Beklager, denne oppføringen er kun tilgjengelig i English.
Category: Blog
A Guide to Types of Cyber Attacks
Beklager, denne oppføringen er kun tilgjengelig i English.
How a CoE Can Supercharge Your Threat Detection Capabilities?
Beklager, denne oppføringen er kun tilgjengelig i English.
Citrix-databrudd av Iridium Hackers: 8 sikkerhetstiltak for å forhindre IT
Citrix Systems, Inc. er et amerikansk multinasjonalt programvareselskap som tilbyr server-, applikasjons- og skrivebordsvirtualisering, nettverk, programvare som en tjeneste (SaaS) og cloud computing-teknologier. Citrix-løsninger hevdes å være i bruk av over 400 000 kunder over hele verden, inkludert 99 % av Fortune 100-selskaper og 98 % av Fortune 500-selskaper.
Angrepet
I mars måned varslet FBI Citrix om at iranske basehackere med navnet Iridium hadde angrepet selskapets interne nettverk og stjålet / lastet ned 6 TB med svært sensitive opplysninger. De utnyttet en kombinasjon av verktøy, teknikker og prosedyrer som gjorde at de kunne utføre nettverksinntrenging slik at de kunne få tilgang til nettverk.
«Citrix beklager dypt virkningen denne hendelsen kan ha på berørte kunder. Citrix er forpliktet til å oppdatere kundene med mer informasjon etter hvert som etterforskningen fortsetter, og til å fortsette å jobbe med de relevante rettshåndhevelsesmyndighetene», sier Black, CSIO i Citrix.
Hackertaktikk
Ifølge FBI brukte hackeren en taktikk kjent som password spraying og credential stuffing. Password spraying er en teknikk som brukes for et cyberangrep mot et svakt passord for å kompromittere det første sikkerhetsnivået og deretter gå videre for å bryte det ekstra sikkerhetslaget. Credential stuffing innebærer å stjele et passord fra datadumper og bruke dem for å få tilgang til andre tjenester som kompromitterer sikkerheten og tjenestene. På denne måten klarte hackere å få tilgang til og laste ned de sensitive filene.
Etterundersøkelsesrapport
Basert på etterforskningen bekreftet Citrix at hackere hadde periodisk tilgang til selskapets nettverk mellom 13. oktober 2018 til 8. mars 2019, og de har fjernet filer fra Citrix interne system. Stjålne opplysninger inneholder informasjon om nåværende og tidligere ansatte og informasjon om mottakerne, personnummer og økonomisk informasjon.
Sikkerhetstiltak for å forhindre slikt databrudd:
1. Aktiver multifaktorautentisering (f.eks. Google Keys).
2. Aktiver captcha i noen situasjoner.
3. Svarteliste IP-en som stammer fra noen få (eller én) IP-adresser. Blokker adresser som prøver å logge på flere kontoer.
4. Generer varsler for kontoen hvis terskelgrense er nådd til maksimum.
5. Varsle brukere og bekymringsteam om de uvanlige sikkerhetshendelsene.
6. Vedta policyen for flertrinns påloggingsprosess for (f.eks. 2AF og multifaktorautentisering).
7. Begrens tilgangen utenfor kontoret.
8. Forby enkelt passord og lær brukere å bruke et komplekst passord med passordbehandlere.
Citrix sin løsning og fremtidig forebygging
For å finne en løsning på dette databruddet og fremtidig forebygging inngikk Citrix et samarbeid med et ledende cybersikkerhetsfirma for å hjelpe deres interne team med deres etterretningstekniske etterforskning. De samarbeider også med FBI i forbindelse med deres etterforskning av nettkriminelle.
Føler du deg trygg nok for dine sensitive opplysninger?
Hvis nei, skynd deg og få gratis sikkerhetsvurdering fra oss.
DELLS SÅRBARHET: HVORDAN FORHINDRE SLIK EKSTERN HACKING-AKTIVITET?
Har du noen gang lurt på den forhåndsbygde programvaren på datamaskinen din? Hva vil skje hvis det påvirker sikkerheten din? Hva er det verste scenarioet? En forhåndsinstallert del i datamaskinen kan utgjøre en alvorlig sikkerhetsrisiko. La oss forstå det fra et nylig eksempel på brudd hos Dell, et velkjent teknologiselskap som driver med maskinvare- og programvaresystemer.
Dell er et amerikansk multinasjonalt datateknologiselskap med sin kjerneekspertise innen maskinvare og programvare. Et globalt selskap som designer, utvikler og produserer personlige datamaskiner (PC-er) og en rekke datamaskinrelaterte produkter.
Dell SupportAssist, tidligere kjent som Dell System Detect, sjekker tilstanden til datamaskinsystemets maskinvare og programvare. Målet med å ha dette verktøyet i systemet er å:
• samhandle med Dells nettsted for kundestøtte og finne automatisk servicemerke eller ekspresservicekode for Dell-produktet ditt.
• skanne de eksisterende enhetsdriverne og installer manglende eller tilgjengelige driveroppdateringer.
• utføre maskinvarediagnostiske tester.
Bill Demirkapi, en ung (17 år gammel) uavhengig sikkerhetsforsker oppdaget et kritisk sikkerhetsproblem med ekstern kjøring av kode i Dell SupportAssist-verktøyet.
Nå, hvordan fungerer Dell SupportAssist egentlig? Den kjører en webserver lokalt på brukersystemet, ved å bruke en av portene fra 8884, 8883, 8886 eller port 8885. Videre godtar den forskjellige kommandoer som nettadresseparametere for å utføre noen forhåndsdefinerte oppgaver på datamaskinen. Disse oppgavene inkluderer aktiviteter som å samle inn detaljert systeminformasjon eller laste ned en programvare fra ekstern server og installere den på systemet.
«En uautentisert angriper, som deler nettverkstilgangslaget med det sårbare systemet, kan kompromittere det sårbare systemet ved å lure en offerbruker til å laste ned og kjøre vilkårlig kjørbar fil via SupportAssist-klienten fra angriper-vertsbaserte nettsteder,» sa det multinasjonale datateknologiselskapet Dell i et råd .
Vår neste generasjons cybersikkerhetstjeneste kan imidlertid forhindre det ovenfor identifiserte ARP-angrepet gjennom gjenkjennings- og utbedringsprosess basert på IOC og IOA. Ved å analysere digitalt fotavtrykk kan vi forhindre slike angrep ved hjelp av digitale etteretningstekniske teknikker og svindelhåndteringsteknikker. Når det gjelder en bedriftsnettverksinfrastruktur, kan vi:
- 1. automatisere trusselkorrelasjonssystem og forhindre angrep ved hjelp av AI-drevet trussel Intel og atferdsanalyse.
- 2. finne slike angrep ved å bruke proaktiv trusseljakttjeneste (Security Analytics for å oppdage ukjente og skjulte trusler).
- 3. overvåke nettverksenheter og endepunktenheter for å finne risikoene i miljøet.
- 4. blokkere trussel i miljøet ved hjelp av IOC/IOA.
Etter å ha fått vite om tilstanden, har Dell rettet et feilaktig opprinnelsesvalidering (CVE-2019-3718), sårbarhet i Support Assist-programvaren. Dette vil hjelpe brukerne deres til å forhindre CSRF-angrep (Cross-Site Request Forgery) i systemene deres.
HVORFOR ADMINISTRERT DETEKSJON OG RESPONS ER VIKTIGERE NÅ ENN NOEN GANG
Teknologien er i konstant utvikling, og det samme er dens relevans. I dagens verden er det stadig vanskeligere å forestille seg en dag uten teknologi. Bare tenk på hvor mange ganger du er avhengig av nye teknologier for hver aktivitet. Alle, selv den selverklærte analoge dinosauren, er avhengig av internett, mobil og dataflyt på en eller annen måte.
Vi vet at en bruker definerer hvordan et verktøy oppfører seg. Internett som verktøy har også sine gråsoner. Denne utstrekningen og avhengigheten av internett og eksponentielle data generert på denne måten har skapt en nesten organisert måte for nettkriminalitet, som prøver å utnytte dataflyten ved hjelp av alle mulige midler. Nettkriminelle retter seg mot informasjonsteknologisystemer som rett og slett ikke er godt beskyttet mot inntrengningsangrep. Det faktum at folk er så avhengige av teknologi gjør den utsatt for ondsinnede hensikter og handlinger. Det er her Managed Detection Response Services (MDR) kommer inn.
MDR er et organisert forsvars- og nøytraliserende system, som ikke bare beskytter i tilfelle angrep, men også aktivt projiserer og forfølger tiltenkte eller utilsiktede aktiviteter som er skadelig for den tiltenkte dataflyten. Som en James Bond!
I likhet med teknologi, fortsetter MDR å utvikle seg med økende sofistikering innen hacking. Og naturen til MDR utvikler seg også, utover forebygging, beskyttelse, og nå, angrep for å beskytte før det skjer.
Det er ikke bare data som står på spill, men data som er intellektuell eiendom, økonomisk eierskap, private og biometriske opplysninger, navigasjons- og forsvarsdetaljer. Tenk deg hvilke ødeleggelser det kan skape i feil hender. Tap av tid, penger og omdømme, til og med menneskeliv til katastrofale proporsjoner. Nettkriminelle målretter seg mot nettverk og nettsteder med svakere sikkerhet. Åpenbart! De stjålne opplysningene og informasjonen er verdt mye i den mer skyggefulle undergrunnen. Det er en pågående forbrytelse og har raskt blitt et kjent scenario for mange bedrifter.
Dette er grunnen til at MDR er så viktig i samfunnet vårt i dag. MDR er ikke et nytt konsept; det har eksistert lenge. Hovedmålet med Managed Detection and Response er å sikre at cyberkriminalitet og tap av data forhindres. Det er ikke nok å arrestere og straffeforfølge etter at forbrytelsen er begått. Forbrytelsen må stoppes før den faktisk skjer.
Hvordan kan MDR hjelpe med denne årsaken? Med dette programmet i arbeid kan organisasjonen din fullt ut forstå IT-miljøet den opererer i. Dette vil gi deg noen viktige fordeler som kan bidra til å forhindre hacking og misbruk.
MILJØMESSIG TRUSSELDETEKTERING
For det første, for å oppdage cybersikkerhetstrusler, utfører det utplasserte MDR-systemet en rekke funksjoner, inkludert å analysere hvilke typer risikoer organisasjonen din kan bli utsatt for. Dette kan gjøre deg i stand til å bestemme nøyaktig hva de mest kritiske truslene er. Ved å bruke MDR kan selskaper måle hvilke trusler som er mest alvorlige. Dette lar deg utføre forebyggende tiltak for å lukke disse dørene for cybertyver. Å forhindre bare ett angrep kan spare data for millioner av dollar.
OPPDAG TRUSLER RASKERE
Ved å gjøre organisasjonen oppmerksom på truslene de står overfor, gjør MDR trusseldeteksjon enklere. Siden MDR forbedrer trusselanalysen, kan virksomheten din fullt ut forstå nøyaktig hvilke cybersikkerhetstrusler du står overfor. Tenk deg å kunne handle før et brudd oppstår. Du kan handle i dag og unngå et mareritt i morgen. Med MDR kan bedriften din raskt vurdere sikkerhetsnivået og handle umiddelbart.
FORBEDRET EVNE TIL Å REAGERE PÅ TRUSLER
MDR forbedrer mulighetene til organisasjoner som bruker det til å svare på trusler om nettsikkerhet. Forberedelse er alt når du arbeider med hackere og cybertyver. Organisasjonen din må være forberedt på alle typer trusler, fra løsepengeprogramvare og hacking til datalekkasjer. Å ha bedre kunnskap om de truslene som utgjør den største risikoen hjelper deg til å svare med mer presisjon. Å forutse trusler før de skjer, samt definere de svakere områdene og eliminere dem.
FORBEDRET FOREBYGGELSE AV TRUSSEL
Det er lettere å forhindre dårlige vaner enn å ødelegge dem, sier de. Dette gjelder spesielt når millioner av dollar står på spill. Virkningen av cybersikkerhet i vår verden i dag er vidtrekkende. Hvert år koster cyberbrudd bedrifter millioner av dollar. De skader omdømmet ditt og bremser fremgangen din. Med MDR blir trusselforebygging din største allierte. Proaktiv sikkerhetsovervåking kan bruke utprøvde regler på sikkerhetssystemet ditt, og dermed tilby et nytt nivå av bruddhåndtering.
TRENGER VI VIRKELIG MDR?
Mange bedriftseiere føler seg frustrerte over det store antallet cyberbrudd som oppstår hver dag. MDR lar deg ta tilbake kontrollen over datasikkerheten din. Det er et pålitelig system som fokuserer på én ting: å forhindre at datainnbrudd oppstår, enten det er tilsiktet eller utilsiktet, enten om det er fra organisasjonen eller utenfor organisasjonen.
Trusselen om cyberangrep er stadig truende. Tyver finner stadig nye måter å komme seg gjennom sprekker eller hull i sikkerhetssystemet på. Metodene deres blir mer og mer sofistikerte etter hvert som dagene går. Hele cybersikkerhetsindustrien utvikler seg i et så raskt tempo at de fleste bedriftseiere ikke klarer å holde tritt med det. Dette faktum gir deg en klar ulempe. Det er best å overlate det til ekspertene, som kan jobbe som din sofistikerte og oppdaterte oppdager, beskytter og den som forhindrer.
SISTE TANKER
Selv om vanskelighetene med MDR kan være litt komplekse, er det viktig å huske fordelene med dette systemet. Med MDR på plass kan du unngå å bli det neste offeret og sove mye bedre om natten. For bedriftseiere er sjelefred uvurderlig. Du kan fokusere på å drive bedriften din igjen og være stolt over prestasjonene dine.
