Tyvärr är denna artikel enbart tillgänglig på English.
Category: Blog
A Guide to Types of Cyber Attacks
Tyvärr är denna artikel enbart tillgänglig på English.
How a CoE Can Supercharge Your Threat Detection Capabilities?
Tyvärr är denna artikel enbart tillgänglig på English.
Citrix-dataintrång av Iridium-hackare: 8 säkerhetsåtgärder för att förhindra IT
Citrix Systems, Inc. är ett amerikanskt multinationellt programvaruföretag som tillhandahåller servrar, tillämpnings- och datorvirtualiseringar, nätverk, programvara som tjänst (SaaS) och molntekniker. Citrix lösningar påstås användas av över 400 000 kunder runt om i världen, inklusive 99 procent av företagen på Fortune 100 och 98 procent av dem på Fortune 500.
Attacken
I mars månad varnade FBI Citrix för att en grupp Iran-baserade hackare som kallas Iridium hade attackerat företagets interna nätverk och stulit/nedladdat 6 TB mycket känsliga data. De hade utnyttjat en kombination av verktyg, tekniker och procedurer för att göra intrång i nätverket och därmed få tillgång till nätverket.
”Citrix beklagar djupt den påverkan incidenten kan ha haft på berörda kunder. Citrix strävar efter att uppdatera kunderna med mer information allt eftersom undersökningen fortskrider och fortsätter att arbeta tillsammans med relevanta polismyndigheter”, säger Black, CSIO på Citrix.
Hackartaktik
Enligt FBI använde hackaren en taktik som kallas password spraying och stulen inloggningsattack (credential stuffing). Password spraying är en teknik som används vid cyberattacker mot ett svagt lösenord för att kompromettera den första säkerhetsnivån och därefter gå vidare och bryta nästa säkerhetslager. En stulen inloggningsattack (credential stuffing) handlar om att man stjäl ett lösenord från datadumpar och sedan använder dem för att få tillgång till andra tjänster och därmed komprometterar säkerheten och tjänsterna. På så sätt lyckades hackare ta sig in och kunde ladda ned de känsliga filerna.
Rapport efter undersökningen
Baserat på den undersökning som gjorts bekräftade Citrix att hackare haft intermittent åtkomst till företagets nätverk mellan 13 oktober 2018 och 8 mars 2019 och att de avlägsnat filer från Citrix interna system. De stulna data innehåller information om nuvarande och tidigare anställda samt information om förmånstagare, personnummer och ekonomisk information.
Säkerhetsåtgärder för att förhindra sådana dataintrång:
1. Aktivera multifaktorautentisering (t.ex. Google Keys)
2. Aktivera captcha i vissa situationer
3. Svartlista de IP-adresser som härrör från ett fåtal (eller en) IP-adress. Blockera adresser som försöker logga in på flera olika konton
4. Generera varningar för det konto vars tröskelvärde nått maxtaket
5. Meddela användare och berörda team om de ovanliga säkerhetshändelserna
6. Införa en policy med flerstegsinloggning (t.ex. 2AF och multifaktorautentisering)
7. Begränsa åtkomsten utifrån
8. Förbjuda enkla lösenord och utbilda användarna i hur man använder komplexa lösenord med lösenordshanterare
Citrix lösning och förebyggande åtgärder
För att hitta en lösning på dataintrånget och ta fram förebyggande åtgärder inför framtiden inledde Citrix ett samarbete med ett ledande cybersäkerhetsföretag som bistod det interna teamet med den kriminaltekniska undersökningen. De samarbetar också med FBI i samband med deras undersökning av IT-brottslingarna.
Känner du att känsliga data är tillräckligt säkra?
Om inte bör du skynda dig och få en kostnadsfri säkerhetsbedömning av oss.
DELL-SÅRBARHET: HUR FÖREBYGGER MAN FJÄRRHACKNING?
Undrar du någonsin över den inbyggda programvaran i datorn? Vad händer om den påverkar säkerheten? Vilket är det värsta tänkbara scenariot? Ett förinstallerad program i datorn kan utgöra en allvarlig säkerhetsrisk. Låt oss förstå vad som kan hända med hjälp av ett exempel nyligen från ett intrång hos Dell, ett välkänt datorteknikföretag som är verksamma inom hårdvaru- och mjukvarusystem.
Dell är ett amerikanskt multinationellt datorteknikföretag med kärnexpertis inom hårdvara och mjukvara. Ett globalt företag som designar, utvecklar och tillverkar persondatorer (pc) samt ett antal olika datorrelaterade produkter.
Dell SupportAssist, tidigare känt som Dell System Detect, kontrollerar hälsan på datorsystemets hårdvara och mjukvara. Målet med att ha denna funktion i systemet är följande:
1. Interagera med Dell Support-webbplatsen och automatiskt detektera en Service Tag eller Express Service Code för Dell-produkten
2. Skanna befintliga enhetsdrivrutiner och installera saknade drivrutiner eller befintliga uppdateringar
3. Utföra diagnostiska tester av hårdvaran
Bill Demirkapi, en ung (17-årig) oberoende säkerhetsforskare upptäckte en kritisk sårbarhet med fjärrstyrd kodkörning i funktionen Dell SupportAssist.
Hur fungerar då Dell SupportAssist? Den körs på en webbserver lokalt i användarsystemet och använder någon av portarna 8884, 8883, 8886 eller 8885. Den accepterar olika kommandon som URL-parametrar för att utföra vissa fördefinierade uppgifter på datorn. Dessa uppgifter innefattar aktiviteter som insamling av detaljerad systeminformation eller nedladdning av programvara från en fjärrserver och installation av den i systemet.
”En obehörig person som attackerar systemet, och delar nätverksåtkomstlagret med det sårbara systemet, kan kompromettera det sårbara systemet genom att lura en användare att ladda ned och exekvera en godtycklig körbar kod via SupportAssist-klienten från en attacksajt”, säger det multinationella datorteknikföretaget Dell i ett meddelande.
Vår nästa generations cybersäkerhetstjänst kan dock förebygga ovan identifierad ARP-attack tack vare detekterings- och åtgärdsprocess baserad på IOC och IOA. Genom att analysera det digitala avtrycket kan vi förebygga sådana attacker med hjälp av digital forensisk teknik och bedrägerihanteringsteknik. Vad beträffar företagsnätverksinfrastruktur kan vi göra följande:
1. Automatisera hotkorrelationssystemet och förebygga attacker med hjälp av AI-drivna analyser av hotunderrättelser och beteenden.
2. Hitta en sådan attack med hjälp av en proaktiv hotjaktstjänst (säkerhetsanalyser för att detektera okända och dolda hot).
3. Övervaka nätverksenheter och slutanvändarenheter för att identifiera riskerna i miljön.
4. Blockera hot i miljön med IOC/IOA.
Efter att problemet blivit känt har Dell åtgärdat en sårbarhet vid validering av felaktigt ursprung (CVE-2019-3718) i programvaran Support Assist. Detta kommer att hjälpa användarna att förebygga CSRF-attacker (Cross-Site Request Forgery) i systemen.
VARFÖR HANTERAD DETEKTERING OCH RESPONS ÄR VIKTIGARE ÄN NÅGONSIN
Tekniken utvecklas hela tiden och det gör dess relevans också. I dagens värld är det allt svårare att tänka sig en dag utan teknik. Tänk bara alla de gånger du förlitar dig på nya tekniker för alla aktiviteter. Alla, till och med en självutnämnd analog dinosaurie, är på något sätt beroende av internet, mobilen och dataflöden.
Vi vet att användaren avgör hur ett verktyg beter sig. Internet har också som verktyg sina grå nyanser. Detta omfattande beroende av internet och de exponentiella data som därmed genereras har lett till en i det närmaste organiserad IT-brottslighet som försöker utnyttja dataflödet på vilket sätt som helst. IT-brottslingar riktar in sig på IT-system som helt enkelt inte är väl skyddade mot intrångsattacker. Det faktum att människor är så beroende av teknik innebär att de lätt drabbas av illvilligt uppsåt och handlingar. Det är här hanterade tjänster för detektering och respons (MDR) kommer in i bilden.
MDR är ett organiserat försvars- och neutraliseringssystem som inte bara skyddar i händelse av attacker, utan också aktivt planerar och utövar avsiktliga eller oavsiktliga aktiviteter som är till förfång för det avsedda dataflödet. En James Bond!
Precis som teknik fortsätter MDR att utvecklas med en allt mer sofistikerad hackning. MDR:s natur utvecklas också bortom förebyggande, skydd och – nu – attack för att skydda innan det inträffar.
På spel står inte vilka data som helst, utan data som är immaterialrättsligt skyddade, finansiella, privata och biometriska data, information om navigering och försvar. Tänk vilken förödelse det kan bli i fel händer. Förlust av tid, pengar och anseende, till och med människoliv i katastrofala proportioner. IT-brottslingar riktar in sig på nätverk och webbplatser som har svagare säkerhet. Inte oväntat! Stulna data och information är värt mycket i den undre världen. Det är ett pågående brott och har snabbt blivit ett välbekant scenario för många företag.
Det är därför MDR är så viktigt i dagens samhälle. MDR är inte något nytt koncept; det har funnits länge nu. Huvudmålet med hanterad detektering och respons är att säkerställa att cyberbrott och dataförluster förhindras. Det räcker inte att arrestera och lagföra efter det att brottet har upptäckts. Brottet behöver stoppas innan det hinner ske.
Hur kan MDR hjälpa till med detta? Med det här programmet kan organisationen till fullo förstå IT-miljön man verkar i. Det ger er vissa viktiga fördelar som kan förebygga hackning och missbruk.
DETEKTERING AV MILJÖHOT
Först, för att detektera cybersäkerhetshot utför driftsatta MDR-system en serie funktioner inklusive analyser av de olika typer av risker som organisationen kan vara utsatt för. Detta kan hjälpa er att fastställa exakt vilka de största hoten är. Med MDR kan företag bedöma vilka hot som är allvarligast. Ni kan då vidta förebyggande åtgärder för att stänga dessa dörrar mot IT-brottslingarna. Genom att förebygga bara en enda attack kan man spara miljontals kronor.
SNABBARE HOTDETEKTERING
Genom att göra organisationen medveten om de hot de ställs inför gör MDR hotdetekteringen enklare. Eftersom MDR förbättrar hotanalyserna kan företaget till fullo sätta sig in i exakt vilka cybersäkerhetshot man ställs inför. Tänk dig att kunna agera innan intrånget sker. Ni kan agera idag och undvika en ren mardröm imorgon. Med MDR kan företaget snabbt bedöma säkerhetsnivån och agera direkt.
ÖKAR FÖRMÅGAN ATT REAGERA PÅ HOT
MDR förbättrar organisationernas kapacitet att reagera på cybersäkerhetshot. Förberedelser är guld värt när man har att göra med hackare och IT-brottslingar. Organisationen behöver vara förberedd på alla typer av hot, från ransomware och hackning till dataläckor. Genom att få en bättre kunskap om de hot som utgör den största risken kan ni reagera med större precision. Förutse hoten innan de uppstår. Definiera de svagaste områdena och eliminera dem.
FÖRBÄTTRAR DET FÖREBYGGANDE SKYDDET
Bättre att förebygga än att sätta plåster på såren, säger man. Det gäller inte minst när miljontals kronor står på spel. Cybersäkerheten i dagens värld ger långtgående påverkan. Varje år kostar cyberintrång företagen miljontals kronor. De skadar anseendet och sänker hastigheten på företagets framsteg. Med MDR blir det förebyggande skyddet mot hot er främsta vän. Proaktiv säkerhetsövervakning kan tillämpa beprövade regler på ert säkerhetssystem och därmed ge en ny nivå av intrångshantering.
BEHÖVS VERKLIGEN MDR?
Många företagsägare känner sig frustrerade över det stora antalet cyberintrång som sker varje dag. Med MDR kan ni ta tillbaka kontrollen över er datasäkerhet. Det är ett tillförlitligt system som fokuserar på en sak: att förhindra dataintrång, oavsett om de är avsiktliga eller inte och oavsett om de görs inifrån organisationen eller utifrån.
Hotet om cyberattacker finns där ständigt. Brottslingarna hittar ständigt nya sätt att ta sig igenom sprickor och hål i säkerhetssystemet. Deras metoder blir också allt mer sofistikerade för varje dag. Hela cybersäkerhetsindustrin utvecklas i en sådan takt att de flesta företagsägare inte klarar att hålla jämna steg. Det ger en påtaglig nackdel. Det är bättre att lämna över problemet till experterna som kan fungera som er sofistikerade och uppdaterade byrå för detektering, skydd och förebyggande.
NÅGRA SLUTLIGA TANKAR
Även om MDR kan kännas lite krångligt och komplext är det viktigt att komma ihåg fördelarna med det här systemet. Med MDR på plats kan ni undvika att bli nästa brottsoffer och ni kan sova lugnare om natten. För företagsägare är trygghet ovärderligt. Ni kan fokusera på att driva företaget och åter vara stolta över vad ni åstadkommer.
