Με αφορμή επιθέσεις SQL Injection & XSS
(cross-site scripting) σε web εφαρμογές τελευταία, ας γράψω μερικά λόγια
για την τεχνολογία SIEM και την προστασία από ανάλογες επιθέσεις Web...
Πληροφορίες Ασφάλειας και Διαχείρισης Συμβάντων (SIEM),
...είναι ένας όρος για λογισμικό και υπηρεσίες προϊόντων που συνδυάζουν
τη διαχείριση πληροφοριών ασφάλειας (SIM) και τη διαχείριση συμβάντων
(SEM).
...είναι επίσης μια προσέγγιση για τη διαχείριση της
ασφάλειας που επιδιώκει να παράσχει μια ολιστική άποψη της Ασφάλειας της
Πληροφορικής ενός οργανισμού.
Η SIEM τεχνολογία παρέχει σε
πραγματικό χρόνο ανάλυση των προειδοποιήσεων ασφαλείας που
δημιουργούνται από το υλικό και τις εφαρμογές του δικτύου.
Τα SIEM
πωλούνται ως λογισμικό, συσκευές ή υπηρεσίες διαχείρισης, και
χρησιμοποιούνται επίσης για την καταγραφή δεδομένων ασφαλείας αλλά και
να δημιουργήσουν αναφορές για σκοπούς συμμόρφωσης.
Τα ακρωνύμια SEM, SIM και SIEM μερικές φορές χρησιμοποιούνται και εναλλακτά.
[Πότε εφαρμόζονται ή πρέπει να εφαρμόζονται; ]
Ο τομέας της διαχείρισης της ασφάλειας που ασχολείται με την
παρακολούθηση σε πραγματικό χρόνο, η συσχέτιση των γεγονότων, οι
κοινοποιήσεις και λήψεις από την κονσόλα είναι κοινώς γνωστές ως
Διαχείριση Συμβάντων Ασφάλειας (SEM).
Ο δεύτερος τομέας παρέχει
μακροχρόνια αποθήκευση, ανάλυση και καταγραφή των δεδομένων και είναι
γνωστή ως Διαχείριση Ασφάλειας Πληροφοριών (SIM).
Όπως συμβαίνει με
πολλές έννοιες και ορισμούς των δυνατοτήτων συνεχώς εξελισσόμενες
απαιτήσεις διαμορφώνουν παράγωγα κατηγοριών προϊόντων SIEM. Η ανάγκη για
την προβολή με επίκεντρο τη φωνή ή αλλιώς το vSIEM (πληροφορίες
ασφαλείας φωνής και διαχείρισης συμβάντων) είναι ένα πρόσφατο παράδειγμα
αυτής της εξέλιξης .
Ο όρος Διαχείριση Συμβάντων Πληροφοριών
Ασφάλειας (SIEM), που επινοήθηκε από τους Mark Nicolett και Amrit
Williams της Gartner το 2005, περιγράφει τις δυνατότητες των προϊόντων
της συλλογής, ανάλυσης και παρουσίασης των πληροφοριών από τις συσκευές
ασφάλειας των δικτύων, ταυτότητα και πρόσβαση σε εφαρμογές διαχείρισης,
διαχείριση των ευπαθειών και εργαλεία συμμόρφωσης πολιτικών στα δίκτυα,
λειτουργικό σύστημα, βάση δεδομένων, καταγραφή εφαρμογής και απειλές
εξωτερικών δεδομένων.
Ένα βασικό σημείο εστίασης είναι στο να
παρακολουθεί και να βοηθήσει να διαχειριστούν τα προνόμια των χρηστών
και των υπηρεσιών, των υπηρεσιών καταλόγου, καθώς και άλλες αλλαγές όσο
αφορά στη διαμόρφωση του συστήματος, όπως επίσης και την παροχή
καταγραφής ελέγχου και αναθεώρησης και την αντιμετώπιση περιστατικών.
Για παράδειγμα, από τον Φεβρουάριο του 2014 η εταιρεία για την έρευνα
και την Ασφάλεια, Mosaic εντόπισε 64 SIEM και προϊόντα διαχείρισης
καταγραφής.
(Σημ.: Τα παραπάνω ίσως αποτελέσουν και ένα αρχικό
ερέθισμα για αυτούς που θα πάρουν μέρος στην επερχόμενη σύσκεψη φορέων
Πληροφορικής...ίσως τελικά προχωρήσουμε και σε αυτή επιτέλους την
τεχνολογία, που τόσο έχουμε ανάγκη!)
Τα περισσότερα συστήματα
SIEM λειτουργούν με την ανάπτυξη πολλαπλών παραγόντων συλλογής σε ένα
ιεραρχικό τρόπο, για να συγκεντρώσουν τα γεγονότα που αφορούν την
ασφάλεια από τις συσκευές των τελικών χρηστών, servers, εξοπλισμό
δικτύου - ακόμη και εξειδικευμένο εξοπλισμό ασφαλείας όπως firewalls,
antivirus ή συστήματα αποτροπής εισβολών (IDS/NIDS) !!!
Ελπίζω να ακούτε εκεί...
την καλημέρα μου...
ΒΔ.
Το Κέντρο Έρευνας της ESET κατέγραψε μία ασυνήθιστη έξαρση του κακόβουλου λογισμικού Filecoder, το οποίο κρυπτογραφεί αρχεία των χρηστών και ζητά "λύτρα" σε αντάλλαγμα με την αποκρυπτογράφηση του λογισμικού.
Σύμφωνα με το ESET LiveGrid, το σύστημα συλλογής στατιστικών δεδομένων για malware μέσω του cloud της ESET, ο εβδομαδιαίος αριθμός μολύνσεων από το Win32/Filecoder παρουσιάζεται από τον Ιούλιο του 2013 αυξημένος πάνω από 200% συγκριτικά με το μέσο αριθμό που έχει καταγραφεί κατά το διάστημα Ιανουαρίου – Ιουνίου 2013.
Σημαντικό μέρος των μολύνσεων ανιχνεύεται στη Ρωσία (44%), καθώς και στη Νότια Ευρώπη (Ιταλία, Ισπανία), στην Κεντρική και Ανατολική Ευρώπη (Γερμανία, Τσεχία, Πολωνία, Ρουμανία και Ουκρανία), και στις ΗΠΑ.
Οι κυβερνογκληματίες χρησιμοποιούν διάφορες μεθόδους διείσδυσης για να μολύνουν τους υπολογιστές: drive-by downloads από ιστοσελίδες φορτωμένες με κακόβουλο λογισμικό, συνημμένα σε e-mail, εγκατάσταση μέσω ενός άλλου trojan ή backdoor, ακόμη και χειροκίνητη εγκατάσταση.
"Η οικογένεια malware Win32/Filecoder είναι πολύ πιο επικίνδυνη από άλλους τύπους ransomware
απειλών, καθώς κρυπτογραφούν συνήθως εικόνες, έγγραφα, μουσική και
συμπιεσμένα αρχεία, ενώ χρησιμοποιείται μία μεγάλη ποικιλία τεχνικών και
επιπέδων εξειδίκευσης με τον καιρό", εξηγεί ο Robert Lipovský, Malware Researcher της ESET, και προσθέτει "Μalware
αυτής της κατηγορίας συνήθως απαιτούν ποσά της τάξης των 100 – 200
ευρώ, ωστόσο έχουν παρατηρηθεί και περιπτώσεις «λύτρων» μέχρι και 3.000 ευρώ, όταν τα θύματα είναι επιχειρήσεις που μπορούν να πληρώσουν τέτοια ποσά".
Μία πρόσφατη παραλλαγή, ασκεί πίεση στα θύματα με την εμφάνιση ενός χρονομετρητή που μετράει αντίστροφα μέχρι την ώρα που το κλειδί κρυπτογράφησης θα διαγραφεί οριστικά, καθιστώντας την ανάκτηση των κρυπτογραφημένων αρχείων σχεδόν αδύνατη.
Η ESET συμβουλεύει τους χρήστες να είναι προσεκτικοί κατά την πλοήγησή τους στο διαδίκτυο, να ενημερώνουν συνεχώς
το λογισμικό Antivirus που διαθέτουν (οι λύσεις της ESET ανιχνεύουν
αυτά τα επικίνδυνα αρχεία), να προστατεύουν με password τις ρυθμίσεις
του λογισμικού anti-malware ώστε να μην μπορούν να τροποποιηθούν από τον
εισβολέα και να πραγματοποιούν τακτικά backup.
ΠΗΓΗ
Buffalo unveils their
new USB 3.0 Flash Drives, which are geared with a simple internal
security feature that may make your laptop’s anti-virus software seem
redundant.
Designated as the RUF3-PV, this new flash drive’s primary feature is its
built-in anti-virus software. It is by default, installed with a Trend
Micro USB Security 2.0. When plugged, it would automatically scan the
unit for viruses and other malware, putting infected files into
quarantine as you use it for file transfer. The little downside of this
feature though (that we wished it is capable of) is that the software is
not activated when unplugged.
Of course, as with any security-centered USB storage unit, the RUF3-PV
has a password protection system, which gives the user the option to
lock the unit with a password to prevent unauthorized use.
In addition, though this may merely be more of a style than function,
another nifty feature is its auto-retract function, which basically
allows the USB connector to retract back automatically once it is
plugged out of its port.
The dimensions of the RUF3-PV are 23 x 65 x 9 mm, and it weighs 21g. It
is available in 8/16/32GB capacities, red and black color variants, and
can be used with the optional TurboPC EX software (a hardware
optimization software by Buffalo). It has a maximum data transfer rate
of 70MB/s (bytes), and is compatible with Windows XP, Vista, 7 and 8.
Official price tag is still yet to be confirmed, but it is announced
that the RUF3-PV USB Flash Drives will be commercially available on
September 09, 2013.
