היי לכולם

ישנה כוונה לנסות ולתקוף אירגונים ישראלים במספר התקפות (אחת מכוונת ל 7.4.( על מנת לגרום להשבתה של הרשת או לנסות ולדלות מידע מבסיסי נתונים אשר אינם מוגנים כראוי, בשלב זה אנו ממליצים להפעיל את החתימות הבאות במערכות ה-IPS  בכדי להתגונן מהתקפות אלו:

HTTP: Blind SQL Injection - Exploit

HTTP: HTTP HTML Page Not Found

HTTP: Possible HTTP LOIC Denial-of-Service Attack Detected

HTTP: Possible LOIC Get Request Detected

HTTP: Request URI Overly Long

HTTP: SQL Injection - Exploit II

HTTP: SQL Injection - Exploit

HTTP: Anonymous OpMegaUpload Detected

HTTP: Possible Slowloris Denial of Service Attack Detected

כמו כן אנו ממליצים להפעיל Connection Limit Policy הכולל גם Connection Rate וגם Active Connection ולהגביל את שני הערכים למספר שנראה סביר לעבודה תקינה של האתר בהתאם לסביבה שלכם ולהגדיר מדיונות חסימה גיאוגרפית אשר תחסום את כלל הארצות אשר אינן אמורות לגשת לאתרים שלכם (נתמך רק במכונות M-Series בגרסה 7 ומעלה)

אנו גם ממליצים להפעיל את מנגנון ה-Syn Cookie במכונות המגינות על אתר האינטרנט אך יש לסייג מכונות אשר מנתרות גם תעבורת LAN שכן מנגנון זה עלול ליצור איטיות בסביבה זו.

חשוב לבדוק אם קיימות התראות לחתימות אלו בטרם הפעלת חסימה כי במקרים מסויימים יתכן שהאתר יעבוד בצורה שתגרום לזיהוי שגוי, עם זאת אנו ממליצים לבצע שינוי באתר עצמו כך שלא יהיו התראות שווא לחתימות אלו ולא לבטלן.

אנו ממשיכים לנתח מידע נוסף שהתקבל על ידינו ובמידה ויהיו המלצות נוספות אנו נודיע בהמשך.



התקפות ישירות וייעול הגנה

מתוך הבנה שחלק גדול מהאירגונים המסחריים מאויימים ומותקפים ישירות, McAfee עשתה את הנדרש לספק ללקוחות את רמת ההגנה המתאימה . בכנסRSA  האחרון, McAfee הודיעה על מוצר MATD ) McAfee Advanced Threat Detection  ) שמסתמך על רכישת ValidEdge. הפיתרון החדש יודע להריץ בצורה מלאה כל קובץ ריצה ולנתח תוך שניות את ההתנהגות (Sandbox  ) במקביל  לניתוח סטטי של הפוגען לחיפוש  התנהגיות  נסתרות  , הפיתרון יוצע ללקוחות מהרבעון הבא   .
בעבר יכולות אילו היו מיועדות לרשתות צבאיות רגישות אך בעידן התקפות Cyber יש צורך בייבוא  של  טכנולוגיות הגנה מתקדמות אלו למגזר האזרחי .
הפיתרון הזה ישתלב  בפיתרונות של McAfee בתחנות הקצה, ברשת, בדואר ועוד . ( לראות ניתוח של הפוגען ראו קובץ מצורף , דוח מלא להוריד מהקישור יש  לפתוח  את קובץ הZIP  לפני פתיחת הדוח ) .

 ניתן יהיה לשלב את MATD  במערכות ההגנה כך  שיהיה מיועד לסרוק כל קובץ  שנכנס ולא רק קבצים חשודים וכך לשפר משמעותית את יכולות ההגנה ולא רק את יכולות התיחקור .
השלב הבא הוא להפוך את המידע על הפוגען שזיהינו בעזרת  MATD  לאופרטיבי ( Actionable Threat Intelligence   ) .

פה כבר מתחיל להיות מעניין J מקאפי משחררת שבוע הבא תכונה חדשה  ePO Real Time  שמאפשרת להריץ שאילתות בזמן אמת על תחנות הקצה ( תאמינו לי לתשאל 40,000 תחנות לגבי נוכחות של קובץ חשוד \ תהליך לא מוכר וכדומה ולקבל  תשובה תוך 15 שניות זה מרשים  ) .
השילוב בין מידע מעמיק על הפוגען שתוקף אותי והיכולות להצליב מה קורה אצלי בתחנות בזמן אמת , מאפשר לנו להגיב להתקפות APT ולהשתמש בהתקפות שנכשלו על מנת לזהות מאפיינים של התוקף , ובעזרת ה- Threat Intelligence שצברנו   לזהות התקפות שהצליחו  לחדור את מערכות ההגנה ולמזער את ההשפעה שלהן .
מקאפי תאפשר את השימוש בגרסה מסויימת  של טכנולגית ePO RT  לחלק גדול מלקוחתייה ללא תשלום.

תודה רבה לצחי זורנשטיין האחד והיחיד!





מערכת ניהול א. מידע מרכזית בזמן אמת

היום הייתי אצל לקוח שמבין עניין. יש לו צ'ק פוינט שמשמש כחומת אש

מערכת שמונעת התקפות על הרשת מבית מקאפי, ועוד, מערכת אנטי וירוס של טרנד עם הצפנות ושליטה על התקנים מהיצרנים הכי טובים שיש לשוק להציע

הסיבה שהייתי אצלו היא סיבה רגולטרית המבוססת יפה בשוק הישראלי וזה נקרא SIEM .

כמו כל לקוח טיפוסי הוא רוצה להיות הטוב ביותר . אם זאת כל הפגישה הוא מדגיש בפנינו כמה שהוא צוות קטן ואין לו הרבה אנשים לתפעל את המערכת.

אם נסתכל לעומק רק מערכות הניהול א. מידע שיש ללקוח בארגון (לא כולל מערכות תקשורת אפליקציות ועוד) יש לו קרוב לעשרה. שאלתי את הלקוח שאלה פשוטה : אם אתה צוות כזה קטן אז איך יש לך זמן לתפעל כל כך הרבה מערכות ניהול? כמובן שלא הייתה תשובה.

בואו נבהיר, לקוח שהולך להוציא מאות אלפי שקלים על מערכת SIEM , צריך גם לפחות שיישם SOC .

נשאלת השאלה, האם יש מערכת אחת שתרכז לי את כל מוצרי אבטחת המידע ברמת הניהול והחוקים? אם חס ושלום יש אירוע האם החברה צריכה ליישם SOC או שהרוב נעשה בצורה אוטומאטית? שהמערכת מותקנת כמה משאבים זמן וכח אדם נלקחים ממני?

האם יש החזר כספי להשקעה?

בהרצאה שהייתי שבוע שעבר דיברו קצת על אירועי סייבר שהם לא דווקא התקפות. כמו חבלה בכבלים של בזק ו הוט יכולים להשביט ארגון לתקופה לא קצרה. חברות שיש להם משאיות ונהגים גונבים דלק . כולכם מרימים גבה J.

משאית שמתדלקת פעם בשלושה ימים ב 500 ש"ח ופתאום רואים ביומיים תדלוק של 1500 ש"ח , זה אירוע אבטחה והייתם רוצים לקבל אירוע כזה למערכת SIEM דרך אגב זה אירוע סייבר שגורם נזק כספי ישיר לארגון.

חברת מקאפי היא חברה שמתעסקת בכל רבדי אבטחת המידע בכל השכבות יש מענה. וגם מוצרים. ופה נכנס הביטוי של Security connected .

לדוג' במערכת ה SIEM  יש גילוי של פריצה לשרתי בסיס הנתונים, לקוח שיש לו DB FW של מקאפי ה SIEM ידווח וייתן הוראה אוטומאטית ל DB FW לפעול. כנ"ל ל IPS ולשאר המוצרים.

לפרטים נוספים : yoniw@mcafee.com



אוקיי אז מאמר ראשון קצרצר שלי יוצא לדרך :-)

  היום נדבר קצת על מידע שצריך לנהל, לחלוק אותו עם לקוחות

וכמבון צריך שליטה שמידע שצריך להוציא ייצא ורק מי שצריך לראות ייראה.

דוגמא

חברות כלכליות צריכות לספק דוחות מסויימים ללקוחות ודוחות פרטיים, יש מידע שנמצא בהנהלה ויש מידע שנמצא אצל הברוקרים.

אני לקוח רוצה להתחבר לקבל דף מידע שכולל נתונים כללים ונתונים פרטיים. נשאלת השאלה:

- איך אנו יוצרים קורלציה בין המערכות?

- איך אנחנו דואגים בתור חברה שרק המידע שאני צריך ייצא החוצה ולא אוכל לקחת מידע של מתחרה שלי?

- פרטים אישיים שלי כמו ת.ז ומספר חשבון בנק נמצאים באותה חברה כלכלית האם יש טוקנזציה שמי שפורץ מבחוץ או מבפנים לא יוכל לזהות את המידע עליי?

ז.א שלושה קטוגוריות יש לנו ברמת XML

1. טוקנזציה

2. XML FW

3. ניהול המידע וקורלציה בין מערכות

McAfee Service Gateway

מוצר שהגיע אלינו מאינטל שמככב בשוק העולמי (לצערי בארץ יש שליטה של IBM עםה PowerData)

אשמח שתפנו אלינו לקבלת מידע בנושא.

דגלנו ונמשיך לדגול שפיתרונות א.מידע של יצרנים צריכות להיות מקצה לקצה וכאן

מקאפי חזקים בתמונה.

http://www.mcafeeworks.com/datasheets/ds-services-gateway.pdf 

מוזמנים לפנות אליי לעוד מידע yoniw@mcafee.com



שלום לכולם

במסגרת העמקת הקשר שאני עובד עליו במשך שנה עם המגזר הציבורי והאקדמי

אני מעחה כאן בלוג שהמטרה שלו לעדכן אתכם על פיתוחים ומוצרים חדשים

לעדכן על התקפות חדשות ולהציג את המוצרים של מקאפי בניתוחים אנליסטים בעולם

תזכרו שאני זמין לכולכם תמיד בטלפון 036454309

יוני