júl 31, 2024 | Blog
Sok szervezetnél a technológiai és biztonsági csapatok közötti megosztottság jelentősen akadályozza az hatékony incidenskezelést.
Hagyományosan a technológiai és biztonsági csapatok különálló egységekként működtek, mindegyikük más-más szervezeti védelmi aspektusokra összpontosítva. A technológiai csapatok a rendszerfüggetlenség fenntartására és a felhasználói hibák, alkalmazások meghibásodása és katasztrófák utáni helyreállításra koncentrálnak, míg a biztonsági csapatok a határvédelemre és termelésbiztonságra fókuszálnak.
Egy kibertámadás során ez a koordináció hiánya kaotikus versenyfutáshoz vezethet az események megértése érdekében, ami meghosszabbíthatja az incidens idejét és súlyosbíthatja annak hatásait.
Az egységes megközelítés szükségessége
Az egységes incidenskezelési megközelítés racionalizálhatja a tevékenységeket, minimalizálhatja a károkat és javíthatja az átfogó biztonsági helyzetet. A csapatok közötti együttműködés elősegítése és az adatok betekintésének integrálása áthidalhatja ezt az operatív szakadékot. Egy hatékony incidenskezelés közös terminológiát és megértést igényel az adatkörnyezetről, lehetővé téve a technológiai és biztonsági csapatok zökkenőmentes együttműködését.
A Druva nemrég bejelentett egy új fenyegetésfelderítő funkciót, amely felgyorsítja az incidenskezelést az adatbiztonsági képességek növelésével.
Stephen Manley, a Druva CTO-ja egyetértett azzal, hogy a technológiai és biztonsági csapatok közötti hatékonyabb együttműködés elengedhetetlen, de hangsúlyozta az adatközpontú stratégiák fontosságát is, mondván: „Olyan jeleket látunk, amelyek segítenek jobban azonosítani a támadásokat és gyorsabban elhárítani a problémákat. Így a helyreállítás is könnyebbé válik, mert kevesebbet kell helyreállítani.”
Adatközpontú biztonsági stratégiák
A hagyományos határterület évekkel ezelőtt homályba merült, de a szervezetek által alkalmazott alapvető védelmi megoldások még mindig ezt a „vár és árok” filozófiát követik. Ezek a megoldások egyre kevésbé elegendőek a mai fenyegetési tájban.
Manley szerint a szervezeteknek prioritást kell adniuk az adatközpontú biztonsági stratégiáknak, amelyek az adatok teljes életciklusa során védelmezik és szabályozzák azokat. Ez a váltás lehetővé teszi az adatmozgások jobb láthatóságát, a fenyegetések hatékonyabb észlelését és az incidenskezelés javítását.
Az adatok egyedülálló perspektívát kínálnak, mintegy „kanári a szénbányában” korai figyelmeztető rendszert. „Az adatokra vonatkozó egyedi nézőpontunk lehetővé teszi, hogy értékes információkat adjunk vissza a biztonsági eszközöknek és az incidenskezelő csapatoknak,” jelentette ki Manely. „Ez segít nekik megérteni a támadások terjedését és pontosan feltérképezni azokat, ami végül hatékonyabb helyreállításhoz vezet.”
Automatizálás és mesterséges intelligencia kiaknázása a kiber védelemben
A fenyegetésfelderítés és az incidenskezelés jövője az automatizálás és a mesterséges intelligencia integrációjában rejlik. Ezek a technológiák forradalmasíthatják, hogy a szervezetek hogyan észlelik és kezelik a kiberfenyegetéseket, rejtett fenyegetéseket tárnak fel és lehetővé teszik a gyors válaszokat.
Az MI szerepe az IT-ban és a kiberbiztonságban gyorsan fejlődik. A rosszindulatú szereplők generatív MI-t használnak a társadalmi manipulációhoz és a környezetek jobb megértéséhez. A szervezeteknek az MI-t kell alkalmazniuk a valós idejű válaszadás érdekében.
Bár az emberi szereplők jelentős szerepet játszanak, az MI egyre inkább irányítja az észlelést és az elsődleges válaszadást.
Gyakorlati megvalósítás és előnyök
Egy egységes, adatközpontú megközelítés megvalósítása gyakorlati lépéseket és stratégiai beruházásokat igényel. A szervezeteknek a folyamatos monitorozásra, az MI integrálására a gyors válasz érdekében és az IT és biztonsági csapatok közötti együttműködés elősegítésére kell összpontosítaniuk.
Manley kiemeli ennek a megközelítésnek a gyakorlati előnyeit: „Ezt úgy látjuk, mint egy lehetőséget az ügyfelek számára, hogy elkezdjék használni a generatív MI-t anélkül, hogy jelentős infrastrukturális beruházásokra lenne szükségük. Bízzanak meg minket az adataik és biztonsági monitorozásukkal, és segíthetünk nekik gyorsabban és hatékonyabban válaszolni az incidensekre.”
Az incidenskezelés jövője
Az IT és biztonsági csapatok közötti szakadék áthidalása elengedhetetlen az hatékony incidenskezeléshez.
Ez a proaktív stratégia nemcsak racionalizálja az incidenskezelést, hanem biztosítja az adatgazdálkodás és védelem robustus voltát egy egyre összetettebb fenyegetési tájban.
Ahogy Manley tömören fogalmazza, „Nem elég riasztásokat generálni; a megfelelő információkat és az azonnali cselekvést kell biztosítanunk a fenyegetések megállításához.
Forrás: www.forbes.com
jún 7, 2024 | Blog
Kiberbiztonsági események áttekintése
A digitalizált kor számtalan előnyt hozott a vállalatok számára is, de ezzel együtt nőtt a kiberfenyegetések száma is. A következőkben a legjelentősebb és legtanulságosabb hackertámadásokat vesszük sorra, amelyek jelentős hatást gyakoroltak a globális kiberbiztonsági politikákra és a vállalatok működésére.
PayPal (2010)
2010 decemberében a PayPal váratlanul az Anonymous hackercsoport célkeresztjébe került, miután felfüggesztette a WikiLeaks adományozói fiókjait. Az aktivisták válasza gyors és határozott volt: egy DDoS támadás, amelyet a LOIC (Low Orbit Ion Cannon) eszközzel indítottak. Ez a támadás súlyos pénzügyi következményekkel járt a PayPal számára, és komoly befektetésekre kényszerítette őket a biztonsági infrastruktúra megerősítése érdekében. A támadás hosszú távú bizalmi problémákat is okozott, mivel az ügyfelek kétségbe vonták a szolgáltatás biztonságosságát.
Sony Pictures (2011)
A LulzSec hackercsoport 2011-ben célba vette a Sony Pictures-t, ami a szórakoztatóipar egyik legdurvább kibertámadásává vált. Az SQL-injekcióval elkövetett támadás során számos érzékeny adatot, köztük alkalmazottak adatait és kiadatlan filmeket loptak el. A támadás komoly reputációs károkat okozott a Sony-nak, hiszen felvetette a biztonsági intézkedések hatékonyságának kérdését, és hosszú távon megingatta a vállalatcsoport iránti bizalmat.
LinkedIn (2012)
A LinkedIn 2012-ben szenvedett el súlyos adatvesztést, amikor mintegy 6,5 millió felhasználói jelszó került illetéktelen kézbe és jelent meg egy orosz hacker fórumon. A támadók a LinkedIn jelszókezelő algoritmusának gyengeségeit használták ki. Ez a biztonsági incidens rávilágított a tárolási módszerek fontosságára és arra, hogy a vállalatok mennyire sebezhetők, ha nem alkalmaznak megfelelő titkosítási technikákat.
Target (2013)
A Target amerikai kiskereskedelmi lánc 2013-ban vált a történelem egyik legnagyobb kiskereskedelmi adatlopásának áldozatává, amikor hackerek 40 millió vásárló bankkártya adatait szerezték meg. A támadás egy phishing emaillel kezdődött, amit a cég egyik beszállítójának küldtek, és amelyen keresztül a támadók a Target hálózatához fértek hozzá. A támadás súlyos pénzügyi és jogi következményekkel járt a vállalat számára, ráadásul jelentősen csökkentette a vásárlók bizalmát.
JPMorgan Chase (2014)
A JPMorgan Chase, az egyik legnagyobb amerikai pénzintézet, 2014-ben szembesült egy óriási adatvédelmi incidenssel, amikor hackerek 76 millió háztartás és 7 millió kisvállalkozás adataihoz fértek hozzá. A támadás egy webalkalmazásban lévő sebezhetőséget használt ki, ami rámutatott a pénzintézetek különösen nagy kockázatát jelentő biztonsági réseire. Ez az eset fokozott figyelmet igényelt a bankok részéről a digitális biztonsági intézkedések megerősítése terén.
Ashley Madison (2015)
Az Ashley Madison, egy társkereső weboldal, 2015-ben került hackerek célkeresztjébe, akik a felhasználói adatok nyilvánosságra hozatalával fenyegetőztek. Amikor a támadók valóra váltották fenyegetéseiket, több millió felhasználó személyes adata vált nyilvánosságra, ami nemcsak jogi következményekkel járt, hanem etikai kérdéseket is felvetett a személyes adatok kezelésével kapcsolatban.
Dyn / DynDNS (2016)
A Dyn, egy DNS-szolgáltató 2016-ban szenvedett el egy masszív DDoS támadást, amelyet az IoT eszközök egy botnetje hajtott végre, megbénítva ezzel az internet egy részét az USA-ban és Európában. Ez az eset rámutatott a kritikus infrastruktúra és az IoT eszközök sérülékenységére, valamint arra, hogy milyen fontos a hálózati eszközök megfelelő védelme.
FedEx (2017)
A FedEx 2017-ben vált a WannaCry zsarolóvírus támadás áldozatává, amely világszerte több mint 200,000 számítógépet fertőzött meg. Ez a sebezhetőség különösen súlyos volt a vállalat számára, mivel jelentős működési zavarokat okozott, és rávilágított a zsarolóvírusok által okozott kockázatokra és a szükséges védelmi intézkedésekre.
Capital One (2019)
A Capital One pénzintézet 2019-ben szembesült egy jelentős adatszivárgással, amikor egy korábbi AWS alkalmazott kihasználta a vállalat webalkalmazás-tűzfalának egy sebezhetőségét. A támadás során több mint 100 millió ügyfél adata került veszélybe, ami pénzügyi bírságokhoz és jelentős bizalomvesztéshez vezetett.
Microsoft (2023)
A Microsoft 2023-ban állt szemben egy jelentős kibertámadással, amikor egy biztonsági kulcs ellopásával a támadók hozzáférést szereztek a vállalat több szolgáltatásához. Ez a biztonsági incidens különösen aggasztó volt, mivel kormányzati szervek biztonságát is veszélyeztette, és rámutatott a felhőalapú szolgáltatásokkal kapcsolatos kihívásokra.
A jövő kihívásai
A bemutatott események rávilágítanak arra, hogy a vállalatoknak folyamatosan fejleszteniük kell kiberbiztonsági stratégiáikat, hogy lépést tudjanak tartani a gyorsan fejlődő fenyegetésekkel. A mesterséges intelligencia és a zéró bizalmi architektúrák alkalmazása növelheti a védelmi képességeket, de a hackerekkel folytatott versenyfutás soha nem ér véget. A vállalatoknak proaktívnak kell lenniük, és mindig készen kell állniuk a következő kihívásra.
Forrás: www.ingenieur.de
febr 2, 2024 | Blog
Az állandóan változó digitális környezetben a kiberbiztonság szerepe egyre kritikusabbá válik. Az egyre összetettebb kiberfenyegetések elleni védelemhez már a tervezési folyamat kezdetén komoly figyelmet kell fordítani a biztonsági szempontokra. Ennek révén minimalizálhatók a potenciális sebezhetőségek és támadási felületek.
A CISA kiemelt figyelme, különösen a kisvállalatok és otthoni irodai környezetek eszközgyártóira irányulva, rámutat ezeknek a speciális területeknek a biztonsági kihívásaira. Ezek az eszközök gyakran kimaradnak a nagyvállalati biztonsági intézkedések alól, ami sebezhetővé teszi őket az újabb támadásokkal szemben. A tervezési szakaszban való biztonsági megfontolások beépítése nem csak a felhasználókat védi, hanem az egész kiberbiztonsági ökoszisztémát is erősíti.
A CISA által ajánlott irányelvek, amelyek az automatikus frissítések támogatására és a biztonsági beállítások manuális változtatásának lehetőségére összpontosítanak, kulcsfontosságúak a kisvállalatok és otthoni irodák eszközeinek biztonságának növelésében. Az ilyen típusú beépített funkciók segítségével a gyártók csökkenthetik a felhasználókra nehezedő terheket a biztonsági frissítések kezelése terén, és ezzel javíthatják az eszközök általános védelmi szintjét.
A kritikus infrastruktúrák védelmének érdekében elengedhetetlen a köz- és magánszféra szoros együttműködése és koordinációja. A KV-botnet példája rámutat arra, hogy a kibertámadók milyen mértékben kihasználhatják a meglévő technológiai sebezhetőségeket, és mennyire fontos folyamatosan felkészülni és védekezni a kiberfenyegetésekkel szemben.
Ellentmondva a kínai kormány állításainak, melyek tagadják az ilyen típusú támadásokat, a nemzetközi közösségnek összefognia és együttműködnie kell a globális kiberbiztonsági fenyegetések elleni küzdelemben. A nemzetek közötti párbeszéd erősítése és a kibervédelmi normák megszilárdítása kulcsfontosságú a digitális világ biztonságának fenntartásához.
Végül az FBI és a DoJ által végrehajtott lépések, melyek a KV-botnet felszámolására irányultak, hangsúlyozzák, hogy a kiberfenyegetések kezelése dinamikus és folyamatos erőfeszítéseket igényel. A technológia fejlődésével párhuzamosan a kiberbiztonsági stratégiáknak is alkalmazkodniuk kell az új kihívásokhoz. A biztonságos tervezés, a rendszeres frissítések és a közös kibervédelmi elkötelezettség nélkülözhetetlenek a jövőbeli kiberfenyegetések hatékony kezeléséhez.
Forrás: www.thehackernews.com
jan 18, 2024 | Blog
Sebezhető Docker szolgáltatásokat céloznak meg egy új kampányban, ahol a fenyegető szereplők XMRig kriptovaluta bányász szoftvert és a 9Hits Viewer alkalmazást telepítik, mint egy többágú pénzszerzési stratégia részét.
„Ez az el
ső dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.
A 9Hits magát egy „egyedi webes forgalom-megoldásként” és „automatikus forgalomcserélőként” hirdeti, amely lehetővé teszi a szolgáltatás tagjainak, hogy forgalmat irányítsanak az oldalaikra kreditek vásárlásával. Ezt egy 9Hits Viewer nevű szoftverrel érik el, amely egy fej nélküli Chrome böngésző példányt futtat a többi tag által kért weboldalak meglátogatásához, amivel krediteket szereznek az oldalaikra irányuló forgalom generálásához.
A sebezhető Docker gazdagépekre terjedő kártékony szoftver pontos terjedési módja jelenleg nem világos, de feltételezik, hogy keresőmotorok, mint például a Shodan használatát foglalja magába potenciális célpontok keresésére. A szervereket ezután megtámadják, hogy két rosszindulatú konténert telepítsenek a Docker API-n keresztül, és lehívjanak kész képeket a Docker Hub könyvtárból a 9Hits és XMRig szoftverekhez.
„Ez egy gyakori támadási vektor a Docker célpontokra irányuló kampányokban, ahol az egyedi célra szánt kép helyett általános képet húznak le a Dockerhub-ról (ami majdnem mindig elérhető) és felhasználják a saját céljaikra,” mondta Nate Bill biztonsági kutató.
A 9Hits konténert aztán arra használják, hogy kódot hajtsanak végre a támadó számára kreditek generálásához, a 9Hits-szel való azonosítással a munkamenet-tokenjük használatával és a meglátogatandó oldalak listájának kinyerésével.
A fenyegető szereplők a rendszert úgy konfigurálták, hogy felnőtteknek szóló oldalakat vagy popupokat megjelenítő oldalakat látogassanak, de megakadályozzák a kriptovalutákkal kapcsolatos oldalak látogatását. A másik konténert XMRig bányász szoftver futtatására használják, amely egy privát bányászmedencéhez csatlakozik, ezáltal lehetetlenné téve a kampány méretének és jövedelmezőségének megállapítását.
„A kampány kompromittált gazdagépekre gyakorolt fő hatása az erőforrások kimerülése, mivel az XMRig bányász szoftver minden elérhető CPU erőforrást felhasznál, míg a 9hits nagy mennyiségű sávszélességet, memóriát és a maradék kis CPU-t használja fel,” mondta Bill.
„Ennek eredményeként a fertőzött szervereken futó legitim munkafolyamatok nem tudnak a várt módon teljesíteni. Ezen kívül a kampány frissíthető úgy, hogy távoli shellt hagyjon a rendszeren, ami potenciálisan komolyabb behatolást okozhat.”
Forrás: https://thehackernews.com
