Sedam mitova o sajber bezbednosti

Najveći broj kompanija i državnih organizacija sazna da su im podaci ukradeni tek kad ih o tome obavesti neka treća strana, a tada je najčešće i prekasno. Problem delom nastaje i zbog toga što menadžeri veruju u neke često pominjane teze o bezbednosti, iako te teze ne prolaze proveru realnog sveta…

shutterstock_150161624Kako broj sofisticiranih ciljanih napada raste, sve je veći i broj organizacija koje su izložene riziku. Na žalost, mnoge od njih ne znaju ni da su meta napada, pored ostalog i zato što čak i informatički profesionalci veruju u neke mitove koji, pokazuje se, čine njihove sisteme manje bezbednim. Rezimirajmo te mitove, ukazujući na realnost…

Napadi i posledice

Mit #1: Najveći broj bezbednosnih incidenata se otkrije u roku od 30 dana i otkloni se brzo.

Istina: Više od 65% upada, odnosno probijanja sistema bezbednosti ostane neotkriveno duže od 30 dana. Istraživanja su pokazala da je prosečnoj organizaciji potrebno devet meseci da otkrije upad u svoje okruženje. Čak i kada se upad otkrije, potrebno je duže od četiri meseca za potpunu sanaciju i čišćenje okruženja.

Mit #2: Samo sofisticirani napadi su razlog za brigu, pošto će naš antivirusni softver da se postara za standardne pretnje.

Istina: Napadi najvišeg profila su zaista jedinstveni i ciljaju specifične tačke. Ali isto tako postoji i tržište za već gotove viruse i štetni softver, za koje napadač ne mora da ima posebna tehnička znanja. Krajem 2013. drugi najveći američki lanac prodavnica Target pretrpeo je veliki gubitak zbog upada, kada su iscureli lični i finansijski podaci više od 110 miliona kupaca. Napadač nije bio hakerski genije, već je koristio malware koji košta manje od 2.500 dolara na crnom tržištu.

Mit #3: Bezbednosne zakrpe operativnog sistema dovoljne su da nas zaštite od zero‑day (sasvim novih) pretnji.

Istina: Dostupnost zero‑day i drugih exploit‑a za najčešće korišćene operativne sisteme, te ranjivosti kao što su HeartBleed i Shellshock koji su „gađali“ SSL komponente u najširoj upotrebi, pokazuju da mere zaštite ne funkcionišu onako kako nam odgovara da pretpostavljamo.

Mit #4: Air‑gapped mreže su bezbedne od napada.

Istina: Čak su se i izolovani uređaji i mreže pokazali kao nebezbedni – pogledajte Stuxnet i Duku napade. Zbog velikog broja vektora napada, sistema, protivnika i ciljeva, postalo je nemoguće blokirati svaku pretnju pre nego što ona stigne do mreže. Ne treba zaboraviti i to da sistem može da bude ugrožen i iznutra – neki zaposleni ili spoljni saradnik može, namerno ili slučajno, da kompromituje čak i mašinu u okviru izolovane mreže.

Mit #5: Upadi su neizbežni. Samo moramo da se fokusiramo na zaštitu mašina i mreže.

Istina: Nije tačno. Organizacije moraju da nastave da blokiraju pretnje na svim kontrolnim tačkama u realnom vremenu; to je ključna funkcija koja postoji u modernim rešenjima, kao što su endpoint protection proizvodi, email security , secure Web gateway i firewall sistemi najnovije generacije.

Put do (veće) sigurnosti

Mit #6: Virtual Execution, Sandboxing ili Vx with FireEye mogu da otkriju i sve one pretnje koja druga rešenja ne mogu.

Istina: Ovo jesu dobri proizvodi, ali im obično trebaju sati ili dani da bi detektovali problem. S druge strane, najnoviji Symantec‑ov Advanced Threat Protection može da detektuje pretnje u roku od nekoliko minuta. Symantec pristupa sandboxing‑u na potpuno nov način, koristeći stvaran hardver zajedno sa virtualizacijom, i kombinuje je sa platformom koja koristi analizu ponašanja i beleži šta tačno radi fajl koji se izvršava. Symantec‑ovo rešenje takođe automatski pravi korelaciju događaja sa svih kontrolnih tačaka; ističe i daje prioritet nerešenim, visoko rizičnim incidentima i stavlja na raspolaganje korisnicima alate pomoću kojih mogu brzo i odlučno da reaguju.

Mit #7: Ne smete jednom vendoru da poverite kompletnu zaštitu od pretnji.

Istina: Zapravo možete (i treba) to da uradite ako je u pitanju fundamentalna platforma za zaštitu od pretnji. Takva platforma je Advanced Threat Protection, koja kombinuje dve nove tehnologije – Symantec Cynic i Symantec Synapse, koje omogućavaju uvid i kontrolu nad više kontrolnih tačaka, uključujući mrežu, e‑mail i krajnje tačke, i time postižu bolju detekciju, brže odgovore i niže operativne troškove.

Symantec Cynic je sandbox tehnologija bazirana na cloud‑u. Ova tehnologija detektuje nepoznate malware i napredne pretnje izvršavajući sadržaj u virtualnim i bare‑metal sandbox okruženjima. Cynic oponaša ljudski način rada i to kroz niz različitih scenarija, u različitim operativnim sistemima i na najčešće korišćenim aplikacijama, kako bi izdaleka izvršio sumnjive fajlove. Sve to uspeva da završi za samo nekoliko minuta, a ne sati ili dana.

Druga nova tehnologija, Symatec SynapseB obezbeđuje korelaciju bezbednosnih informacija koje sakuplja sa mreže, krajnjih tačaka i iz e‑mail‑a, kako bi definisao događaje koji zahtevaju pažnju IT security osoblja. Na taj način pomaže da se odrede prioriteti i brže reakcije na goruće incidente.

Za dodatne informacija o Symantec Advanced Threat Protection rešenju ili drugim metodama odbrane od naprednih pretnji, kontaktirajte firmu Net++ technology i zakažite prezentaciju ili demonstraciju. Adresa je www.netpp.rs

Anja Kiš

(Objavljeno u Časopisu PC#226)

Symantec Mobility Suite za bezbedan BYOD

Mobilni uređaji obrisali su jasnu liniju koja razdvaja radno i „privatno“ vreme, jer su omogućili da završavamo posao s bilo kog mesta, u bilo kom trenutku, od kuće ili dok smo u pokretu. Zbog toga koristimo svoje privatne mobline uređaje u poslovne svrhe i obrnuto, ali smo pritom izloženi bezbednosnim rizicima. Da vidimo kako povećati bezbednost korišćenjem Symantec alata.

iStock_000021619636_LargePrema procenama kompanije Gartner, koja se bavi istraživanjem u oblasti informacionih tehnologija, čak 75% svih preuzetih mobilnih aplikacija za Android, iOS i Windows, pada na osnovnim sigurnosnim testovima. Preuzimanje aplikacije postalo je treća omiljena aktivnost korisnika mobilnih uređaja, odmah posle Facebook‑a i YouTube‑a. Prosečan korisnik ima više od 40 aplikacija na svom smartfonu ili tabletu i često na istom uređaju ima aplikacije za posao i zabavu. One se preuzimaju bez mnogo razmišljanja o bezbednosti i bez znanja kojim podacima i funkcijama aplikacija pristupa.

Ne čudi onda što su aplikacije postale jedan od glavnih uzroka curenja korporativnih podataka. Ono može biti slučajno, kada sasvim bezopasna aplikacija šalje lične podatke korisnika putem Interneta i na taj način ostavlja otvorena vrata hakerima, ali i namerno. Mnoge aplikacije nose trojance koji u pozadini izvršavaju maliciozni kod, dok sve funkcioniše naizgled normalno. Maliciozne aplikacije tako prate vaše ponašanje i kretanje, sakupljaju podatke, menjaju podešavanje uređaja, presreću poruke i pozive i omogućavaju sajberkriminalcima da sakupe dovoljno podataka kako bi ciljano napadali kompanije i kompromitovali podatke.

Kako povećati bezbednost?

Dok je korišćenje pametnih mobilnih uređaja bilo još u povoju, organizacije su uspevale da se izbore sa izazovima mobilnosti tako što su kontrolisale uređaje. Kako su pametni telefoni i tableti postali popularniji, sve više ljudi počelo je da koristi sopstvene uređaje u poslovne svrhe. Postalo je jasno da je nemoguće kontrolisati sve te uređaje i da fokus mora da se pomeri sa zaštite uređaja na zaštitu podataka koji se na njima nalaze. Kontrola i upravljanje uređajima danas je samo jedan od aspekata zaštite od rizika koji su povezani s mobilnošću. Upravljanje mobilnim uređajima (MDM) jeste važno, ali ne i dovoljno, jer ne rešava problem korišćenja aplikacija i podataka.

Da bi mogle da postignu maksimum zaštite i maksimum produktivnosti, organizacije moraju da:

  • Upravljaju mobilnim uređajima, odnosno da imaju kontrolu i uvid u korišćenje tih uređaja
  • Upravljaju mobilnim aplikacijama, to jest da kontrolišu aplikacije i podatke koje aplikacije čuvaju
  • Upravljaju mobilnim sadržajem, što znači da treba da kontrolišu pristup važnim podacima koji se nalaze na sharepoint‑u, file share‑u i sličnim lokacijama

Naravno, iz praktičnih razloga za organizacije bi bilo idealno da jedan proizvod pokriva sve ove nivoe zaštite.

Jedno rešenje za sve mobilne izazove

Symantec Mobility Suite je platforma za zaštitu i upravljanje mobilnim uređajima. Ova platforma sastoji se iz tri modula – Upravljanje uređajima (MDM), Upravljanje aplikacijama (MAM) i Zaštita od pretnji – koji su integrisani i koriste zajedničku upravljačku konzolu. Mobility Suite omogućava da s jednog mesta upravljate uređajima, kontrolišete pristup e‑mail‑u i važnim podacima, upravljate aplikacijama i zaštitite sistem i podatke od malvera i rizičnih aplikacija.

Modul za upravljanje uređajima (MDM) omogućava kontrolu i uvid u korišćenje uređaja. Za MDM je izuzetno važno da podržava više platformi – Android, iOS, Windows, jer službenici koriste raznovrsne uređaje. Pomoću MDM‑a možete da zaključate, odnosno isključite uređaj ako je ukraden ili izgubljen, konfigurišete podešavanja ili šaljete ažuriranja svim uređajima sa centralne lokacije, zabranite nekim uređajima (na primer root‑ovanim i jailbreak‑ovanim) da se povežu na korporativnu mrežu.

Upravljanje aplikacijama (MAM) omogućava primenu pravila (polisa) na individualne aplikacije, tako da ne morate da kontrolišete same uređaje. Modul nudi i App Wrapping, mogućnost dodavanja sloja zaštite za korporativne aplikacije, koji mogu da dodaju administratori iz admin konzole. Za svaku aplikaciju ovim postupkom administratori mogu da definišu odgovarajuća pravila/polise, kao što su način autentifikacije, zabrane deljenja određenih informacija i enkripcija.

Threat Protection modul štiti mobilni operativni sistem i fajl sistem od tradicionalnih virusa i malvera, ali i od novih pretnji kao što su rizične aplikacije koje kradu podatke ili one koje troše bateriju i usporavaju rad uređaja. U ovom modulu postoji App Advisor čija je uloga da upozorava korisnike na aplikacije koje loše utiču na performanse ili nose rizik curenja podataka. Korisnik onda lako može da ih ukloni. Takođe, postoji i savetnik za Google App Store, koji automatski proverava da li su aplikacije bezbedne pre preuzimanja.

Suočavanje sa BYOD realnošću

Mobilnost je postala previše raširen trend da bismo mogli da je ignorišemo. Koliko god da se organizacije odupiru prodoru BYOD koncepta, zaposleni će naći način da koriste svoje privatne mobilne uređaje u poslovne svrhe i dovodiće u opasnost korporativne podatke. S dobro pripremljenom strategijom mobilne bezbednosti i izborom pravih proizvoda za zaštitu i ovaj izazov može da se prevaziđe. Veća produktivnost zaposlenih može da se postigne bez žrtvovanja bezbednosti.

Za dodatne informacije o Symantec Mobility Suite i pomoć pri planiranju strategije mobilne bezbednosti, kontaktirajte Net++ technologyoffice@netpp.rs

Anja Kiš

(Objavljeno u Časopisu PC#222)

Upravljanje log fajlovima uz BalaBit

Upravljanje log fajlovima je ključan segment zaštite i održavanja operacija informacionog sistema. Logovi mogu biti od pomoći pri otkrivanju bezbednosnih incidenata, operativnih problema i nezamenljivi su u IT reviziji i forenzici. Veliku pomoć pruža BalaBit Syslog‑ng Store Box.

header_1Sakupljanje i analiziranje logova nije samo stvar dobre prakse, već je i deo zahteva koje određuju propisi i standardi, kao što su ISO 27001, PCI DSS ili standardi koje propisuje Narodna banka Srbije za finansijske institucije. Narodna banka je 2013. godine usvojila Odluku o minimalnim standardima upravljanja informacionim sistemom finansijske institucije (akt je stupio na snagu 2014), kojom je ustanovljen skup standarda, među kojima su i standardi upravljanja zapisima, odnosno logovima.

Upravljanje logovima određeno je kao ključan deo obezbeđenja i održavanja operacija informacionog sistema. Operativni sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i slično). U tački 21. se kaže da je finansijska institucija dužna da, na osnovu rezultata procene rizika informacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanje operativnih i sistemskih zapisa, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa. Zahteva se da zapisi sadržate dovoljnu količinu informacija radi identifikovanja problema, rekonstruisanja događaja i otkrivanja neovlašćenih pristupa i aktivnosti na resursima informacionog sistema, kao i radi utvrđivanja odgovornosti s tim u vezi.

U tački 51. se navodi da je Banka dužna da obezbedi postojanje odgovarajućih operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa elektronskim bankarstvom. Zadatak koji je postavljen pred finansijske institucije nije jednostavan, ali je neophodan i obavezan.

Uz prave alate, svaki posao je lakši

BalaBit Syslog‑ng Store Box (SSB) može da pomogne finansijskim institucijama da ispune standarde vezane za upravljanje logovima/zapisima koje propisuje Narodna banka. Syslog‑ng Store Box je uređaj (fizički ili virtuelni) dizajniran za bezbedno, pouzdano i skalabilno upravljanje logovima. SSB omogućava:

  • Centralizovanje svih logova u bezbedna spremišta
  • Sakupljanje logova sa različitih izvora
  • Bezbedan transfer i čuvanje logova
  • Zaštitu logova od neovlašćenog pristupa
  • Indeksiranje događaja kako bi se brzo pretraživali logovi
  • Jednostavno kreiranje pravila za zadržavanje, odnosno brisanje podataka
  • Centralno sakupljanje logova i arhiviranje

SSB nudi jednostavan, pouzdan i udoban način za sakupljanje i upravljanje logovima centralno. To je tzv. „ključ u ruke“ log server velikih kapaciteta s podrškom visoke dostupnosti. Sposoban da sakuplja logove s različitih platformi, SSB može lako da se integriše u bilo koje IT okruženje.

ssb

Bezbedan transfer i čuvanje logova

Sprečavanje prisluškivanja tokom transfera poruke i nedozvoljenog pristupa kada poruka stigne do log servera od esencijalne je važnosti za bezbednost. Svi podaci mogu se čuvati kao kriptovani, digitalno potpisani fajlovi s vremenskom oznakom, sprečavajući na taj način bilo kakve izmene ili manipulacije i zadovoljavajući najstrože bezbednosne standarde i zahteve za usklađenošću.

SSB nudi moćnu platformu koja može da indeksira desetine hiljada poruka u sekundi, omogućavajući brzu tekstualnu pretragu više terabajta logova. Koristeći Web interfejs, korisnik može da traži logove prema različitim parametrima. Džokeri i logički operatori omogućavaju korisnicima da vrše složene pretrage i dobiju više nivoa rezultata. Korisnici mogu da generišu ad hoc grafikone i steknu brz uvid u pregled problema.

Robusna kontrola pristupa

Koristeći SSB‑ova podešavanja za Authentication, Authorization i Accounting finansijske institucije mogu da spreče neovlašćene osobe da pristupe podacima o logovima. SSB može da se poveže sa udaljenom LDAP bazom podataka (na primer, s Microsoft Active Directory serverom) kako bi se korisnici koji imaju pristup SSB Web interfejsu razvrstali u grupe. Na primer, moguće je odobriti pristup samo logovima određene aplikacije inženjeru koji je zadužen za podršku toj aplikaciji – čak je moguće ograničiti pristup na osnovu vremenskog okvira podataka.

Syslog‑ng Store Box i drugi BalaBit‑ovi proizvodi relativno su novi na našem tržištu, ali je BalaBit širom sveta poznat po svom open source rešenju za log menadžment – syslog‑ng, koje koristi više od milion kompanija. BalaBitB je inovator na poljima log menadžmenta i naprednog monitoringa. Ima prodajne centre u Francuskoj, Nemačkoj, Mađarskoj, Rusiji, Velikoj Britaniji i SAD i partnere u više od 40 zemalja. U Srbiji, BalaBit‑ov partner je Net++ technology, koji i nudi sve BalaBit‑ove proizvode, uključujući i Syslog‑ng Store Box. Ukoliko želite prezentaciju, demonstraciju ili probu ovog proizvoda, javite se preko sajta www.netpp.rs.

www.netpp.rs

Anja Kiš

(Objavljeno u časopisu PC#221)

Sigurnost kao servis

Cloud računarstvo, hostovani servisi i aplikacije na zahtev, redefinisali su način na koji korisnici pristupaju podacima i razmenjuju ih, ali bezbednosna rešenja ostala su zaglavljena u prošlosti, sputana komplikovanom arhitekturom i ograničenim razmišljanjem. Rešenje donosi cloud, tj. Security‑as‑a‑Service, SaaS.

shutterstock_233997115Preduzeća koja hoće da se odupru pretnjama moraju da razmotre novu metodologiju bezbednosti, pošto tradicionalna rešenja nailaze na veoma ozbiljne izazove:

Nove pretnje Mnogi administratori smatraju da razvoj bezbednosnih rešenja ne prati tempo kojim se pretnje i napadi menjaju. Nove pretnje zahtevaju sve složeniju bezbednosnu infrastrukturu, jer da bismo se odbranili od današnjih pretnji, potrebna je višeslojna zaštita koja često podrazumeva više rešenja – počev od različitih uređaja, preko firewall‑a, do softvera. Kombinacija ovih rešenja omogućava najbolju zaštitu, ali tu nastaje sledeći problem.

Složenost Međusobna integracija različitih rešenja za bezbednost, zbog njihove međusobne nekompatibilnosti, može da stvori još veći problem nego sama pretnja. Budući da često dolaze od različitih proizvođača, bezbednosna rešenja imaju i različite tehničke zahteve za uspešan rad. Takođe, svako od njih zahteva posebna znanja, što znači da je potrebna dodatna obuka za administratore ili zapošljavanje novog kadra, a to dovodi do povećanja troškova.

Nepredviđeni troškovi Prema nekim istraživanjima, 20 odsto IT budžeta preduzeća izdvaja se za bezbednost, s tim što precizna suma teško da može da se odredi. Razlog je u tome što, čak i ako deo budžeta odredite za neku nepredviđenu bezbednosnu okolnost ili havariju, ne možete da znate kakva će havarija biti i kakvu će sanaciju zahtevati – koliko radnih sati angažovanja, da li će biti potrebna kupovina nove tehnologije, angažovanje konsultanata, eksperata i slično. Ako bismo na tu sumu dodali i cenu gubitka ili kompromitovanja podataka, kao i moguće pravne posledice tog gubitka, onda je jasno zašto budžet za bezbednost može da se otrgne kontroli.

Statičnost Tradicionalnim rešenjima zamera se da ne prate rast preduzeća. Kada se preduzeće razvije i preraste jednu lokaciju, centralizovana bezbednost postaje gotovo nemoguć zadatak. Filijale, ogranci i udaljene lokacije zahtevaju svoj set bezbednosnih rešenja, koja treba da funkcionišu nezavisno, ali da ipak budu centralno upravljana. Takve zahteve tradicionalna rešenja nisu u stanju da ispune.

Neprekidna borba Možda i najveći problem on‑premise rešenja jeste stalna potreba za ažuriranjem, krpljenjem i popravljanjem bezbednosnih propusta. Anti‑malware aplikacije zahtevaju dnevno ažuriranje bezbednosnih potpisa, a aplikacije za filtriranje dnevno ažuriranje URL baza. Isto važi za operativne sisteme i aplikacije, kojima su potrebne zakrpe i popravke kako bi se izbegle neželjene situacije. Najjednostavniji način da se taj problem reši jeste prelazak na rešenja koja se automatski ažuriraju.

Svi ti problemi naročito dolaze do izražaja kod malih i srednjih preduzeća (kakva je zapravo i većina preduzeća), koja nemaju novca, ljudi niti tehničkih znanja potrebnih za tradicionalna bezbednosna rešenja. Budući da su manje organizacije danas podjednako izložene napadima i pretnjama kao i velike, postavlja se pitanje kako ih zaštititi.

Uzrok = rešenje?

Sve veći broj pretnji zapravo je nuspojava Web 2.0 tehnologija, kao što su cloud računarstvo, SaaS i hostovane aplikacije. Svaka od ovih tehnologija zahteva povezivanje putem Interneta, koje često nije bezbedno. Web 2.0 tehnologije mogu da budu korisne za produktivnost, ali zbog njih raste broj opterećenja za administratore. Mnogi servisi dozvoljavaju korisnicima da zaobiđu korporativne kontrole i pristupaju aplikacijama direktno, stavljajući samo lokalnu (endpoint) zaštitu i eventualno korporativni firewall između aplikacije i korisnika. Problem se pogoršava kada mobilni korisnici i udaljene kancelarije uđu u jednačinu.

Tipičan korisnik želi da ima neometan pristup resursima potrebnim za rad. Gledano iz ugla IT‑ja, ta jednostavna želja izgleda dosta komplikovanije. Problem leži u tome što se do tih resursa, potrebnih za rad i razvijanje poslovnih veza, dolazi putem Interneta, odnosno raznih društvenih mreža, Web sajtova i servisa za razmenu poruka. Da bi se omogućio bezbedan pristup resursima, potrebno je implementirati bezbroj bezbednosnih servisa, pri čemu krajnji korisnik ne sme da bude opterećen.

IT odeljenja se suočavaju sa dva izazova, jedan je Web bezbednost, a drugi želje i potrebe krajnjih korisnika. Ako bi ograničili pristup eksternim resursima, produktivnost bi trpela, a ako bi pak otvorili mrežu eksternim resursima, bezbednost bi bila ozbiljno ugrožena. Sve ove zahteve, bezbednosne i korisničke, nije moguće ispuniti pomoću desktop ili endpoint rešenja, već moraju da se primene složena bezbednosna rešenja koja opterećuju sistem (i administratore), skupa su i nisu potpuno pouzdana.

Jedan od načina da se ovi problemi reše jeste da se upotrebe upravo tehnologije koje su do problema i dovele. Drugim rečima, korišćenjem hostovanih bezbednosnih rešenja korisnici se mogu zaštititi od problema nastalih zbog hostovanih aplikacija. Ovaj koncept u potpunosti menja dinamiku bezbednosti. Svaki korisnik postaje stalno zaštićen, bez obzira na to odakle i kako se povezuje na Internet.

SaaS kao model budućnosti

Security as a Service model daje više slojeva zaštite i nudi dodatne pogodnosti zaštite korisnika dok pretražuju Web, sprečavaju širenje malvera, upada i drugih pretnji. Bezbednost kao servis omogućava pristupačnu zaštitu, tako što deli trošak na više pretplatnika. Drugim rečima, preduzeća mogu da koriste prednosti high‑end rešenja, a ne moraju da plate punu cenu.

SaaS model bezbednosti ima nekoliko prednosti u odnosu na tradicionalna premise‑based rešenja, zbog kojih i postaje izbor za bezbednost preduzeća svih veličina. To se naročito odnosi na Web bezbednost, jer omogućava:

  • Bolje definisanje polisa, lakšu distribuciju i izvršavanje: Za Web bezbednost pre svega, polise se jednom definišu i automatski distribuiraju na različite lokacije, uz centralizovano upravljanje i izvršavanje.
  • Bolje distribuiranje bezbednosti: SaaS rešenja izvršavaju bezbednosne procedure na radnim stanicama (endpoints) bez obzira na lokaciju, opremu i infrastrukturu. Svaki povezani uređaj potpuno je zaštićen i kontrolisan polisama, čak i ako se ne nalazi u statičnom okruženju. Fizička lokacija više ne utiče na efektivnost bezbednosti, jer se analiza i bezbednosne odluke odvijaju u cloud‑u. Tradicionalna rešenja oslanjaju se na fizičku vezu između endpoint‑a i glavnog bezbednosnog uređaja, što komplikuje mogućnost zaštite mobilnih korisnika ili korisnika na udaljenim lokacijama, koji pristupaju mreži sa laptopa i drugih uređaja.
  • Niži ukupni troškovi: Kod SaaS rešenja za bezbednost, za razliku od tradicionalnih, nemate troškove za hardver, softver, integraciju i održavanje, već samo jednu stavku prilikom budžetiranja – uslugu. Što je još važnije, cena se određuje na osnovu potrebnih kapaciteta (ili kapaciteta u upotrebi), a ne na osnovu očekivanih, ali neodređenih potencijala rasta. Drugim rečima, cena se kod SaaS modela bazira na stvarnoj potrošnji, dok kod tradicionalnih rešenja morate da razmišljate o mogućim scenarijima za slučaj rasta i da predvidite maksimume korišćenja.
  • Niži operativni troškovi: Bezbednost kao servis eliminiše potrebu za dodatnom podrškom, tehničkom obukom, nadogradnjom na nove verzije programa i drugim skrivenim troškovima na koje smo nailazili kod on‑premise rešenja.
  • Unapređena instalacija i implementacija: SaaS rešenja dizajnirana su za instant implementaciju, uz malo ili nimalo posla za administratore. Teret integracije s postojećom infrastrukturom nije vaš, već ga prebacujete na SaaS provajdera.

SaaS na našem tržištu

Jedan od vodećih provajdera Security as a Service rešenja jeste Barracuda Networks. Njihovo SaaS rešenje Web Security Service je Web gateway zasnovan na cloud tehnologiji, koji štiti korisnike od malware‑a, phishing prevara, krađe identiteta i drugih malicioznih aktivnosti na Internetu. Servis je smešten između kompanijske mreže i Interneta, tako da štiti korisnike dok obavljaju aktivnosti na Web‑u. Web Security Service:

  • Vrši inspekciju odlaznog Web saobraćaja radi bezbednosti i usklađenosti s propisima,
  • Analizira saobraćaj sa Web sajtova, tražeći maliciozne programe i neodobrene korisnike,
  • Pravi izveštaje o ponašanju svih korisnika i
  • Štiti zaposlene koji koriste Internet na radnom mestu, laptopu ili na mobilnim uređajima.

Barracuda_Networks-Architecture-Web_Security_Flex

Sve administrativne funkcije obavljaju se iz Web browser‑a, ne opterećujući vaše IT resurse. Struktura licenciranja omogućava vam da kupite samo onoliko licenci koliko vam treba, a da u bilo kom trenutku, u zavisnosti od poteba, bez ograničenja povećate ili smanjite broj licenci.

Pored kasičnog cloud sistema, gde se većina komponenti nalazi kod provajdera usluga, postoje i hibridna rešenja, gde se deo sistema nalazi na računarima kod korisnika, a deo kod provajdera cloud usluga. Tako je moguće ostvariti i zaštitu radnih stanica, desktop i laptop računara i servera u cloud‑u. Symantec Endpoint Protection Small Business Edition (SEP SMB) rešenje zasniva se na centralnom upravljanju koje se nalazi u cloud‑u, dok se agenti nalaze na vašim računarima i serverima pružajući zaštitu od virusa i ostalog zlonamernog softvera. Dakle, Symantec vam nudi mogućnost da počnete sa on‑premise opcijom i kad bude pravo vreme za vas, pređete na cloud u toku pretplatnog perioda, bez dodatnih troškova. Ovim rešenjem možete upravljati samostalno ili to prepustite sertifikovanom partneru koji će definisati pravila prema vašim potrebama.

Net++ technology je već duži niz godina vodeći Symantec partner u Srbiji, a odnedavno i Barracuda Networks partner. Ukoliko želite da probate i uverite se u efikasnost i jednostavnost pomenutih SaaS rešenja, Net++ technology vam može obezbediti probne verzije opisanih proizvoda. Kontakt informacije možete pronaći na www.netpp.rs.

Anja Kiš

(Objavljeno u časopisu PC#220)

Kako da IT forenzika i revizija budu lakše, brže i jeftinije

Danas nije pitanje da li će, već kada će doći do bezbednosnog incidenta: svaka kompanija, bilo mala ili velika, može postati „sajberžrtva“. Pretnja nisu samo hakeri, već i zaposleni i outsourcing partneri koji slučajno ili namerno nanose ozbiljnu štetu.

Computer_InvestigationKada dođe do havarije, ne možete preduzeti ništa osim da se oslonite na svoje logove, generisane preko mrežnih uređaja i aplikacija, koji su ključni za utvrđivanje uzroka incidenta. Ipak, mnoge kompanije nailaze na brojne prepreke prilikom forenzičkih istraga.

Izazovi

Prvo i najvažnije iskustvo kaže, nije lako pristupiti logovima. Oni se mogu nalaziti na različitim lokacijama ili na različitim sistemima, zbog čega je teško prodreti do srži problema, ondosno uzroka incidenta.

Ako nemate sve delove i informacije koje su potrebne, može se desiti da vam promakne baš onaj delić koji treba da vam posluži kao dokaz. Bez tih delova, sklapanje cele slike onoga što se desilo u vašem sistemu može potrajati dugo, a rezultati istrage mogu biti nepouzdani.

Ako ste ipak sakupili sve potrebne informacije, onda se susrećete sa ogromnom količinom podataka koju treba pregledati u forenzičkoj istrazi, što može da odloži detekciju i rešavanje problema. Pretraživanje ekstremno velikih količina podataka može da potraje satima, a vi želite odgovor za nekoliko sekundi.

Logovi sakupljeni na nestrukturisan način još više će usporiti forenzičku istragu. Mnoge kompanije muče se da daju smisao logovima koji mogu da budu u različitim formatima i strukturama, nekad čak i za istu vrstu događaja.

Slab integritet podataka takođe otežava istragu. Jer, kada konačno otkrijete šta se desilo, morate imati logove koji zadovoljavaju standarde predviđene za dokaze. Logovi koji su transformisani iz originalnog formata ili nisu čuvani na bezbedan način mogu biti odbijeni kao dokazni materijal na sudu.

Rešenje za lakšu istragu

Dakle, činjenica da ste hakovani nije jedini problem, predstoji vam mnogo posla nakon toga. Kada dođe do incidenta, vreme postaje vaš najdragoceniji resurs i ne smete da ga rasipate. U krizi je najvažnije reagovati brzo: morate brzo i efikasno da pretražujete logove i treba vam pouzdan transfer logova i bezbedan storage. Kako da rešite ove probleme?

Indeksiranje i dobar korisnički interfejs mogu biti od pomoći za brzo pretraživanje terabajta podataka. BalaBit‑ovo rešenje Syslog‑ng Store Box poseduje te karakteristike. Syslog‑ng Store Box, kao i Syslog‑ng Premium omogućavaju bezbedan i pouzdan transfer logova i garantuju zero message loss prilikom transporta od klijenta do centralnog log servera. U tu svrhu koriste:

  • TCP (Transmission Control Protocol) za prenos podataka,
  • RLTP (Reliable Log Transfer Protocol) za potvrdu aplikacija,
  • client‑side disk buffer i
  • client‑side failover za otkaze mrežnog sistema.

Dalje, oba proizvoda koriste SSL/TLS enkripciju za transfer logova i čuvaju logove kao kriptovane, vremenski označene i digitalno potpisane log fajlove. Osim toga, Syslog‑ng može da filtrira, raščlanjuje, prepisuje i klasifikuje podatke na klijentima i tako smanji veličinu i kompleksnost log podataka koji se čuvaju centralno.

digital-fingerprint

Koje su prednosti ovakvog pristupa? Činjenica da možete da segmentirate i pretražujete gomile logova omogućava vam brže otkrivanje uzroka i sanaciju problema. Bezbedni logovi, koje je nemoguće menjati, u svom originalnom formatu, predstavljaju zakonski prihvatljiv dokaz, dakle u vašim rukama nalaze se podaci visokog kvaliteta. Poslednje, ali ne i najmanje važno, jeste vaše poverenje. Možete da budete sigurni da su svi logovi na broju, tj. da nijedan ne nedostaje, i da nisu izmenjeni, tako da niko ne može da dovede u pitanje rezultate istrage.

Da li je time problem rešen?

Pretpostavimo da ste sakupili sve logove i indeksirali ih kako biste mogli da ih lakše pretražujete. Pretražujete ih, ali i dalje ne pronalazite deo koji nedostaje da zaokružite celu priču. Alati za upravljanje sistemom poboljšavaju mogućnost rešavanja sistemskih problema, ali problemi nastali zbog ljudske greške ili ciljani napadi i dalje ostaju nerešivi. Sajbernapadači sve više preuzimaju administratorske naloge, čime stiču privilegovan pristup čitavom IT okruženju i nemaju striktna ograničenja. U mnogim slučajevima, forenzika u velikim kompanijama poverena je lokalnom timovima ili grupama koje su zadužene da reaguju u kriznim situacijama (CERT ili CIRT), međutim bez pouzdanih snimaka administrativnih pristupa serverima, istrage incidenata postaju skupe i posredne.

Uz to, eksterni standardi kao što su ISP 2700x ili PCI‑DSS predviđaju stroge mere za podršku budućim istragama, zahtevajući da se omogući snimanje aktivnosti korisnika ili nedozvoljenog logovanja. Bez snimanja korisničkih sesija na pitanje ko je šta uradio i kada, gotovo je nemoguće odgovoriti i često vodi ka neosnovanim optužbama, upiranju prstom na krivce i rasipanju novca na istrage incidenata. Da biste izbegli ovo, možete implementirati rešenje za pouzdano snimanje sesija.

Eliminisanje slepih tačaka

Shell Control Box (SCB) može da vam pomogne u istragama incidenata povezanih sa IT sistemima. Na primer, u slučaju neočekivanog gašenja, curenja podataka ili manipulacija baza podataka, okolnosti događaja odmah su dostupne u revizijskim tragovima tako da se uzrok incidenta može odmah otkriti. Snimljeni revizijski tragovi mogu se gledati kao film – rekonstruišu sve aktivnosti korisnika. Na taj način, SCB pomaže vam da otkrijete ne samo uzrok problema nego i odgovornu osobu. Ovo je naročito važno kada se radi o sistemima koji su od ključne važnosti za posao ili kada kompanija outsource‑uje IT administraciju eksternoj kompaniji.

Revizijski tragovi su od neprocenjive važnosti kako za istrage u realnom vremenu, tako i za istrage nakog incidenta. Oni omogućavaju internom revizoru da traži, recimo, sve korisnike koji su pristupali određenom nalogu u određeno vreme, na svim platformama, u celom preduzeću. S obzirom na to da se revizijski tragovi mogu lako interpretirati, SCB eliminiše potrebu za skupim spoljnim konsultantima u slučajevima forenzičkih istraga. SCB ne dozvoljava nikome da modifikuje informacije iz revizije, jer su revizijski tragovi vremenski označeni, kriptovani i potpisani. Ovo čini SCB sposobnim da rekonstruiše događaje i omogući neoborive dokaze ako dođe do sudskih procedura.

Niži troškovi forenzike i otkrivanja problema

SCB je nezavisan mrežni uređaj koji radi transparentno i izvlači informacije potrebne za reviziju direktno iz komunikacije klijenta i servera. Revizijski tragovi mogu se pregledati online, a mogu se koristiti za nadgledanje aktivnosti svih administratora u realnom vremenu. Audit Player omogućava da ubrzate (premotate) snimke prilikom pregledanja, kao i tekstualnu pretragu događaja, čime skraćujete vreme potrebno za forenzičku istragu, a time i troškove. Zahvaljujući mogućnosti tekstualne pretrage, mogu se pretraživati i alfanumeričke komande koje unose korisnici ili tekst u grafičkom protokolu (npr. RDP). Takođe, moguće je izvršiti pretragu na velikom broju revizijskih tragova kako bi se pronašle sesije koje sadrže određene informacije o događaju.

Uz snimanje revizijskih tragova nadgledanih protokola, ugrađeni protokoli (na primer, drugi protokoli tunelovani u SSH, port‑forwarding) i poslati fajlovi mogu se takođe snimati. Snimljeni fajlovi sa SCP i SFTP konekcija mogu biti ekstrahovani radi daljih analiza. Čak je moguće konvertovati revidirani saobraćaj u packet capture (pcap) format da bi se analizirali eksternim alatima. Na primer, ako servis postane nedostupan, možete dobiti listu korisnika koji su najskorije pristupali serveru, proveriti vrstu pristupa (transfer fajlova, shell itd.) i otkriti koji je mogao da utiče na servis, zatim proveriti sadržaj poslatih fajlova, dobiti listu unetih komandi i reprizirati sumnjive sesije.

Rešenje u kratkim crtama

Jednostavno pitanje „ko je pristupio našem serveru i šta je radio?“ jedno je od najtežih za IT danas. Kompanije mogu biti hakovane, pogođene napadom uskraćivanja usluga, biti žrtve prevare ili im mogu biti ukradeni podaci. Često ne možete da učinite ništa protiv toga, ali možete pomoći istrazi: sakupljanjem i čuvanjem strukturisanih podataka i tako što ćete se postarati da nemate izgubljenih poruka. Uvek budite spremni za slabe (slepe) tačke i budite oprezni s događajima koji se ne vide u logovima.

Net++ technology je Silver Reseller za BalaBit proizvode u Srbiji. Ukoliko želite prezentaciju, demonstraciju ili probu ovog proizvoda, javite se preko sajta www.netpp.rs

Anja Kiš

(Objavljeno u časopisu PC#219)

Šest opasnih stvari koje mogu da ubiju vaš sajt… i kako ih izbeći?

Web sajt je vir­tu­el­ni i­zlog, por­tfo­lio, deo bren­da i ne­za­men­ljiv mar­ke­tin­ški alat mo­der­nog pre­du­ze­ća. Mno­go tru­da, nov­ca i vre­me­na ula­že se u nje­go­vo prav­lje­nje, a is­to to­li­ko re­sur­sa u priv­la­če­nje po­se­ti­la­ca i op­ti­mi­za­ci­ju za pre­tra­ži­va­če, jer sajt ko­ji ne­ma po­se­te mo­že­mo pro­gla­si­ti mrtvim. Ka­da je­dnom do­ve­de­mo po­se­ti­oce na sajt, po­želj­no je da ih za­drži­mo, uve­ri­mo da su na pra­vom mes­tu i da­mo im po­vo­da da po­no­vo po­se­te naš stra­ni­cu. anonymous1

Osim le­pog di­zaj­na i kva­li­te­tnog sa­drža­ja, po­se­ti­ocu saj­ta va­žno je da se ose­ća be­zbe­dno. Ako je na na­šem saj­tu „po­ku­pio vi­ru­se“, ve­ro­va­tno se vi­še ne­će vra­ća­ti. Uko­li­ko se od nje­ga tra­ži da os­ta­vi li­čne po­dat­ke, po­se­ti­lac že­li da bu­de si­gu­ran da će ti podaci bi­ti za­šti­će­ni i da ne­će bi­ti zlo­upo­tre­blje­ni. Za­to bi be­zbe­dnost saj­ta i i­zgra­dnja po­ve­re­nja kod po­se­ti­la­ca tre­ba­lo da bu­du srž online mar­ke­ting stra­te­gi­je za­je­dno sa di­zaj­nom, hostingom i SEO.

Ipak, praksa pokazuje da se ne po­sve­ću­je do­volj­no pa­žnje bez­be­dnos­ti saj­ta, a za­ne­ma­ri­va­nje tog pi­ta­nja mo­že ima­ti po­sle­di­ca po re­pu­ta­ci­ju fir­me, što će se lo­še o­dra­zi­ti na uku­pno po­slo­va­nje. Ta­ko na saj­to­vi­ma ve­li­kog bro­ja do­ma­ćih online shop‑ova, osim i­zja­ve da se pro­da­vac „oba­ve­zu­je na pri­va­tnost va­ših li­čnih po­da­ta­ka ko­ji će bi­ti ko­ri­šće­ni is­klju­či­vo u svrhe ku­po­vi­ne na na­šem Web saj­tu“, ne mo­že­mo na­ći ga­ran­ci­je da je sajt be­zbe­dan. Za­to se po­se­ti­oci ne­ra­do re­gis­tru­ju, ne dov­rša­va­ju ku­po­vi­nu, a još ma­nje pla­ća­ju kre­di­tnim kar­ti­ca­ma.

Ka­ko do be­zbe­dnog saj­ta i ka­ko da uve­ri­mo po­se­ti­oce da su be­zbe­dni? Za po­če­tak, ta­ko što će­mo i­zbe­ći šest naj­če­šćih zam­ki ko­je mo­gu do­ves­ti do to­ga da naš sajt os­ta­ne sam i na­pu­šten u bes­pu­ću zva­nom In­ter­net

1. Web­si­te malware

malware ahead
Pazi malware!

Ser­ve­ri na ko­ji­ma se na­la­ze saj­to­vi mo­gu bi­ti me­ta na­pa­da baš kao i vaš PC. Kom­pro­mi­to­va­nje le­gi­tim­nih saj­to­va i ko­ri­šće­nje tih saj­to­va za ši­re­nje malware‑a sve je po­pu­lar­ni­ja tak­ti­ka me­đu online kri­mi­nal­ci­ma.
Naj­go­re od sve­ga jes­te to što vla­sni­ci čes­to i ne zna­ju da je nji­hov sajt kom­pro­mi­to­van sve dok sajt ne dos­pe na crne lis­te ko­je pra­ve pre­tra­ži­va­či ili dok ko­ri­sni­ci ne po­čnu da se ža­le da su na nji­ho­vom saj­tu po­ku­pi­li vi­ru­se i druge štetne programe.
Da­nas se go­tov mal­ver ku­pu­je na crnom trži­štu, ta­ko da zlo­na­mer­nik ne mo­ra da bu­de ha­ker­ski ge­ni­je da bi na­udio va­šem saj­tu. Saj­ber­kri­mi­nal­ci obi­čno ko­ris­te ala­te i skrip­te, ko­ji se la­ko mo­gu na­ći na In­ter­ne­tu, po­mo­ću ko­jih pro­na­la­ze sla­be tač­ke i ra­nji­va mes­ta na saj­tu i ko­ris­te ih za ši­re­nje malware‑a. Na pri­mer,  LizaMoon alat ko­ris­tio je te­hni­ku SQL injection i na taj na­čin in­fi­ci­rao mi­li­one saj­to­va. Dru­ge te­hni­ke ši­re­nja mal­ve­ra ko­ris­te uočene ra­nji­vos­ti sis­te­ma za u­prav­lja­nje sa­drža­jem, Web sajt hosting so­ftve­ra ili ope­ra­tiv­nog sis­te­ma ser­ve­ra.

 

Pre­po­ru­ke
• Po­bri­ni­te se da so­ftver ser­ve­ra na kom se vaš sajt na­la­zi bu­de ak­tu­elan i da ima sve naj­­novi­je „za­krpe“ i objavljena be­zbe­d­no­sna ažu­ri­ra­nja.
• Kon­tro­li­ši­te pris­tup klju­čnim sis­te­mi­ma i ko­ris­ti­te ja­ke lo­zin­ke ili dvo­fak­tor­sku auten­ti­fi­ka­ci­ju.
• Obe­zbe­di­te sva­ko­dnev­no an­ti­mal­ver ske­ni­ra­nje saj­ta i pro­ce­nu sla­bos­ti. To mo­že­te pos­ti­ći po­mo­ću ne­kih SSL ser­ti­fi­ka­ta, kao što su Symantec Secure Site Pro, Secure Site EV i Secure Site Pro EV SSL ser­ti­fi­ka­ta.

2. Be­zbe­dno­sna upo­zo­re­nja i is­te­kli ser­ti­fi­ka­ti

Extended Validation
Istekli sertifikati

Za­mi­sli­te da ste vi ko­ri­snik i ho­će­te da ku­pi­te ne­što, ali ta­man što ste kre­nu­li da kli­kne­te na tas­ter „ku­pi“, browser vas upo­zo­ri da je SSL ser­ti­fi­kat saj­ta is­te­kao. Šan­se da će­te nas­ta­vi­ti sa kupovinom su posle toa minimalne, a si­gur­no će­te do­bro ra­zmi­sli­ti da li će­te ikada po­no­vo do­ći na taj sajt. Sli­čno, ako ko­ris­ti­te SSL ser­ti­fi­ka­te da za­šti­ti­te online a­pli­ka­ci­je i ser­vi­se a ser­ti­fi­ka­ti is­te­knu, po­ve­re­nje ko­ri­sni­ka u vaš ser­vis strmo­gla­vo će opas­ti.

Kom­pa­ni­je s vi­še ser­ti­fi­ka­ta i ser­ve­ra su­oča­va­ju se sa o­zbilj­nim iza­zo­vi­ma u­prav­lja­nja nji­ma. Ko je od­go­vo­ran za ku­po­vi­nu i o­bno­vu ser­ti­fi­ka­ta? Ka­ko se vo­di evi­den­ci­ja? Ka­ko osi­gu­ra­ti da se ser­ti­fi­ka­ti o­bnav­lja­ju na vre­me?
Cen­tra­li­zo­va­no u­prav­lja­nje ser­ti­fi­ka­ti­ma ni­je sa­mo do­bra prak­sa ne­go i ne­op­ho­dnost ako že­li­te da i­zbe­gne­te is­ti­ca­nje ser­ti­fi­ka­ta ili probleme sa o­bno­vom u po­sle­dnjem tre­nut­ku.

Pre­po­ru­ke:

• Pro­ve­ri­te ser­ti­fi­ka­te u ce­loj or­ga­ni­za­ci­ji ta­ko da zna­te ko­je ima­te, ko vam je snab­de­vač i ka­da is­ti­ču.
• Kon­so­li­duj­te ser­ti­fi­ka­te i u­prav­ljaj­te nji­ma s je­dnog mes­ta.
• Na­pra­vi­te pod­se­tni­ke ka­ko vam se ne bi de­si­lo da za­bo­ra­vi­te da o­bno­vi­te ser­ti­fi­ka­te.

3. Malware­ti­sing (malware + a­dver­ti­sing)

oglas za malware toolkit
Oglas za malware toolkit

Kri­mi­nal­ci se čes­to in­fil­tri­ra­ju na le­gi­tim­ne saj­to­ve na ko­ji­ma pos­to­ji pros­tor za re­kla­me, gde pos­tav­lja­ju ba­ne­re, o­gla­se i sli­čno.
Po­dmu­klost ovih na­pa­da o­gle­da se u to­me što vla­sni­ci saj­to­va čes­to ne mo­gu da kon­tro­li­šu ko­je re­kla­me će se po­ja­vi­ti na nji­ho­vom saj­tu ili oda­kle do­la­ze, a pri­li­kom obi­čnog ske­ni­ra­nja saj­ta re­kla­ma ko­ja sa­drži mal­ver ne mo­ra bi­ti ot­kri­ve­na jer se mo­žda u tom tre­nut­ku ne pri­ka­zu­je. Kri­mi­nal­ci mo­gu da za­ku­pe re­klam­no mes­to ko­ris­te­ći re­klam­ne mre­že ili čak da ha­ku­ju pos­to­je­će re­kla­me i za­ra­ze ih.
Ri­zi­čna je već sa­ma po­se­ta saj­tu na ko­me pos­to­ji ova­kav za­ra­že­ni o­glas; lju­di čak ne mo­ra­ju ni da kli­knu na re­kla­mu ka­ko bi ak­ti­vi­ra­li ne­že­lje­nu ak­ci­ju. Bez do­bre an­ti­mal­ver za­šti­te na svom ra­ču­na­ru, po­se­ti­lac se i­zla­že ri­zi­ku pri­ta­je­ne in­fek­ci­je. Ako je ot­kri­je, vrlo je ve­ro­va­tno da će po­mi­sli­ti da je sajt s kog je po­ku­pio taj mal­ver opa­san i ima­će lo­ši­je mi­šlje­nje o kom­pa­ni­ji ko­ja sto­ji iza tog saj­ta.

Pre­po­ru­ke:
• Ko­ris­ti­te pro­ve­re­ne mre­že o­gla­ša­va­nja.
• Ta­mo gde je to mo­gu­će, o­gra­ni­či­te o­gla­ši­va­či­ma mo­gu­ćnost ko­ri­š­će­nja ko­da (npr. ko­ris­ti­te sta­tič­ke sli­ke ili obi­čan tekst).

4. Za­bri­nu­tost ko­ri­sni­ka

S ob­zi­rom na ko­li­či­nu kri­mi­nal­nih ak­tiv­nos­ti na In­ter­ne­tu o ko­joj sva­ki dan slu­ša­mo, ne ču­di što su lju­di o­pre­zni ka­da po­se­ću­ju saj­to­ve i što tra­že do­kaz da su ti saj­to­vi be­zbe­dni. Ta­ko­đe, kon­ku­ren­ti mo­gu o­dvu­ći pa­žnju va­ših po­se­ti­la­ca. Ako po­se­ti­lac oce­ni da je sajt va­šeg kon­ku­ren­ta be­z­be­dni­ji od va­šeg, mo­že­te pret­pos­ta­vi­ti gde će ku­po­va­ti. Pos­to­ji vi­še od mi­li­jar­de Web saj­to­va pa lju­di brzo i la­ko mo­gu da na­đu za­me­nu za vaš sajt ako oce­ne da ni­je be­zbe­dan. Pro­se­čna po­se­ta saj­tu tra­je kra­će od je­dnog mi­nu­ta a kri­ti­čno je prvih 10 se­kun­di. Da­kle, ve­oma je va­žno da ih u prvih ne­ko­li­ko se­kun­di posete uve­ri­te ka­ko je sajt be­zbe­dan.

which seal do you trust
Ži­go­vi po­ve­re­nja (Trust mark), kao na pri­mer Norton Secured Seal ili Thawte Site Seal i GeoTrust Secured Seal, je­su di­na­mič­ka, ani­mi­ra­na gra­fi­ka ko­ja se pri­ka­zu­je na Web stra­na­ma ko­je su za­šti­će­ne SSL ser­ti­fi­ka­tom i na saj­to­vi­ma či­ju auten­ti­čnost ga­ran­tu­je ne­ko ser­ti­fi­ka­ci­ono te­lo. Ka­da po­se­ti­lac kli­kne na žig, o­tvo­ri se ve­ri­fi­ka­ci­ona stra­na ko­ja sa­drži in­for­ma­ci­je o or­ga­ni­za­ci­ji, de­ta­lje o SSL ser­ti­fi­ka­tu, a na Norton‑ovim ži­go­vi­ma i sta­tus ske­ni­ra­nja mal­ve­ra. Ži­go­vi po­ka­zu­ju lju­di­ma da vam je sta­lo do be­zbe­dnos­ti. Pos­to­je i ži­go­vi (kao npr. Symantec Seal‑in‑Search) ko­ji se pri­ka­zu­ju još u re­zul­ta­ti­ma pre­tra­ge po­red lin­ka ka saj­tu, ta­ko da se po­se­ti­lac za­bri­nut za be­zbe­dnost ne­će dvo­umi­ti da li da po­se­ti vaš sajt. Ži­go­ve obi­čno do­bi­ja­te uz SSL ser­ti­fi­ka­te.

Pre­po­ru­ke:
• Pri­ka­ži­te vi­dlji­ve zna­ke da je vaš sajt be­zbe­dan, ske­ni­ran i od po­ve­re­nja, ka­ko na sa­mom saj­tu, ta­ko i u pre­tra­ži­va­ču.

5. La­žno pred­stav­lja­nje (phis­hing)

Saj­ber­kri­mi­nal­ci ko­ris­te do­bro po­zna­ta ime­na i bren­do­ve ka­ko bi na­ve­li lju­de da im os­ta­ve po­ver­lji­ve in­for­ma­ci­je ili da in­sta­li­ra­ju mal­ver. Čes­to pra­ve la­žne Web saj­to­ve ko­ji i­zgle­da­ju is­to kao le­gi­tim­ni saj­to­vi i na taj na­čin us­pe­va­ju da za­va­ra­ju lju­de. Naj­po­zna­ti­ji pri­mer ove vrste na­pa­da, po­zna­tih kao phishing, jes­te ko­ri­šće­nje la­žnog saj­ta ban­ke na kom ko­ri­sni­ci os­tav­lja­ju broj ban­kov­nog ra­ču­na ili broj kre­di­tne kar­ti­ce i ši­fru.
U no­vi­je vre­me pri­me­tno je sve če­šće ko­ri­šće­nje dru­štve­nih mre­ža za pos­tav­lja­nje ma­ma­ca pre­ko ko­jih lju­de na­vo­de da na la­žnim saj­to­vi­ma os­tav­lja­ju po­dat­ke, kao što su ši­fre na­lo­ga na dru­štve­nim mre­ža­ma, u na­di da će do­bi­ti ne­ku na­gra­du.

Lazna nagradna anketa
Lažna nagradna anketa

 

Zbog la­žnih saj­to­va i „ki­dna­po­va­nja“ bren­da ve­oma je va­žno da kom­pa­ni­je, zbog oču­va­nja do­bre re­pu­ta­ci­je, za­šti­te svo­je saj­to­ve i is­ta­knu auten­ti­čnost pra­vih saj­to­va. SSL ser­ti­fi­ka­ti s pro­ši­re­nom va­li­da­ci­jom (Extended Validation) na vi­zu­el­no efek­tan na­čin po­tvrđu­ju iden­ti­tet saj­ta ta­ko što po­za­di­na i ime kom­pa­ni­je u browser‑u pos­ta­ju ze­le­ni. EV ser­ti­fi­ka­ti pri­ka­zu­ju de­ta­lje o vla­sni­ku saj­ta, či­me se ote­ža­va va­ra­nje po­se­ti­la­ca. Pro­ce­du­ra za i­zda­va­nje EV ser­ti­fi­ka­ta ve­oma je de­talj­na i ri­go­ro­zna, pa se ne mo­že de­si­ti da ne­pos­to­je­ća kom­pa­ni­ja ili kom­pa­ni­ja s lo­šom re­pu­ta­ci­jom do­bi­je ser­ti­fi­kat ili da do­bi­je SSL ser­ti­fi­kat za ime ili do­men ko­ji ne­ma pra­vo da ko­ris­ti.
Mno­ge vo­de­će kom­pa­ni­je, u­klju­ču­ju­ći Twitter i Facebook, do­ka­zu­ju da su nji­ho­vi saj­to­vi be­zbe­dni ta­ko što im­ple­men­ti­ra­ju SSL od login‑a do logoff‑a (tzv. Always‑on SSL). To zna­či da je sva­ka stra­na na saj­tu krip­to­va­na, a ne sa­mo one za ku­po­vi­nu i gde lju­di os­tav­lja­ju ose­tlji­ve in­for­ma­ci­je. Pre­dnost Always‑on SSL‑a jes­te u to­me što po­se­ti­oci saj­ta već od prvog kli­ka ima­ju ose­ćaj si­gur­nos­ti jer je znak be­zbe­dnos­ti vi­dljiv na sva­koj stra­ni.

Pre­po­ru­ke
• Ko­ris­ti­te ser­ti­fi­ka­te s pro­ši­re­nom va­li­da­ci­jom za auten­ti­fi­ka­ci­ju va­šeg saj­ta i uve­ri­te ko­ri­sni­ke da ni­su na phis­hing saj­tu.
• Ra­zmi­sli­te o im­ple­men­ta­ci­ji Always‑on SSL ser­ti­fi­ka­ta ko­ji na vi­dljiv na­čin uve­ra­va­ju ko­ri­sni­ke da su nji­ho­ve ak­tiv­nos­ti na saj­tu krip­to­va­ne.

 

6. Crne liste

Pre­tra­ži­va­či po­put Google-a i Bing-a ske­ni­ra­ju saj­to­ve tra­že­ći mal­ver i ako ga na­đu na va­šem saj­tu, on će odmah dos­pe­ti na crnu lis­tu. To zna­či da sajt vi­še ne­će i­zla­zi­ti u re­zul­ta­ti­ma pre­tra­ge, na nje­ga ne­će sti­za­ti sa­o­bra­ćaj s pre­tra­ži­va­ča i, u za­vi­snos­ti od Web browser‑a, mo­že se pri­ka­zi­va­ti upo­zo­re­nje o in­fek­ci­ji pre ne­go što po­se­ti­lac ode na sajt, čak i ako di­rek­tno une­se a­dre­su.
Dolazak na crnu lis­tu ima­­ po­gu­ban uti­caj na po­se­će­nost saj­ta i re­pu­ta­ci­ju va­šeg bren­da, bez ob­zi­ra na to što ste pu­no ulo­ži­li u op­ti­mi­za­ci­ju saj­ta za pre­tra­ži­va­če (SEO). Čak i kad ot­klo­ni­te pro­blem, mo­že pro­ći dos­ta vre­me­na dok pre­tra­ži­va­či po­no­vo uv­rste vaš sajt u lis­tu pre­tra­ge.
Dru­gi ra­zlog za stav­lja­nje na crnu lis­tu mo­že bi­ti ne­po­što­va­nje smer­ni­ca ko­je pre­tra­ži­va­či da­ju. Google o­bjav­lju­je ko­ri­sne smer­ni­ce o do­brim i lo­šim pri­me­ri­ma iz prak­se, u­klju­ču­ju­ći de­ta­lje o po­na­ša­nju zbog kog će­te dos­pe­ti na crnu lis­tu.
Google je o­bja­vio da dnev­no blo­ki­ra 6.000 saj­to­va. Čak i zvu­čna ime­na kao što su TechCrunch i New York Times na­šli su se na crnoj lis­ti jer je ot­kri­ve­no da pri­ka­zu­ju (ne­na­mer­no) za­ra­že­ne o­gla­se.

Pre­po­ru­ke
• Za­šti­ti­te sajt od malwaretising‑a i malware‑a.
• I­zbe­ga­vaj­te sum­nji­ve SEO te­hni­ke.
• Ko­ris­ti­te Google i Bing ala­te za webmaster‑e i pri­ma­će­te e‑ma­il upo­zo­re­nja ako se vaš sajt na­đe na crnoj lis­ti.

Izbor pravog partnera

Ra­zvoj sves­ti o opa­s­nos­ti­ma i upo­zna­va­nje s ri­zi­ci­ma prvi je ko­rak ka be­zbe­dnom saj­tu. Dru­gi ko­rak tre­ba­lo bi da bu­de i­zbor par­tne­ra ko­me će­mo ovaj od­go­vo­ran po­sao po­ve­ri­ti. Kao i u svim dru­gim sfe­ra­ma ži­vo­ta i po­slo­va­nja, i ov­de tre­ba iza­bra­ti po­u­zda­nog par­tne­ra sa i­zgra­đe­nom re­pu­ta­ci­jom.
Ka­da su SSL ser­ti­fi­ka­ti u pi­ta­nju, na trži­štu pos­to­ji ve­li­ki broj ser­ti­fi­ka­ci­onih te­la (CA) ko­je nu­de ovu vrstu u­slu­ge. Ni­su sva ser­ti­fi­ka­ci­ona te­la je­dna­ko po­u­zda­na, pa ta­ko ni nji­ho­vi ser­ti­fi­ka­ti i ži­go­vi ne­ma­ju je­dnak kre­di­bi­li­tet.
Me­đu li­de­re na trži­štu SSL ser­ti­fi­ka­ta spa­da­ju Symantec, Thawte i GeoTrust. Symantec (koji je kupio ne­ka­da­šnji VeriSign) nu­di ne­ko­li­ko vrsta SSL ser­ti­fi­ka­ta ko­ji, osim vrhun­ske en­krip­ci­je, nu­de i ne­što vi­še: pro­ce­nu ra­nji­vos­ti i ske­ni­ra­nje mal­ve­ra na saj­tu. Zbog ovih ka­rak­te­ris­ti­ka i pre­po­zna­tlji­vos­ti Symantec‑a kao bren­da u ko­ji lju­di ima­ju po­ve­re­nja, saj­to­vi ko­ji­ma je po­ve­re­nje po­se­ti­la­ca od klju­čnog zna­ča­ja bi­ra­ju Symantec SSL ser­ti­fi­ka­te. Thawte i GeoTrust nu­de je­fti­ni­je ser­ti­fi­ka­te ko­ji ne­ma­ju do­da­tne ka­rak­te­ris­ti­ke, ali obe­zbe­đu­ju ja­ku en­krip­ci­ju i po­u­zda­nu auten­ti­fi­ka­ci­ju.
Vi­še in­for­ma­ci­ja o vrsta­ma i ce­na­ma SSL ser­ti­fi­ka mo­že­te pro­na­ći na Web saj­tu Net++ technology www.netpp.rs.

Autor teksta: Anja Kiš

Objavljeno u PC#218

PAN Traps: Zamka za viruse

Palo Alto Networks (PAN) je pre više od tri godine napravio revoluciju sa firewall uređajima nove generacije (kao što smo pisali u PC #212), a sada je najavio i revoluciju na polju zaštite računara, servera i radnih stanica – krajnjih tačaka IT sistema. Adut kojim PAN namerava da osvoji tržište kojim trenutno dominiraju proizvođači antivirusne zaštite zove se Traps.

13_zamkaKoliko često ste u poslednje vreme čuli rečenicu: „Antivirus više nije dovoljan“? Proizvođači klasične antivirusne zaštite razvijaju dodatne mehanizme i tehnologije koje pomažu u zaštiti krajnjih tačaka od naprednih pretnji, jer znaju da AV rešenje koje se bazira samo na definicijama više ne može da ponudi adekvatnu zaštitu. Evolucija na ovom polju ide svojim tokom ali nedovoljno brzo, o čemu svedoče brojni upadi i krađe podataka najvećih trgovinskih lanaca i banaka, koji su počeli većinom ubacivanjem novih, naprednih pretnji, nastalih samo za tu priliku/napad na krajnje tačke žrtvi.

Šta može Traps?

Očigledno je tržištu potrebna revolucija, a veliki su izgledi da će Palo Alto Networks ponoviti prethodni uspeh s novim proizvodom Traps, sistemom za zaštitu krajnjih tačaka IT sistema (radnih stanica i servera) od malvera i pokušaja upada i napada i od novih, naprednih, neotkrivenih pretnji. Traps je skraćenica od Targeted Remote Attack Prevention System, „nasleđena“ od firme Cyvera, koju je PAN nedavno preuzeo.

Kao i kod drugih sistema zaštite, Traps čine centralni server za upravljanje – Endpoint Security Manager (ESM), baza i agenti koji se instaliraju na krajnje tačke. I tu se svaka dalja sličnost s drugim proizvodima završava! Traps agenti ne koriste definicije virusa, ali omogućavaju:

  • sprečavanje zloupotrebe svih ranjivosti sistema (exploits), uključujući i takozvane zero‑day ranjivosti (zero‑day vulnerabilities);
  • zaustavljanje svakog malvera, bez prethodnog poznavanja istog tj. bez definicija i potpisa;
  • pružanje detaljne forenzike sprečenih napada, radi analize i daljeg sprečavanja i uvođenja mera zaštite;
  • skalabilnost i malo opterećenje sistema, uz laku integraciju s postojećim rešenjima čiji rad ne ometaju;
  • blisku integraciju s dostupnim network i cloud rešenjima za zaštitu i razmenu informacija radi poboljšanja opšteg sistema zaštite.

Traps agenti zauzimaju najviše do 25 megabajta radne memorije, opterećenje procesora je u proseku 0,1%, a I/O operacije su minimalne.

Kako Traps sve to postiže?

PAN Traps polazi od toga da sprečava upotrebu tehnika koje koriste malveri i pretnje – godišnje se otkrije hiljade i hiljade ranjivosti operativnih sistema, ali su to zapravo samo dve do četiri tehnike kojima se iskorišćavaju te ranjivosti. Isto važi i za malver, koji se meri milionima godišnje, ali svi oni zapravo koriste svega 10‑100 novih tehnika/tehnologija, načina rada. Upravo tehnike kojima se koriste napadači, malveri i nove pretnje jesu ono što PAN Traps prati i zaustavlja one za koje proceni da su zlonamerni. Traps postavlja zamku (engl. trap) pretnjama koje pokušaju da upotrebe neku od tehnika za napad, širenje, zloupotrebu ranjivosti i slično.

PAN Traps koristi i WildFire, PAN tehnologiju analize ponašanja aplikacija u cloud‑u, te može da pošalje uzorke aplikacije na analizu, gde će sama WildFire tehnologija utvrditi da li se radi o pretnji ili običnoj aplikaciji. Ista tehnologija je već dokazana i oprobana kod PAN firewall uređaja.

PAN revolucija

Palo Alto Networks se ovde ne zaustavlja, već najavljuje još novosti – blisku integraciju svog firewall‑a nove generacije sa VMware NSX‑om, VMware rešenjem za virtuelizaciju mreže i budućom platformom za zaštitu. Ako Palo Alto Networks Traps – napredna tehnologija zaštite krajnih tačaka – i u praksi dokaže da je dovoljan za kompletnu zaštitu računara i servera, očekuju nas uzbudljive promene na tržištu koje se nije značajno menjalo od osamdesetih i devedesetih godina – Palo Alto Networks biće pionir koji će zaokružiti i pružiti kompletnu platformu zaštite svih segmenata IT sistema.

Za sve dodatne informacije u vezi s naprednim Palo Alto Networks rešenjima obratite se PAN reseller‑u, kompaniji Net++ technology, telefonom 011/36‑999‑67 i 011/4053‑516 ili  na e‑mail office@netpp.rs

(Objavljeno u časopisu PC#215)