חוקרים במכון הטכנולוגי של ג'ורג'ה זיהו תוספים זדוניים בעשרות אלפי אתרי וורדפרס
בניתוח גיבויים ליליים של יותר מ-400,000 שרתי אינטרנט חשף את קיומם של יותר מ47,000 תוספים זדוניים המותקנים באתרי וורדפס
https://www.securityweek.com/malicious-plugins-found-25000-wordpress-websites-study
בניתוח גיבויים ליליים של יותר מ-400,000 שרתי אינטרנט חשף את קיומם של יותר מ47,000 תוספים זדוניים המותקנים באתרי וורדפס
https://www.securityweek.com/malicious-plugins-found-25000-wordpress-websites-study
SecurityWeek
Malicious Plugins Found on 25,000 WordPress Websites: Study
Researchers at Georgia Institute of Technology have identified malicious plugins on tens of thousands of WordPress websites.
❤1
שיטת ההתקפה 'מקור טרויאני' יכולה להסתיר באגים בקוד קוד פתוח
חוקרים אקדמיים פרסמו פרטים על שיטת התקפה חדשה שהם מכנים "מקור טרויאני" המאפשרת להחדיר נקודות תורפה לקוד המקור של פרויקט תוכנה באופן שבודקים אנושיים לא יכולים לזהות.
השיטה עובדת עם כמה משפות התכנות הנפוצות ביותר כיום ותוקפים יכולים להשתמש בה עבור התקפות שרשרת האספקה.
https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/
חוקרים אקדמיים פרסמו פרטים על שיטת התקפה חדשה שהם מכנים "מקור טרויאני" המאפשרת להחדיר נקודות תורפה לקוד המקור של פרויקט תוכנה באופן שבודקים אנושיים לא יכולים לזהות.
השיטה עובדת עם כמה משפות התכנות הנפוצות ביותר כיום ותוקפים יכולים להשתמש בה עבור התקפות שרשרת האספקה.
https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/
BleepingComputer
'Trojan Source' attack method can hide bugs into open-source code
Academic researchers have released details about a new attack method they call "Trojan Source" that allows injecting vulnerabilities into the source code of a software project in a way that human reviewers can't detect.
רשימת בדיקות חדירה מסכמת מאוד לשרתי אינטרנט
בדיקת שרת אינטרנט המבצעת תחת שלוש קטגוריות העיקריות שהם: זהות, ניתוח, פגיעויות
דיווח כגון חולשת אימות, שגיאות תצורה, פגיעויות ביחסי הפרוטוקול.
https://gbhackers.com/web-server-penetration-testing-checklist/
בדיקת שרת אינטרנט המבצעת תחת שלוש קטגוריות העיקריות שהם: זהות, ניתוח, פגיעויות
דיווח כגון חולשת אימות, שגיאות תצורה, פגיעויות ביחסי הפרוטוקול.
https://gbhackers.com/web-server-penetration-testing-checklist/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Web Server Penetration Testing Checklist - 2024
Web server pen testing performing under 3 major category which is identity, Analyse, Report Vulnerabilities such as authentication weakness.
מזה BaaS ?
מאחורי כל יישום תוכנה עומדת סדרה מקיפה של שירותי קצה שנועדו לתמוך בחזית הקצה שאתה רואה ומשתמש בכל יום. כמות העבודה הכרוכה ביצירת הטכנולוגיה האחורית הזו היא אף פעם לא משימה פשוטה. ארגונים רבים בוחרים לחסוך לעצמם את הזמן והכסף שידרשו כדי לפתח מחדש את הגלגל על ידי שימוש ב-backend כשירות (BaaS). שירות זה מספק לארגונים שירותים מבוססי ענן המתאימים לעיבוד עורפי.( Backend as a service )
https://www.businessnewsdaily.com/4992-what-is-baas.html
מאחורי כל יישום תוכנה עומדת סדרה מקיפה של שירותי קצה שנועדו לתמוך בחזית הקצה שאתה רואה ומשתמש בכל יום. כמות העבודה הכרוכה ביצירת הטכנולוגיה האחורית הזו היא אף פעם לא משימה פשוטה. ארגונים רבים בוחרים לחסוך לעצמם את הזמן והכסף שידרשו כדי לפתח מחדש את הגלגל על ידי שימוש ב-backend כשירות (BaaS). שירות זה מספק לארגונים שירותים מבוססי ענן המתאימים לעיבוד עורפי.( Backend as a service )
https://www.businessnewsdaily.com/4992-what-is-baas.html
Business News Daily
What Is Backend as a Service (BaaS)? - businessnewsdaily.com
BaaS frees app developers from purchasing onsite servers by putting various back-end services in the cloud.
כלי לאיתור פגיעויות Node.js בשם 'OGDEN'
Node.js
היא סביבת קוד פתוח, חוצה פלטפורמות, להפעלת גאווה סקריפט
מחוץ לדפדפן, היא תוכננה לפיתוח יישומי רשת, ושימושית מאוד, אך רבות מהחבילות שלה מכילות פגיעויות שיכולות לגרום לפגיעה באפליקציה.
כעת, אקדמאים מאוניברסיטת ג'ונס הופקינס ומאוניברסיטת רנמין בסין מציעים גישה חדשה למציאת פרצות אבטחה בחבילות Node.js.
https://www.securityweek.com/academics-devise-open-source-tool-hunting-nodejs-security-flaws
Node.js
היא סביבת קוד פתוח, חוצה פלטפורמות, להפעלת גאווה סקריפט
מחוץ לדפדפן, היא תוכננה לפיתוח יישומי רשת, ושימושית מאוד, אך רבות מהחבילות שלה מכילות פגיעויות שיכולות לגרום לפגיעה באפליקציה.
כעת, אקדמאים מאוניברסיטת ג'ונס הופקינס ומאוניברסיטת רנמין בסין מציעים גישה חדשה למציאת פרצות אבטחה בחבילות Node.js.
https://www.securityweek.com/academics-devise-open-source-tool-hunting-nodejs-security-flaws
Securityweek
Academics Devise Open Source Tool For Hunting Node.js Security Flaws | SecurityWeek.Com
A group of academic researchers have designed an open source Node.js vulnerability hunting tool that has already identified 180 security flaws.
Chrome 105 - הגירסה האחרונה של כרום
הגירסה כוללת 24 תיקוני פגיעויות, 21 מתוכם דווחו ע"י חוקרים חיצוניים (פגיעות אחת קריטית, שמונה ברמה גבוה, תשע בינונית ושלושה בדרגת חומרה נמוכה).
https://www.securityweek.com/chrome-105-patches-critical-high-severity-vulnerabilities
הגירסה כוללת 24 תיקוני פגיעויות, 21 מתוכם דווחו ע"י חוקרים חיצוניים (פגיעות אחת קריטית, שמונה ברמה גבוה, תשע בינונית ושלושה בדרגת חומרה נמוכה).
https://www.securityweek.com/chrome-105-patches-critical-high-severity-vulnerabilities
Securityweek
Chrome 105 Patches Critical, High-Severity Vulnerabilities | SecurityWeek.Com
Chrome 105 was released with patches for 24 vulnerabilities, including 13 use-after-free and heap buffer overflow issues.
סרטון הסבר כיצד ניתן לממש חולשות בחבילות open source :
https://www.linkedin.com/posts/tzachi-zornstain_supplychain-threatintelligence-opensourcesecurity-activity-6971041430546853888-1t7b?utm_source=share&utm_medium=member_android
https://www.linkedin.com/posts/tzachi-zornstain_supplychain-threatintelligence-opensourcesecurity-activity-6971041430546853888-1t7b?utm_source=share&utm_medium=member_android
Linkedin
Tzachi Zornstain on LinkedIn: #supplychain #threatintelligence #opensourcesecurity
𝐀𝐜𝐜𝐨𝐮𝐧𝐭 𝐭𝐚𝐤𝐞𝐨𝐯𝐞𝐫 – 𝐭𝐡𝐞 𝐧𝐞𝐰 𝐎𝐒𝐒 𝐚𝐭𝐭𝐚𝐜𝐤𝐞𝐫 𝐩𝐥𝐚𝐲𝐠𝐫𝐨𝐮𝐧𝐝
This is part 3 of our series on tactics, Techniques, and...
This is part 3 of our series on tactics, Techniques, and...
בדיקת פריצה אתית אולטימטיבית (UEH)
הטכניקות של פריצה ובדיקת חדירה, למידה ותרגול
https://www.udemy.com/course/ultimate-ethical-hacking/?couponCode=HOUSEOFFREECOUPONS
הטכניקות של פריצה ובדיקת חדירה, למידה ותרגול
https://www.udemy.com/course/ultimate-ethical-hacking/?couponCode=HOUSEOFFREECOUPONS
Udemy
Ultimate Ethical Hacking and Penetration Testing (UEH)
Learn and Practice the Techniques of Hacking and Penetration Testing
שיטות עבודה מומלצות לאבטחת Active Directory
מסמך זה מספק נקודת מבט של מתרגל ומכיל סט של טכניקות מעשיות כדי לעזור למנהלי IT להגן על סביבת Active Directory ארגונית.
המסמך תקף ל :
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
https://docs.microsoft.com/en-gb/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
מסמך זה מספק נקודת מבט של מתרגל ומכיל סט של טכניקות מעשיות כדי לעזור למנהלי IT להגן על סביבת Active Directory ארגונית.
המסמך תקף ל :
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
https://docs.microsoft.com/en-gb/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
Docs
Best practices for securing Active Directory
Learn more about best practices for securing Active Directory.
חדשות רעות לישראל: לויד'ס הודיעה שלא תפצה חברות שייפגעו בתקיפות סייבר של מדינות
על פי עדכון פוליסות הסייבר של ענקית הביטוח לשנה הבאה, היא לא תשלם פיצויים לארגונים וחברות שייפגעו ממתקפות סייבר בגיבוי מדינות. הסיבה: השכיחות הגדולה של מתקפות כאלה, הנזק העצום שהן יכולות לגרום, והיעדר היכולת הממשית למנוע נזק משמעותי
https://www.calcalist.co.il/calcalistech/article/hjy11juyr1ki
על פי עדכון פוליסות הסייבר של ענקית הביטוח לשנה הבאה, היא לא תשלם פיצויים לארגונים וחברות שייפגעו ממתקפות סייבר בגיבוי מדינות. הסיבה: השכיחות הגדולה של מתקפות כאלה, הנזק העצום שהן יכולות לגרום, והיעדר היכולת הממשית למנוע נזק משמעותי
https://www.calcalist.co.il/calcalistech/article/hjy11juyr1ki
אפל החלה ביום רביעי לשלוח תיקונים למכשירי אייפון ואייפד ישנים יותר כדי לטפל בפגיעות שנוצלה לאחרונה.
הפגיעות משפיעה על WebKit וניתן לנצל אותה כדי להשיג ביצוע קוד שרירותי כאשר המשתמש מבקר באתר אינטרנט זדוני.
ליקוי האבטחה נפתר עם שחרורו של iOS 12.5.6, שמתגלגל כעת לאייפון 5s, אייפון 6, אייפון 6 פלוס, אייפד אייר, אייפד מיני 2, אייפד מיני 3 ו-iPod touch (דור 6).
https://www.securityweek.com/ios-12-update-older-iphones-patches-exploited-vulnerability
הפגיעות משפיעה על WebKit וניתן לנצל אותה כדי להשיג ביצוע קוד שרירותי כאשר המשתמש מבקר באתר אינטרנט זדוני.
ליקוי האבטחה נפתר עם שחרורו של iOS 12.5.6, שמתגלגל כעת לאייפון 5s, אייפון 6, אייפון 6 פלוס, אייפד אייר, אייפד מיני 2, אייפד מיני 3 ו-iPod touch (דור 6).
https://www.securityweek.com/ios-12-update-older-iphones-patches-exploited-vulnerability
SecurityWeek
iOS 12 Update for Older iPhones Patches Exploited Vulnerability
Apple on Wednesday started shipping patches for older iPhone and iPad devices to address a recent, actively exploited vulnerability.Tracked as CVE-2022-32893, the vulnerability impacts WebKit and it can be exploited to achieve arbitrary code execution when…
תוכנת זדונית SharkBot מתגנבת בחזרה ל-Google Play כדי לגנוב את פרטי ההתחברות שלך
גרסה חדשה ומשודרגת של התוכנה הזדונית SharkBot חזרה לחנות Google-Play , ומכוונת לכניסות בנקאיות של משתמשי אנדרואיד באמצעות אפליקציות שיש להן עשרות אלפי התקנות.
התוכנה הזדונית הייתה קיימת בשתי אפליקציות אנדרואיד שלא כללו שום קוד זדוני כאשר נשלחה לבדיקה האוטומטית של גוגל.
עם זאת, SharkBot מתווסף בעדכון המתרחש לאחר שהמשתמש מתקין ומפעיל את dropper apps.
על פי פוסט בבלוג של Fox IT, שתי האפליקציות הזדוניות הן "Mister Phone Cleaner" ו-"Kylhavy Mobile Security", הסופרות ביחד 60,000 התקנות.
https://www.bleepingcomputer.com/news/security/sharkbot-malware-sneaks-back-on-google-play-to-steal-your-logins/
גרסה חדשה ומשודרגת של התוכנה הזדונית SharkBot חזרה לחנות Google-Play , ומכוונת לכניסות בנקאיות של משתמשי אנדרואיד באמצעות אפליקציות שיש להן עשרות אלפי התקנות.
התוכנה הזדונית הייתה קיימת בשתי אפליקציות אנדרואיד שלא כללו שום קוד זדוני כאשר נשלחה לבדיקה האוטומטית של גוגל.
עם זאת, SharkBot מתווסף בעדכון המתרחש לאחר שהמשתמש מתקין ומפעיל את dropper apps.
על פי פוסט בבלוג של Fox IT, שתי האפליקציות הזדוניות הן "Mister Phone Cleaner" ו-"Kylhavy Mobile Security", הסופרות ביחד 60,000 התקנות.
https://www.bleepingcomputer.com/news/security/sharkbot-malware-sneaks-back-on-google-play-to-steal-your-logins/
BleepingComputer
SharkBot malware sneaks back on Google Play to steal your logins
A new and upgraded version of the SharkBot malware has returned to Google's Play Store, targeting banking logins of Android users through apps that have tens of thousands of installations.
👍1
מסמך בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake (זיוף עמוק)
הרשות להגנת הפרטיות מפרסמת מסמך ראשון מסוגו בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake (זיוף עמוק)
עמדת הרשות היא כי הפצה ללא הסכמה של תמונה או סרטון דיפ פייק המציגים תוכן משפיל או הנוגע לצנעת חייו האישיים של אדם, העלול להיתפס בציבור כאותנטי, מהווה פגיעה בפרטיות. בנוסף, קובעת הרשות שחברות המייצרות תכנים מזויפים בטכנולוגית Deepfake ומחזיקות מאגר מידע מחויבות לעמוד בתקנות אבטחת מידע, וכי גם מידע מזויף, הנתפס כמידע אישי אותנטי, הוא מידע שיש לאבטח אותו.
https://www.gov.il/he/departments/news/deepfake1doc
הרשות להגנת הפרטיות מפרסמת מסמך ראשון מסוגו בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake (זיוף עמוק)
עמדת הרשות היא כי הפצה ללא הסכמה של תמונה או סרטון דיפ פייק המציגים תוכן משפיל או הנוגע לצנעת חייו האישיים של אדם, העלול להיתפס בציבור כאותנטי, מהווה פגיעה בפרטיות. בנוסף, קובעת הרשות שחברות המייצרות תכנים מזויפים בטכנולוגית Deepfake ומחזיקות מאגר מידע מחויבות לעמוד בתקנות אבטחת מידע, וכי גם מידע מזויף, הנתפס כמידע אישי אותנטי, הוא מידע שיש לאבטח אותו.
https://www.gov.il/he/departments/news/deepfake1doc
מה תפקידו של צוות אבטחת מידע ?
שאלה מעניינת ומגוונת בכל ארגון הצוות הזה מקבל תפקידים שונים אשר היסודות שלו אמורים להיות מניעה, איתור או ניהול סיכונים
לא כל צוותי האבטחה נולדו שווים. לכל ארגון מטרה אחרת.
בתחום אבטחת הסייבר, אימוץ גישה פרואקטיבית היא לא מילה זרה. זה בעצם מה שעושה את ההבדל בין להישאר מאחורי התוקפים לבין להקדים אותם. והפתרונות לעשות זאת אכן קיימים!
רוב ההתקפות מצליחות על ידי ניצול כשלים נפוצים במערכות היעד שלהם (לדוגמא הלל יפה או שירביט), בין אם חדשות או לא, ידועות, לא ידועות או אפילו לא ידועות, התקפות ממנפות פערי אבטחה כגון נקודות תורפה שלא תועדו או לא תוארו, הגדרות שגויות, מערכות לא מעודכנות, אישורים שפג תוקפם, טעויות אנוש וכו'.
מכיוון שתוקפים מסתמכים על מגוון כלי בדיקה התקפי אוטומטיים כדי לסרוק את משטחי התקיפה של המטרות שלהם ולהתפשט בתוך הרשת שלהם, עמדת הגנה תגובתית גרידא המבוססת על זיהוי ותגובה צפויה יותר ויותר להיות מוצפת על ידי התקפה.
המהלך הטקטי ההגיוני הוא לחקות את ה-TTPs והתנהגויות של התוקפים מראש על ידי שילוב כלי הדמיית תקיפה כדי לאמת באופן רציף את אטימות משטח ההתקפה בכללותו, את היעילות של בקרות האבטחה, כמו גם מדיניות ניהול גישה ופילוח וכו'.
חיזוק יכולות המניעה:
שימוש בפתרון Breach and Attack Simulation (BAS) מאמת באופן רציף את יעילות בקרות האבטחה שלך, מספק הנחיות תיקון בר-פעולה עבור פערי אבטחה שנחשפו, ומייעל את מאמצי תעדוף התיקון בהתאם לסבירות ההצלחה של התקיפה שנחשפו באמצעות סימולציות תקיפה.
חיזוק זיהוי ותגובה:
הפעלת התקפות סיור אוטומטיות מחזקת את הליך ניהול משטח ההתקפה שלך על ידי חשיפת כל הנכסים החשופים, כולל Shadow IT שנשכחו מזמן או שנוספו בחשאי, תוך שילוב יכולות סימולציית התקפות מתמשכות מבחוץ פנימה עם ערימת הכלים SIEM/SOAR שלך מאירה אור על גבולותיה ופגמים.
התאמה אישית של ניהול סיכונים:
שילוב של אימות אבטחה בניהול סיכונים ארגוניים ובנהלי GRC ומתן אבטחה מתמשכת בהתאם עשויה לדרוש רמה מסוימת של התאמה אישית של תרחישי התקיפה הזמינים.
https://thehackernews.com/2022/09/what-is-your-security-team-profile.html
שאלה מעניינת ומגוונת בכל ארגון הצוות הזה מקבל תפקידים שונים אשר היסודות שלו אמורים להיות מניעה, איתור או ניהול סיכונים
לא כל צוותי האבטחה נולדו שווים. לכל ארגון מטרה אחרת.
בתחום אבטחת הסייבר, אימוץ גישה פרואקטיבית היא לא מילה זרה. זה בעצם מה שעושה את ההבדל בין להישאר מאחורי התוקפים לבין להקדים אותם. והפתרונות לעשות זאת אכן קיימים!
רוב ההתקפות מצליחות על ידי ניצול כשלים נפוצים במערכות היעד שלהם (לדוגמא הלל יפה או שירביט), בין אם חדשות או לא, ידועות, לא ידועות או אפילו לא ידועות, התקפות ממנפות פערי אבטחה כגון נקודות תורפה שלא תועדו או לא תוארו, הגדרות שגויות, מערכות לא מעודכנות, אישורים שפג תוקפם, טעויות אנוש וכו'.
מכיוון שתוקפים מסתמכים על מגוון כלי בדיקה התקפי אוטומטיים כדי לסרוק את משטחי התקיפה של המטרות שלהם ולהתפשט בתוך הרשת שלהם, עמדת הגנה תגובתית גרידא המבוססת על זיהוי ותגובה צפויה יותר ויותר להיות מוצפת על ידי התקפה.
המהלך הטקטי ההגיוני הוא לחקות את ה-TTPs והתנהגויות של התוקפים מראש על ידי שילוב כלי הדמיית תקיפה כדי לאמת באופן רציף את אטימות משטח ההתקפה בכללותו, את היעילות של בקרות האבטחה, כמו גם מדיניות ניהול גישה ופילוח וכו'.
חיזוק יכולות המניעה:
שימוש בפתרון Breach and Attack Simulation (BAS) מאמת באופן רציף את יעילות בקרות האבטחה שלך, מספק הנחיות תיקון בר-פעולה עבור פערי אבטחה שנחשפו, ומייעל את מאמצי תעדוף התיקון בהתאם לסבירות ההצלחה של התקיפה שנחשפו באמצעות סימולציות תקיפה.
חיזוק זיהוי ותגובה:
הפעלת התקפות סיור אוטומטיות מחזקת את הליך ניהול משטח ההתקפה שלך על ידי חשיפת כל הנכסים החשופים, כולל Shadow IT שנשכחו מזמן או שנוספו בחשאי, תוך שילוב יכולות סימולציית התקפות מתמשכות מבחוץ פנימה עם ערימת הכלים SIEM/SOAR שלך מאירה אור על גבולותיה ופגמים.
התאמה אישית של ניהול סיכונים:
שילוב של אימות אבטחה בניהול סיכונים ארגוניים ובנהלי GRC ומתן אבטחה מתמשכת בהתאם עשויה לדרוש רמה מסוימת של התאמה אישית של תרחישי התקיפה הזמינים.
https://thehackernews.com/2022/09/what-is-your-security-team-profile.html
הטלפון החכם שלך הוא המלווה היומיומי שלך. רוב הסיכויים שרוב הפעילויות שלנו נשענות עליהם, מהזמנת אוכל ועד הזמנת תורים רפואיים. עם זאת, נוף האיומים תמיד מזכיר לנו עד כמה סמארטפונים יכולים להיות פגיעים.
קחו בחשבון את הגילוי האחרון של Oversecured. מומחים אלו הבחינו בטעינת הקוד הדינמית ובסכנותיו הפוטנציאליות. למה זו בעיה?
ובכן, אפליקציית גוגל משתמשת בקוד שאינו מגיע משולב עם האפליקציה עצמה. אוקיי, זה אולי נשמע מבלבל, אבל הכל פועל לטובת אופטימיזציה של תהליכים מסוימים. לפיכך, גוגל מנצלת ספריות קוד שהותקנו מראש בטלפונים אנדרואיד כדי להקטין את גודל ההורדות שלהן. למעשה, אפליקציות אנדרואיד רבות משתמשות בטריק הזה כדי לייעל את שטח האחסון הדרוש להפעלה.
כפי שנחשף על ידי Oversecured, העבריינים עלולים לסכן את שליפת הקוד מספריות. במקום שגוגל תשיג קוד ממקור אמין, אפשר להערים עליה לקחת קוד מאפליקציות זדוניות הפועלות במכשיר המדובר. לפיכך, האפליקציה הזדונית יכולה לקבל את אותן הרשאות כמו גוגל. ובכך התוקף מקבל בדרך זו גישה לדוא"ל שלך, להיסטוריית החיפושים, להיסטוריית השיחות, לאנשי הקשר שלך ועוד.
החלק הכי מפחיד: הכל יכול לקרות בלי ידיעתך.
איומי אבטחה מובילים
1. דלף מידע - Data Leaks - כאשר מורידים אפליקציה חדשה לסמארטפון ומפעילים אותה, עליכם לשים לב למסך הפופ שמופיע. זהו חלון קופץ של הרשאות, הבקשה לספק הרשאות בודדות לאפליקציה.
2. תוכנת ריגול המתחזה לעדכון
3. תוכנה זדונית באמצעות הודעות SMS - כולנו מכירים את התחושה של קבלת הודעות SMS מוזרות. אבל לפעמים, ניסיונות כאלה אינם אלא הונאות הנדסה חברתית.
https://thehackernews.com/2022/06/overview-of-top-mobile-security-threats.html
קחו בחשבון את הגילוי האחרון של Oversecured. מומחים אלו הבחינו בטעינת הקוד הדינמית ובסכנותיו הפוטנציאליות. למה זו בעיה?
ובכן, אפליקציית גוגל משתמשת בקוד שאינו מגיע משולב עם האפליקציה עצמה. אוקיי, זה אולי נשמע מבלבל, אבל הכל פועל לטובת אופטימיזציה של תהליכים מסוימים. לפיכך, גוגל מנצלת ספריות קוד שהותקנו מראש בטלפונים אנדרואיד כדי להקטין את גודל ההורדות שלהן. למעשה, אפליקציות אנדרואיד רבות משתמשות בטריק הזה כדי לייעל את שטח האחסון הדרוש להפעלה.
כפי שנחשף על ידי Oversecured, העבריינים עלולים לסכן את שליפת הקוד מספריות. במקום שגוגל תשיג קוד ממקור אמין, אפשר להערים עליה לקחת קוד מאפליקציות זדוניות הפועלות במכשיר המדובר. לפיכך, האפליקציה הזדונית יכולה לקבל את אותן הרשאות כמו גוגל. ובכך התוקף מקבל בדרך זו גישה לדוא"ל שלך, להיסטוריית החיפושים, להיסטוריית השיחות, לאנשי הקשר שלך ועוד.
החלק הכי מפחיד: הכל יכול לקרות בלי ידיעתך.
איומי אבטחה מובילים
1. דלף מידע - Data Leaks - כאשר מורידים אפליקציה חדשה לסמארטפון ומפעילים אותה, עליכם לשים לב למסך הפופ שמופיע. זהו חלון קופץ של הרשאות, הבקשה לספק הרשאות בודדות לאפליקציה.
2. תוכנת ריגול המתחזה לעדכון
3. תוכנה זדונית באמצעות הודעות SMS - כולנו מכירים את התחושה של קבלת הודעות SMS מוזרות. אבל לפעמים, ניסיונות כאלה אינם אלא הונאות הנדסה חברתית.
https://thehackernews.com/2022/06/overview-of-top-mobile-security-threats.html
👍1
מזה ZTNA ומה היתרונות
הרצון לאפשר לאנשים הנכונים גישה למשאבים המתאימים תוך שמירה על אבטחה ובקרות גישה על פני מספר מרכזי נתונים וסביבות ענן היא אחד האתגרים הטכניים הגדולים ביותר שעומד בפני כל ארגון.
אבטחה גדולה מדי יכולה להאט את העסק וליצור עובדים ממורמרים שעלולים לחפש דרכים לעקוף תהליכים ולהפוך את עבודתם לפשוטה יותר. מה שהם לא מבינים הוא שפתרונות ללא סנקציות, שאינם מנוהלים על ידי צוות האבטחה, מגבירים את הסיכון ויכולים להקל על התרחשות של פריצה.
תוכנת כופר היא עדיין מייצרת כסף נהדרת. התקפות ממוקדות הביכו עסקים, אבל לרוב, זה פשוט: נעל נתונים, איום לחשוף נתונים ובקש את הכופר.
התהליך עובד כך : נועלים נתונים, מאימים לחשוף נתונים ואז מבקשים כופר, בשנת 2021 דווח כי יותר מ-60% מהעסקים שילמו כופר.
זה מביא אותנו ל – RDP, כלי המאפשר למשתמשים לגשת לשולחן העבודה שלהם ולהריץ יישומים מרחוק. בשנים האחרונות חלה עלייה בהתקפות באמצעות חיבורי RDP ומכירת אישורי RDP ברשת האפלה הפכה לדבר שבשגרה.
עסקים צריכים לנהל מדיניות גישה קפדנית כדי להבטיח שרק האנשים הנכונים יקבלו גישה - סיסמאות חזקות, שינוי יציאות RDP TCP סטנדרטיות והגבלת גישה לחשבון משתמש.
מכאן אנחנו מגיעים לZero Trust Network Access או ZTNA - היא התשובה לבעיה, איך להבטיח שרק למשתמש הנכון תהיה גישה למשאבים כל הזמן. מצב בברירת המחדל עבור ZTNA היא ללא גישה, והזכויות מאושרות מחדש בכל שלב כדי להבטיח ששום דבר לא השתנה. נניח שמישהו משתמש בכלים כדי להסתיר את זהותו או להתחבר ממיקום לא ידוע. הם עשויים לקבל גישת משתמש/סיסמה ראשונית רק כדי להידחות מיד בעת פתיחת אפליקציה או משאב.
• אבטחה רבת משתנים באמצעות זהות, מיקום, מידע על המכשיר ואימות משולבים מבטיחים שמצב האבטחה שלך תהיה תמיד מכוונת להגדרה החזקה ביותר, בכל מקום בסביבה.
• מכיוון ש-ZTNA מניח גישת 'אל תסמוך על אף אחד', כל מי שניגש לרשת יראה רק משאבים ויישומים דרך עדשה של הרשאות הגישה הישירה שלו. היתרון בכך הוא שאם תוקף יקבל גישה לרשת, הראות שלו תפגע. כניסה עמוקה יותר למערכת תהיה קשה יותר בגלל הצורך החוזר בבדיקת אבטחה, בדיקת תצורת המכשיר ואימות מחדש של חשבון המשתמש.
• הנראות והשליטה משתפרים ככל שמתייחסים למשאבים באופן שווה, לצוות האבטחה יש נראות של כל דבר, החל מיישומי משרד ועד כל פלטפורמת ענן שנמצאת בשימוש ופיתוח של מערכות Shadow-IT אינו אפשרי מכיוון שמערכות לא מנוהלות לא יוכלו לקבל גישת והמשתמשים לא יוכלו לאמת מולם.
• והכי חשוב, ZTNA צריכה להיות שקופה למשתמשים, עם ניהול מבוסס סוכנים כדי לאסוף מידע חיוני על משתמשים והתקנים, ולאחר מכן לספק גישה חלקה לרשת ליישומים ומשאבים שמשתמשים צריכים לגשת אליהם באופן לגיטימי.
היתרונות של ZTNA הם סיכון מופחת לפריצת נתונים ובקרות גישה למשאבי ענן שומרים על הצוותים העסקיים והטכניים מרוצים, בעוד שחווית המשתמש הכוללת משתפרת מאוד על ידי שימוש בכניסה יחידה SSO
https://www.securityweek.com/ever-increasing-issue-cyber-threats-and-zero-trust-answer
הרצון לאפשר לאנשים הנכונים גישה למשאבים המתאימים תוך שמירה על אבטחה ובקרות גישה על פני מספר מרכזי נתונים וסביבות ענן היא אחד האתגרים הטכניים הגדולים ביותר שעומד בפני כל ארגון.
אבטחה גדולה מדי יכולה להאט את העסק וליצור עובדים ממורמרים שעלולים לחפש דרכים לעקוף תהליכים ולהפוך את עבודתם לפשוטה יותר. מה שהם לא מבינים הוא שפתרונות ללא סנקציות, שאינם מנוהלים על ידי צוות האבטחה, מגבירים את הסיכון ויכולים להקל על התרחשות של פריצה.
תוכנת כופר היא עדיין מייצרת כסף נהדרת. התקפות ממוקדות הביכו עסקים, אבל לרוב, זה פשוט: נעל נתונים, איום לחשוף נתונים ובקש את הכופר.
התהליך עובד כך : נועלים נתונים, מאימים לחשוף נתונים ואז מבקשים כופר, בשנת 2021 דווח כי יותר מ-60% מהעסקים שילמו כופר.
זה מביא אותנו ל – RDP, כלי המאפשר למשתמשים לגשת לשולחן העבודה שלהם ולהריץ יישומים מרחוק. בשנים האחרונות חלה עלייה בהתקפות באמצעות חיבורי RDP ומכירת אישורי RDP ברשת האפלה הפכה לדבר שבשגרה.
עסקים צריכים לנהל מדיניות גישה קפדנית כדי להבטיח שרק האנשים הנכונים יקבלו גישה - סיסמאות חזקות, שינוי יציאות RDP TCP סטנדרטיות והגבלת גישה לחשבון משתמש.
מכאן אנחנו מגיעים לZero Trust Network Access או ZTNA - היא התשובה לבעיה, איך להבטיח שרק למשתמש הנכון תהיה גישה למשאבים כל הזמן. מצב בברירת המחדל עבור ZTNA היא ללא גישה, והזכויות מאושרות מחדש בכל שלב כדי להבטיח ששום דבר לא השתנה. נניח שמישהו משתמש בכלים כדי להסתיר את זהותו או להתחבר ממיקום לא ידוע. הם עשויים לקבל גישת משתמש/סיסמה ראשונית רק כדי להידחות מיד בעת פתיחת אפליקציה או משאב.
• אבטחה רבת משתנים באמצעות זהות, מיקום, מידע על המכשיר ואימות משולבים מבטיחים שמצב האבטחה שלך תהיה תמיד מכוונת להגדרה החזקה ביותר, בכל מקום בסביבה.
• מכיוון ש-ZTNA מניח גישת 'אל תסמוך על אף אחד', כל מי שניגש לרשת יראה רק משאבים ויישומים דרך עדשה של הרשאות הגישה הישירה שלו. היתרון בכך הוא שאם תוקף יקבל גישה לרשת, הראות שלו תפגע. כניסה עמוקה יותר למערכת תהיה קשה יותר בגלל הצורך החוזר בבדיקת אבטחה, בדיקת תצורת המכשיר ואימות מחדש של חשבון המשתמש.
• הנראות והשליטה משתפרים ככל שמתייחסים למשאבים באופן שווה, לצוות האבטחה יש נראות של כל דבר, החל מיישומי משרד ועד כל פלטפורמת ענן שנמצאת בשימוש ופיתוח של מערכות Shadow-IT אינו אפשרי מכיוון שמערכות לא מנוהלות לא יוכלו לקבל גישת והמשתמשים לא יוכלו לאמת מולם.
• והכי חשוב, ZTNA צריכה להיות שקופה למשתמשים, עם ניהול מבוסס סוכנים כדי לאסוף מידע חיוני על משתמשים והתקנים, ולאחר מכן לספק גישה חלקה לרשת ליישומים ומשאבים שמשתמשים צריכים לגשת אליהם באופן לגיטימי.
היתרונות של ZTNA הם סיכון מופחת לפריצת נתונים ובקרות גישה למשאבי ענן שומרים על הצוותים העסקיים והטכניים מרוצים, בעוד שחווית המשתמש הכוללת משתפרת מאוד על ידי שימוש בכניסה יחידה SSO
https://www.securityweek.com/ever-increasing-issue-cyber-threats-and-zero-trust-answer
Securityweek
The Ever-Increasing Issue of Cyber Threats - and the Zero Trust Answer | SecurityWeek.Com
Zero Trust Network Access or ZTNA, has many benefits and can simplify or remove many challenges with managing security.
👍1