Artykuły dotyczące tematu: FireEye

dodany: 17.04.2013 | tagi: ,

Chmura i wirtualizacja jako ochrona przed atakami nowej generacji – wywiad z Tomaszem Pietrzykiem – inżynierem systemowym w firmie FireEye

1
Wywiad

Firma FireEye jest liderem w dziedzinie zatrzymywania zagrożeń nowej generacji, ataków typu zero-day i APT, które potrafią ominąć tradycyjne zabezpieczenia, a zagrażają ponad 95% sieci. Rozwiązanie firmy FireEye uzupełnia zapory ogniowe oparte na sygnaturach, IPS, antywirusy i bramki; zapewniając jedyne na świecie zabezpieczenie bez sygnatur chroniące przed atakami przez WWW i e-mail, a także zagrożeniami ukrytymi we współdzielonych zasobach plikowych. Jest to jedyne na rynku zintegrowane rozwiązanie dla firm, które zatrzymuje ataki, we wszystkich fazach ich cyklu, od eksploitów do eksfiltracji.

Tomasz Pietrzyk FireEye150

Pod koniec lutego tego roku firma FireEye, dostawca rozwiązań do ochrony przed zaawansowanymi cyberatakami, poinformowała o rozpoczęciu działalności w Polsce i w Europie Środkowo-Wschodniej. Rozmawialiśmy z Tomaszem Pietrzykiem, inżynierem systemowym w firmie FireEye, nie tylko na temat samej firmy, jej działalności oraz systemów i rozwiązań przez nią produkowanych, ale także na temat zagrożeń nowej generacji i sposobów na walkę z nimi.

Mogą Państwo pokrótce opisać co nowego – innego proponuje Państwa firma?

Firma FireEye jest pionierem w dziedzinie nowej generacji zabezpieczeń chroniących przedsiębiorstwa przed atakami. Cyberataki są obecnie znacznie bardziej zaawansowane i łatwo omijają tradycyjne zabezpieczenia oparte na sygnaturach, takie jak zapory firewall nowej generacji, systemy IPS zapobiegające włamaniom do komputerów, programy antywirusowe i bramki bezpieczeństwa (gatewaye), docierając do większości sieci korporacyjnych. Platforma FireEye uzupełnia tradycyjne systemy bezpieczeństwa nowym modelem zabezpieczeń w celu ochrony przed nową generacją cyberataków. Unikatowa na rynku platforma FireEye stanowi zabezpieczenie przed atakami bazujące na dynamicznym wykrywaniu i blokowaniu cyberataków w czasie rzeczywistym. Platforma FireEye nie jest oparta na sygnaturach i bazuje na wirtualnej maszynie oraz chmurze, co pomaga organizacjom chronić swoje zasoby przed zaawansowanymi zagrożeniami, takimi jak ataki internetowe, ataki przeprowadzane za pomocą poczty elektronicznej i stron web, ataki mobilne, itp. Platforma FireEye została wdrożona w ponad 40 krajach i u ponad 1000 klientów i partnerów, w tym w ponad 25% firm z listy Fortune 100.

Co to są ataki nowej generacji i w jaki sposób należy z nimi walczyć?

Atakami nowej generacji określane są przede wszystkim ataki dedykowane, nakierowane na uzyskanie określonych korzyści (np. kradzież danych, osłabienie wizerunku, unieruchomienie usługi, infiltracja wewnętrznej struktury organizacyjnej celu ataku, itp.), wykonywane przeciwko konkretnym celom. Ataki te wykorzystują często tzw. podatności „zero day” aplikacji i systemów operacyjnych, które nie były publicznie znane w momencie ich użycia. Przeprowadzane są z wykorzystaniem różnych technologii i obejmują wiele etapów – od rozpoznania celu ataku, techniki socjotechniczne, różne kanały komunikacji (najczęściej web, e-mail) dla przesłania do ofiary tzw. exploita, a następnie załadowanie właściwego kodu złośliwego, który stara się jak najbardziej zamaskować swoją obecność na komputerze ofiary, po komunikację zwrotną z „centrum sterowania” (command and control server) i wreszcie realizację celu ataku, czyli np. wyciągnięcie z organizacji interesujących danych. Atak taki może „rezydować” na komputerach ofiar przez bardzo długi czas zanim zostanie wykryty lub nawet zanim podejmie działania.
Ze względu na stosowane rozwiązania do ukrywania obecności malware, wykorzystanie podatności „zero day” oraz bardzo częste modyfikowanie kodu ataku (np. poprzez użycie technik polimorfizmu, szyfracji, ukrywanie kodu w często używanych innych rodzajach plików – pdf, ms office, pliki video, itp.), wykorzystywanie różnych kanałów komunikacji z Command and Control Servers ataki te są praktycznie niewykrywalne przez rozwiązania zabezpieczające bazujące na sygnaturach, heurystyce, czy korzystające z serwisów reputacyjnych, czyli te, które wykorzystują do działania wcześniej znane i opisane cechy ataku.

Najbardziej nagłośnionymi atakami nowej generacji są tzw. ataki APT (advanced persistent threats) i TPT (targeted persistent threats), które były skierowane przeciwko największym firmom i organizacjom na świecie, a także instytucjom rządowym – dla przykładu ataki znane pod nazwami Operacja Aurora, Stuxnet, Night Dragon. Ataki nowej generacji są także wiązane z koncepcjami tzw. cyberwojen między państwami, haktywizmem i cyberterroryzmem.
Ochrona przed tego typu zagrożeniami wymaga uzupełnienia dotychczasowych rozwiązań zabezpieczających nowymi metodami rozpoznawania zagrożeń. Muszą to być rozwiązania z założenia nie opierające się tylko na wcześniej zdefiniowanych sygnaturach, opisanych podatnościach i określonej reputacji źródła ataku. System zabezpieczający musi mieć możliwość przeanalizowania rzeczywistego zachowania kodu w środowisku, które jak najdokładniej odpowiada realnemu wyposażeniu i zachowaniu komputerów użytkowników. Musi być także świadomy i mieć możliwość analizy poszczególnych etapów ataku – od infekcji, przez załadowanie właściwego kodu złośliwego, jego komunikację z serwerami Command and Control, do kontroli zachowania kodu i efektów jego działania. Niezwykle ważne jest także to, że analiza musi być wykonywana na bieżąco, w czasie rzeczywistym z wydajnością, która odpowiada współczesnym przepustowościom łączy Internetowych stosowanych przez organizacje różnej skali.

Właśnie tego typu rozwiązania tworzy i dostarcza firma FireEye. Produkty FireEye od początku były projektowane i tworzone z założeniem wykrywania i szczegółowej analizy ataków „zero day”, spersonalizowanych, nieznanych wcześniej. Rozwiązanie FireEye umożliwia zarówno statyczną, jak i dynamiczną analizę kodu w czasie rzeczywistym, a także kontrolę nad poszczególnymi fazami ataku, w tym wykrywanie i analizę komunikacji zwrotnej (tzw. callback) malware do serwerów sterowania (Command and Control Servers) i serwerów odbierających „efekty” działania kodu w środowisku ofiary ataku. Skuteczność stosowanych przez FireEye rozwiązań w zwalczaniu ataków nowej generacji została już wielokrotnie udowodniona i nadal jest potwierdzana przez Klientów z różnych branż korzystających z tej technologii.

Jak tworzyć ogólne zabezpieczenia dla wszystkich, skoro dzisiejszym czarnym trendem są np. ataki spersonalizowane?

Rzeczywiście trudno byłoby zdefiniować jakąś jedną, uniwersalną koncepcję systemu zabezpieczeń odpowiednią dla dowolnej organizacji. W każdym wypadku najbardziej skutecznym systemem zabezpieczeń jest ten, który uwzględnia specyfikę działania, zasoby, cechy systemu informatycznego, a nawet otoczenie konkurencyjne i cele biznesowe danej firmy i instytucji. Niemniej istnieją pewne ogólnie przyjęte zasady i rekomendacje dotyczące zasad tworzenia rozwiązań zabezpieczających, które mogą być stosowane przez rożne organizacje. Wśród tych zasad można wyróżnić konieczność ciągłej aktualizacji zabezpieczeń, aplikacji i systemów operacyjnych, wykorzystanie warstw ochronnych bazujących na różnych technologiach ochronnych, uświadamianie użytkownikom z jakimi zagrożeniami i technikami socjotechnicznymi mogą się spotkać, podnoszenie kompetencji administratorów i osób zajmujących się utrzymaniem systemów i reagowaniem na incydenty bezpieczeństwa.

Inną wspólną płaszczyzną, jaką można wskazać nawet dla spersonalizowanych ataków są stosowane przez nie etapy i metody przeprowadzenia infekcji. Im bardziej jesteśmy w stanie wyróżnić i kontrolować te etapy, tym łatwiej przeciwdziałać skutecznemu przeprowadzeniu ataku. Uniwersalizm rozwiązań zabezpieczających może wynikać także z zastosowania systemów wykrywania zagrożeń, które ze swojej natury nie bazują na wcześniej znanych i opisanych atakach. Przykładem takiego systemu są produkty firmy FireEye, które wykorzystują zaawansowaną, dynamiczną analizę zachowania kodu w środowisku odpowiadającym zachowaniem i wyposażeniem stacji „zwykłego użytkownika”. Szczegółowa kontrola działania kodu w takim środowisku pozwala na wykrycie ataków, które nie były znane wcześniej. Rozpoznanie spersonalizowanego ataku w przypadku rozwiązań FireEye, to także efekt analizy wszystkich etapów ataku – od pobrania i załadowania tzw. exploita, przez pobranie i uruchomienie właściwego kodu ataku (tzw. dropper) po analizę komunikacji malware z serwerem Command and Control (tzw. callback).

Jak wg Państwa należy zapobiegać atakom typu APT?

Ochrona przed tak zaawansowanymi, wieloetapowymi atakami jakimi są ataki APT (Advanced Persistent Threats) wymaga uzupełnienia dobrze znanych i powszechnie stosowanych technologii ochrony, nowymi rozwiązaniami zabezpieczającymi.

W szczególności kluczowym komponentem uzupełniającym tradycyjne rozwiązania bezpieczeństwa są produkty, które umożliwiają wykrywanie ataków bez wcześniej zdefiniowanych sygnatur i opisanych podatności i analizujących poszczególne etapy ataku – od infekcji, przez załadowanie właściwego kodu złośliwego, jego komunikację z serwerami Command and Control, do kontroli zachowania kodu i efektów jego działania. Takim właśnie rozwiązaniem są produkty FireEye, które od początku były projektowane i tworzone z założeniem wykrywania ataków, jakie nie były wcześniej zidentyfikowane, dla których nie ma jeszcze sygnatur, które wykorzystują nieznane podatności i stosują skomplikowane techniki ukrywania swojej działalności. Jest to możliwe dzięki wykorzystaniu zaawansowanych metod analizy zachowania kodu w środowisku odpowiadającym zachowaniu i wyposażeniu „normalnego komputera” oraz identyfikacji i kontroli poszczególnych etapów ataku.

Bardzo ważnym elementem ochrony przed atakami APT jest także podnoszenie poziomu wiedzy i świadomości zagrożeń nie tylko wśród osób zajmujących się na co dzień administracją systemów, ale także, a może przede wszystkim, wśród wszystkich użytkowników korzystających z zasobów organizacji. Jak wynika z analiz praktycznie wszystkich znanych ataków APT bardzo ważnym etapem ich przeprowadzania jest rekonesans organizacji i dotarcie do celu ataku z wykorzystaniem technik socjotechnicznych oraz pozyskiwanie cennych z punktu widzenia atakującego danych o organizacji, które są niejednokrotnie niefrasobliwie ujawniane przez pracowników nieświadomych, że te informacje mogą posłużyć do wykonania skutecznego ataku na ich firmę.

Co to znaczy, że zapewniają Państwo zabezpieczenie bez sygnatur?

„Zabezpieczenie bez sygnatur” to krótka charakterystyka najważniejszej części rozwiązania FireEye. Oznacza, że wykrywanie ataków nie bazuje na wcześniej znanych i opisanych cechach ataku, w szczególności kodu złośliwego uruchamianego na stacji użytkownika. Dzięki temu podejściu produkty FireEye są stosowane jako zabezpieczenie przed nowymi lub zmodyfikowanymi i spersonalizowanymi atakami.

Idea działania rozwiązania FireEye opiera się na analizie zachowania ataku w środowisku, które maksymalnie oddaje zachowanie i wyposażenie standardowej stacji użytkownika. Ważną cechą tego rozwiązania jest fakt wykonywania tej analizy na miejscu, u Klienta, a dokładniej na dedykowanej platformie (appliance) dostarczanej przez FireEye. W przeciwieństwie do innych rozwiązań wykorzystujących analizę zachowania kodu, FireEye nie wysyła próbek kodu do „chmury”, gdzie faktycznie wykonywana jest jego analiza. Cały proces jest wykonywany lokalnie. Ma to duże znaczenie dla wielu Klientów, którzy pragną zachować maksymalny poziom poufności na temat swojego środowiska i ataków na nie.

Ważną cechą rozwiązania FireEye jest także to, że analiza jest wykonywana w czasie rzeczywistym w specjalnie zaprojektowanym, niekomercyjnym środowisku wirtualnym, które stanowi dodatkowe zabezpieczenie przed kodem próbującym oszukać system analizy, po wykryciu, że jest on uruchamiany w jakimś znanym rodzaju maszyn wirtualnych.

Sama analiza dynamiczna kodu realizowana na urządzeniach FireEye to ważna, ale nie jedyna metoda wykrywania ataków. Istotną cechą jest także analizowanie wszystkich etapów ataku – urządzenia wykrywają i analizują wykonanie exploita, pobranie i uruchomienie właściwego kodu ataku (dropper), jego zachowanie po uruchomieniu, a wreszcie komunikację malware z serwerami Command and Control. Wykrycie ataku i opis jego zachowania na jednym z urządzeń jest przekazywany do innych appliance’ów chroniących organizację umożliwiając im blokowanie ataku już bez ponownej analizy wszystkich jego faz.

Dostarczają Państwo rozwiązań zabezpieczeń dla m. in.: branży finansowej, telekomunikacyjnej, przemysłu czy sektora publicznego – czym one się różnią?

Jak wynika z raportów firm zajmujących się analizą zagrożeń, m.in. FireEye, Mandiant, Delloit, Gartner, praktycznie każdy rodzaj organizacji jest narażony na ataki, w tym coraz bardziej na ataki spersonalizowane i zaawansowane, korzystające z wielu różnych technologii i przebiegające w wielu etapach. Znaczenie dla atakującego ma raczej potencjalna korzyść z wykonania skutecznego ataku niż rodzaj organizacji. Warto przypomnieć ataki na firmy, które były tylko jedną z faz o wiele bardziej rozbudowanej kampanii hakerskiej mającej na celu dotarcie do innej organizacji (np. włamanie do centrum certyfikacji i wykradzenie podpisów cyfrowych użytych następnie do przełamania zabezpieczeń rzeczywistego celu ataku). Coraz częściej właściwym celem ataków są małe i średnie przedsiębiorstwa, ponieważ posiadają użyteczne dane technologiczne, przemysłowe, własność intelektualną, dane osobowe itp.
Rozwiązania FireEye są stosowane przez Klientów z praktycznie wszystkich branż. Platforma FireEye została wdrożona w ponad 40 krajach i u ponad 1000 klientów i partnerów, w tym w ponad 25% firm z listy Fortune 100. Przy czym nie ma generalnych różnic w rozwiązaniach FireEye oferowanych do poszczególnych firm z różnych segmentów rynku. Takie ujednolicenie oferty jest możliwe, ponieważ produkty FireEye są nastawione na analizę zagrożenia w sposób jak najbardziej generyczny, bez zakładania, że atak, przed którym chcemy chronić Klienta, został już wcześniej poznany i opisany. Te same sposoby analizy sprawdzają się zarówno w instytucjach rządowych, finansowych, z branży telekomunikacyjnej, przemyśle i innych.
Różnice oferty dla konkretnych Klientów sprowadzają się raczej do doboru właściwego modelu, ilości i sposobu wdrożenia produktów w sieci pod kątem specyficznych wymagań dotyczących wydajności, topologii sieci, integracji z istniejącymi systemami zabezpieczeń i monitorowania.

Co to jest FireEye Malware Protection Cloud?

Malware Protection Cloud to usługa „w chmurze” udostępniana przez firmę FireEye swoim Klientom. Usługa ta jest aktualnie znana pod nazwą FireEye Dynamic Threat Intelligence (w skr. DTI). FireEye Dynamic Threat Intelligence integruje centralnie informacje pochodzące z działu FireEye zajmującego się analizą ataków i malware (FireEye Malware Intelligence Lab), z urządzeń FireEye wdrożonych w sieciach Klientów, a także dane wymieniane z partnerami technologicznymi FireEye i dostawcami usług (service providers) z różnych krajów. DTI umożliwia współdzielenie informacji o wykrytych nowych atakach, ich charakterystykach i sposobach działania. Chmura DTI jest dostępna on-line poprzez Internet dla urządzeń FireEye wdrożonych lokalnie w sieci Klienta. Komunikacja z DTI odbywa się poprzez zabezpieczony kanał SSL. Zależnie od preferowanej i zakupionej przez Klienta opcji dostępu do DTI, urządzenia, które chronią jego sieć, mogą przekazywać i odbierać lub tylko odbierać z DTI informacje o zidentyfikowanych atakach.

Kiedy urządzenie wykrywa atak lokalnie, generuje jego charakterystykę i, zależnie od posiadanej opcji dostępu do chmury, wysyła ją do serwisu DTI umożliwiając tym samym ostrzeżenie innych Klientów korzystających z rozwiązań FireEye o nowo wykrytym zagrożeniu. Dane opisujące atak są anonimizowane przed wysłaniem – nie zawierają prywatnych danych organizacji, w jakiej został wykryty atak.

Dzięki takiej współdzielonej informacji możliwe jest bardziej wydajne reagowanie na wcześniej zdiagnozowane ataki – to samo zagrożenie wykryte przez urządzenie w sieci Klienta, a opisane już wcześniej w DTI, jest raportowane i blokowane bez konieczności wykonywania jego ponownej analizy.

W bazach DTI gromadzone są dane obejmujące:

  • profile wykrytych ataków: identyfikatory kodu złośliwego, adresy URL, adresy IP lub inne dane określające źródło z jakiego pochodził atak, wyniki analizy zainfekowanych załączników do e-maili i obiektów ze stron web;
  • specyfikacje połączeń zwrotnych (tzw. callback) nawiązanych przez malware do serwerów Command and Control (używane protokoły i porty komunikacyjne, komendy używane dla zestawienia połączenia i wymiany informacji między malware a serwerem C&C);
  • informacje o lokalizacji serwerów Command and Control oraz miejsc do jakich malware nawiązuje połączenia np. w celu wysłania pozyskanych danych (adresy IP, adresy DNS, URL, adresy e-mail itp.);
  • dane na temat zidentyfikowanych zagrożeń pochodzące z różnych zewnętrznych źródeł, z którymi współpracuje FireEye.

W odróżnieniu od stosowanych przez innych producentów serwisów reputacyjnych i systemów gromadzących centralnie dane o zagrożeniach, które zawierają zwykle informacje używane następnie do oceny, czy podejrzane zachowanie w sieci lub próbka kodu stanowią rzeczywiście zagrożenie, czy nie, dane zawarte w DTI są jednoznacznym potwierdzeniem zidentyfikowanego ataku. Wykorzystanie usługi DTI nie prowadzi więc do występowania tzw. false positive czyli błędnego, a w konsekwencji wręcz groźnego dla chronionej organizacji, rozpoznania połączenia lub próbki kodu jako atak, podczas gdy nimi w rzeczywistości nie są.

dodany: 05.04.2013 | tagi: , , ,

Zaawansowane cyberataki mają miejsce nawet co trzy minuty

0
FireEye

Firma FireEye, opublikowała raport „Advanced Threat Report” dotyczący zaawansowanych zagrożeń w II połowie 2012 r. Jak wynika z raportu, aktywność twórców szkodliwych aplikacji stała się tak duża, że firmy napotykają szkodliwe oprogramowanie omijające tradycyjne zabezpieczenia, załączniki do poczty elektronicznej lub łącza prowadzące do zarażonych stron nawet co trzy minuty. W raporcie wykorzystano dane dotyczące 89 mln zdarzeń związanych ze szkodliwym oprogramowaniem oraz informacje zdobyte bezpośrednio przez zespół badawczy z firmy FireEye. Dzięki temu dokument przedstawia globalne spojrzenie na cyberataki, które rutynowo pokonują tradycyjne zabezpieczenia, takie jak zapory sieciowe, zapory nowej generacji, systemy zapobiegania włamaniom (w skr. IPS), oprogramowanie antywirusowe i bramy zabezpieczające. Raport udostępnia przegląd bieżących zagrożeń, rozwijających się taktyk w dziedzinie złożonych, długotrwałych ataków APT oraz stopnia powszechności zagrożeń w sieciach współczesnych przedsiębiorstw. Obejmuje on również szczegółowe zestawienie trendów w poszczególnych branżach, a także omówienie przypadku zaawansowanego, długotrwałego ataku, który przeprowadzono w 2012 r.

Nasz raport dowodzi, że ataki stały się znacznie bardziej zaawansowane i skuteczniej wnikają do sieci przedsiębiorstw z każdej branży. Cyberprzestępcy inwestują coraz więcej w zaawansowane szkodliwe oprogramowanie i innowacje pozwalające im uniknąć wykrycia, dlatego firmy muszą ponownie przeanalizować swoją infrastrukturę zabezpieczeń i wzmocnić tradycyjne mechanizmy nową warstwą ochronną, potrafiącą wykrywać dynamiczne, nieznane zagrożenia w czasie rzeczywistym

— powiedział Ashar Aziz, założyciel firmy FireEye i jej dyrektor ds. technologicznych.

 

Najważniejsze wnioski z raportu dotyczącego zaawansowanych zagrożeń:

  • Firmy mają do czynienia ze zdarzeniami związanymi ze szkodliwym oprogramowaniem średnio nawet co trzy minuty. Poziom aktywności hakerów w poszczególnych branżach jest różny; najwyższy jest on w przypadku firm technologicznych, w których zagrożenia pojawiają się nawet co minutę. Niektóre branże są atakowane cyklicznie, w innych sektorach ataki następują natomiast nieregularnie.
  • Ataki typu spear phishing są w dalszym ciągu najpopularniejszą metodą rozprzestrzeniania zaawansowanych szkodliwych aplikacji. Osoby wysyłające wiadomości e-mail w ramach ataków tego typu stosują pliki o nazwach zawierających popularne terminy biznesowe, aby zachęcić niczego niepodejrzewających użytkowników do otwarcia szkodliwego oprogramowania i zainicjowania ataku. Wykorzystywane tu terminy można podzielić na trzy zasadnicze kategorie: wysyłka i dostawa, finanse oraz ogólne aspekty biznesowe. Przykładowo jednym z terminów pojawiających się najczęściej w nazwach takich plików jest np. słowo „UPS”.
  • Najchętniej stosowanym typem plików do rozpowszechniania szkodliwego oprogramowania są w dalszym ciągu pliki z rozszerzeniem ZIP, które są używane w 92% ataków.
  • Pojawiło się kilka innowacji ułatwiających uniknięcie wykrycia. Analitycy zauważyli ataki z użyciem szkodliwego oprogramowania, które uruchamia się dopiero wtedy, gdy użytkownik ruszy myszką — to sposób, który może przechytrzyć współczesne systemy wykrywania typu sandbox, ponieważ samo szkodliwe oprogramowanie nie generuje żadnej aktywności. Twórcy takich aplikacji uwzględniają też wykrywanie maszyn wirtualnych, aby obejść stosowane zabezpieczenia.
  • Hakerzy coraz częściej korzystają z plików DLL i rezygnują z popularnych plików .exe, aby wydłużyć czas trwania infekcji.

 

Szybkość i częstotliwość cyberataków odzwierciedla atrakcyjność szkodliwego oprogramowania dla przestępców. Obecnie jego twórcy intensywnie pracują nad technikami ataku, które omijałyby tradycyjne systemy zabezpieczeń. Jeśli firmy nie zmodernizują swoich strategii w tej dziedzinie, większość z nich stanie się łatwym celem

— powiedział Zheng Bu, dyrektor ds. badań w firmie FireEye.

 

Pełną wersję raportu dotyczącego zaawansowanych zagrożeń można znaleźć na stronie FireEye.

dodany: 28.02.2013 | tagi: ,

FireEye wchodzi na polski rynek

0
FireEye

Firma FireEye, dostawca rozwiązań do ochrony przed zaawansowanymi cyberatakami, poinformowała o rozpoczęciu działalności w Polsce i w Europie Środkowo-Wschodniej. Za funkcjonowanie firmy w 14 krajach (Polska, Czechy, Ukraina, Słowacja, Węgry, Bułgaria, Rumunia, Mołdawia, Chorwacja, Słowenia, Bośnia i Hercegowina, Serbia, Czarnogóra, Macedonia) obejmujących region Europy Środkowo-Wschodniej będzie odpowiedzialne nowo utworzone biuro w Warszawie.

Firma FireEye jest liderem w dziedzinie zatrzymywania zagrożeń nowej generacji, ataków typu zero-day i APT, które potrafią ominąć tradycyjne zabezpieczenia, a zagrażają ponad 95% sieci. Rozwiązanie firmy FireEye uzupełnia zapory ogniowe oparte na sygnaturach, IPS, antywirusy i bramki; zapewniając jedyne na świecie zabezpieczenie bez sygnatur chroniące przed atakami przez WWW i e-mail, a także zagrożeniami ukrytymi we współdzielonych zasobach plikowych. Jest to jedyne na rynku zintegrowane rozwiązanie dla firm, które zatrzymuje ataki, we wszystkich fazach ich cyklu, od eksploitów do eksfiltracji.

Decyzja dotycząca wyboru Polski jako centrali naszych działań dla Europy Środkowo-Wschodniej była podyktowana wieloma czynnikami. Przede wszystkim Polska jest największym potencjalnym rynkiem regionu Europy Środkowo-Wschodniej i posiada dobre perspektywy rozwoju. Ponadto ważny dla nas był poziom wykształcenia kadry technicznej oraz dobra infrastruktura

– powiedział Paul Davis, wiceprezes firmy FireEye odpowiedzialny za Europę.

Stanowisko dyrektora generalnego odpowiedzialnego za region Europy Środkowo-Wschodniej objął Robert Żelazo. Jego zadaniem jest utworzenie oraz zarządzanie przedstawicielstwami firmy FireEye w Europie Środkowo-Wschodniej oraz współpraca z klientami m.in. z sektora publicznego, finansowego, przemysłu i branży telekomunikacyjnej. Przez ostatnie sześć lat Robert Żelazo był dyrektorem regionalnym firmy McAfee w regionie Europy Środkowo-Wschodniej. Swoją karierę zawodową rozpoczynał w firmie Sun Microsystems Polska jako inżynier systemowy. Pracował także w Europejskiej Organizacji Badań Jądrowych (CERN), a następnie w Sun Microsystems jako kierownik ds. sprzedaży oprogramowania w regionie Europy Środkowej i w Check Point Software Technologies jako dyrektor generalny.

FireEye na nowo definiuje bezpieczeństwo IT, gdyż stosowany przez firmę model ochrony jest odpowiedzią na współczesne, wysublimowane, wielopoziomowe ataki cybernetyczne i rozbudowane złośliwe oprogramowanie, które potrafi sobie poradzić z tradycyjnymi zaporami czy antywirusami wykorzystywanymi przez organizacje. Jak pokazują wyniki raportów FireEye, w 95% przedsiębiorstw, które już miały zainstalowane systemy zabezpieczeń, co tydzień dochodzi do zainfekowania komputerów poprzez sieć, z czego w przypadku 80% firm do takich sytuacji dochodzi ponad 100 razy. To dowód na to, że do bezpieczeństwa urządzeń IT należy podejść w sposób nietuzinkowy

– powiedział Robert Żelazo, dyrektor generalny FireEye, odpowiedzialny za Polskę oraz region Europy Środkowo-Wschodniej.

dodany: 14.01.2013 | tagi: , , , , , , ,

Microsoft łata groźną dziurę w starszych IE

0

Niedawno informowaliśmy Was o dość poważnej luce w przeglądarkach Internet Explorer 8 i jego starszych wersjach. Microsoft co prawda zaproponował wtedy obejście problemu praktycznie metodą „jednego-kliknięcia”, a przecież są użytkownicy, którzy nie interesują się specjalnie bezpieczeństwem (zdecydowana większość użytkowników IE należy do tej grupy ;)). Poza tym nadal są osoby, które korzystają z Windows XP, gdzie nie możliwe było zainstalowanie nowszej wersji przeglądarki (nie podatnej na ten problem), bo po prostu nie ma nowszej wersji pod ten system.

Poprawka ta jest sklasyfikowana jako krytyczna i zostanie samoczynnie zainstalowana, o ile mamy włączone automatyczne aktualizacje. Ci którzy tego nie mają mogą ją zainstalować ręcznie – stosowną wersję poprawki można pobrać z strony technet.microsoft.com.

Aktualizacja ta jest oznaczona numerem 2799329 i oczywiście w pełni rozwiązuje problem możliwości zdobycia przez atakującego tych samych uprawnień, co aktualnie zalogowany użytkownik.

Po zainstalowaniu poprawki wymagany jest niestety restart systemu. O łatce jest też mowa w webcaście, który jest dostępny po zarejestrowaniu na stronie Microsoftu.

dodany: 29.12.2012 | tagi: , , , , , ,

Groźna dziura w IE8 dla wybranych

3

W starszych przeglądarkach Internet Explorer w wersjach 6, 7 i 8 odkryto poważną lukę w zabezpieczeniach. Dziurę tę wykryła firma FireEye, która zajmuje się bezpieczeństwem IT. Firma natrafiła na nią poprzez odkrycie przyczyny skompromitowania strony Rady Stosunków Zagranicznych USA (z ang. Council on Foreign Relations).
Atak wykorzystuje Adobe Flash i działa nawet w najświeższej wersji IE8. Dustin Childs z Microsoftu podał, że usterka dotyczy także wcześniejszych wersji IE. Poinformował jednocześnie o tym, że edycje 9 i 10 są wolne od tego buga.

Exploit startuje wyłącznie, jeśli nasz język systemowy jest jednym z poniższych:

Następnie wykorzystuje cookie do zapewnienia sobie bytu w przypadku każdego konta użytkownika:

Funkcja DisplayInfo() sprawdza kiedy użytkownik ostatni raz odwiedził stronę:

 

Po tym skrypt próbuje załadować plik today.swf, który wykorzystuje lukę w IE. Gdy się to powiedzie, exploit ściąga plik xsainfo.jpg, który jest faktycznie zakodowaną złośliwą biblioteką test_gaga.dll.

O kompromitację strony CFR są podejrzani Chińczycy, z tego względu, że nazwa pliku jest zakodowana w języku chińskim i mandaryńskim. Poza tym złośliwe działanie było zorientowane na wybranych użytkowników.

test_gaga dll

 

Co prawda, strona nie jest raczej u nas odwiedzana (a nawet jeśli, to i tak w przypadku ustawienia języka polskiego, exploit nie uruchomiłby się). Strona CFR ogólnie zawiera konta około 4700 oficjeli, dziennikarzy i innych członków, więc problem jest dość poważny. Większość infekcji miała miejsce w ubiegły wtorek/środę. Samo włamanie na stronę miało miejsce 21 grudnia o godzinie 14 tamtejszego czasu. Sprawą zajęło się FBI.

Na szczęście użytkowników IE8 nie ma już wielu, ale nadal znaleźć można urzędy korzystające z Windowsa XP, gdzie nie można skorzystać z nowszych wersji IE. Inne przeglądarki to zazwyczaj abstrakcja, jeśli chodzi o używanie. Microsoft póki co nie potwierdził, kiedy wyda aktualizację naprawiającą ten problem.