματος πρόωρης πρόσβασης Firewall Group Management.

Οι νέες λειτουργίες του Sophos Central περιλαμβάνουν:

• Διαχείριση και αποθήκευση προγραμματισμένων αντιγράφων ασφαλείας
• Διαχείριση ενημερώσεων υλικολογισμικού
• Εγκατάσταση/ ανάπτυξη νέων συσκευών XG Firewall χωρίς άγγιγμα (zero-touch)
• Δυνατότητα ομαδικής διαχείρισης τειχών προστασίας για την εύκολη διατήρηση της σταθερότητας και συνέπειας κατά μήκος μίας ομάδας από τείχη προστασίας

Διαχείριση αντιγράφων ασφαλείας

Τα αντίγραφα ασφαλείας συνήθως δεν αποτελούν προτεραιότητα, μέχρι που πραγματικά να τα χρειαστείτε.

Η λειτουργία διαχείρισης αντιγράφων ασφαλείας παρέχει ηρεμία, αυτοματοποιώντας την διαδικασία διαχείρισης προγραμματισμένων αντιγράφων ασφαλείας. Τα αποθηκεύει για εσάς στο Sophos Central, οπότε στην περίπτωση που χρειαστεί να επαναφέρετε ένα αντίγραφο ασφαλείας για κάποιο λόγο, η διαδικασία είναι εξαιρετικά απλή.

Αυτή η λειτουργία σας επιτρέπει:

• Να προγραμματίζετε αντίγραφα ασφαλείας καθημερινά, σε εβδομαδιαία ή σε μηνιαία βάση για οποιοδήποτε από τα firewall σας ή για όλα τα firewalls σας
• Να αποθηκεύετε τα τελευταία 5 αντίγραφα ασφαλείας για κάθε τείχος προστασίας
• Να αποθηκεύετε μόνιμα ένα προτιμώμενο αντίγραφο ασφαλείας της επιλογής σας
• Να προχωρήσετε στη λήψη ενός αρχείου αντιγράφου ασφαλείας ανά πάσα στιγμή ώστε να είναι έτοιμο για επαναφορά

Διαχείριση αναβάθμισης υλικολογισμικού

Για να διασφαλίσετε ότι το δίκτυό σας επωφελείται από τα πιο πρόσφατα χαρακτηριστικά και λειτουργίες, από τις τελευταίες βελτιστοποιήσεις, διορθώσεις και βελτιώσεις στην απόδοση, είναι σημαντικό να αναβαθμίζετε και να ενημερώνετε τα τείχη προστασίας (firewalls) σας. Αλλά, η ενημέρωση του υλικολογισμικού (firmware) σε διάφορα τείχη προστασίας ενδέχεται να απαιτεί πολύ χρόνο. Όχι πια όμως!

Αυτή η λειτουργία καθιστά την ενημέρωση του υλικολογισμικού του τείχους προστασίας τόσο εύκολη όσο είναι ένα απλό κλικ σε ένα κουμπί. Αφού ενεργοποιηθεί, όλη η διαδικασία λήψης της ενημέρωσης του υλικολογισμικού και η επανεκκίνηση της συσκευής γίνεται απροβλημάτιστα, χωρίς να απαιτείται κάποια πρόσθετη ενέργεια από μέρους σας.

Zero-Touch Deployment

Ορισμένες φορές χρειάζεται να ρυθμίσετε ένα τείχος προστασίας σε μια απομακρυσμένη τοποθεσία και ίσως να μην έχετε την τεχνογνωσία που απαιτείται εκείνη την ώρα για να το ρυθμίσετε πλήρως. Σε αυτό το σημείο εισέρχεται η δυνατότητα «zero-touch deployment».

Τώρα, μπορείτε να «περάσετε» το τείχος προστασίας απευθείας στην απομακρυσμένη τοποθεσία και να το διαμορφώσετε από το Sophos Central χωρίς να χρειάζεται να αγγίξετε την συσκευή οι ίδιοι.

Χρειάζεστε μόνο κάποιον εκεί για να αποσυσκευάσει, να το συνδέσει, να τοποθετήσει ένα USB stick που διαθέτει το αρχείο ρύθμισης παραμέτρων που δημιουργήσατε και να το εκκινήσετε. Στη συνέχεια, μπορείτε να το ρυθμίσετε πλήρως από το Sophos Central.

Εφαρμογή zero-touch deployment σε τρία απλά βήματα:

Ομαδική Διαχείριση Firewalls

Αυτή η λειτουργία σάς επιτρέπει να συγχρονίζετε την πολιτική, objects και άλλες ρυθμίσεις σε μια ομάδα από τείχη προστασίας για λόγους συνέπειας. Μπορείτε να κάνετε μια αλλαγή μία φορά και να την εφαρμόσετε αυτόματα σε όλα τα τείχη προστασίας της ομάδας.

Αυτές οι νέες δυνατότητες στο Sophos Central είναι ιδανικές για τους εταίρους MSP και κάθε πελάτη που διαχειρίζεται πολλαπλά τείχη προστασίας.

• Απλά και εύκολα διατηρείτε τη συνέπεια σε ένα μεγάλο κατανεμημένο δίκτυο
• Εξοικονομείτε χρόνο και προσπάθεια στην διαχείρισης μιας ομάδας από τείχη προστασίας
• Μπορείτε να παρακολουθείτε και να έχετε πρόσβαση σε όλα τα firewalls σας μέσω του Sophos Central – χωρίς επιπλέον χρέωση.

Ξεκινώντας με το Πρόγραμμα Πρόωρης Πρόσβασης

Θα χρειαστεί να έχετε τείχη προστασίας που να εκτελούν την έκδοση EAP του XG Firewall v18 για να τα προσθέσετε σε ομάδες για να αξιολογήσετε τις νέες δυνατότητες διαχείρισης ομάδας τείχους προστασίας.

Πως να ενταχθείτε στο EAP (πρόγραμμα πρόωρης πρόσβασης) σε 3 απλά βήματα:

1. Συνδεθείτε στον κεντρικό λογαριασμό της Sophos Central
2. Στην επάνω δεξιά γωνία, επιλέξτε “Πρόγραμμα πρόωρης πρόσβασης” από το μενού κάτω από το όνομά σας
3. Αναζητήστε την ιδιότητα μέλους της ομάδας Firewall και κάντε κλικ στην επιλογή Join

Οι νέες δυνατότητες ομαδικής διαχείρισης θα βρίσκονται στη συνέχεια στο τμήμα Διαχείρισης Τείχους προστασίας του Sophos Central.

Επισκεφθείτε τα Community Forums της Sophos για περισσότερες πληροφορίες αλλά και για να κάνετε τα πολύτιμα σχόλιά σας.

Η Sophos ανακοίνωσε ένα νέο πρόγραμμα πρώιμης πρόσβασης (EAP, Early Access Program) που φέρνει ενισχύσεις στην προστασία του Intercept X συμπεριλαμβανομένης της προστασίας AMSI (Anti-Malware Scanning Interface) καθώς και της προστασίας ενάντια στην κακόβουλη δικτυακή κίνηση.

Το AMSI είναι ένα interface της Microsoft στο λειτουργικό σύστημα Windows 10, στο Windows Server 2016 ή σε νεότερες εκδόσεις του που επιτρέπει την σάρωση των αρχείων script ακόμα και όταν περιέχουν κωδικοποιημένο κώδικα ή και .NET 4.8 assemblies.

Τα scripts PowerShell που εμπεριέχουν obfuscated κώδικα είναι μία αρκετά κοινή μέθοδος που χρησιμοποιούν επιτιθέμενοι για να αποκτήσουν τον έλεγχο συστημάτων. Αξιοποιώντας το AMSI, το Intercept X είναι ακόμα καλύτερο στην ανίχνευση και στην αποτροπή τέτοιων επιθέσεων.

Το χαρακτηριστικό Malicious Network Traffic Protection, αλλιώς γνωστό και ως Intrusion Prevention System (IPS) σαρώνει την εισερχόμενη και εξερχόμενη κίνηση για κακόβουλα μοτίβα επίθεσης, με κανόνες που βασίζονται στην μεθοδολογία Snort. Κάτι τέτοιο αποτελεί σημαντική βοήθεια σε διάφορους τομείς, όπως για παράδειγμα, στην περίπτωση που ένας υπάλληλος πάρει μαζί του τον φορητό υπολογιστή του σε μία καφετέρια όπου δεν υπάρχει τείχος προστασίας.  Σε αυτή τη περίπτωση το σύστημα IPS θα ανιχνεύσει και θα αποκλείσει τα όποια μοτίβα κακόβουλης κίνησης.

Η σάρωση επίσης της εξερχόμενης κίνησης θα βοηθήσει στην αποτροπή του λεγόμενου lateral movement από μία μολυσμένη συσκευή ή από μία συσκευή που βρίσκεται υπό τον έλεγχο των επιτιθέμενων για να σταματήσει την εξάπλωση της απειλής στο υπόλοιπο δίκτυο. Ορισμένοι επιτιθέμενοι στρέφονται σε πιο στοχευμένες και εκ φύσεως απρόβλεπτες χειροκίνητες δικτυακές τεχνικές hacking, με την χρήση brute force για να κερδίσουν έδαφος εντός του δικτύου και να χτυπήσουν από εκεί σαν να ήταν οι διαχειριστές του δικτύου (Lateral Movement, εντολές ή εργαλεία που χρησιμοποιεί ο επιτιθέμενος για να μετακινηθεί εσωτερικά στο δίκτυο με στόχο να υποκλέψει δεδομένα ή να γίνει domain admin).

Το πρόγραμμα πρώιμης πρόσβασης είναι «ανοικτό» τώρα και είναι διαθέσιμο σε όσους χρησιμοποιούν τα Intercept X Advanced και Central Endpoint Protection. Η υποστήριξη για το Intercept X for Server Advanced θα προστεθεί κατά τη διάρκεια του προγράμματος. Για να συμμετέχετε, επισκεφτείτε την κοινότητα της Sophos.

Έχουμε ήδη δει μία εισαγωγή στην ασφάλεια με γνώμονα τον χρήστη καθώς και τα τρία βασική βήματα για την εφαρμογή μία προσέγγισης στην ασφάλεια που έχει ως βασικό γνώμονα τον χρήστη. To τρίτο και τελευταίο μέρος αυτής της σειράς άρθρων της Boldon James καλύπτει τα τρία βασικά οφέλη για τον οργανισμό και την επιχείρηση σας:

1. Μειώνει τον κίνδυνο απώλειας ευαίσθητων πληροφοριών

Αν γνωρίζετε πού βρίσκονται τα ευαίσθητα δεδομένα σας, μπορείτε να έχετε τον έλεγχο: του τρόπου με τον οποίο προστατεύονται, της τοποθεσίας αποθήκευσης τους καθώς και εκείνων που έχουν πρόσβαση σε αυτά. Ως εκ τούτου, ο κίνδυνος απώλειας ευαίσθητων δεδομένων μειώνεται δραστικά. Επιπλέον, αν έχετε εφαρμόσει μια πολιτική, για παράδειγμα, κρυπτογράφησης των δεδομένων «απόλυτης μυστικότητας», τότε η ζημιά που μπορεί να προκληθεί ακόμα και αν τα δεδομένα καταλήξουν σε λάθος χέρια θα έχει μετριαστεί σημαντικά.

2. Αυξάνει την παραγωγικότητα

Με απλά λόγια, αν οι χρήστες κατανοήσουν την αξία των δεδομένων, θα είναι σε θέση να λαμβάνουν ταχύτερα και με περισσότερη αυτοπεποίθηση αποφάσεις για το πώς να τα διαχειριστούν. Στο δεύτερο μέρος αυτής της σειράς αναρτήσεων, αναφερθήκαμε στα εργαλεία DLP. Αυτά τα εργαλεία σχεδιάστηκαν, όπως φαίνεται και από την ονομασία, για να αποτρέπουν την απώλεια ευαίσθητων δεδομένων. Στην πράξη, αυτό που συνήθως συμβαίνει είναι ένα από τα δύο παρακάτω πράγματα: 1) οι κανόνες είναι πολύ χαλαροί, που προκαλούν προβλήματα ασφάλειας ή 2) οι κανόνες είναι υπερβολικά αυστηροί και εμποδίζουν κάποιες δραστηριότητες ή εργασίες, γεγονός που προκαλεί προβλήματα στην παραγωγικότητα. Επιτρέποντας στα εργαλεία DLP να διαβάζουν τις ετικέτες μεταδεδομένων βοηθά στο να ξεπεραστούν και τα δύο παραπάνω ζητήματα.

3. Βελτιώνει τις διαδικασίες ανίχνευσης και αποκατάστασης που εμπλέκονται σε μία κυβερνοεπίθεση

Υπάρχουν διαθέσιμα μερικά σπουδαία εργαλεία που εντοπίζουν γρήγορα τις κυβερνοεπιθέσεις και βοηθούν στην αντιμετώπιση/ αποκατάστασή τους. Αυτά τα εργαλεία τείνουν να βασίζονται σε αλγόριθμους που διαβάζουν πληροφορίες από αρχεία καταγραφής και το δίκτυο για να εντοπίζουν ανώμαλη συμπεριφορά και ένα από τα πιο σημαντικά συστατικά αυτών των αλγορίθμων είναι το «πλαίσιο/ περιεχόμενο» (context). Οι ετικέτες μεταδεδομένων που παρέχονται από την ταξινόμηση δεδομένων παρέχουν το εξαιρετικά σημαντικό πλαίσιο για αυτά τα εργαλεία που επηρεάζουν τον τρόπο με τον οποίο ανταποκρίνονται στις κυβερνοεπιθέσεις. Με πιο απλά λόγια, φανταστείτε ότι έχει γίνει μία κυβερνοεπίθεση και έχουν χαθεί δεδομένα. Δεν θα ήταν καλό να μπορούσατε να προσδιορίσετε, μεταξύ άλλων, πόσο ευαίσθητα ήταν τα δεδομένα που χάθηκαν και ποια προστασία είχε εφαρμοστεί σε αυτά; Αν έχετε αυτά τα στοιχεία στα χέρια σας, θα έκανε σίγουρα την ανταλλαγή πληροφοριών με το Γραφείο Επιτρόπου των Πληροφοριών (ICO) πολύ πιο εύκολη αν μπορούσατε να επιβεβαιώσετε ότι για παράδειγμα δεν χάθηκαν δεδομένα που περιέχουν προσωπικές πληροφορίες.

Επόμενα βήματα 

Κατεβάστε το ενημερωτικό δελτίο της Boldon James σχετικά με την ταξινόμηση δεδομένων με γνώμονα την επιχείρηση για να ανακαλύψετε με ποιο τρόπο μπορείτε να εφαρμόσετε μια προστατευτική ασπίδα διακυβέρνησης πάνω από τα δεδομένα σας καθ ‘όλη τη διάρκεια του κύκλου ζωής τους, συνδυάζοντας τις βέλτιστες πρακτικές στις τεχνικές ταξινόμησης και αυτοματοποιημένης ταξινόμησης για να καλύψετε τις μοναδικές ανάγκες της επιχείρησής σας σήμερα και αύριο.

Η Sophos πρόσφατα ανακοίνωσε την διάθεση της έκδοσης Sophos XG Firewall v18 μέσω προγράμματος «early access» (EAP, Early Access Program) για όσους πελάτες και συνεργάτες της εταιρείας ενδιαφέρονται να γνωρίσουν τα νέα συναρπαστικά χαρακτηριστικά και τις καινοτομίες της:

• Η Χstream Architecture προσφέρει ανεπανάληπτα επίπεδα ορατότητας, προστασίας και απόδοσης.
• Το Threat Intelligence Analysis αποτρέπει τις zero-day απειλές πριν εισβάλουν στο δίκτυο σας.
• Νέα χαρακτηριστικά που ζητήσατε και καινοτόμες βελτιστοποιήσεις καθιστούν το XG Firewall απλούστερο στο deployment και στην διαχείριση.

Xstream Architecture

Ένα από τα εντυπωσιακότερα χαρακτηριστικά της v18 είναι η νέα αρχιτεκτονική επεξεργασίας πακέτων Xstream. Παρέχει ανώτερη, υψηλής ταχύτητας, ασφάλεια ενάντια στις τελευταίες απειλές, ασυμβίβαστη ορατότητα στην κρυπτογραφημένη δικτυακή κίνηση και επιταχυνόμενη απόδοση για την πιο σημαντική δικτυακή κίνηση δεδομένων σας.

Η νέα αρχιτεκτονική έχει τρία βασικά στοιχεία:

1. Xstream DPI Engine – Πλήρης προστασία δικτυακής κίνησης από απειλές για AV, IPS, Web, App Control και Επιθεώρηση SSL σε μία ενιαία proxy-less μηχανή streaming.
2. Xstream SSL Inspection – Κορυφαία στην βιομηχανία απόδοση, ευελιξία και διαφάνεια σε όλη την SSL-TLS-κρυπτογραφημένη κίνηση, συμπεριλαμβανομένης και υποστήριξης για TLS3 κατά μήκος όλων των θηρών και των εφαρμογών.
3. Xstream Network Flow FastPath – Αυτόματη, βάσει πολιτικής έξυπνη εκφόρτωση της επεξεργασίας αξιόπιστης κίνησης δεδομένων με τη ταχύτητα του καλωδίου για να διασφαλίσετε ότι η κρίσιμης σημασίας κίνησης δεδομένων βρίσκεται πάντα στον ταχύτερο δρόμο.

Ένα από τα νέα χαρακτηριστικά της v18 είναι το νέο widget Xstream SSL Inspection στον Πίνακα Ελέγχου (Control Center) για να έχετε πλήρη εικόνα με μία ματιά στην κρυπτογραφημένη δικτυακή κίνηση.

Threat Intelligence Analysis

Η Ανάλυση Πληροφοριών Απειλής αντλεί την ισχύ της από την SophosLabs και την κορυφαία τεχνολογία μηχανικής εκμάθησης της Sophos. Χρησιμοποιώντας μία σειρά τεχνικών μοντελοποίησης απειλών για την ανάλυση των αρχείων που μεταφορτώνονται ή καταφτάνουν μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, το συγκεκριμένο χαρακτηριστικό αναγνωρίζει και σταματά τις τελευταίες zero-day απειλές προτού εισέλθουν στο δίκτυο σας.

Για να δείτε τους τύπους αρχείων που εισέρχονται στο δίκτυο, μπορείτε να έχετε μια καλή εικόνα, χάρη στην παρακάτω οπτική αναπαράσταση ενός «Threatometer» ενώ αν θέλετε περισσότερες λεπτομέρειες μπορείτε να διαβάσετε την ολοκληρωμένη αναφορά.

Τα χαρακτηριστικά που ζητήσατε περισσότερο

Ζητήσατε, και στην Sophos άκουσαν τα αιτήματα σας – Το XG Firewall v18 περιλαμβάνει επίσης όλα τα χαρακτηριστικά που ζητήσατε περισσότερο καθώς και άλλες καινοτόμες βελτιστοποιήσεις που σχετίζονται με τα SD-WAN και NAT, με την δικτύωση, την διαχείριση των κανόνων του τείχους προστασίας, των ειδοποιήσεων και των συναγερμών, και πολλές άλλες. Εδώ μπορείτε να δείτε την πλήρη λίστα των χαρακτηριστικών για να έχετε μία λεπτομερή εικόνα.

Βοηθήστε στην διαμόρφωση του

Για να λάβετε μέρος στο πρόγραμμα, επισκεφθείτε την κοινότητα (Community Forums) της Sophos για να λάβετε το τελευταίο firmware, για να γνωρίσετε το προσωπικό της Sophos και άλλους συμμετέχοντες στο πρόγραμμα πρώιμης πρόσβασης και να μοιραστείτε την άποψη σας και τις ιδέες σας.

Καθώς οι μοντέρνοι οργανισμοί εξελίσσουν την χρήση του δημόσιου cloud για να αξιοποιήσουν τις δυνατότητες των κλιμακούμενων υπηρεσιών πληροφορικής, αποθήκευσης και δικτύου, οι κυβερνοεγκληματίες παράλληλα προσαρμόζουν τις τεχνικές τους για να εκμεταλλευτούν τις κρυφές ευπάθειες στην αρχιτεκτονική του δικτύου.

Η ασφάλεια πληροφορικής σας, επομένως, είναι απαραίτητο και αυτή να εξελιχθεί για να αντισταθμίσει αυτές τις νέες τακτικές και απειλές.

Το Sophos Cloud Optix παρέχει τη δυνατότητα στον οργανισμό σας να απεικονίζει (οπτικοποιεί) με ακρίβεια και να διασφαλίζει την υποδομή cloud συνεχώς, και με βεβαιότητα. Η ευφυής λύση cloud της Sophos, παρέχει μία ενιαία εικόνα της στάσης ασφαλείας σας κατά μήκος των clusters Kubernetes, Amazon Web Services, Microsoft Azure, Google Cloud Platform και περιβάλλοντα infrastructure-as-code.

Το Sophos Cloud Optix στο AWS Marketplace

Περισσότεροι από 200 χιλιάδες ενεργοί πελάτες του AWS Marketplace έχουν πλέον την δυνατότητα εύκολης πρόσβασης στο Cloud Optix, κατά ωριαία ή κατά host βάση, και χωρίς σύμβαση ελάχιστης διάρκειας.

Οφέλη του Cloud Optix στο AWS Marketplace

• Δυνατότητα δημιουργίας λογαριασμού Cloud Optix απευθείας μέσω του AWS Marketplace.
• Πληρωμή ανά στοιχείο cloud, ανά ώρα, χωρίς σύμβαση ελάχιστης διάρκειας.
• Αποκτάτε την ίδια εξαιρετική εμπειρία διαχείρισης με τη δική σας, εξειδικευμένη κονσόλα Cloud Optix.
• Διαχειριστείτε περιβάλλοντα κατά μήκος των AWS, Azure και GCP μέσω της ίδιας κονσόλας.
• Πληρώνεται το AWS για τα στοιχεία που προστατεύει το Cloud Optix.

Σχετικά με το Cloud Optix

Η ασφάλεια cloud της Sophos παρέχει μια πλήρη εικόνα της τοπολογίας της υποδομής cloud και, συνδυάζοντας τη δύναμη της τεχνητής νοημοσύνης (AI) και της αυτοματοποίησης, προβλέπει και εντοπίζει κρυφές απειλές σε όλο το εικονικό δίκτυο.

Το Cloud Optix διεξάγει ανάλυση των βαθύτερων αιτιών, ιεράρχηση βάσει μεγέθους κινδύνου, και υποστήριξη αποκατάστασης σε ειδοποιήσεις ασφαλείας και συμμόρφωσης, ώστε να έχετε τα εργαλεία να αυτοματοποιήσετε την ασφάλεια και να μειώσετε τους χρόνους ανταπόκρισης σας σε περιστατικά ασφαλείας.

• Η τεχνητή νοημοσύνη επιτρέπει την ιχνηλασιμότητα της μη συνηθισμένης πρόσβασης χρηστών, των αιτημάτων api και των αλλαγών στην διαμόρφωση.
• Οι ολοκληρωμένοι έλεγχοι ασφαλείας εντοπίζουν τα τρωτά σημεία στα πρότυπα IAC που αυτοματοποιούν την ανάπτυξη νέας υποδομής στα περιβάλλοντα cloud.
• Οι βέλτιστες πρακτικές ασφαλείας παρακολουθούνται συνεχώς για να διασφαλιστεί η συμμόρφωσή σας και οι τυχόν εσφαλμένες ρυθμίσεις μπορούν να εντοπιστούν και να διορθωθούν γρήγορα.

Αναγνωρισμένη διεθνώς, ως η «channel-first» και «channel-best» ηγέτιδα στην παροχή καινοτομικών λύσεων όπως το Cloud Optix, η Sophos βρίσκεται τώρα στην κορυφή των συνεργατών του Δικτύου Συνεργατών AWS για την προσήλωση της στο να παρέχει την απαραίτητη βοήθεια στους πελάτες AWS να δημιουργήσουν, να προωθήσουν και να αναπτύξουν επιτυχημένες επιχειρήσεις cloud, και για αυτό κέρδισε πρόσφατα τον τίτλο AWS Partner Network (APN) Technology Partner of the Year 2019.

Τις τελευταίες εβδομάδες, το SophosLabs έχει δει μία σημαντική άνοδο στο ransomware Ryuk. Η εξαιρετικά επικίνδυνη απειλή μεταφέρεται μέσω μιας εξελιγμένης επίθεσης πολλών σταδίων, και παραλύει οργανισμούς που τους κρατάει όμηρους για λύτρα.

Για να καταλάβετε πως να σταματήσετε το Ryuk, είναι χρήσιμο να γνωρίζετε πως εξελίσσονται οι επιθέσεις.  Οι παράγοντες πίσω από τον Ryuk αποτελούν ενεργούς αντιπάλους και ανταγωνιστές που συνδυάζουν προηγμένες τεχνικές επίθεσης με διαδραστικό, hands-on hacking για να αυξήσουν το ποσοστό επιτυχίας τους.

Συνήθως στοχεύουν σε οργανισμούς που δεν μπορούν να αντέξουν τις διακοπές στην λειτουργία τους, όπως είναι οι εφημερίδες, οι δήμοι και οι επιχειρήσεις κοινής ωφελείας, για να αυξήσουν τις πιθανότητες πληρωμής τους. Και μιλώντας για πληρωμές – είναι μεγάλες. Συχνά εξαψήφια ποσά που πληρώνονται σε Bitcoin.

Οι επιθέσεις του Ryuk είναι περίπλοκες. Αρχίζουν συχνά με μια επίθεση Emotet ή TrickBot, που διαδίδεται μέσω κακόβουλων συνημμένων σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία επιτρέπουν στους κυβερνοεγκληματίες να εισέλθουν στο δίκτυό σας.

Μόλις βρεθούν εντός το δικτύου, κλέβουν διαπιστευτήρια και δημιουργούν ένα νέο χρήστη με προνόμια διαχειριστή. Με τα αυξημένα προνόμια διαχειριστή τους, οι χάκερ μπορούν να κινηθούν ανενόχλητοι εντός του δικτύου σας, να ερευνήσουν το Active Directory και να διαγράψουν τα αντίγραφα ασφαλείας σας.

Αφού αφαιρέσουν το δίχτυ ασφαλείας σας, επιχειρούν να απενεργοποιήσουν τα προϊόντα κυβερνοασφαλείας σας πριν τελικά απελευθερώσουν το ransomware Ryuk, για να κρυπτογραφήσουν τα αρχεία σας και να απαιτήσουν πολλά χρήματα για λύτρα.

Σταματώντας το Ryuk με το Sophos Intercept X Advanced

Για να σταματήσεις το Ryuk δεν αρκεί μόνο η διακοπή της λειτουργίας ενός τμήματος του λογισμικού, αλλά απαιτείται τόσο το σταμάτημα ενός ενεργού αντιπάλου όσο και η διακοπή της αλυσίδας επίθεσης που του επιτρέπει να βρεθεί σε θέση για να τρέξει το Ryuk. Το Sophos Intercept X Advanced περιλαμβάνει μία σειρά από τεχνολογίες για την ανίχνευση και την διακοπή ή την διατάραξη διάφορων σταδίων της αλυσίδας επίθεσης. Στις τεχνολογίες συμπεριλαμβάνεται:

• Ο εντοπισμός και ο αποκλεισμός των τεχνικών exploit που χρησιμοποιούνται για τη λήψη και εγκατάσταση του Emotet και του Trickbot (συχνά μέσω PowerShell ή του WMI) και την παρεμπόδιση της εισόδου των χάκερ στο δίκτυό σας.
• Ο αποκλεισμός «lateral movement» σε όλο το δίκτυό σας, εργαζόμενοι σε πραγματικό χρόνο με το τείχος προστασίας Sophos XG.
• Η αποτροπή της κλοπής διαπιστευτηρίων, για να εμποδιστεί η εξουσιοδοτημένη πρόσβαση στα συστήματά σας και η κλιμάκωση των δικαιωμάτων διαχειριστή.
• Η αποτροπή της εκτέλεσης του ransomware, με την λεπτομερή εξέταση του “DNA” του χρησιμοποιώντας το νευρωνικό δίκτυο βαθιάς εκμάθησης της Sophos.
• H ανίχνευση και επαναφορά της μη εξουσιοδοτημένης κρυπτογράφησης αρχείων χάρη στις δυνατότητες του CryptoGuard

Παρακολουθήστε το βίντεο για να δείτε τις δυνατότητες του CryptoGuard στο Intercept X που πραγματοποιεί «rolling back» στο ransomware Ryuk.

Δοκιμάστε από μόνοι σας την προστασία anti-ransomware του Intercept X για 30 ημέρες δωρεάν

Η δική σας ομάδα κυνηγών απειλών και εμπειρογνωμόνων ανταπόκρισης

Την ώρα που πολλά στελέχη ransomware διανέμονται μέσω εκστρατειών ανεπιθύμητης αλληλογραφίας (spam) μεγάλης κλίμακας, το Ryuk χρησιμοποιεί αυτοματοποιημένα μέσα για να αποκτήσει ένα αρχικό στήριγμα, και στη συνέχεια χρησιμοποιεί την ανθρώπινη ευστροφία για να αποφύγει την ανίχνευση. Με άλλα λόγια, υπάρχει ένας άνθρωπος πίσω από την επίθεση που έχει ως στόχο την παράκαμψη ή την χειραγώγηση των υφιστάμενων ελέγχων ασφαλείας.

Για επιθέσεις «ενεργών αντιπάλων» όπως αυτές, μία ειδική ομάδα κυνηγών απειλών και εμπειρογνωμόνων ανταπόκρισης μπορεί να κάνει όλη τη διαφορά. Η ομάδα Sophos Managed Threat Response κυνηγάει προληπτικά, ανιχνεύει και ανταποκρίνεται σε επιθέσεις σε πραγματικό χρόνο για να εξουδετερώσει τόσο το ransomware όσο και άλλες προηγμένες απειλές προτού θέσουν σε κίνδυνο τα δεδομένα σας. Μάθετε περισσότερα για το Sophos MTR σήμερα.

Βέλτιστες πρακτικές για να σταματήσετε το ransomware 

Όποιο και αν είναι το μέγεθος της επιχείρησής σας και σε όποιου τύπου βιομηχανία δραστηριοποιήστε, σας συνιστούμε να ακολουθήσετε τις παρακάτω βέλτιστες πρακτικές για να ελαχιστοποιήσετε τον κίνδυνο να πέσετε θύμα μιας επίθεσης ransomware:

• Εκπαιδεύστε τους χρήστες σας. Διδάξτε τους για τη σημασία των ισχυρών κωδικών πρόσβασης και αναπτύξτε τον έλεγχο ταυτότητας δύο παραγόντων όπου κι αν βρίσκεστε.
• Προστατεύστε τα δικαιώματα πρόσβασης. Δώστε στους λογαριασμούς χρηστών και στους διαχειριστές μόνο τα απολύτως απαραίτητα δικαιώματα πρόσβασης που χρειάζονται και τίποτε άλλο.
• Να λαμβάνετε τακτικά αντίγραφα ασφαλείας – και διατηρήστε τα εκτός δικτύου ή σε άλλη τοποθεσία όπου οι εισβολείς δεν μπορούν να τα βρουν. Θα μπορούσαν να είναι η τελευταία σας γραμμή άμυνας έναντι μίας εξαψήφιας πληρωμής για λύτρα.
• Να εγκαθιστάτε patches νωρίς, και συχνά. Τα προγράμματα ransomware, όπως το WannaCry και το NotPetya, βασίστηκαν σε unpatched ευπάθειες για να εξαπλωθούν σε όλο τον κόσμο.
• Κλειδώστε το RDP σας. Απενεργοποιήστε το RDP αν δεν το χρειάζεστε και χρησιμοποιήστε rate limiting, 2FA ή VPN, αν το κάνετε.
• Βεβαιωθείτε ότι η προστασία εισβολών/ παραβιάσεων είναι ενεργοποιημένη. Το Ryuk και άλλοι τύποι ransomware επιχειρούν να απενεργοποιήσουν την προστασία endpoint σας. Η προστασία «tamper» έχει σχεδιαστεί για να αποτρέπει κάτι τέτοιο.
• Εκπαιδεύστε την ομάδα σας σχετικά με το ηλεκτρονικό ψάρεμα. Το ηλεκτρονικό “ψάρεμα” (phishing) είναι ένας από τους κύριους μηχανισμούς παράδοσης του ransomware.
• Χρησιμοποιήστε προστασία κατά των ransomware. Το Sophos Intercept X και το XG Firewall έχουν σχεδιαστεί για να λειτουργούν χέρι-χέρι για την καταπολέμηση του ransomware και των επιπτώσεών του. Το Sophos Managed Threat Response (MTR) παρέχει μια ομάδα κυνηγών απειλών, που αναζητά ανιχνεύει και εξουδετερώνει τις επιθέσεις που απαιτούν ανθρώπινη παρέμβαση.

Στην Sophos δηλώνουν ενθουσιασμένοι που επεκτείνουν την προστασία των πελατών τους ενάντια στις πλέον προηγμένες απειλές με το λανσάρισμα μίας ολοκαίνουριας υπηρεσίας: την Sophos Managed Threat Response (MTR). Η μεταπωλούμενη υπηρεσία παρέχει στους οργανισμούς μία εξειδικευμένη ομάδα ασφάλειας επί 24ώρου βάσεως, και για 7 ημέρες την εβδομάδα για την εξουδετέρωση των πλέον εξελιγμένων και πολύπλοκων απειλών.

Λίγοι οργανισμοί έχουν τα σωστά εργαλεία, τους ανθρώπους και τις διαδικασίες για να διαχειρίζονται αποτελεσματικά το πρόγραμμα ασφαλείας τους όλο το εικοσιτετράωρο, ενώ παράλληλα και προληπτικά αμύνονται απέναντι σε νέες και ανερχόμενες απειλές. Σε αντίθεση με πολλές υπηρεσίες MDR που εστιάζουν αποκλειστικά στην παρακολούθηση των απειλών ή στην ενημέρωση για απειλές, η ομάδα MTR της Sophos προχωράει σε στοχευμένες ενέργειες εκ μέρους σας για να εξουδετερώσει ακόμη και τις πιο εξελιγμένες και πολύπλοκες απειλές.

Με το Sophos MTR, ο οργανισμός σας είναι οπλισμένος 24 ώρες το 24ωρο. 7 ημέρες την εβδομάδα, με μία ομάδα που αποτελείται από κυνηγούς απειλών και από ειδικούς στις ανταποκρίσεις που:

• Κυνηγούν προληπτικά και επικυρώνουν πιθανές απειλές και συμβάντα
• Χρησιμοποιούν όλες τις διαθέσιμες πληροφορίες για να καθορίσουν το εύρος και τη σοβαρότητα των απειλών
• Εφαρμόζουν το κατάλληλο επιχειρηματικό πλαίσιο για τις πραγματικές απειλές
• Παρέχουν συμβουλές για την αντιμετώπιση της αιτίας των επαναλαμβανόμενων περιστατικών
• Ξεκινούν ενέργειες για να διακόψουν, να περιορίσουν και να εξουδετερώσουν τις απειλές από απόσταση

Μηχανικώς επιταχυνόμενη ανθρώπινη ανταπόκριση

Βασισμένη στο Intercept X Advanced με τεχνολογία EDR, η τεχνολογία Sophos MTR συνδυάζει τεχνολογία μηχανικής εκμάθησης και εξειδικευμένη ανάλυση για βελτιωμένο κυνήγι και ανίχνευση απειλών, βαθύτερη διερεύνηση προειδοποιήσεων και στοχευμένες ενέργειες για την εξάλειψη των απειλών με ταχύτητα και ακρίβεια. Αυτή η συγχώνευση της κορυφαίας προστασίας τερματικών συσκευών (endpoint) της Sophos και του ευφυούς EDR, με μια παγκόσμια ομάδα εμπειρογνωμόνων σε θέματα ασφάλειας, έχει ως αποτέλεσμα αυτό που ονομάζουμε «μηχανικώς επιταχυνόμενη ανθρώπινη ανταπόκριση».

Πλήρης διαφάνεια και έλεγχος

Το Sophos MTR είναι προσαρμόσιμο, με διαφορετικές βαθμίδες εξυπηρέτησης και τρόπους ανταπόκρισης για την κάλυψη των μοναδικών και εξελισσόμενων αναγκών των οργανισμών όλων των μεγεθών και των επιπέδων ωριμότητας.

Με το Sophos MTR είστε υπεύθυνοι των αποφάσεων, και έχετε τον έλεγχο του πως και πότε κλιμακώνονται τα πιθανά περιστατικά, σε ποιες ενέργειες ανταπόκρισης (αν υπάρχουν) επιθυμείτε να προχωρήσει η ομάδα της Sophos και ποιος πρέπει να συμπεριληφθεί στις επικοινωνίες. Το Sophos MTR διαθέτει τρεις λειτουργίες ανταπόκρισης, ώστε να μπορείτε να επιλέξετε τον καλύτερο τρόπο για την ομάδα MTR που θα εργαστεί μαζί σας κατά τη διάρκεια περιστατικών:

• Ειδοποίηση: Η ομάδα της Sophos σας ειδοποιεί σχετικά με την ανίχνευση και παρέχει πληροφορίες που θα σας βοηθήσουν στην ιεράρχηση προτεραιοτήτων και στην ανταπόκριση.
• Συνεργασία: Η ομάδα της Sophos θα συνεργαστεί με την εσωτερική ομάδα του οργανισμού ή με εξωτερικά σημεία επαφής για να ανταποκριθεί στην ανίχνευση.
• Εξουσιοδότηση: Η ομάδα της Sophos θα αναλάβει δράσεις περιορισμού και εξουδετέρωσης και θα σας ενημερώσει για τις ενέργειες που έχουν ληφθεί.

Επισκεφθείτε την ιστοσελίδα Sophos.com/MTR ή κατεβάστε το datasheet για να μάθετε περισσότερα.

Η CyberArk είναι στην ευχάριστη θέση να ανακοινώσει ότι η προσφορά as-a-service CyberArk Privilege Cloud είναι τώρα διαθέσιμη στο Amazon Web Services (AWS) Marketplace.

To CyberArk Privilege Cloud είναι μία προσφορά SaaS που αναπτύχθηκε για την προστασία, τον έλεγχο και την παρακολούθηση της προνομιακής πρόσβασης, τοπικά (on-premises), στο cloud ή σε υβριδικά περιβάλλοντα.

Σχεδιασμένη από την σύλληψη της για ασφάλεια, η λύση CyberArk Privilege Cloud βοηθάει τους οργανισμούς να διαχειρίζονται αποτελεσματικά διαπιστευτήρια προνομιακών λογαριασμών και δικαιώματα πρόσβασης, να παρακολουθούν προληπτικά και να ελέγχουν την δραστηριότητα των προνομιούχων λογαριασμών αλλά και να ανταποκρίνονται άμεσα σε απειλές. Αυτή η πρόσθετη ασφάλεια έρχεται χωρίς την ανάγκη διαχείρισης επιπρόσθετης υποδομής τοπικά (στις εγκαταστάσεις της εταιρείας), οπότε και οι οργανισμοί μπορούν να εστιάσουν στις βασικές τους εργασίες.

Η διαθεσιμότητα του CyberArk Privilege Cloud σηματοδοτεί την τέταρτη προσφορά της CyberArk που διατίθεται στους πελάτες της εταιρείας μέσω του Amazon Web Services (AWS) Marketplace μετά τα Conjur Open Source, CyberArk Privileged Access Security Solution και CyberArk Privileged Access Security Solution for GovCloud, ενισχύοντας το βάθος της σχέσης της CyberArk με την AWS.

Η CyberArk είναι ένας έμπιστος ηγέτης στην ασφάλεια προνομιακής πρόσβασης, βοηθώντας τους κορυφαίους οργανισμούς στον κόσμο να προστατεύουν από εξωτερικούς επιτιθέμενους και από κακόβουλους εσωτερικούς παράγοντες (υπαλλήλους, γνώστες, insiders) στο σύννεφο, στις εγκαταστάσεις και παντού ενδιάμεσα. Οι οργανισμοί χρησιμοποιούν λύσεις της CyberArk για την προστασία των φόρτων εργασίας cloud που αναπτύσσουν και εκτελούν στο AWS, προστατεύοντας τους προνομιακούς λογαριασμούς και τα διαπιστευτήρια τους σε κάθε στάδιο του ταξιδιού τους στο σύννεφο.

Το CyberArk Privilege Cloud προσφέρει υποστήριξη σε πολλά ισχυρά integrations με το AWS για να ενισχύσει την ασφάλεια των περιουσιακών στοιχείων cloud των οργανισμών, συμπεριλαμβανομένης και της ενσωμάτωσης με την υπηρεσία AWS Security Token Service (STS) και την υπηρεσία Amazon Inspector. Οι πελάτες του CyberArk Privilege Cloud μπορούν επίσης να κατεβάσουν τη λύση AWS Automatic onboarding από το GitHub, το οποίο χρησιμοποιεί συμβάντα AWS CloudWatch για να ανιχνεύει πρόσφατα EC2 instances και να πραγματοποιεί αυτόματα το onboarding και την διαχείριση των προνομιούχων λογαριασμών.

Για να δείτε τις διαθέσιμες λύσεις CyberArk που είναι διαθέσιμες για λήψη και αγορά στο AWS Marketplace, κάντε κλικ εδώ!

Είναι κρίσιμης σημασίας οι άμυνες σας να εξελίσσονται ταχύτερα από τις τεχνικές επίθεσης. Σε διαφορετική περίπτωση οι επιτιθέμενοι θα βρίσκονται ένα βήμα μπροστά από εσάς. Για να αποκτήσετε την κατάλληλη προστασία, παρακάτω θα βρείτε τρία ερωτήματα που θα μπορούσατε να θέσετε για την λύση προστασίας endpoint που χρησιμοποιείτε ή σκοπεύετε να χρησιμοποιήσετε στην επιχείρηση σας:

Διαθέτει η λύση σας την κορυφαία στην βιομηχανία τεχνολογία anti–exploit; Θα πρέπει να είναι σε θέση να αποτρέπει την πρόσβαση και την εκμετάλλευση κενών ασφαλείας ή ευπαθειών στο λογισμικό σας από επιτιθέμενους.

Πως η λύση σας αποτρέπει τις επιθέσεις που δεν έχει ξανασυναντήσει; Το αμυντικό σύστημα σας θα πρέπει να είναι σε θέση να ανιχνεύει πρωτόγνωρα, άγνωστα και προηγουμένως μη ταυτοποιημένα εκτελέσιμα αρχεία.

Στην περίπτωση που το ransomware βρει τρόπο να εισέλθει σε μία από τις τερματικές συσκευές σας, πως θα το αντιμετωπίσει η λύση σας; Η καλύτερη στην κλάση της λύση δεν θα πρέπει μόνο να αποτρέπει τις επιθέσεις, αλλά θα πρέπει επίσης να είναι σε θέση να επαναφέρει τα αρχεία που έχουν προσβληθεί στην προηγούμενη, ασφαλή κατάσταση τους.

Δώστε στον οργανισμό ή στην επιχείρηση σας τις καλύτερες δυνατές κυβερνοάμυνες με το Intercept X with EDR. Συνδυάζονται κορυφαίες τεχνολογίες προστασίας με ευφυές EDR, το Intercept X προσφέρει απαράμιλλη προστασία και ανταπόκριση ενάντια στις απειλές.

Δοκιμάστε το, και δείτε από μόνοι σας για ποιον λόγο όλο και περισσότεροι πελάτες εμπιστεύονται την κυβερνοασφάλεια τους στην Sophos.

Μετά τo άρθρο «Ασφάλεια με γνώμονα τον χρήστη: μετατρέποντας τους ανθρώπους σε περιουσιακά στοιχεία ασφάλειας», παρακάτω θα βρείτε τα τρία βασικά βήματα που πρέπει να κάνετε για να μετατρέψετε τους χρήστες σας από έναν βασικό κίνδυνο στο καλύτερο σας περιουσιακό στοιχείο ασφαλείας.

Βήμα 1 – Εκπαιδεύστε τους χρήστες σας

Δημιουργήστε ένα ειδικά προσαρμοσμένο πρόγραμμα εκπαίδευσης για τους υπαλλήλους σας που να καλύπτει όλους τους τομείς ασφάλειας, αλλά και να δίνει ιδιαίτερη έμφαση στα δεδομένα. Αυτό θα διδάξει στους χρήστες την αξία των δεδομένων που διαχειρίζονται, ώστε να διασφαλιστεί ότι χειρίζονται ή εργάζονται με τα δεδομένα κατά τέτοιο τρόπο που να συμμορφώνεται με τις πολιτικές εσωτερικής ασφάλειας και που τηρεί τους σχετικούς κανονισμούς.

Βήμα 2 – Ταξινομήστε τα δεδομένα σας

Πώς μπορείτε να προστατεύσετε κατάλληλα τα δεδομένα αν δεν γνωρίζετε την πραγματική τους αξία; (Απάντηση: ΔΕΝ ΜΠΟΡΕΙΤΕ!). Για παράδειγμα είναι το ίδιο πράγμα με το να μετακομίσετε σε ένα νέο σπίτι. Αν το φορτηγό είναι γεμάτο με καφέ κουτιά χωρίς ετικέτες, πως θα βρείτε άκρη στο χάος; Ακριβώς το ίδιο ισχύει και για τα δεδομένα. Θα πρέπει να είστε σε θέση να εντοπίσετε γρήγορα πόσο ευαίσθητο είναι το περιεχόμενο και πως θα πρέπει να διαχειρίζεται, να αποθηκεύεται και να προστατεύεται στη συνέχεια. Ο Boldon James Classifier εφαρμόζει ταυτόχρονα οπτικές ετικέτες και μεταδεδομένα για να εξασφαλίσει ότι οι χρήστες και οι downstream τεχνολογίες διαχειρίζονται τα δεδομένα καταλλήλως. Ο ταξινομητής είναι ένα εργαλείο με γνώμονα το χρήστη που ζητά από τους χρήστες να ταξινομήσουν τα δεδομένα τη στιγμή της δημιουργίας τους. Προκειμένου να αποφευχθούν τα λάθη και να βελτιωθεί περαιτέρω η εκπαίδευση των χρηστών, το εργαλείο σαρώνει τα δεδομένα για να διασφαλίσει ότι η επιλεγμένη ετικέτα τηρεί τις πολιτικές σας και αποτρέπει την «υπο-ταξινόμηση» (να μην έχουν ταξινομηθεί σωστά ή καταλλήλως) των δεδομένων. Συνεπώς, ουσιαστικά η εργασία γίνεται υπό τη βάση «Trust but Verify».

Βήμα 3 – Βελτιώστε τις υπάρχουσες τεχνολογίες σας και επιβάλλετε τις πολιτικές ασφαλείας σας

Η κατάρτιση των χρηστών και η ταξινόμηση δεδομένων επιτρέπουν στις επιχειρήσεις να εφαρμόζουν τις πολιτικές ασφαλείας τους με τρόπο που είναι δύσκολο να επιτευχθεί με οποιοδήποτε άλλο μέσο. Τα μεταδεδομένα που εφαρμόζονται κατά τη διαδικασία ταξινόμησης μπορούν να διαβαστούν από διάφορες συμπληρωματικές τεχνολογίες και να βελτιώσουν την απόδοσή τους. Για παράδειγμα, τα εργαλεία πρόληψης απώλειας δεδομένων (Data Loss Prevention, DLP) μπορούν απλά να σαρώσουν τα μεταδεδομένα και να εφαρμόσουν σχετικούς κανόνες διαχείρισης με βάση το παραπάνω.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Στην Sophos είναι ενθουσιασμένοι που ανακοινώνουν ότι η Gartner αναγνώρισε τη Sophos ως Visionary (Οραματιστή) στην έκθεση Magic Quadrant (Μαγικό Τεταρτημόριο) για τη κατηγορία Network Firewall για το έτος 2019.

Στην Sophos πιστεύουν ότι αυτή η αναγνώριση επιβεβαιώνει ότι το Sophos XG Firewall είναι ένα από τα καλύτερα τείχη προστασίας επόμενης γενιάς στην αγορά.

Στην Sophos, εξελίσσουν και ωθούν τον χώρο του δικτυακού τείχους προστασίας μακρύτερα:

• H Sophos έχει αναπτύξει το απόλυτο οικοσύστημα κυβερνοασφαλείας για διαχείριση, ορατότητα και προστασία με την βασισμένη στο σύννεφο πλατφόρμα διαχείρισης Sophos Central και την Συγχρονισμένη Ασφάλεια (Synchronized Security).
• Η Sophos άλλαξε την βιομηχανία προς το καλύτερο με το Security Heartbeat και την ενσωμάτωση του XG Firewall με το Intercept X – παρέχοντας την απόλυτη ορατότητα σε απειλές και κορυφαία στον κλάδο προστασία και ανταπόκριση.
• Επιπλέον η Sophos ανταποκρίνεται στις αναπτυσσόμενες ανάγκες των επιχειρήσεων καθώς μετακινούν τα κέντρα δεδομένα τους και την χρήση των εφαρμογών τους στο σύννεφο, παρέχοντας ορατότητα στην χρήση εφαρμογών cloud και προστασία υποδομής cloud.

Στην Sophos λένε ότι η τοποθέτηση της στο τεταρτημόριο των «Οραματιστών» στην έκθεση Μαγικό Τεταρτημόριο Δικτυακού Τείχους Προστασίας για το 2019 αποτελεί μαρτυρία της συνεχιζόμενης:

• στρατηγικής cloud και καινοτομίας στα προϊόντα της
• ανταπόκρισης της στην αντιμετώπιση των κορυφαίων προκλήσεων της βιομηχανίας
• συγχρονισμένης ασφάλειας και δυνατότητας προστασίας της
• του ισχυρού οράματός της και της αδυσώπητης εκτέλεσης του roadmap της
• εξαιρετικής εμπειρίας των πελατών της

Και μόλις ξεκίνησαν, λένε στην Sophos. Νέες πρωτοποριακές ανακαλύψεις στην δικτυακή ορατότητα/ προβολή, στην προστασία και στην απόδοση έρχονται σύντομα στο XG Firewall με την 18^η έκδοση (v18) που αναμένεται να διατεθεί μέσω ενός προγράμματος πρόωρης πρόσβασης αυτό τον μήνα.

Για να μάθετε τι λέει η Gartner για την αγορά Enterprise Firewall κατεβάστε την πλήρη έκθεση Magic Quadrant από εδώ (απαιτείται εγγραφή).

Η τεχνητή νοημοσύνη, η ανάλυση της συμπεριφοράς των χρηστών, και το μοντέλο «zero-trust», αποτελούν σήμερα τις λέξεις και έννοιες που κυριαρχούν σήμερα στο «λεξιλόγιο» όσων ανήκουν στην βιομηχανία της ασφάλειας πληροφορικής.

Οι εξελίξεις στην τεχνολογία κυβερνοασφάλεια που έχουν γίνει τα τελευταία χρόνια είναι εκπληκτικές, εξελίξεις που είναι απολύτως απαραίτητες καθώς προοδεύουμε προς έναν ασφαλέστερο κόσμο. Μια βασική παραδοχή σε πολλές από αυτές τις εξελίξεις είναι ότι οι άνθρωποι είναι απλώς ένας κίνδυνος που πρέπει να μετριαστεί από την τεχνολογία.

Σε κάποιο βαθμό, αυτή είναι η απολύτως σωστή προσέγγιση. Ωστόσο, παρά τα όσα έχουμε πετύχει από τεχνολογικής άποψης, κακόβουλοι παράγοντες θα υπάρχουν πάντα και οι άνθρωποι θα συνεχίσουν να κάνουν αθώα ή αφελή λάθη. Η τεχνολογία δεν είναι δυνατόν να δώσει τη λύση σε κάθε πρόβλημα. Πως μπορούμε να μετριάσουμε αποτελεσματικά όμως αυτόν τον κίνδυνο; Ενδεχομένως θα πρέπει να υιοθετήσουμε μια πιο θετική προσέγγιση. μια προσέγγιση της οποίας στόχος είναι να μετατραπεί ο άνθρωπος από επικίνδυνος για την ασφάλεια σε ένα περιουσιακό στοιχείο ασφαλείας. Με λίγα λόγια: ασφάλεια με γνώμονα τον χρήστη (user driven security).

Τι εννοούμε με το «ασφάλεια με γνώμονα τον χρήστη»;

Η ασφάλεια με γνώμονα τον χρήστη είναι μια μεθοδολογία που κατανοεί τον τρόπο με τον οποίο οι άνθρωποι αλληλεπιδρούν με τα δεδομένα, γιατί οι άνθρωποι κάνουν λάθη, αλλά και τους τρόπους για να εντοπιστούν και να αποτραπούν αθώα λάθη/ κακόβουλη δραστηριότητα. Χρησιμοποιώντας αυτές τις πληροφορίες, οι επιχειρήσεις είναι σε θέση να εφαρμόσουν μια απλή στρατηγική που περιλαμβάνει την εκπαίδευση των χρηστών για να κατανοήσουν πως να λειτουργούν με ασφαλέστερο τρόπο, ενσωματώνοντας την πολιτική ασφάλειας στην καθημερινή ροή εργασίας τους και χρησιμοποιώντας τις πληροφορίες που παρέχονται από χρήστες για την ενίσχυση της τεχνολογίας κυβερνοασφάλειας που χρησιμοποιείται ήδη από την επιχείρηση. Αυτή η διαδικασία μπορεί να κάνει τις επιχειρήσεις πιο ασφαλείς και πιο αποδοτικές.

Γιατί οι άνθρωποι θεωρούνται επικίνδυνοι;

Όταν δείτε την πληθώρα της έρευνας που είναι διαθέσιμη για τους λόγους που βρίσκονται πίσω από κάποια απώλεια δεδομένων και τις αιτίες, είναι ξεκάθαρο για ποιο λόγο οι άνθρωποι θεωρούνται κίνδυνος για την ασφάλεια. Για παράδειγμα, στατιστικά από το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ICO) στην Μ. Βρετανία για τις κύριες αιτίες περιστατικών που αφορούν την ασφάλεια δεδομένων καθώς και στις περιπτώσεις που ανέλαβε δράση, το ανθρώπινο σφάλμα και το διαδικαστικό σφάλμα τείνουν να είναι οι βασικές αιτίες. Πιο συγκεκριμένα, οι λόγοι τείνουν να είναι οι: απώλεια/ κλοπή φυσικών εγγράφων, δεδομένα που απεστάλησαν σε λάθος παραλήπτη ή η απώλεια/ κλοπή κάποιας μη κρυπτογραφημένης συσκευής. Είναι εύκολο να δούμε πως και γιατί τέτοια περιστατικά μπορούν να συμβούν τόσο εύκολα. Ας ρίξουμε μία ματιά σε τρεις από τις κύριες αιτίες:

• Οι άνθρωποι είναι απασχολημένοι και τεράστια ποσά δεδομένων δημιουργούνται κάθε δευτερόλεπτο
• Τα δεδομένα έχουν αρχίσει να γίνονται το πολυτιμότερο περιουσιακό στοιχείο μία επιχειρήσεις, γεγονός που ενθαρρύνει κακόβουλους παράγοντες να επιχειρούν να τα κλέψουν
• Οι επιχειρήσεις (και επομένως οι εργαζόμενοι) δεν έχουν την τάση να κατανοούν την αξία κάθε στοιχείου/ δεδομένου που δημιουργούν.

Με την αποτελεσματική χρήση της τεχνολογίας καταφέρνουμε να ξεπεράσουμε ορισμένες από αυτές τις προκλήσεις. Παρόλα αυτά, χρησιμοποιώντας μόνο την τεχνολογία, μένουν κενά και σε ορισμένες περιπτώσεις επηρεάζει αρνητικά την παραγωγικότητα.

Στο επόμενο, από τα τρία συνολικά μέρη του άρθρου, θα δούμε τα τρία βασικά βήματα που πρέπει να κάνετε για να προχωρήσετε στην υιοθέτηση μίας προσέγγισης με γνώμονα τον χρήστη.

Η εταιρεία Sophos, παγκόσμιος ηγέτης στην ασφάλεια δικτύων και τερματικών συσκευών, ανακοίνωσε πρόσφατα ότι το προϊόν Intercept X Advanced ονομάστηκε 2019 Best Small Endpoint Security Solution από την ανεξάρτητη εταιρεία SE Labs στην πρώτη, ετήσια έκθεση της (SE Labs Annual Report 2019).

Στη νέα της έκθεση, η SE Labs αναγνωρίζει το Intercept X Advanced ως την κορυφαία λύση endpoint threat protection (προστασία τερματικών συσκευών από απειλές) στη βιομηχανία, βασιζόμενη στην ισχυρή απόδοση του προϊόντος μετά από μήνες δοκιμών σε βάθος. Στα εργαστήρια της εταιρείας SE Labs «δοκιμάστηκαν και αξιολογήθηκαν περισσότερα από 50 διαφορετικά προϊόντα χρησιμοποιώντας πάνω από 5 χιλιάδες στοχευμένες επιθέσεις.

Οι επιθέσεις του είδους διεξήχθησαν με ρεαλιστικό τρόπο χρησιμοποιώντας δημοσίως διαθέσιμα εργαλεία hacking». Σύμφωνα με την έρευνα, «για να διασφαλιστεί ότι οι δοκιμές και τα τεστ είναι όσο ρεαλιστικά και χρήσιμα γίνεται, παρακολουθούμε real-world παραβιάσεις από τεχνικής σκοπιάς. Και αυτό μας επιτρέπει να προσαρμόζουμε και να αλλάζουμε τις δοκιμές μας με παρόμοιο τρόπο για να εξομοιώσουμε τον τρόπο που λειτουργούν οι πραγματικοί επιτιθέμενοι».

Το Intercept X Advanced σταθερά κατατάσσεται στην υψηλότερη θέση όσον αφορά στην ανίχνευση και στην παρεμπόδιση επιθέσεων. Κατάφερε να επιτύχει 100% βαθμολογία συνολικής ακρίβειας (Total Accuracy Ratings) στην προστασία endpoint για μικρές και μεγάλες επιχειρήσεις στις εκθέσεις με τις συγκριτικές δοκιμές της SE Labs το τελευταίο έτος. Επίσης κατάφερε να αποσπάσει βαθμολογίες AAA σε κάθε δοκιμασία και συγκριτική δοκιμή/τεστ της SE Labs μέχρι σήμερα.

«Οι κυβερνοεγκληματίες εξελίσσουν διαρκώς τις μεθόδους τους, και πραγματοποιούν νέου τύπου επιθέσεις σε μία προσπάθεια να περνούν απαρατήρητοι, και να μην εντοπίζονται» δήλωσε ο Dan Schiappa, Chief Product Officer της Sophos. «Αυτοματοποιημένες, ενεργές επιθέσεις που έχουν στόχο επιχειρήσεις όλων των μεγεθών βρίσκονται σε άνοδο, και οι οργανισμοί χρειάζονται την προηγμένη προστασία endpoint περισσότερο από ποτέ. H Sophos έχει δεσμευτεί να σταματά τις άγνωστες, zero-day κυβερνοεπιθέσεις, καθώς και το ransomware, αλλά και άλλες επιθέσεις που επίμονα χρησιμοποιούν οι κυβερνοεγκληματίες. Αυτό το βραβείο αποτελεί επιβεβαίωση ότι βοηθούμε τους οργανισμούς να παραμείνουν ένα βήμα μπροστά (από τους κυβερνοεγκληματίες)» συμπλήρωσε ο κ. Schiappa.

Το Intercept X Advanced αποτελεί την πλέον εξελιγμένη λύση πρόληψης endpoint της βιομηχανίας, και αποτελείται από πολλαπλά επίπεδα ασφαλείας για να προσφέρει απαράμιλλη προστασία ενάντια στις προηγμένες επιθέσεις. Αξιοποιώντας τη τεχνολογία βαθιάς εκμάθησης και τεχνολογία anti-exploit, το Intercept X Advanced σταματάει το ευρύτερο φάσμα απειλών στην βιομηχανία χρησιμοποιώντας μία ολοκληρωμένη αμυντική προσέγγιση εις βάθος για την προστασία endpoint.

Ρωτήστε για αυτά τα τρία μεγάλα, προστατευτικά στρώματα ενάντια σε προηγμένες επιθέσεις

Πώς λοιπόν μπορείτε να εξασφαλίσετε ότι ο οργανισμός σας δεν θα είναι το επόμενο θύμα ransomware;

Καταρχήν, διαθέτει η λύση σας την κορυφαία τεχνολογία anti-exploit για να διασφαλίσει ότι οι επιτιθέμενοι δεν θα μπορέσουν να χρησιμοποιήσουν μη ενημερωμένα (unpatched) ευάλωτα προγράμματα λογισμικού για τη διανομή και εγκατάσταση του ransomware;

Το Sophos Intercept X Advanced μπλοκάρει περισσότερες τεχνικές exploit από οποιοδήποτε άλλο προϊόν προστασίας τερματικών συσκευών (endpoint protection) στην αγορά. Δεν αρκεί όμως να έχεις απλώς προστασία exploit: ο αριθμός των τεχνικών exploits από τις οποίες σας προστατεύει ένα προϊόν είναι επίσης εξαιρετικά σημαντικός. Ευτυχώς, αν τελικώς καταστεί δυνατό κάποιο exploit, το Intercept X Advanced έχει τις περισσότερες πιθανότητες από κάθε άλλη άμυνα ή προστασία στον κόσμο για να το «εξουδετερώσει».

Σε περίπτωση που δεν εμποδιστεί μία επίθεση – ή κάποιο exploit – με ποιο τρόπο η λύση σας μπορεί να σταματήσει επιθέσεις που δεν έχει ξαναδεί ποτέ;

Η βραβευμένη μηχανή βαθιάς εκμάθησης της Sophos μπορεί να εντοπίσει άγνωστα, αόρατα και προηγουμένως μη αναγνωρισμένα εκτελέσιμα με μεγαλύτερη ακρίβεια –το μαντέψατε- από οποιοδήποτε άλλο πάροχο προϊόντων ασφαλείας στην αγορά.

Και αν τελικά, συμβεί το αδιανόητο – και το ransomware βρει τελικά τον δρόμο του προς κάποια από τις τερματικές συσκευές σας και ξεκινήσει την εκτέλεση- με ποιο τρόπο η λύση σας θα αντιμετωπίσει τη κατάσταση;

Η μοναδική στον κόσμο τεχνολογία anti-ransomware με την ονομασία CryptoGuard που βρίσκεται στο Intercept X Advanced όχι μόνο προσφέρει την καλύτερη προστασία απέναντι στο ransomware στον πλανήτη σταματώντας ουσιαστικά τις επιθέσεις άμεσα, αλλά χρησιμοποιεί επίσης ιδιόκτητη τεχνολογία «σκιωδών αντιγράφων» (shadow copy) για να επαναφέρει τα αρχεία που έχουν προσβληθεί σε προηγούμενες, ασφαλείς καταστάσεις και καθαρίζει τις επηρεασμένες καταχωρήσεις μητρώου – και όλα τα παραπάνω σε ένα ανοιγοκλείσιμο των ματιών. Βλέπετε, δεν αρκεί να σταματήσει κάποιος μια επίθεση ransomware: πρέπει επιπλέον να την αντιστρέψει και να την καθαρίσει ώστε να μπορείτε να συνεχίσετε ανενόχλητοι με τα «μηχανήματα» την ημέρα σας.

Οι παραπάνω είναι μόνο τρεις από τους τρόπους με τους οποίους το Intercept X Advanced μπορεί να σταματήσει και να ανατρέψει μια επίθεση ransomware, συνοδευόμενη από μια πολύ μεγάλη λίστα χαρακτηριστικών προ-εκτέλεσης, εκτέλεσης και μετα-εκτέλεσης.

Μόνο αν το δείτε, θα το πιστέψετε

Στο παρακάτω βίντεο μπορείτε να δείτε τι συμβαίνει όταν μία δημοφιλής παραλλαγή ransomware βρίσκεται αντιμέτωπη με τη τεχνολογία Intercept X.

Δοκιμάστε το!

Φυσικά, ο καλύτερος τρόπος για να διαπιστώσετε την δύναμη του Intercept X Advanced είναι να το δοκιμάσετε από μόνοι σας. Κατεβάσετε την δωρεάν δοκιμαστική έκδοση των 30 ημερών και σε μερικά λεπτά θα είστε έτοιμοι. Εξελίξτε τις άμυνες σας, από σήμερα!

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Οι παραβιάσεις δεδομένων βρίσκονται σε άνοδο – είναι γεγονός. Και σε εποχές σαν αυτές, είναι σημαντικό να αναρωτηθείτε – επαγρυπνείτε; Και το κυριότερο, είστε ενήμεροι και πληροφορημένοι;

Τα ακόλουθα στοιχεία προκύπτουν από την πρόσφατη έκθεση της Verizon για το 2019. Στην έκθεση με τον τίτλο «2019 Verizon Data Breach Investigations Report» προσδιορίζονται τόσο εκείνοι που βρίσκονται πίσω από τις παραβιάσεις, όσο και τα θύματα. Στην έκθεση εξετάστηκαν 41686 περιστατικά ασφαλείας, εκ των οποίων τα 2013 επιβεβαιώθηκαν ότι ήταν παραβιάσεις δεδομένων,

Τα θύματα

Αναφορικά με τα δημογραφικά στοιχεία των θυμάτων και την βιομηχανική ανάλυση ειδικότερα, από τις 20 βιομηχανίες που καλύπτει η έκθεση, μόνο ο Δημόσιος τομέας βρέθηκε σε υψηλότερη θέση από την Υγειονομική Περίθαλψη και τον Χρηματοπιστωτικό τομέα, για τον αριθμό των καταγεγραμμένων παραβιάσεων.

• Το 16% ήταν παραβιάσεις οντοτήτων του Δημοσίου τομέα
• Το 15% ήταν παραβιάσεις που σχετίζονταν με οργανισμούς Υγειονομικής περίθαλψης
• Το 10% αφορούσαν παραβιάσεις δεδομένων στην χρηματοπιστωτική βιομηχανία

Οι συγκεκριμένες βιομηχανίες παραμένουν στις τρεις πρώτες θέσεις όσον αφορά στα επηρεαζόμενα θύματα, και δεν αποτελεί έκπληξη, που ταυτόχρονα είναι και οι τρεις βιομηχανίες που κατέχουν τα περισσότερα προσωπικά αναγνωρίσιμα στοιχεία (Personally Identifiable Information, PII) και ευαίσθητα δεδομένα των καταναλωτών. Πράγματι, σύμφωνα με την έρευνα, εσωτερικά δεδομένα, διαπιστευτήρια και προσωπικές πληροφορίες κατέχουν την υψηλότερη θέση στα είδη δεδομένων που  διακυβεύονται κατά τις παραβιάσεις.

Ειδικά οι οργανισμοί υγειονομικής περίθαλψης διαθέτουν τεράστιες ποσότητες προστατευμένων πληροφοριών υγειονομικής περίθαλψης (PHI), που αν βρεθούν σε λάθος χέρια, θα μπορούσαν να είναι επιζήμιες για όλους τους εμπλεκόμενους. Σύμφωνα με την τελευταία έκθεση της HIPAA Journal, «April 2019 Healthcare Data Breach Report» (HIPPA, Health Insurance Portability and Accountability Act), ο περασμένος Απρίλης ήταν ο χειρότερος μήνας από την άποψη του αριθμού των παραβιάσεων δεδομένων υγειονομικής περίθαλψης από τον Οκτώβριο του 2009, δηλαδή από τότε που ξεκίνησαν οι εκθέσεις του είδους. Για παράδειγμα, οι Gulf Coast Pain Consultants, LLC d/b/a Clearway Pain Solutions Institute ανακοίνωσαν πρόσφατα ότι κάποιοι απέκτησαν μη εξουσιοδοτημένη πρόσβαση στο ηλεκτρονικό σύστημα ιατρικών αρχείων τους (Electronic Medical Record System), με αποτέλεσμα την έκθεση σχεδόν 35 χιλιάδων αρχείων με δεδομένα και πληροφορίες ασθενών, στα οποία συμπεριλαμβάνονταν οι αριθμοί κοινωνικής ασφάλισης και πληροφορίες που σχετίζονται με ασφάλειες ζωής ή ιατροφαρμακευτικής περίθαλψης κ.ά.

Οι ένοχοι

Οπότε ποιος είναι ο υπεύθυνος; Στην έκθεση προσδιορίζεται ότι η κύρια απειλή είναι επιτιθέμενοι εκτός των οργανισμών που χρησιμοποιούν διάφορες τεχνικές hacking ή malware μεταξύ άλλων. Παρόλα αυτά, μία κρίσιμης σημασίας διαπίστωση, είναι ότι εκτός από τους εξωτερικούς παράγοντες, υπάρχει και η απειλή της κατάχρησης προνομίων και της κακομεταχείριση δεδομένων από υπαλλήλους και γενικότερα από το εσωτερικό των οργανισμών που οδηγούν σε παραβιάσεις δεδομένων.

• Το 69% των παραβιάσεων προκλήθηκαν από εξωτερικούς παράγοντες
• Το 34% των παραβιάσεων αφορούσε εσωτερικούς παράγοντες
• Το 15% οφειλόταν σε κακοδιαχείριση ή κακή χρήση (προνομίων) από εξουσιοδοτημένους χρήστες

Από τα προαναφερθέντα στοιχεία, είναι σαφές ότι η απειλή από τους «insiders» (που προέρχεται από το εσωτερικό ενός οργανισμού για παράδειγμα) είναι ανάλογη με εκείνη των εξωτερικών παραγόντων και δεν πρέπει να αγνοείται.

Πρόσφατες αναφορές υποδεικνύουν ότι αρκετό καιρό πριν τα Facebook, Twitter και Instagram, υπάλληλοι του MySpace καταχράζονταν τα δικαιώματα πρόσβασης τους χρησιμοποιώντας ένα ειδικό εργαλείο για να κατασκοπεύουν τους χρήστες. Και τον ερχόμενο μήνα μαθεύτηκε ότι υπάλληλοι του Snapchat έκαναν ακριβώς το ίδιο πράγμα για να έχουν πρόσβαση στην τοποθεσία των χρηστών, για να αποθηκεύουν Snaps, τηλεφωνικούς αριθμούς και διευθύνσεις ηλεκτρονικού ταχυδρομείου.

Η σημασία της επαγρύπνησης

Είναι πολύ σημαντικό να αναγνωρίσετε, ότι όταν συμβαίνουν παραβιάσεις, μερικές φορές μπορούν να περάσουν απαρατήρητες για μεγάλο χρονικό διάστημα. Στην πρόσφατη έκθεση της Verizon, «2019 Verizon Data Breach Investigations Report», επισημαίνεται ότι στο 56% των παραβιάσεων χρειάστηκε μήνας ή και μεγαλύτερο χρονικό διάστημα για να γίνουν αντιληπτές. Και αυτό είναι κάτι που πρέπει να σας βάλει σε σκέψεις λαμβάνοντας υπόψη τις πρόσφατες αλλαγές στην νομοθεσία και στους κανονισμούς προστασίας των δεδομένων σε παγκόσμιο επίπεδο. Το αποτέλεσμα τέτοιων αποκλίσεων –χρονικά- μπορεί να οδηγήσει σε καταστροφικά, δυσβάσταχτα πρόστιμα και σε ανεπανόρθωτη βλάβη της φήμης του οργανισμού σας, μεταξύ άλλων επιζήμιων συνεπειών.

Είναι λοιπόν κρίσιμης σημασίας να κάνετε τους υπαλλήλους σας να αναλάβουν κάποιον ρόλο στην ομάδας ασφαλείας του οργανισμού σας, καθώς πρόκειται για ένα από τα μεγαλύτερα περιουσιακά σας στοιχεία στο οικοσύστημα ασφαλείας σας. Αν εμφυσήσετε τη νοοτροπία «πρώτα έρχεται η ασφάλεια» στους χρήστες σας, θα σας βοηθήσει στον τομέα της «επαγρύπνησης»: στην αναγνώριση κάποιας δυνητικά ύποπτης συμπεριφοράς καθώς και στην διαχείριση των ευαίσθητων δεδομένων με την απαραίτητη υπευθυνότητα.

Παράλληλα με το άγρυπνο προσωπικό σας, το λογισμικό ταξινόμησης δεδομένων μπορεί επίσης να παίξει καθοριστικό ρόλο στην πρόληψη των παραβιάσεων δεδομένων, βοηθώντας στην ευαισθητοποίηση των χρηστών και στον έλεγχο των δεδομένων, με στόχο την προστασία των κρίσιμης σημασίας δεδομένων της επιχείρησης, και προσφέροντας ενσωματωμένα εργαλεία αναφοράς, όπως το Boldon James Classifier Reporting, για να σας βοηθήσουν με την παρακολούθηση και το reporting περιστατικών ταξινόμησης, καθώς και με την διαχείριση των ταξινομημένων δεδομένων εντός του οργανισμού.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Για να κατανοήσετε την ανάγκη του Endpoint Detection and Response (EDR), ας αρχίσουμε με μία συζήτηση για το περιβάλλον κυβερνοασφάλειας.

Για να δώσουμε μία αίσθηση της κλίμακας, οι ειδικοί και οι εμπειρογνώμονες στην κυβερνοασφάλεια που εργάζονται στην SophosLabs επεξεργάζονται σε καθημερινή βάση 500 χιλιάδες πρωτοεμφανιζόμενων, άγνωστων δειγμάτων κακόβουλου λογισμικού (malware). Το 2018, σε έκθεση του, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) ανέφερε ότι ανακαλύφθηκαν 16451 ευπάθειες και κενά ασφάλειας λογισμικού. Η πρόκληση λοιπόν για τους αμυνόμενους γίνεται όλο και μεγαλύτερη, και οδηγεί στην επιθυμία για καλύτερες δυνατότητες ορατότητας και ανίχνευσης.

Οι οργανισμοί έχουν να αντιμετωπίσουν πολλαπλές απειλές που προσπαθούν να διεισδύσουν στο περιβάλλον τους σε καθημερινή βάση. Όπως είναι φυσικό, πολλές από αυτές τις απειλές σταματούν άμεσα από τις ισχυρές άμυνες κυβερνοασφάλειας. Αλλά εκείνες που είναι «evasive», ασυνήθιστες ή άγνωστες μπορεί να καταφέρουν να ξεγλιστρήσουν, και εκεί είναι που παίζει ρόλο το EDR, δηλαδή μία λύση ανίχνευσης και απόκρισης, που δημιουργήθηκε από την ανάγκη να συμπληρώσει τα υφιστάμενα εργαλεία προστασίας τερματικών συσκευών.

Για να καταστεί το παραπάνω ακόμα περισσότερο κατανοητό, ας χρησιμοποιήσουμε ένα οπτικό παράδειγμα:

1. Καλοπροαίρετα

Πρόκειται για ακίνδυνα προγράμματα που αποτελούν μέρος της καθημερινότητας στη συντριπτική πλειονότητα των οργανισμών, όπως είναι τα Microsoft Word, Outlook, Chrome κ.ά. Δεν θέλουμε να παρεμβαίνουμε στη λειτουργία τους, καθώς κάτι τέτοιο θα μπορούσε να προκαλέσει διαταραχές στην ευρύτερη λειτουργία της επιχείρησης.

2. Γκρίζα περιοχή ή «το κενό»

Αυτός ο τομέας αφορά στοιχεία που δεν είναι ξεκάθαρα καλοπροαίρετα ή κακοπροαίρετα και επομένως δεν είμαστε σε θέση να γνωρίζουμε αν πρέπει να τα αφήσουμε ή θα πρέπει να τα απαγορεύσουμε/ μπλοκάρουμε χωρίς περαιτέρω έρευνα χειροκίνητα.

Το EDR δημιουργήθηκε ακριβώς για αυτό το λόγο, για να διερευνά αυτή την γκρίζα περιοχή, αυτό «το κενό». Είναι πράγματι αυτά τα στοιχεία κακόβουλα ώστε να απαιτούν κάποια ενέργεια ή ανταπόκριση όπως η απομόνωση των συσκευών που έχουν προσβληθεί ή ο καθαρισμός τους; Είναι δυνητικά ανεπιθύμητες εφαρμογές (PUA) ή μήπως είναι κάτι καλοπροαίρετο που μπορεί να αγνοηθεί;

Καθώς οι απειλές εξελίσσονται, πολλές γίνονται όλο και λιγότερο ανιχνεύσιμες (είναι stealthier), χρησιμοποιώντας κάποιες ειδικές μεθόδους για να ξεγελούν τις λύσεις antivirus. Μία λύση EDR παρέχει στους οργανισμούς όλα τα εργαλεία που χρειάζονται για να ψάξουν για ύποπτους δείκτες παραβίασης (IOC, Indicators of Compromise) και  να επισημάνουν τέτοιες αφανείς απειλές.

3. Κακοπροαίρετα

Τα κακοπροαίρετα αρχεία θα πρέπει να μπλοκάρονται άμεσα από ισχυρές άμυνες τερματικών συσκευών και διακομιστών. Τέτοια αρχεία καταδικάζονται ως κακόβουλα και δεν απαιτείται η ανθρώπινη αλληλεπίδραση. Δυστυχώς κάποια εργαλεία EDR αποτυγχάνουν σε αυτό το σημείο, αφήνοντας το malware να ξεγλιστρήσει την ώρα που έπρεπε να είχε μπλοκαριστεί. Αυτό οφείλεται στο γεγονός ότι τα δυνατά τους σημεία εντοπίζονται στην μετά το συμβάν ανίχνευση, παρά στην προληπτική προστασία τους.

Τι να κοιτάξετε σε μία λύση EDR

Τα εργαλεία EDR μπορούν να διαφέρουν ποικιλοτρόπως όσον αφορά στο πόσο λεπτομερή ανάλυση πραγματοποιούν και πόσο εύχρηστα είναι. Τα βασικά ερωτήματα που πρέπει να τεθούν κατά την αξιολόγηση μίας λύσης EDR είναι:

• Χρειάζονται πρόσθετοι πόροι ή μπορείτε να αποκομίσετε αξία από τη λύση EDR με την τρέχουσα ομάδα σας;
• Σας βοηθά να θέσετε προτεραιότητες στο διαθέσιμο χρόνο σας, δείχνοντάς σας τα πιο ύποπτα στοιχεία;
• Μπορείτε να δείτε πώς έφτασε η πιθανή απειλή και με τι αλληλοεπίδρασε;
• Λαμβάνετε πληροφορίες σχετικά με το ύποπτο στοιχείο, όπως από τη μηχανική εκμάθηση ή από ειδικούς στην κυβερνοασφάλεια;
• Είναι εύκολο να αναλάβετε δράση όταν έχετε λάβει μια απόφαση; Για παράδειγμα, να αποκλείσετε μια απειλή ή να απομονώσετε μια συσκευή;

Διαβάστε το whitepaper της Sophos, «Top 5 Reasons You Need EDR»για να μάθετε περισσότερες λεπτομέρειες για το EDR και για ποιους λόγους έγινε μία αναγκαιότητα για τους περισσότερους οργανισμούς. Στη συνέχεια, ρίξτε μια ματιά στο Sophos Intercept X with EDR που συνδυάζει την κορυφαία προστασία της βιομηχανίας με ισχυρές, και απλές στην χρήση, δυνατότητες EDR.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.