Miroslav Dvořák |
|
Ředitel odboru Správa informační bezpečnosti společnosti GORDIC |
|
Pracovníci bezpečnostních týmů ocení i bezpečnostní zpravodajství (TI, Threat Intelligence), v rámci kterého nástroj Monitorování externí útočné plochy nabízí informace o aktuálních zranitelnostech nasazených produktů, bezpečnostních incidentech na straně dodavatelů, aktivitách APT skupin kybernetických útočníků (Advanced Persistent Threat, útočníci, kteří se zaměřují na pokročilé a přetrvávající hrozby), nebo analýzy malwaru, indikátory kompromitace (IoC, Indicators of Compromise), postupy pro Threat hunting a mnoho dalšího. |
Spolupráce se společností Intel je krokem k okamžitému zvýšení úrovně ochrany, kterou právě integrace hardwarové technologie pro detekci ransomwaru přináší. Využití telemetrie a strojového učení, které poskytuje přímo procesor, je účinným krokem, který umožní lepší sledování běžících procesů a odhalení jejich škodlivého chování, v tomto případě nevyžádaného šifrování souborů. Pro ESET to v podstatě znamená možnost odhalit i takový ransomware, který se snaží vyhnout své detekci v paměti zařízení. ESET vždy věřil ve vícevrstvý přístup a s přidáním detekce na úrovni hardware si uvědomujeme, že tento způsob ochrany je dalším milníkem v boji proti kybernetickým hrozbám. Současně tato zvýšená ochrana nepředstavuje viditelný dopad na výkon zařízení - k analýze a zpracování je totiž využívána integrovaná grafická jednotka (GPU). Nízký dopad na výkon systému je oblast, kterou ESET v rámci své vícevrstvé softwarové architektury vždy upřednostňoval, a která je pro mnoho našich klientů důvodem, proč si naše řešení koupit. Využití technologií, které nám pomohou s prevencí a ochranou, a zároveň zachovají výkon, je pro obě strany výhodná volba. |
Obě zranitelnosti - ProxyShell a ProxyLogon - souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service (CAS), kterou Microsoft původně přidal k lepší ochraně e-mailových serverů. V obou případech je znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru. Microsoft vydal na zranitelnost záplaty, takže by se mohlo zdát, že problém je vyřešen. Realita je však složitější. Po celém světě je stále mnoho serverů MS Exchange, které nebyly záplatovány nebo aktualizovány. MS Exchange je mimořádně rozšířený software, což zvyšuje pravděpodobnost, že se útočníkům podaří najít nějaký nezáplatovaný server a tuto zranitelnost využít ve svůj prospěch. Útočníci při takto závažné zranitelnosti mohou napáchat obrovské škody. |
Zatímco ochrana počítače nebo notebooku nějakým bezpečnostním programem již není ničím neobvyklým, u mobilních zařízení, jako jsou chytré telefony, nemá zabezpečení více než polovina dotazovaných. Elektronické dokumenty, jako jsou poznámky z vyučování nebo přednášek a další studijní materiály, přitom začínají drtivě převažovat nad klasickými formáty psanými v ruce. Studenti pracují na svých chytrých zařízeních víc než kdy dřív. Rozhodně jim tak doporučujeme, aby ochranu svých studijních materiálů a soukromí nepodceňovali. Základním bezpečnostním prvkem je silné heslo a možnost využít dvoufaktorové ověření. Zpravidla jde o SMS kód nebo potvrzení ve spárované aplikaci. Tuto službu standardně nabízejí banky nebo poskytovatelé e-mailových schránek. A není již výjimkou ani u sociálních sítí. |
Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven. A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti. V kritických situacích může být řešením i dočasné odpojení vystavené služby. Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů. Skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz. |