Artykuły dotyczące tematu: wywiad

dodany: 27.06.2013 | tagi: , , , ,

Działalność Anonymous z pewnością pokazała jakie możliwości dają ataki DDoS – wywiad ze Stevenem Mulhearnem

0
Wywiad

Na przestrzeni kilku ostatnich lat ataki DDoS stały się bardzo popularną formą cyberprzestępczości. Przy okazji konferencji NGSec, która odbyła się w Warszawie 12-13 czerwca 2013, zapytaliśmy Stephena Mulhearna z firmy Fortinet o to, jak chronić się przed tego typu atakami, ich ewolucję oraz o działalność Anonymous na świecie na przestrzeni ostatnich lat. Pytaliśmy także o najsłynniejsze, najgroźniejsze i najbardziej niszczycielskie w skutkach ataki DDoS, prócz akcji Anonymous.

Steve Mulhearn_1Stephen Mulhearn – Director of Product Management, Fortinet. Steve ma ponad 25-letnie doświadczenie w branży sieciowej i telekomunikacyjnej. Uczestniczył w narodzinach wielu firm technologicznych, w tym Ascend Communications, Arbor Networks, Sandvine i Redseal Networks. Od 15 lat koncentruje się na bezpieczeństwie, a od 10 lat jest aktywnie zaangażowany w dostarczanie rozwiązań do ochrony przed atakami DDoS. Był pierwszym międzynarodowym pracownikiem technicznym w Arbor Networks, a przez 4,5 roku jako Dyrektor Techniczny brał udział w tworzeniu rozwiązania DDoS uznanego jako standard na rynku dostawców usług. Steve dołączył do Fortineta w 2012 roku jako Dyrektor ds. Zarządzania Produktem i jest odpowiedzialny za rodzinę rozwiązań FortiDDoS.

 

Jaką strategię należy objąć chcąc uchronić witrynę przed możliwością / skutkami ataku DDoS?

Istnieje wiele metod zapobiegania atakom DDoS, które pozwalają na utrzymanie ciągłości usługi. Pierwszą z nich jest świadomość, że istnieje możliwość wyczerpywania się zasobów oraz umieszczenie dedykowanych rozwiązań w miejscu, gdzie będą proaktywnie chronić i wykrywać potencjalne ataki lub niedobory zasobów (które wspólnie stanowią takie samo zagrożenie jak niedostępność usługi). Drugą metodą jest znalezienie i analiza możliwych luk w systemie. Tak często jak słabe punkty są wykorzystywane do przeprowadzenia ataków hakerskich, tak samo w łatwy sposób mogą zostać wyeliminowane lub zabezpieczone przed zagrożeniami. Wreszcie, należy zrozumieć w jaki sposób przebiega sam atak. Jeśli atak DDoS jest w toku, to często zakładamy, że jest to awaria systemu. I to często nie jest przypadek. Z tego względu, że zanim zdążymy podjąć jakiekolwiek działania mające na celu wykrycie ataku, DDoS ustępuje bądź zostaje czasowo zawieszony, uniemożliwia to przeprowadzenie skutecznego dochodzenia.

Jak urządzenie / oprogramowanie odpowiedzialne za ochronę przed DDoS odróżnia atak od pożądanego ruchu?

Systemy służące do ograniczania ataków DDoS mają jeden wspólny cel: zachowanie ciągłości usług. Często użytkownicy nie zdają sobie sprawy w jaki sposób ochrona przed DDoS jest realizowana. Ale z naszego punktu widzenia ma to kluczowe znaczenie, ponieważ łagodzenie ataku DDoS – jeżeli jest wykonane nieprawidłowo – może spowodować atak DDoS. Dlatego zawsze radzę, aby urządzenia bezpieczeństwa raportowały nie tylko charakterystykę ataku, ale także metody zaangażowane do walki z atakiem DDoS.

W jaki sposób najczęściej cyberprzestępcy pozyskują komputery-zombie tworzące później botnety zaangażowane w ataki DDoS?

Istnieje kilka sposobów. Najczęściej używaną i wciąż popularną metodą infekowania, jest wysłanie e-maila ze złośliwą zawartością, często podszywając się pod osobę, którą użytkownik zna i której ufa, a której komputer już należy do botnetu. Twórcy złośliwego oprogramowania często ukrywają swój kod w Internecie, w miejscach, skąd może on być łatwo i nieświadomie pobrany. Hakerzy skanują również serwery, aby poznać otwarte porty i aplikacje, a następnie użyć znanej podatności tej aplikacji, by przejąć kontrolę nad serwerem i załadować złośliwy kod.

Jak nietechniczny użytkownik może sprawdzić, czy nie jest częścią takiego botnetu – na co powinien zwracać uwagę, jakie zachowania komputera powinny go niepokoić?

Kiedy używamy komputera w niewielkim stopniu lub wcale, a aktywność karty sieciowej jest wysoka, to już jedna z poważnych oznak, ale nie jedyna. Niestandardowe procesy działające na systemie to następne ostrzeżenie.

Ataki DDoS są groźne same w sobie, ale jeszcze groźniejsze w połączeniu z innymi technikami, jakie to techniki i jak możemy się chronić?

Ataki DDoS są często wykorzystywane do zamaskowania prawdziwej intencji ataku, jak to miało miejsce w przypadku Sony. Z punktu widzenia atakującego, celem jest znalezienie łatwo wyczerpywalnych zasobów, aby unieruchomić usługę, naszym wyzwaniem jest zrozumienie polityki bezpieczeństwa i działających procesów. Często udaje nam się zdefiniować surową politykę, ale stopień jej stosowania jest znikomy. Innymi słowy: my definiujemy politykę bezpieczeństwa, jednak w praktyce staje się zupełnie inna.

Czy po atakach nagłaśnianych za sprawą działalności Anonymous nie powstała swego rodzaju „moda” na taki rodzaj szkodliwej działalności?

Myślę, że działalność Anonymous z pewnością pokazała jakie możliwości dają ataki DDoS. Jednak ich akcje są w pewnym sensie anomalią do innych tego typu działań. Przeważnie ofiary cyberprzestępców nie mają pojęcia przez kogo i dlaczego zostały zaatakowane. Anonymous działają inaczej – z wyprzedzeniem zapowiadają, kto będzie ofiarą, kiedy i jak zaatakują. Wprawdzie nadal stosują metody, których nie ujawniają, ale w istocie ostrzegają swoje ofiary, niemalże drwiąc sobie z nich.

Co sądzi Pan o uznaniu ataków DDoS jako legalnej formy protestu w Internecie?

Uważam, że istnieje wiele innych legalnych i mniej konfliktowych sposobów protestu, niż te, podczas których używa się cyberprzestępczości jako platformy do wyrażania przeciwu.

Co jest największą przeszkodą w procesie śledzenia / zatrzymywania przestępców zajmujących się atakami DDoS?

Myślę, że największą przeszkodą w walce z cyberprzestępczością jest łatwość z jaką można przeprowadzić atak DDoS. W Internecie dostępne są aplikacje, które pozwalają to zrobić. W praktyce często takie aplikacje zawierają szkodliwe oprogramowanie i chociaż to my jesteśmy zainteresowani wykorzystaniem botnetu czy też wszczęciem ataku, sami możemy łatwo stać się częścią czyjegoś botnetu. Tak więc ze względu na ogromną liczbę ataków, które są nie lada wyzwaniem, organy ścigania koncentrują swoje działania na tych najgroźniejszych realizowanych przez najlepiej zorganizowane organizacje cyberprzestępcze.

Najsłynniejsze, najgroźniejsze, najbardziej niszczycielskie w skutkach ataki DDoS, prócz akcji Anonymous?

Wiele osób zakłada, że im większa skala ataku tym jest on groźniejszy. Jednak nie zawsze tak jest. Wszyscy koncentrują się na wielkości ataku, podczas gdy rzeczywistą miarą powinna być jego skuteczność. Przeprowadzona niedawno przez Spamhaus akcja jest dobrym tego przykładem: atak przekraczał natężenie 300 Gb/s (według niektórych doniesień), a został pomyślnie złagodzony. Faktem jest, że większość dostawców usług telekomunikacyjnych dysponuje dziś środkami zapobiegawczymi przed masowymi atakami przestrzennymi, przede wszystkim w celu ochrony własnej infrastruktury. Jednak to ukierunkowane ataki, które są bardziej skuteczne, często pozostają niezauważone.

Według mnie najgroźniejszymi ataki w ostatnim czasie były ataki na amerykańskie banki – przeprowadzone w sposób niezwykle inteligentny były w stanie skutecznie zablokować usługi wielu instytucji w tym samym czasie.

Jak Pana zdaniem mogą ewoluować ataki typu DDoS – czego możemy spodziewać się w przyszłości?

Haktywiści oraz inni internetowi przestępcy mają do dyspozycji niezliczoną ilość narzędzi i technologii służących do rozpoczęcia ataku DDoS. Naszym wyzwaniem jest znalezienie proaktywnych metod ich wykrywania. Uważam, że w ten sposób możemy zrozumieć prawdziwy problem – nie mam na myśli tylko analizy poziomu ruchu, ale także prawdziwych zachowań klientów i sesji. Jeśli przeniesiemy tę analizę do działania serwisu, to w momencie pojawienia się zagrożenia wyczerpania zasobów, należy zastosować w sposób inteligentny metody ograniczające. Wiemy, że hakerzy będą starali się obejść każde zabezpieczenie, które zastosujemy, dlatego zagrożenia wiecznie pozostają w ruchu.

Byliśmy świadkami jak powstawały ataki na 7 warstwę jak i również wprowadzania metod łagodzących przed skomasowanymi atakami wolumerycznymi. Naszym wyzwaniem jest zrozumienie oraz rozwój metod wykrywania jako narzędzia nowej generacji, które nie tylko reagują na zagrożenia, ale przede wszystkim wykrywają je, zanim spowodują straty, bez względu na to, jakie technologie zostały wykorzystane przez hakerów.

dodany: 17.04.2013 | tagi: ,

Chmura i wirtualizacja jako ochrona przed atakami nowej generacji – wywiad z Tomaszem Pietrzykiem – inżynierem systemowym w firmie FireEye

1
Wywiad

Firma FireEye jest liderem w dziedzinie zatrzymywania zagrożeń nowej generacji, ataków typu zero-day i APT, które potrafią ominąć tradycyjne zabezpieczenia, a zagrażają ponad 95% sieci. Rozwiązanie firmy FireEye uzupełnia zapory ogniowe oparte na sygnaturach, IPS, antywirusy i bramki; zapewniając jedyne na świecie zabezpieczenie bez sygnatur chroniące przed atakami przez WWW i e-mail, a także zagrożeniami ukrytymi we współdzielonych zasobach plikowych. Jest to jedyne na rynku zintegrowane rozwiązanie dla firm, które zatrzymuje ataki, we wszystkich fazach ich cyklu, od eksploitów do eksfiltracji.

Tomasz Pietrzyk FireEye150

Pod koniec lutego tego roku firma FireEye, dostawca rozwiązań do ochrony przed zaawansowanymi cyberatakami, poinformowała o rozpoczęciu działalności w Polsce i w Europie Środkowo-Wschodniej. Rozmawialiśmy z Tomaszem Pietrzykiem, inżynierem systemowym w firmie FireEye, nie tylko na temat samej firmy, jej działalności oraz systemów i rozwiązań przez nią produkowanych, ale także na temat zagrożeń nowej generacji i sposobów na walkę z nimi.

Mogą Państwo pokrótce opisać co nowego – innego proponuje Państwa firma?

Firma FireEye jest pionierem w dziedzinie nowej generacji zabezpieczeń chroniących przedsiębiorstwa przed atakami. Cyberataki są obecnie znacznie bardziej zaawansowane i łatwo omijają tradycyjne zabezpieczenia oparte na sygnaturach, takie jak zapory firewall nowej generacji, systemy IPS zapobiegające włamaniom do komputerów, programy antywirusowe i bramki bezpieczeństwa (gatewaye), docierając do większości sieci korporacyjnych. Platforma FireEye uzupełnia tradycyjne systemy bezpieczeństwa nowym modelem zabezpieczeń w celu ochrony przed nową generacją cyberataków. Unikatowa na rynku platforma FireEye stanowi zabezpieczenie przed atakami bazujące na dynamicznym wykrywaniu i blokowaniu cyberataków w czasie rzeczywistym. Platforma FireEye nie jest oparta na sygnaturach i bazuje na wirtualnej maszynie oraz chmurze, co pomaga organizacjom chronić swoje zasoby przed zaawansowanymi zagrożeniami, takimi jak ataki internetowe, ataki przeprowadzane za pomocą poczty elektronicznej i stron web, ataki mobilne, itp. Platforma FireEye została wdrożona w ponad 40 krajach i u ponad 1000 klientów i partnerów, w tym w ponad 25% firm z listy Fortune 100.

Co to są ataki nowej generacji i w jaki sposób należy z nimi walczyć?

Atakami nowej generacji określane są przede wszystkim ataki dedykowane, nakierowane na uzyskanie określonych korzyści (np. kradzież danych, osłabienie wizerunku, unieruchomienie usługi, infiltracja wewnętrznej struktury organizacyjnej celu ataku, itp.), wykonywane przeciwko konkretnym celom. Ataki te wykorzystują często tzw. podatności „zero day” aplikacji i systemów operacyjnych, które nie były publicznie znane w momencie ich użycia. Przeprowadzane są z wykorzystaniem różnych technologii i obejmują wiele etapów – od rozpoznania celu ataku, techniki socjotechniczne, różne kanały komunikacji (najczęściej web, e-mail) dla przesłania do ofiary tzw. exploita, a następnie załadowanie właściwego kodu złośliwego, który stara się jak najbardziej zamaskować swoją obecność na komputerze ofiary, po komunikację zwrotną z „centrum sterowania” (command and control server) i wreszcie realizację celu ataku, czyli np. wyciągnięcie z organizacji interesujących danych. Atak taki może „rezydować” na komputerach ofiar przez bardzo długi czas zanim zostanie wykryty lub nawet zanim podejmie działania.
Ze względu na stosowane rozwiązania do ukrywania obecności malware, wykorzystanie podatności „zero day” oraz bardzo częste modyfikowanie kodu ataku (np. poprzez użycie technik polimorfizmu, szyfracji, ukrywanie kodu w często używanych innych rodzajach plików – pdf, ms office, pliki video, itp.), wykorzystywanie różnych kanałów komunikacji z Command and Control Servers ataki te są praktycznie niewykrywalne przez rozwiązania zabezpieczające bazujące na sygnaturach, heurystyce, czy korzystające z serwisów reputacyjnych, czyli te, które wykorzystują do działania wcześniej znane i opisane cechy ataku.

Najbardziej nagłośnionymi atakami nowej generacji są tzw. ataki APT (advanced persistent threats) i TPT (targeted persistent threats), które były skierowane przeciwko największym firmom i organizacjom na świecie, a także instytucjom rządowym – dla przykładu ataki znane pod nazwami Operacja Aurora, Stuxnet, Night Dragon. Ataki nowej generacji są także wiązane z koncepcjami tzw. cyberwojen między państwami, haktywizmem i cyberterroryzmem.
Ochrona przed tego typu zagrożeniami wymaga uzupełnienia dotychczasowych rozwiązań zabezpieczających nowymi metodami rozpoznawania zagrożeń. Muszą to być rozwiązania z założenia nie opierające się tylko na wcześniej zdefiniowanych sygnaturach, opisanych podatnościach i określonej reputacji źródła ataku. System zabezpieczający musi mieć możliwość przeanalizowania rzeczywistego zachowania kodu w środowisku, które jak najdokładniej odpowiada realnemu wyposażeniu i zachowaniu komputerów użytkowników. Musi być także świadomy i mieć możliwość analizy poszczególnych etapów ataku – od infekcji, przez załadowanie właściwego kodu złośliwego, jego komunikację z serwerami Command and Control, do kontroli zachowania kodu i efektów jego działania. Niezwykle ważne jest także to, że analiza musi być wykonywana na bieżąco, w czasie rzeczywistym z wydajnością, która odpowiada współczesnym przepustowościom łączy Internetowych stosowanych przez organizacje różnej skali.

Właśnie tego typu rozwiązania tworzy i dostarcza firma FireEye. Produkty FireEye od początku były projektowane i tworzone z założeniem wykrywania i szczegółowej analizy ataków „zero day”, spersonalizowanych, nieznanych wcześniej. Rozwiązanie FireEye umożliwia zarówno statyczną, jak i dynamiczną analizę kodu w czasie rzeczywistym, a także kontrolę nad poszczególnymi fazami ataku, w tym wykrywanie i analizę komunikacji zwrotnej (tzw. callback) malware do serwerów sterowania (Command and Control Servers) i serwerów odbierających „efekty” działania kodu w środowisku ofiary ataku. Skuteczność stosowanych przez FireEye rozwiązań w zwalczaniu ataków nowej generacji została już wielokrotnie udowodniona i nadal jest potwierdzana przez Klientów z różnych branż korzystających z tej technologii.

Jak tworzyć ogólne zabezpieczenia dla wszystkich, skoro dzisiejszym czarnym trendem są np. ataki spersonalizowane?

Rzeczywiście trudno byłoby zdefiniować jakąś jedną, uniwersalną koncepcję systemu zabezpieczeń odpowiednią dla dowolnej organizacji. W każdym wypadku najbardziej skutecznym systemem zabezpieczeń jest ten, który uwzględnia specyfikę działania, zasoby, cechy systemu informatycznego, a nawet otoczenie konkurencyjne i cele biznesowe danej firmy i instytucji. Niemniej istnieją pewne ogólnie przyjęte zasady i rekomendacje dotyczące zasad tworzenia rozwiązań zabezpieczających, które mogą być stosowane przez rożne organizacje. Wśród tych zasad można wyróżnić konieczność ciągłej aktualizacji zabezpieczeń, aplikacji i systemów operacyjnych, wykorzystanie warstw ochronnych bazujących na różnych technologiach ochronnych, uświadamianie użytkownikom z jakimi zagrożeniami i technikami socjotechnicznymi mogą się spotkać, podnoszenie kompetencji administratorów i osób zajmujących się utrzymaniem systemów i reagowaniem na incydenty bezpieczeństwa.

Inną wspólną płaszczyzną, jaką można wskazać nawet dla spersonalizowanych ataków są stosowane przez nie etapy i metody przeprowadzenia infekcji. Im bardziej jesteśmy w stanie wyróżnić i kontrolować te etapy, tym łatwiej przeciwdziałać skutecznemu przeprowadzeniu ataku. Uniwersalizm rozwiązań zabezpieczających może wynikać także z zastosowania systemów wykrywania zagrożeń, które ze swojej natury nie bazują na wcześniej znanych i opisanych atakach. Przykładem takiego systemu są produkty firmy FireEye, które wykorzystują zaawansowaną, dynamiczną analizę zachowania kodu w środowisku odpowiadającym zachowaniem i wyposażeniem stacji „zwykłego użytkownika”. Szczegółowa kontrola działania kodu w takim środowisku pozwala na wykrycie ataków, które nie były znane wcześniej. Rozpoznanie spersonalizowanego ataku w przypadku rozwiązań FireEye, to także efekt analizy wszystkich etapów ataku – od pobrania i załadowania tzw. exploita, przez pobranie i uruchomienie właściwego kodu ataku (tzw. dropper) po analizę komunikacji malware z serwerem Command and Control (tzw. callback).

Jak wg Państwa należy zapobiegać atakom typu APT?

Ochrona przed tak zaawansowanymi, wieloetapowymi atakami jakimi są ataki APT (Advanced Persistent Threats) wymaga uzupełnienia dobrze znanych i powszechnie stosowanych technologii ochrony, nowymi rozwiązaniami zabezpieczającymi.

W szczególności kluczowym komponentem uzupełniającym tradycyjne rozwiązania bezpieczeństwa są produkty, które umożliwiają wykrywanie ataków bez wcześniej zdefiniowanych sygnatur i opisanych podatności i analizujących poszczególne etapy ataku – od infekcji, przez załadowanie właściwego kodu złośliwego, jego komunikację z serwerami Command and Control, do kontroli zachowania kodu i efektów jego działania. Takim właśnie rozwiązaniem są produkty FireEye, które od początku były projektowane i tworzone z założeniem wykrywania ataków, jakie nie były wcześniej zidentyfikowane, dla których nie ma jeszcze sygnatur, które wykorzystują nieznane podatności i stosują skomplikowane techniki ukrywania swojej działalności. Jest to możliwe dzięki wykorzystaniu zaawansowanych metod analizy zachowania kodu w środowisku odpowiadającym zachowaniu i wyposażeniu „normalnego komputera” oraz identyfikacji i kontroli poszczególnych etapów ataku.

Bardzo ważnym elementem ochrony przed atakami APT jest także podnoszenie poziomu wiedzy i świadomości zagrożeń nie tylko wśród osób zajmujących się na co dzień administracją systemów, ale także, a może przede wszystkim, wśród wszystkich użytkowników korzystających z zasobów organizacji. Jak wynika z analiz praktycznie wszystkich znanych ataków APT bardzo ważnym etapem ich przeprowadzania jest rekonesans organizacji i dotarcie do celu ataku z wykorzystaniem technik socjotechnicznych oraz pozyskiwanie cennych z punktu widzenia atakującego danych o organizacji, które są niejednokrotnie niefrasobliwie ujawniane przez pracowników nieświadomych, że te informacje mogą posłużyć do wykonania skutecznego ataku na ich firmę.

Co to znaczy, że zapewniają Państwo zabezpieczenie bez sygnatur?

„Zabezpieczenie bez sygnatur” to krótka charakterystyka najważniejszej części rozwiązania FireEye. Oznacza, że wykrywanie ataków nie bazuje na wcześniej znanych i opisanych cechach ataku, w szczególności kodu złośliwego uruchamianego na stacji użytkownika. Dzięki temu podejściu produkty FireEye są stosowane jako zabezpieczenie przed nowymi lub zmodyfikowanymi i spersonalizowanymi atakami.

Idea działania rozwiązania FireEye opiera się na analizie zachowania ataku w środowisku, które maksymalnie oddaje zachowanie i wyposażenie standardowej stacji użytkownika. Ważną cechą tego rozwiązania jest fakt wykonywania tej analizy na miejscu, u Klienta, a dokładniej na dedykowanej platformie (appliance) dostarczanej przez FireEye. W przeciwieństwie do innych rozwiązań wykorzystujących analizę zachowania kodu, FireEye nie wysyła próbek kodu do „chmury”, gdzie faktycznie wykonywana jest jego analiza. Cały proces jest wykonywany lokalnie. Ma to duże znaczenie dla wielu Klientów, którzy pragną zachować maksymalny poziom poufności na temat swojego środowiska i ataków na nie.

Ważną cechą rozwiązania FireEye jest także to, że analiza jest wykonywana w czasie rzeczywistym w specjalnie zaprojektowanym, niekomercyjnym środowisku wirtualnym, które stanowi dodatkowe zabezpieczenie przed kodem próbującym oszukać system analizy, po wykryciu, że jest on uruchamiany w jakimś znanym rodzaju maszyn wirtualnych.

Sama analiza dynamiczna kodu realizowana na urządzeniach FireEye to ważna, ale nie jedyna metoda wykrywania ataków. Istotną cechą jest także analizowanie wszystkich etapów ataku – urządzenia wykrywają i analizują wykonanie exploita, pobranie i uruchomienie właściwego kodu ataku (dropper), jego zachowanie po uruchomieniu, a wreszcie komunikację malware z serwerami Command and Control. Wykrycie ataku i opis jego zachowania na jednym z urządzeń jest przekazywany do innych appliance’ów chroniących organizację umożliwiając im blokowanie ataku już bez ponownej analizy wszystkich jego faz.

Dostarczają Państwo rozwiązań zabezpieczeń dla m. in.: branży finansowej, telekomunikacyjnej, przemysłu czy sektora publicznego – czym one się różnią?

Jak wynika z raportów firm zajmujących się analizą zagrożeń, m.in. FireEye, Mandiant, Delloit, Gartner, praktycznie każdy rodzaj organizacji jest narażony na ataki, w tym coraz bardziej na ataki spersonalizowane i zaawansowane, korzystające z wielu różnych technologii i przebiegające w wielu etapach. Znaczenie dla atakującego ma raczej potencjalna korzyść z wykonania skutecznego ataku niż rodzaj organizacji. Warto przypomnieć ataki na firmy, które były tylko jedną z faz o wiele bardziej rozbudowanej kampanii hakerskiej mającej na celu dotarcie do innej organizacji (np. włamanie do centrum certyfikacji i wykradzenie podpisów cyfrowych użytych następnie do przełamania zabezpieczeń rzeczywistego celu ataku). Coraz częściej właściwym celem ataków są małe i średnie przedsiębiorstwa, ponieważ posiadają użyteczne dane technologiczne, przemysłowe, własność intelektualną, dane osobowe itp.
Rozwiązania FireEye są stosowane przez Klientów z praktycznie wszystkich branż. Platforma FireEye została wdrożona w ponad 40 krajach i u ponad 1000 klientów i partnerów, w tym w ponad 25% firm z listy Fortune 100. Przy czym nie ma generalnych różnic w rozwiązaniach FireEye oferowanych do poszczególnych firm z różnych segmentów rynku. Takie ujednolicenie oferty jest możliwe, ponieważ produkty FireEye są nastawione na analizę zagrożenia w sposób jak najbardziej generyczny, bez zakładania, że atak, przed którym chcemy chronić Klienta, został już wcześniej poznany i opisany. Te same sposoby analizy sprawdzają się zarówno w instytucjach rządowych, finansowych, z branży telekomunikacyjnej, przemyśle i innych.
Różnice oferty dla konkretnych Klientów sprowadzają się raczej do doboru właściwego modelu, ilości i sposobu wdrożenia produktów w sieci pod kątem specyficznych wymagań dotyczących wydajności, topologii sieci, integracji z istniejącymi systemami zabezpieczeń i monitorowania.

Co to jest FireEye Malware Protection Cloud?

Malware Protection Cloud to usługa „w chmurze” udostępniana przez firmę FireEye swoim Klientom. Usługa ta jest aktualnie znana pod nazwą FireEye Dynamic Threat Intelligence (w skr. DTI). FireEye Dynamic Threat Intelligence integruje centralnie informacje pochodzące z działu FireEye zajmującego się analizą ataków i malware (FireEye Malware Intelligence Lab), z urządzeń FireEye wdrożonych w sieciach Klientów, a także dane wymieniane z partnerami technologicznymi FireEye i dostawcami usług (service providers) z różnych krajów. DTI umożliwia współdzielenie informacji o wykrytych nowych atakach, ich charakterystykach i sposobach działania. Chmura DTI jest dostępna on-line poprzez Internet dla urządzeń FireEye wdrożonych lokalnie w sieci Klienta. Komunikacja z DTI odbywa się poprzez zabezpieczony kanał SSL. Zależnie od preferowanej i zakupionej przez Klienta opcji dostępu do DTI, urządzenia, które chronią jego sieć, mogą przekazywać i odbierać lub tylko odbierać z DTI informacje o zidentyfikowanych atakach.

Kiedy urządzenie wykrywa atak lokalnie, generuje jego charakterystykę i, zależnie od posiadanej opcji dostępu do chmury, wysyła ją do serwisu DTI umożliwiając tym samym ostrzeżenie innych Klientów korzystających z rozwiązań FireEye o nowo wykrytym zagrożeniu. Dane opisujące atak są anonimizowane przed wysłaniem – nie zawierają prywatnych danych organizacji, w jakiej został wykryty atak.

Dzięki takiej współdzielonej informacji możliwe jest bardziej wydajne reagowanie na wcześniej zdiagnozowane ataki – to samo zagrożenie wykryte przez urządzenie w sieci Klienta, a opisane już wcześniej w DTI, jest raportowane i blokowane bez konieczności wykonywania jego ponownej analizy.

W bazach DTI gromadzone są dane obejmujące:

  • profile wykrytych ataków: identyfikatory kodu złośliwego, adresy URL, adresy IP lub inne dane określające źródło z jakiego pochodził atak, wyniki analizy zainfekowanych załączników do e-maili i obiektów ze stron web;
  • specyfikacje połączeń zwrotnych (tzw. callback) nawiązanych przez malware do serwerów Command and Control (używane protokoły i porty komunikacyjne, komendy używane dla zestawienia połączenia i wymiany informacji między malware a serwerem C&C);
  • informacje o lokalizacji serwerów Command and Control oraz miejsc do jakich malware nawiązuje połączenia np. w celu wysłania pozyskanych danych (adresy IP, adresy DNS, URL, adresy e-mail itp.);
  • dane na temat zidentyfikowanych zagrożeń pochodzące z różnych zewnętrznych źródeł, z którymi współpracuje FireEye.

W odróżnieniu od stosowanych przez innych producentów serwisów reputacyjnych i systemów gromadzących centralnie dane o zagrożeniach, które zawierają zwykle informacje używane następnie do oceny, czy podejrzane zachowanie w sieci lub próbka kodu stanowią rzeczywiście zagrożenie, czy nie, dane zawarte w DTI są jednoznacznym potwierdzeniem zidentyfikowanego ataku. Wykorzystanie usługi DTI nie prowadzi więc do występowania tzw. false positive czyli błędnego, a w konsekwencji wręcz groźnego dla chronionej organizacji, rozpoznania połączenia lub próbki kodu jako atak, podczas gdy nimi w rzeczywistości nie są.

dodany: 12.03.2013 | tagi: , , ,

Były szef ABW tworzy nową specsłużbę

0

Powstaje nowa służba specjalna zajmująca się kryptografią, wywiadem radiowym i elektronicznym.

Jak dowiedział się „Dziennik Gazeta Prawna” jej utworzenie Ministerstwo Obrony Narodowej powierzyło gen. Krzysztofowi Bondarykowi, byłemu szefowi ABW.

 Od połowy ubiegłego roku wspólnie z ABW prowadzimy projekt naukowo-badawczy, którego celem jest powołanie Narodowego Centrum Kryptografii

– przyznaje rzecznik MON Jacek Sońta. Problem w tym, że nic na ten temat nie wie parlament.

 Niewykluczone, że to sensowny pomysł, jednak jak się to ma do zapowiedzi PO o ograniczaniu liczby służb i ich roli?

– zastanawia się szef sejmowej komisji ds. służb specjalnych Marek Opioła z PiS.

Jak dotąd środki na utworzenie centrum kryptografii zapewnia grant o wysokości niemal 10 mln zł pochodzący z Narodowego Centrum Badań i Rozwoju. To jednak zdecydowanie za mało.

Na stworzenie prawdziwego wywiadu i kontrwywiadu elektronicznego potrzeba kilkuset milionów złotych. Nie wierzę aby w najbliższych latach znalazły się na to środki, uważa jeden z ekspertów współpracujących z sejmową komisją ds. służb

– dodaje Opioła.

Źródło: PAP

dodany: 27.02.2013 | tagi: , ,

Czy coś grozi komputerom i Internetowi? – wywiad z Mikko Hyppönenem

0
Wywiad

Przyglądając się wypadkom w cyfrowym świecie można dostać gęsiej skórki. Cyberwojny, inwigilacja i szemrane szajki haktywistów były do niedawna jedynie proroctwami filmów i książek z gatunku science fiction. Dzisiaj to nasza rzeczywistość. O tym, dokąd zmierza świat Internetu rozmawiamy z celebrytą branży security – Mikko Hyppönenem.

Mikko

Mikko Hyppönen – dyrektor ds. badań w F-Secure. Od lat walczy z problem bezpieczeństwa komputerów i sieci. W 2011 roku znalazł się na 61. miejscu listy Top 100 Światowych Myślicieli sporządzonej przez Foreign Policy. Został również uznany przez PC Word za jednego z 50 najważniejszych ludzi Internetu. Czynnie udziela się na Twitterze. Można również spotkać go na platformie TED. Pisał dla magazynów takich jak Scientific American, Wired czy The New York Times.

 

Od wielu lat walczy Pan z problemami bezpieczeństwa i braku prywatności w sieci. Co według Pana ważnego udało się do tej pory osiągnąć, co zwalczyć?

Ogólny poziom bezpieczeństwa komputerów nigdy nie był tak wysoki, jak jest dzisiaj. Jeśli spojrzeć na to, co osiągnęliśmy w ciągu ostatnich 10 lat, to jest to niezwykłe. Jednak cyberprzestępcy doskonale radzą sobie ze wszelkimi środkami ochrony. Tak więc, jeszcze nie skończyliśmy.

Coraz częściej słyszy się o łamaniu prawa do prywatności  obywateli przez rządy różnych, nie tylko totalitarnych państw. Co powinna zrobić ludzkość, żeby się temu przeciwstawić? Potrzeba nam jakiś narzędzi, międzynarodowych ustaleń?

Wiele zachodnich, demokratycznych krajów wykorzystuje malware przeciwko własnym obywatelom. Chociaż brzmi to dziwnie, rozszerzenie służące nadzorowi telefonu są rzeczywiście dość naturalnym zjawiskiem . Policja od zawsze mogła podsłuchiwać obywatela, kiedy był on podejrzany o poważne przestępstwo. Później dostała prawo do monitorowania wiadomości tekstowych oraz sprawdzania lokalizacji telefonu. Następnie prawo do przechwytywania komunikacji prowadzonej za pomocą komputera, na przykład e-maili. Jednak w większości komunikaty wysyłane przez sieć są teraz szyfrowane, więc samo przechwycenie ich nie wystarczy. Dlatego wykorzystywane są trojany i backdoory. Chociaż jest to bardzo skuteczny sposób w przypadku łapania prawdziwych przestępców, jest to straszliwe naruszenie prywatności, gdy podejrzany okazuje się niewinny. Chyba nie da się rozważyć wszystkich skutków i możliwości tego zjawiska.

Na co powinniśmy zwrócić uwagę, jako zwykli użytkownicy, żeby uchronić się przed utratą prywatności w sieci? Jak konkretnie możemy z tym walczyć?

Nie pisać w Internecie niczego, czego nie pozwolilibyśmy wydrukować w tradycyjnej prasie.

W zeszłym roku Google zapłaciło rachunek za elektryczność o wartości ponad 100 milionów. Tylko za energię potrzebną do uruchomienia wyszukiwarki google.com, Gmaila, YouTube etc. Można pomyśleć, że Google wpędza się w ogromne straty, ponieważ te wszystkie serwisy są darmowe. Ale to nie są straty. Tyle jest warta nasza prywatność.

Anonymous z grupy robiącej internetowe żarty przeobraziło się w poważnych, politycznych graczy. Przewiduje Pan jakieś kolejne przeobrażenia czy zmiany w ich działaniu?

Anonymous  zadomowili się na dobre. Nie sądzę, że mieliby zniknąć w najbliższym czasie. Mogą podzielić się na jakieś osobne ruchy w miarę różnych trudności związanych z rozwojem działalności grupy, ale ich ideologia już raczej się nie zmieni.

Powiedział Pan w rozmowie z Forbees,  że atak Stuxneta na irańską elektrownię był prawdopodobnie dziełem amerykańskiego rządu. Czy można z tego wywnioskować, że w przyszłości wojny pomiędzy państwami będą wyglądały podobnie?

Sam Stuxnet nie był aktem wojennym, ponieważ USA nie jest w stanie wojny z Iranem. Ale tak, w wojnach przyszłości spodziewam się właśnie takich aktów, jak ten. Cybernetyczny wyścig zbrojeń kwitnie i każdy zaawansowany technologicznie kraj już w nim uczestniczy.

A urządzenia mobline? Padniemy ofiarą plagi mobilnego malware? Jak się przed tym uchronić?

Jak dotąd mobilne złośliwe oprogramowanie było problemem tylko dla Androida. Ochrona pozostaje tu taka sama, jak na zwykłych PC: trzeba zainstalować program antywirusowy. Dla  iPhone’ów czy Windows Phone’ów nie zauważam realnego zagrożenia.

Często wspomina Pan, że musimy być gotowi na nagły krach Internetu czy komputerów. Jak Pan myśli, co może się wtedy stać? Będziemy jeszcze (znów) potrafili funkcjonować offline?

Myślę, że nie powinniśmy polegać zbytnio na komputerach. Ale równocześnie nie prognozuję jakiejś globalnej, stałej awarii Internetu.  Na razie nie widzę żadnych przesłanek, żebyśmy musieli spodziewać się upadku Internetu.

Czy dlatego gromadzi Pan klasyczne gry wideo i stare maszyny do pinballa? ;-)

Nie, to nie dlatego… :)

 

Zapraszamy do obejrzenia filmu wideo, na którym Hyppönen opowiada o historii wirusów i ochronie Internetu.