אתר נחמד שנותן לנו הרבה זמן פנוי בעבודה, מדמה עדכון של WINDOWS, אחרי שבחרתם את ה"עדכון" רק ללחוץ F11 ולנוח
https://fakeupdate.net/
https://fakeupdate.net/
PRANK - FakeUpdate.net - Fake Windows Update Screens
FakeUpdate.net - Fake Windows Update Screens
Prank your friends and colleagues with fake update screens!
😁2
רשימה מקיפה של כלי חקירה: סריקת קבצים חשודים, כתובות URL, דומיינים וכתובות IP כדי לזהות תוכנות זדוניות וסוגים נוספים של איומים.
Kaspersky :
https://lnkd.in/dY_eu7Wn
https://lnkd.in/dJGuf2Ge
Virustotal :
https://lnkd.in/dntMAzkg
MetaDefender Cloud :
https://lnkd.in/dnNU3jdM
Jotti Malware Scan :
https://lnkd.in/dJeQrYEn
Joe Sandbox :
https://lnkd.in/d2WwP4Ts
ThreatMiner :
https://lnkd.in/dTuJBj8q
Cybercrime tracker :
https://lnkd.in/dJ8VKCw5
URLHaus Database :
https://lnkd.in/dbf8hakt
Fireeye IOC Finder :
https://lnkd.in/duJP-5SM
Hybrid Analysis :
https://lnkd.in/dFPhHPrZ
MISP :
https://lnkd.in/dtX386kc
ThreatConnect :
https://lnkd.in/dhH-Uh8K
OPENCTI :
https://www.opencti.io/en/
IBM X-Force Exchange :
https://lnkd.in/dmjETmPd
Threat Crowd :
https://lnkd.in/dGT6YUwU
Malware Trends Tracker :
https://lnkd.in/dHBsTX2m
https://app.any.run/
https://lnkd.in/d_r_ZY5D
OpenPhish :
https://lnkd.in/dYMMjsA9
Anomali Limo :
https://lnkd.in/dUSxfsWZ
Cuckoo Sandbox :
https://lnkd.in/diqvh9t3
https://lnkd.in/dT-6tBuF
https://lnkd.in/dcaQ_ZYb
OpenCVE :
https://lnkd.in/emPcW7EW
Malware :
https://www.malwares.com/
Open Threat Exchange:
https://lnkd.in/dcpAhtRS
OPSWAT MetaDefender Cloud :
https://lnkd.in/dnNU3jdM
VALKYRIE:
https://lnkd.in/dAFUzVf9
Kaspersky :
https://lnkd.in/dY_eu7Wn
https://lnkd.in/dJGuf2Ge
Virustotal :
https://lnkd.in/dntMAzkg
MetaDefender Cloud :
https://lnkd.in/dnNU3jdM
Jotti Malware Scan :
https://lnkd.in/dJeQrYEn
Joe Sandbox :
https://lnkd.in/d2WwP4Ts
ThreatMiner :
https://lnkd.in/dTuJBj8q
Cybercrime tracker :
https://lnkd.in/dJ8VKCw5
URLHaus Database :
https://lnkd.in/dbf8hakt
Fireeye IOC Finder :
https://lnkd.in/duJP-5SM
Hybrid Analysis :
https://lnkd.in/dFPhHPrZ
MISP :
https://lnkd.in/dtX386kc
ThreatConnect :
https://lnkd.in/dhH-Uh8K
OPENCTI :
https://www.opencti.io/en/
IBM X-Force Exchange :
https://lnkd.in/dmjETmPd
Threat Crowd :
https://lnkd.in/dGT6YUwU
Malware Trends Tracker :
https://lnkd.in/dHBsTX2m
https://app.any.run/
https://lnkd.in/d_r_ZY5D
OpenPhish :
https://lnkd.in/dYMMjsA9
Anomali Limo :
https://lnkd.in/dUSxfsWZ
Cuckoo Sandbox :
https://lnkd.in/diqvh9t3
https://lnkd.in/dT-6tBuF
https://lnkd.in/dcaQ_ZYb
OpenCVE :
https://lnkd.in/emPcW7EW
Malware :
https://www.malwares.com/
Open Threat Exchange:
https://lnkd.in/dcpAhtRS
OPSWAT MetaDefender Cloud :
https://lnkd.in/dnNU3jdM
VALKYRIE:
https://lnkd.in/dAFUzVf9
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
🤩1
אבטחת סייבר - ככל שדברים משתנים יותר, כך הם זהים יותר
בתעשיית אבטחת הסייבר, ככל שהדברים משתנים יותר, בסוף הם עושים את אותו דבר.
אנו מתגאים בחדשנות, אבל רק השמות משתנים ופחות הפונקציונליות.
מונחים כמו SIEM, SOAR, TIP, TDIR ו-XDR שמובילים לבלבול, לא לנתיב לפתרון בעיות אבטחה רחבות.
אנחנו ממשיכים לחפש את הכלי או הפתרון לגרום לחלקים לעבוד יחד בארכיטקטורה אחת.
גם התוקפים מסתכלים על כל הבלגן הזה.
ישנם כמה סימנים מעודדים שמתחילים לגבש פתרון. אנחנו מתחילים לשמוע יותר על ארכיטקטורות, כולל כמה ויכוחים חדשים בשאלה האם יש להתייחס לגישה כפתרון או להתייחס אליה כאל ארכיטקטורה. אחת הדוגמאות האחרונות היא ארכיטקטורת רשת אבטחת הסייבר (CSMA) של גרטנר. גרטנר מצהירה כי CSMA מספקת את הבסיס לאנשים ולמכונות להתחבר בצורה מאובטחת ממספר מיקומים על פני סביבות היברידיות ומרובות עננים, ערוצים ודורות מגוונים של יישומים, תוך הגנה על כל הנכסים הדיגיטליים של הארגון. נשמע בדיוק מה שצריך בעולם של היום יותר ויותר מבוסס ענן. אבל מה יידרש כדי לקשר בין זהויות של אנשים למשהו שקרה ב-SIEM או ברשת או לקשר את זהות המכונה עם דואר אלקטרוני או יישום ענן אחר?
מה שדרוש הוא ארכיטקטורה שבה מערכות ומקורות שונים שמדברים בשפות שונות ומשתמשים בפורמטים שונים יכולים לתקשר.
נשמע דומה למושגים אחרים, כמו למשל ל- Extended Detection and Response (XDR) ולפני כן, ל-Security Orchestration Automation and Response (SOAR).
האבטחה של XDR היא לאפשר זיהוי ותגובה ברחבי הארגון, מה שדורש את כל הכלים וכל הצוותים לעבוד יחד. בעקבות ראשי התיבות החדשים ביותר, הספקים מיהרו לקפוץ על העגלה ולעצב מחדש את הכלים שלהם כפתרונות XDR אבל בין אם ספק מציע מערכת אקולוגית סגורה או גישה שבה הם מתחילים עם יכולת ליבה ובונים משם, בשטח לארגונים יש כלים מספקים רבים, והרצון להחליף ספקים נמוך בגלל שמדובר במכרזים וחוזים ארוכים. שלא לדבר על העובדה שספקים ופתרונות חדשים ימשיכו לצוץ לאור החדשנות המתמשכת הנדרשת כדי להימנע מתקיפה. זה הוביל לוויכוח האם XDR הוא פתרון או באמת גישה ארכיטקטונית לפיה יכולת פעולה הדדית פתוחה בין טכנולוגיות אבטחה קיימות ויכולות חדשות מאפשרות זיהוי ותגובה ברחבי הארגון.
לפני XDR , כאשר קטגוריית המוצרים SOAR הופיעה, הארגון עבר אותו תהליך. עם הזמן, ארגונים החלו להבין שכדי להיות יעיל SOAR לא יכול להיות רק הפעלת אותם תהליכים שוב ושוב.
זיהוי ותגובה הם דינמיים ומשתנים. אז, אוטומציה חייבת להתבסס על נתונים שרלוונטיים לארגון על מנת להפעיל את התהליכים הנכונים לביצוע פעולות באופן מידי באמצעות הכלים הזמינים.
יש לבצע סגירת מעגל, למידה מתמשכת של הפעולה שננקטה כדי ליידע את התהליך ולשפר את התגובה העתידית. התברר כי יכולת פעולה הדדית עם כלים וטכנולוגיות אחרות היא גורם מפתח ל-SOAR.
למרות שהדברים השתנו - מ-SOAR ל-XDR ל-CSMA הם בעצם נשארו באותו שלד. הקטגוריות החדשות הללו אינן פתרונות אלא באמת ארכיטקטורות. לפחות CSMA ממוקמת כארכיטקטורה מחוץ לשאר, מה שעשוי להשאיר את התעשייה בנתיב מהיר יותר לספק ערך. כפי שמצהירה גרטנר. אבל איך צוותי אבטחה הולכים לחבר את הנקודות בין אנשים ומכונות ברחבי הסביבה של הארגון שלהם, כולל היברידי ורב ענן?
מלכתחילה, האינטגרציה חייבת להיות רחבה כדי לכסות מגוון כלים, כולל כל מקורות הנתונים הפנימיים - מערכת SIEM , מאגר ניהול יומנים, ניהול זהויות, נקודות קצה, רשת, מערכת ניהול תיקים ותשתיות אבטחה נוספות.
היא גם חייבת להשתלב עם מספר מקורות הנתונים החיצוניים שארגונים מנויים עליהם - מסחרי, קוד פתוח, ממשל, תעשייה וספקי אבטחה מודיעיניים.
ריכוז נתונים פנימיים וחיצוניים, על ידי בחירת האסטרטגיה נרמול ותיאום מאפשרים לקבל תמונה רחבה של כל הנתונים הזמינים כדי להבין מה המתרחש (TTPs), מאפשרת לך לחפש בכלים נוספים ברחבי הארגון כדי לאשר את היקף הפעילות הזדונית ולזהות את כל המערכות המושפעות ולתת מענה יעיל ונכון.
https://www.securityweek.com/cybersecurity-more-things-change-more-they-are-same
בתעשיית אבטחת הסייבר, ככל שהדברים משתנים יותר, בסוף הם עושים את אותו דבר.
אנו מתגאים בחדשנות, אבל רק השמות משתנים ופחות הפונקציונליות.
מונחים כמו SIEM, SOAR, TIP, TDIR ו-XDR שמובילים לבלבול, לא לנתיב לפתרון בעיות אבטחה רחבות.
אנחנו ממשיכים לחפש את הכלי או הפתרון לגרום לחלקים לעבוד יחד בארכיטקטורה אחת.
גם התוקפים מסתכלים על כל הבלגן הזה.
ישנם כמה סימנים מעודדים שמתחילים לגבש פתרון. אנחנו מתחילים לשמוע יותר על ארכיטקטורות, כולל כמה ויכוחים חדשים בשאלה האם יש להתייחס לגישה כפתרון או להתייחס אליה כאל ארכיטקטורה. אחת הדוגמאות האחרונות היא ארכיטקטורת רשת אבטחת הסייבר (CSMA) של גרטנר. גרטנר מצהירה כי CSMA מספקת את הבסיס לאנשים ולמכונות להתחבר בצורה מאובטחת ממספר מיקומים על פני סביבות היברידיות ומרובות עננים, ערוצים ודורות מגוונים של יישומים, תוך הגנה על כל הנכסים הדיגיטליים של הארגון. נשמע בדיוק מה שצריך בעולם של היום יותר ויותר מבוסס ענן. אבל מה יידרש כדי לקשר בין זהויות של אנשים למשהו שקרה ב-SIEM או ברשת או לקשר את זהות המכונה עם דואר אלקטרוני או יישום ענן אחר?
מה שדרוש הוא ארכיטקטורה שבה מערכות ומקורות שונים שמדברים בשפות שונות ומשתמשים בפורמטים שונים יכולים לתקשר.
נשמע דומה למושגים אחרים, כמו למשל ל- Extended Detection and Response (XDR) ולפני כן, ל-Security Orchestration Automation and Response (SOAR).
האבטחה של XDR היא לאפשר זיהוי ותגובה ברחבי הארגון, מה שדורש את כל הכלים וכל הצוותים לעבוד יחד. בעקבות ראשי התיבות החדשים ביותר, הספקים מיהרו לקפוץ על העגלה ולעצב מחדש את הכלים שלהם כפתרונות XDR אבל בין אם ספק מציע מערכת אקולוגית סגורה או גישה שבה הם מתחילים עם יכולת ליבה ובונים משם, בשטח לארגונים יש כלים מספקים רבים, והרצון להחליף ספקים נמוך בגלל שמדובר במכרזים וחוזים ארוכים. שלא לדבר על העובדה שספקים ופתרונות חדשים ימשיכו לצוץ לאור החדשנות המתמשכת הנדרשת כדי להימנע מתקיפה. זה הוביל לוויכוח האם XDR הוא פתרון או באמת גישה ארכיטקטונית לפיה יכולת פעולה הדדית פתוחה בין טכנולוגיות אבטחה קיימות ויכולות חדשות מאפשרות זיהוי ותגובה ברחבי הארגון.
לפני XDR , כאשר קטגוריית המוצרים SOAR הופיעה, הארגון עבר אותו תהליך. עם הזמן, ארגונים החלו להבין שכדי להיות יעיל SOAR לא יכול להיות רק הפעלת אותם תהליכים שוב ושוב.
זיהוי ותגובה הם דינמיים ומשתנים. אז, אוטומציה חייבת להתבסס על נתונים שרלוונטיים לארגון על מנת להפעיל את התהליכים הנכונים לביצוע פעולות באופן מידי באמצעות הכלים הזמינים.
יש לבצע סגירת מעגל, למידה מתמשכת של הפעולה שננקטה כדי ליידע את התהליך ולשפר את התגובה העתידית. התברר כי יכולת פעולה הדדית עם כלים וטכנולוגיות אחרות היא גורם מפתח ל-SOAR.
למרות שהדברים השתנו - מ-SOAR ל-XDR ל-CSMA הם בעצם נשארו באותו שלד. הקטגוריות החדשות הללו אינן פתרונות אלא באמת ארכיטקטורות. לפחות CSMA ממוקמת כארכיטקטורה מחוץ לשאר, מה שעשוי להשאיר את התעשייה בנתיב מהיר יותר לספק ערך. כפי שמצהירה גרטנר. אבל איך צוותי אבטחה הולכים לחבר את הנקודות בין אנשים ומכונות ברחבי הסביבה של הארגון שלהם, כולל היברידי ורב ענן?
מלכתחילה, האינטגרציה חייבת להיות רחבה כדי לכסות מגוון כלים, כולל כל מקורות הנתונים הפנימיים - מערכת SIEM , מאגר ניהול יומנים, ניהול זהויות, נקודות קצה, רשת, מערכת ניהול תיקים ותשתיות אבטחה נוספות.
היא גם חייבת להשתלב עם מספר מקורות הנתונים החיצוניים שארגונים מנויים עליהם - מסחרי, קוד פתוח, ממשל, תעשייה וספקי אבטחה מודיעיניים.
ריכוז נתונים פנימיים וחיצוניים, על ידי בחירת האסטרטגיה נרמול ותיאום מאפשרים לקבל תמונה רחבה של כל הנתונים הזמינים כדי להבין מה המתרחש (TTPs), מאפשרת לך לחפש בכלים נוספים ברחבי הארגון כדי לאשר את היקף הפעילות הזדונית ולזהות את כל המערכות המושפעות ולתת מענה יעיל ונכון.
https://www.securityweek.com/cybersecurity-more-things-change-more-they-are-same
Securityweek
Cybersecurity - the More Things Change, the More They Are The Same | SecurityWeek.Com
Even though things have changed—from SOAR to XDR to CSMA—they have also stayed the same. These new cybersecurity categories are not solutions but really architectures.
👍1
756665-top-strategic-techno-reskin-.pdf
285 KB
מגמות טכנולוגיה אסטרטגיות מובילות לשנת 2022: רשת אבטחת סייבר
https://www.gartner.com/en/doc/756665-cybersecurity-mesh
https://www.gartner.com/en/doc/756665-cybersecurity-mesh
👍1
קובצי Cookie לעומת LocalStorage
מבוא ל-cookie :
מה זה עוגיות? ובכן, זה לא עשוי להימצא במחסן החטיפים כשאתה משתוקק למשהו מתוק. למעשה, קובצי Cookie הם קבצים קטנים הממוקמים במחשב של משתמש. הם נועדו להחזיק כמות נדיבה של נתונים ספציפיים ללקוח ולאתר, וניתן לגשת אליהם על ידי שרת האינטרנט או מחשב הלקוח. הסיבה מאחורי זה היא לאפשר לשרת להעביר עמוד מותאם למשתמש מסוים, או שהדף עצמו יכול להכיל סקריפט כלשהו שיודע את הנתונים ב-cookie ולכן הוא מסוגל לשאת מידע מביקור אחד באתר לבא בתור
אז מה מכילה עוגיה? ובכן, כל קובץ Cookie הוא למעשה טבלת חיפוש קטנה המכילה זוגות של ערכי מפתח, נתונים. לאחר קריאת קובץ ה-cookie על ידי הקוד בשרת או במחשב הלקוח, ניתן לאחזר את הנתונים ולהשתמש בהם כדי להתאים אישית את דף האינטרנט.
עוגיות הן דרך נוחה למדי להעביר מידע מהפעלה אחת באתר לאחר, או בין הפעלות באתרים קשורים, מבלי להעמיס על מכונת שרת כמויות אדירות של אחסון נתונים. אם היינו מאחסנים נתונים בשרת מבלי להשתמש בקובצי Cookie אז יהיה קשה לאחזר מידע של משתמש מסוים מבלי לדרוש התחברות בכל ביקור באתר. לכן, ניתן פשוט להשתמש בעוגייה אם יש כמות גדולה של מידע לאחסון.
מבוא ל-localStorage :
היא דרך לאחסן נתונים במחשב הלקוח. הוא מאפשר שמירה של צמדי מפתח/ערך בדפדפן אינטרנט והוא מאחסן נתונים ללא תאריך תפוגה. ניתן לגשת ל-localStorage רק באמצעות JavaScript ו-HTML5. עם זאת, למשתמש יש את היכולת לנקות את נתוני הדפדפן/מטמון כדי למחוק את כל נתוני localStorage. ניתן לראות אחסון אינטרנט בצורה פשטנית כשיפור בקובצי Cookie, המספקים קיבולת אחסון גדולה בהרבה. הגודל הזמין הוא 5MBשזה יותר מקום לעבוד איתו מאשר עוגייה טיפוסית של 4KB. בנוסף עם localStorage, הנתונים לא נשלחים חזרה לשרת עבור כל בקשת, (HTML ,תמונות, JavaScript, CSS וכו') מה שמפחית את כמות התעבורה בין הלקוח לשרת. לבסוף, זה עובד על מדיניות זהה מקור, כך שהנתונים המאוחסנים יהיו זמינים רק באותו מקור.
הבדלים בין קובצי Cookie ל-localStorage :
קובצי Cookie ואחסון מקומי משרתים מטרות שונות. קובצי Cookie מיועדים בעיקר לקריאת צד השרת, בעוד שאחסון מקומי יכול להיקרא רק על ידי צד הלקוח. מלבד שמירת נתונים, הבדל טכני גדול הוא גודל הנתונים שאתה יכול לאחסן, וכפי שציינתי קודם לכן localStorage נותן לך יותר עם מה לעבוד.
לסיכום, השאלה כאשר עוסקים בשניים, צריך לשאול היא,האם באפליקציה שלך מי צריך את הנתונים האלה- הלקוח או השרת?
https://www.bbc.com/news/technology-57306802
מבוא ל-cookie :
מה זה עוגיות? ובכן, זה לא עשוי להימצא במחסן החטיפים כשאתה משתוקק למשהו מתוק. למעשה, קובצי Cookie הם קבצים קטנים הממוקמים במחשב של משתמש. הם נועדו להחזיק כמות נדיבה של נתונים ספציפיים ללקוח ולאתר, וניתן לגשת אליהם על ידי שרת האינטרנט או מחשב הלקוח. הסיבה מאחורי זה היא לאפשר לשרת להעביר עמוד מותאם למשתמש מסוים, או שהדף עצמו יכול להכיל סקריפט כלשהו שיודע את הנתונים ב-cookie ולכן הוא מסוגל לשאת מידע מביקור אחד באתר לבא בתור
אז מה מכילה עוגיה? ובכן, כל קובץ Cookie הוא למעשה טבלת חיפוש קטנה המכילה זוגות של ערכי מפתח, נתונים. לאחר קריאת קובץ ה-cookie על ידי הקוד בשרת או במחשב הלקוח, ניתן לאחזר את הנתונים ולהשתמש בהם כדי להתאים אישית את דף האינטרנט.
עוגיות הן דרך נוחה למדי להעביר מידע מהפעלה אחת באתר לאחר, או בין הפעלות באתרים קשורים, מבלי להעמיס על מכונת שרת כמויות אדירות של אחסון נתונים. אם היינו מאחסנים נתונים בשרת מבלי להשתמש בקובצי Cookie אז יהיה קשה לאחזר מידע של משתמש מסוים מבלי לדרוש התחברות בכל ביקור באתר. לכן, ניתן פשוט להשתמש בעוגייה אם יש כמות גדולה של מידע לאחסון.
מבוא ל-localStorage :
היא דרך לאחסן נתונים במחשב הלקוח. הוא מאפשר שמירה של צמדי מפתח/ערך בדפדפן אינטרנט והוא מאחסן נתונים ללא תאריך תפוגה. ניתן לגשת ל-localStorage רק באמצעות JavaScript ו-HTML5. עם זאת, למשתמש יש את היכולת לנקות את נתוני הדפדפן/מטמון כדי למחוק את כל נתוני localStorage. ניתן לראות אחסון אינטרנט בצורה פשטנית כשיפור בקובצי Cookie, המספקים קיבולת אחסון גדולה בהרבה. הגודל הזמין הוא 5MBשזה יותר מקום לעבוד איתו מאשר עוגייה טיפוסית של 4KB. בנוסף עם localStorage, הנתונים לא נשלחים חזרה לשרת עבור כל בקשת, (HTML ,תמונות, JavaScript, CSS וכו') מה שמפחית את כמות התעבורה בין הלקוח לשרת. לבסוף, זה עובד על מדיניות זהה מקור, כך שהנתונים המאוחסנים יהיו זמינים רק באותו מקור.
הבדלים בין קובצי Cookie ל-localStorage :
קובצי Cookie ואחסון מקומי משרתים מטרות שונות. קובצי Cookie מיועדים בעיקר לקריאת צד השרת, בעוד שאחסון מקומי יכול להיקרא רק על ידי צד הלקוח. מלבד שמירת נתונים, הבדל טכני גדול הוא גודל הנתונים שאתה יכול לאחסן, וכפי שציינתי קודם לכן localStorage נותן לך יותר עם מה לעבוד.
לסיכום, השאלה כאשר עוסקים בשניים, צריך לשאול היא,האם באפליקציה שלך מי צריך את הנתונים האלה- הלקוח או השרת?
https://www.bbc.com/news/technology-57306802
BBC News
Privacy group targets website 'cookie terror'
Campaigners lodge hundreds of complaints against sites they claim break cookie laws.
Microsoft :
מנפיקה תיקוני אבטחה לתיקון 64 פגיעויות חדשות שזוהו בכל מערך התוכנה שלה,
כולל פגיעות של 0-day שנוצלה באופן פעיל
https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug
https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
מנפיקה תיקוני אבטחה לתיקון 64 פגיעויות חדשות שזוהו בכל מערך התוכנה שלה,
כולל פגיעות של 0-day שנוצלה באופן פעיל
https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug
https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
Docs
Release notes for Microsoft Edge Security Updates
👍1
Exfil IN Ransomware OUT
תוכנת כופר היא האיום דה פקטו שארגונים התמודדו איתו במהלך השנים האחרונות.
התוקפים הרוויחו כסף קל על ידי ניצול המחיר הגבוה של מטבעות קריפטוגרפיים וחוסר ההגנה של הקורבנות.
מצב על מדיניות אבטחה גרועה, גיבויים שלא נבדקו, נוהלי ניהול תיקונים לא מעודכנים וכו'.
הביא לצמיחה קלה של סחיטת תוכנות כופר, פשע שמבצעים מספר רב של תוקפים ברחבי העולם.
אבל משהו השתנה. הערך של הקריפטו ירד, ובנוסף ארגונים שהרכיבו הגנה אדירה מפני תוכנות כופר.
התוקפים חיפשו הזדמנויות נוספות - ומצאו אחת. זה נקרא הברחת מידע (data exfiltration) או בקיצור exfil סוג של ריגול שגורם לכאבי ראש בארגונים.
בואו נסביר :
האיום לחשוף מידע סודי
דליפת מידע הופכת נפוצה מאוד. מוקדם יותר השנה, תקריות ב-Nvidia מיקרוסופט ומספר חברות אחרות הדגישו עד כמה הבעיה היא גדולה - וכיצד, עבור ארגונים מסוימים, זה עשוי להיות איום שהוא אפילו יותר גדול מתוכנת כופר.
אחת מיצרניות השבבים הגדולות בעולם Nvidia, למשל, הסתבכה בחילופי דברים מורכבים עם קבוצת ההאקרים $Lapsus והיתה צריכה להתמודד עם החשיפה הפומבית של קוד המקור לטכנולוגיה שלא יסולא בפז, כאשר $Lapsus הדליף את קוד המקור למחקר Deep Learning Super Sampling (DLSS) של החברה.
כשמדובר בסחיטה באיומים, התוקפים לא נכנסים במטרה העיקרית להצפין מערכת ולגרום להפרעה כמו שתוקף תוכנת כופר עושה. אם כי, כן, תוקפים עשויים עדיין להשתמש בהצפנה כדי לכסות את עקבותיהם.
במקום זאת, תוקפים במשימת הברחת מידע יעבירו כמויות עצומות של נתונים קנייניים למערכות שהם שולטים בהן. והנה המשחק: התוקפים ימשיכו לסחוט את הקורבן, מאיימים לשחרר את המידע הסודי הזה לטבע או למכור אותו לצדדים שלישיים חסרי מצפון.
תוכנת כופר מזיקה אבל Exfil מזיק יותר עבור קורבנות, זה איום רציני מכיוון ששחקני איום יכולים לרכוש את המפתחות לכספת. מתחרים יכולים להשתמש בסודות מסחריים כדי לייצר עותקים של מוצרים או לסייע במאמצי המחקר והפיתוח שלהם או מידע שעלול להוביל לאסון יחסי ציבור יקר.
כך או כך - חשיפה ציבורית של מידע עלולה להיות איום גדול יותר מתוכנת כופר מכיוון שניתן לפתור את תוכנת כופר על ידי תשלום (או על ידי אחזור גיבויים). מידע שדלף זה משהו שאולי לא ניתן לתיקון. קל להבין מדוע תוקפים יכולים למצוא סחיטה על סמך דליפת מידע כמטרה אטרקטיבית אפילו יותר מאשר תוכנות כופר בלבד.
https://thehackernews.com/2022/08/the-rise-of-data-exfiltration-and-why.html
תוכנת כופר היא האיום דה פקטו שארגונים התמודדו איתו במהלך השנים האחרונות.
התוקפים הרוויחו כסף קל על ידי ניצול המחיר הגבוה של מטבעות קריפטוגרפיים וחוסר ההגנה של הקורבנות.
מצב על מדיניות אבטחה גרועה, גיבויים שלא נבדקו, נוהלי ניהול תיקונים לא מעודכנים וכו'.
הביא לצמיחה קלה של סחיטת תוכנות כופר, פשע שמבצעים מספר רב של תוקפים ברחבי העולם.
אבל משהו השתנה. הערך של הקריפטו ירד, ובנוסף ארגונים שהרכיבו הגנה אדירה מפני תוכנות כופר.
התוקפים חיפשו הזדמנויות נוספות - ומצאו אחת. זה נקרא הברחת מידע (data exfiltration) או בקיצור exfil סוג של ריגול שגורם לכאבי ראש בארגונים.
בואו נסביר :
האיום לחשוף מידע סודי
דליפת מידע הופכת נפוצה מאוד. מוקדם יותר השנה, תקריות ב-Nvidia מיקרוסופט ומספר חברות אחרות הדגישו עד כמה הבעיה היא גדולה - וכיצד, עבור ארגונים מסוימים, זה עשוי להיות איום שהוא אפילו יותר גדול מתוכנת כופר.
אחת מיצרניות השבבים הגדולות בעולם Nvidia, למשל, הסתבכה בחילופי דברים מורכבים עם קבוצת ההאקרים $Lapsus והיתה צריכה להתמודד עם החשיפה הפומבית של קוד המקור לטכנולוגיה שלא יסולא בפז, כאשר $Lapsus הדליף את קוד המקור למחקר Deep Learning Super Sampling (DLSS) של החברה.
כשמדובר בסחיטה באיומים, התוקפים לא נכנסים במטרה העיקרית להצפין מערכת ולגרום להפרעה כמו שתוקף תוכנת כופר עושה. אם כי, כן, תוקפים עשויים עדיין להשתמש בהצפנה כדי לכסות את עקבותיהם.
במקום זאת, תוקפים במשימת הברחת מידע יעבירו כמויות עצומות של נתונים קנייניים למערכות שהם שולטים בהן. והנה המשחק: התוקפים ימשיכו לסחוט את הקורבן, מאיימים לשחרר את המידע הסודי הזה לטבע או למכור אותו לצדדים שלישיים חסרי מצפון.
תוכנת כופר מזיקה אבל Exfil מזיק יותר עבור קורבנות, זה איום רציני מכיוון ששחקני איום יכולים לרכוש את המפתחות לכספת. מתחרים יכולים להשתמש בסודות מסחריים כדי לייצר עותקים של מוצרים או לסייע במאמצי המחקר והפיתוח שלהם או מידע שעלול להוביל לאסון יחסי ציבור יקר.
כך או כך - חשיפה ציבורית של מידע עלולה להיות איום גדול יותר מתוכנת כופר מכיוון שניתן לפתור את תוכנת כופר על ידי תשלום (או על ידי אחזור גיבויים). מידע שדלף זה משהו שאולי לא ניתן לתיקון. קל להבין מדוע תוקפים יכולים למצוא סחיטה על סמך דליפת מידע כמטרה אטרקטיבית אפילו יותר מאשר תוכנות כופר בלבד.
https://thehackernews.com/2022/08/the-rise-of-data-exfiltration-and-why.html
כיצד לשפר את הזמן לזיהוי Ransom ברשת :
זיהוי איומים ותגובה לאירועים צריכה להתבצע בצורה זריזה ומהירה כדי להקטין את גודל הפגיעה
מודד את הזמן שחלף מפריצה לזיהוי MTTD (Mean time to detect) - כמה זמן הפגיעות, החדירה או צורה כלשהי של פעילות זדונית - קיימת ברשת לפני החשיפה.
מודד את הזמן שלוקח לכל גוף אחראי לטפל באירוע בתחום שלו MTTI (mean time to identify)
כיצד ניתן לשפר את הMTTD :
1.ניסיון בטיפול בתקריות אלו הוא מה שנותן לאנשי האבטחה את הביטחון והיכולת לקצר את זמני התגובה. לאחר שהם התמודדו עם תקריות, הם יידעו מה לעשות כדי ליישם את הידע הנלמד שלהם.
2.הרשת מלאה בתוכנות זדוניות. לדעת איך זה מתנהג ומה החולשות שתוכנות יכולות לנצל לפי תחומי אחריות
3.עבודה כצוות מורידה את MTTD, לאחר שחברי הצוות יתאמנו בעבודה משותפת, עם תחומי אחריות הם יידעו מה לעשות ברגע האמת.
אל תחכה לתקרית אמיתי כדי לבדוק את הצוות שלך או ליישם דברים, התחל להתכונן באמצעות סימולציות חיות עכשיו.
שום דבר לא יוכל להכין ארגון לכל תרחיש אפשרי. עם זאת, אם אתה מתאמן למספר מצבים, הצוות שלך יוכל לקבל החלטות מהר יותר, ולהגיב כראוי כאשר מתרחש תקרית בלתי צפויה. כל אלה יקטין את ה-MTTD.
https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
זיהוי איומים ותגובה לאירועים צריכה להתבצע בצורה זריזה ומהירה כדי להקטין את גודל הפגיעה
מודד את הזמן שחלף מפריצה לזיהוי MTTD (Mean time to detect) - כמה זמן הפגיעות, החדירה או צורה כלשהי של פעילות זדונית - קיימת ברשת לפני החשיפה.
מודד את הזמן שלוקח לכל גוף אחראי לטפל באירוע בתחום שלו MTTI (mean time to identify)
כיצד ניתן לשפר את הMTTD :
1.ניסיון בטיפול בתקריות אלו הוא מה שנותן לאנשי האבטחה את הביטחון והיכולת לקצר את זמני התגובה. לאחר שהם התמודדו עם תקריות, הם יידעו מה לעשות כדי ליישם את הידע הנלמד שלהם.
2.הרשת מלאה בתוכנות זדוניות. לדעת איך זה מתנהג ומה החולשות שתוכנות יכולות לנצל לפי תחומי אחריות
3.עבודה כצוות מורידה את MTTD, לאחר שחברי הצוות יתאמנו בעבודה משותפת, עם תחומי אחריות הם יידעו מה לעשות ברגע האמת.
אל תחכה לתקרית אמיתי כדי לבדוק את הצוות שלך או ליישם דברים, התחל להתכונן באמצעות סימולציות חיות עכשיו.
שום דבר לא יוכל להכין ארגון לכל תרחיש אפשרי. עם זאת, אם אתה מתאמן למספר מצבים, הצוות שלך יוכל לקבל החלטות מהר יותר, ולהגיב כראוי כאשר מתרחש תקרית בלתי צפויה. כל אלה יקטין את ה-MTTD.
https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
CSO
Ransomware explained: How it works and how to remove it
Ransomware is a form of malware that encrypts a victim's files. The attacker then demands a ransom from the victim to restore access to the data upon payment.
🔥2
גיימרים שמחפשים צ'יטים וקראקים למשחקים בYouTube תזהרו :
האקרים משיקים תוכנה זדונית כדי לתקוף גיימרים דרך YouTube
אם אתה גיימר ומחפש צ'יטים וקראקים למשחקים אז אתה צריך להיות מודע לכך ש-YouTube הפכה למטרה להדרכות וידאו זדוניות שמכוונות לאנשים שמחפשים צ'יטים ביוטיוב.
במטרה להפיץ את החבילה הזדונית עוד יותר, שחקני האיומים מפרסמים את ההדרכות ההונאה הללו עם צ'יטים מזויפים וקראקים למשחקי וידאו פופולריים. הם מפנים את הגיימרים לאתרים עם החבילות הנגועות שהכינו
יעדי משחקים פופולריים:
APB Reloaded
CrossFire
DayZ
Dying Light 2
F1® 22
Farming Simulator
Farthest Frontier
FIFA 22
Final Fantasy XIV
Forza
Lego Star Wars
Osu!
Point Blank
Project Zomboid
Rust
Sniper Elite
Spider-Man
Stray
Thymesia
VRChat
Walken
מידע מגוון שניתן לגנוב על ידי RedLine מדפדפן האינטרנט של הקורבן, כולל:
עוגיות
סיסמאות חשבון
פרטי כרטיס אשראי/חיוב
גישה לשיחות
ארנקי מטבעות קריפטוגרפיים
יחד עם מספר קבצים זדוניים, ארכיון RAR מכיל גם כורה המנצל את הכרטיס הגרפי של הקורבן כדי לכרות מטבעות קריפטוגרפיים.
https://gbhackers.com/hackers-launching-self-spreading-malware-to-attacks-gamers-via-youtube/
האקרים משיקים תוכנה זדונית כדי לתקוף גיימרים דרך YouTube
אם אתה גיימר ומחפש צ'יטים וקראקים למשחקים אז אתה צריך להיות מודע לכך ש-YouTube הפכה למטרה להדרכות וידאו זדוניות שמכוונות לאנשים שמחפשים צ'יטים ביוטיוב.
במטרה להפיץ את החבילה הזדונית עוד יותר, שחקני האיומים מפרסמים את ההדרכות ההונאה הללו עם צ'יטים מזויפים וקראקים למשחקי וידאו פופולריים. הם מפנים את הגיימרים לאתרים עם החבילות הנגועות שהכינו
יעדי משחקים פופולריים:
APB Reloaded
CrossFire
DayZ
Dying Light 2
F1® 22
Farming Simulator
Farthest Frontier
FIFA 22
Final Fantasy XIV
Forza
Lego Star Wars
Osu!
Point Blank
Project Zomboid
Rust
Sniper Elite
Spider-Man
Stray
Thymesia
VRChat
Walken
מידע מגוון שניתן לגנוב על ידי RedLine מדפדפן האינטרנט של הקורבן, כולל:
עוגיות
סיסמאות חשבון
פרטי כרטיס אשראי/חיוב
גישה לשיחות
ארנקי מטבעות קריפטוגרפיים
יחד עם מספר קבצים זדוניים, ארכיון RAR מכיל גם כורה המנצל את הכרטיס הגרפי של הקורבן כדי לכרות מטבעות קריפטוגרפיים.
https://gbhackers.com/hackers-launching-self-spreading-malware-to-attacks-gamers-via-youtube/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Hackers Launching Self-Spreading Malware To Attacks Gamers via YouTube
YouTube has become a target for malicious video tutorials that target people looking for cheats on YouTube. read more here.
👍1😈1
מזה ICS ??
מערכות ICS הן השם הכולל למערכות המיועדות לתפעול שליטה ובקרה של ציוד ומכונות בקווי ייצור, מתקנים להפקת נפט וגז, מערכות לשליטה על תנועה (רמזורים) וכד'.
הפוטנציאל הגלום בחדירה זדונית למערכת ICS הוא מגוון, משום שמערכות אלו הן היחידות שבהן לתקיפת סייבר עלולה להיות השפעה ישירה בעולם הפיזי.
אנשי אבטחת המידע של קספרסקי מפרסמים דוח על רבעון ראשון של 2022
מקורות איום:
14.4% – אחוז מחשבי ICS שבהם נחסמו קבצים מצורפים דוא"ל זדוני וקישורי דיוג במגזר האוטומציה של בניין. זה פי 2 מהממוצע העולמי של 7%. אנשי מקצוע במגזר האוטומציה של מבנים משתמשים באופן פעיל במשאבי אינטרנט ובאימייל ויכולים לשמש את התוקפים כ"נקודות כניסה" לתשתית של ארגון היעד.
10.4% – אחוז מחשבי ICS שעליהם נחסמו איומים בעת חיבור מדיה נשלפת בתחום הנפט והגז, שהיה פי 3 מהממוצע העולמי של 3.5%.
1.2% – אחוז מחשבי ICS בתעשיית הנפט והגז בהם נחסמה תוכנות זדוניות בתיקיות רשת, שהוא פי 2 יותר מהממוצע העולמי של 0.6%.
https://ics-cert.kaspersky.com/publications/reports/2022/09/08/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2022/
מערכות ICS הן השם הכולל למערכות המיועדות לתפעול שליטה ובקרה של ציוד ומכונות בקווי ייצור, מתקנים להפקת נפט וגז, מערכות לשליטה על תנועה (רמזורים) וכד'.
הפוטנציאל הגלום בחדירה זדונית למערכת ICS הוא מגוון, משום שמערכות אלו הן היחידות שבהן לתקיפת סייבר עלולה להיות השפעה ישירה בעולם הפיזי.
אנשי אבטחת המידע של קספרסקי מפרסמים דוח על רבעון ראשון של 2022
מקורות איום:
14.4% – אחוז מחשבי ICS שבהם נחסמו קבצים מצורפים דוא"ל זדוני וקישורי דיוג במגזר האוטומציה של בניין. זה פי 2 מהממוצע העולמי של 7%. אנשי מקצוע במגזר האוטומציה של מבנים משתמשים באופן פעיל במשאבי אינטרנט ובאימייל ויכולים לשמש את התוקפים כ"נקודות כניסה" לתשתית של ארגון היעד.
10.4% – אחוז מחשבי ICS שעליהם נחסמו איומים בעת חיבור מדיה נשלפת בתחום הנפט והגז, שהיה פי 3 מהממוצע העולמי של 3.5%.
1.2% – אחוז מחשבי ICS בתעשיית הנפט והגז בהם נחסמה תוכנות זדוניות בתיקיות רשת, שהוא פי 2 יותר מהממוצע העולמי של 0.6%.
https://ics-cert.kaspersky.com/publications/reports/2022/09/08/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2022/
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
Threat landscape for industrial automation systems. Statistics for H1 2022 | Kaspersky ICS CERT
The statistical data presented in the report was received from ICS computers protected by Kaspersky products that Kaspersky ICS CERT categorizes as part of the industrial infrastructure at organizations.
🏆2
חברת אבטחת המידע Bitdefender ו Europol משחררים מפענח בחינם עבור LockerGoga Ransomware
מפענח עבור תוכנת הכופר LockerGoga הפך לזמין על ידי חברת אבטחת הסייבר הרומנית Bitdefender בשיתוף עםEuropol , פרויקט No More Ransom ורשויות אכיפת החוק בציריך.
תוכנת הכופרה LockerGoga זוהתה בינואר 2019, משכה כותרות על התקפותיה נגד ענקית האלומיניום הנורבגית Norsk Hydro . על פי הדיווחים, זה הדביק יותר מ-1,800 קורבנות ב-71 מדינות, וגרם לנזקים של 104 מיליון דולר.
פעולת הכופר ספגה מכה משמעותית באוקטובר 2021 כאשר 12 אנשים בקשר עם הקבוצה, לצד MegaCortex ו-Dharma, נתפסו כחלק ממאמץ אכיפת חוק בינלאומי.
במעצרים, שהתרחשו באוקראינה ובשווייץ, נתפסו גם מזומנים בשווי 52,000 דולר, חמישה רכבי יוקרה ומספר מכשירים אלקטרוניים. אחד הנאשמים נמצא כעת במעצר לפני משפט בציריך.
משטרת קנטונאל ציריך אמרה עוד כי בילתה את החודשים האחרונים בבחינת התקני אחסון הנתונים שהוחרמו מהאדם במהלך המעצרים ב-2021 וזיהתה מספר מפתחות פרטיים ששימשו לנעילת הנתונים.
גם פענוח עבור MegaCortex צפוי להתפרסם בחודשים הקרובים. לצדדים שנפגעו מומלץ גם להגיש תלונה פלילית במדינות מולדתם.
"מפתחות אלו מאפשרים לחברות ולמוסדות הנפגעים לשחזר את הנתונים שהוצפנו בעבר באמצעות תוכנות הזדוניות LockerGoga או MegaCortex", נמסר מהסוכנות.
כהמלצות, מחלקת המשטרה קורא לארגונים לטפל בצורה מאובטחת באי-מיילים, לחסום קבצים מצורפים לדוא"ל חשודים, ליצור גיבויים רגילים, לאכוף אימות דו-שלבי ולשמור על מערכות IT מעודכנות.
https://thehackernews.com/2022/09/europol-and-bitdefender-release-free.html
מפענח עבור תוכנת הכופר LockerGoga הפך לזמין על ידי חברת אבטחת הסייבר הרומנית Bitdefender בשיתוף עםEuropol , פרויקט No More Ransom ורשויות אכיפת החוק בציריך.
תוכנת הכופרה LockerGoga זוהתה בינואר 2019, משכה כותרות על התקפותיה נגד ענקית האלומיניום הנורבגית Norsk Hydro . על פי הדיווחים, זה הדביק יותר מ-1,800 קורבנות ב-71 מדינות, וגרם לנזקים של 104 מיליון דולר.
פעולת הכופר ספגה מכה משמעותית באוקטובר 2021 כאשר 12 אנשים בקשר עם הקבוצה, לצד MegaCortex ו-Dharma, נתפסו כחלק ממאמץ אכיפת חוק בינלאומי.
במעצרים, שהתרחשו באוקראינה ובשווייץ, נתפסו גם מזומנים בשווי 52,000 דולר, חמישה רכבי יוקרה ומספר מכשירים אלקטרוניים. אחד הנאשמים נמצא כעת במעצר לפני משפט בציריך.
משטרת קנטונאל ציריך אמרה עוד כי בילתה את החודשים האחרונים בבחינת התקני אחסון הנתונים שהוחרמו מהאדם במהלך המעצרים ב-2021 וזיהתה מספר מפתחות פרטיים ששימשו לנעילת הנתונים.
גם פענוח עבור MegaCortex צפוי להתפרסם בחודשים הקרובים. לצדדים שנפגעו מומלץ גם להגיש תלונה פלילית במדינות מולדתם.
"מפתחות אלו מאפשרים לחברות ולמוסדות הנפגעים לשחזר את הנתונים שהוצפנו בעבר באמצעות תוכנות הזדוניות LockerGoga או MegaCortex", נמסר מהסוכנות.
כהמלצות, מחלקת המשטרה קורא לארגונים לטפל בצורה מאובטחת באי-מיילים, לחסום קבצים מצורפים לדוא"ל חשודים, ליצור גיבויים רגילים, לאכוף אימות דו-שלבי ולשמור על מערכות IT מעודכנות.
https://thehackernews.com/2022/09/europol-and-bitdefender-release-free.html
👏1
איך הצליחו לפרוץ למיקרוסופט, סיסקו, אובר ?
האקרים משתמשים בתדירות גבוהה יותר בהתקפות הנדסה חברתית כדי לקבל גישה לאישורי תאגיד ולפרוץ רשתות גדולות.
אחד המרכיבים של התקפות אלה שהופך פופולרי יותר עם עלייתו של אימות דו-שלבי הוא טכניקה הנקראת MFA Fatigue.
כאשר פורצים רשתות ארגוניות, האקרים משתמשים בדרך כלל באישורי התחברות גנובים של עובדים כדי לגשת ל-VPN ולרשת הפנימית.
המציאות היא שקבלת אישורים תאגידיים אינה קשה במיוחד עבור אקרים, שיכולים להשתמש בשיטות שונות, כולל התקפות דיוג, תוכנות זדוניות, אישורים שדלפו מפריצות נתונים, או רכישתם בשווקי הdarknet.
בשל כך, ארגונים אימצו יותר ויותר אימות דו-שלבי כדי למנוע ממשתמשים להיכנס לרשת מבלי להזין תחילה צורה נוספת של אימות. מידע נוסף זה יכול להיות קוד גישה חד פעמי, הנחיה המבקשת ממך לאמת את ניסיון הכניסה, או שימוש במפתחות אבטחה של חומרה.
בעוד שאקרים יכולים להשתמש במספר שיטות כדי לעקוף אימות דו-שלבי, רובן סובבות סביב גניבת קובצי Cookie באמצעות תוכנות זדוניות או מסגרות של התקפת פישינג.
ץעם זאת, טכניקת הנדסה חברתית הנקראת 'MFA Fatigue', או 'MFA push spam', פופולריות מאוד בקרב האקרים מכיוון שהיא אינה דורשת תוכנה זדונית או תשתית דיוג ומוצלחת מאוד בהתקפות.
מהי MFA-Fatigue ואיך זה קשור לעייפות?
כאשר אימות דו-שלבי של ארגון מוגדר להשתמש בהודעות 'push', תוצג הנחיה במכשיר הנייד של עובד כאשר מישהו ינסה להיכנס עם האישורים שלו. הודעות דחיפה אלו של MFA מבקשות מהמשתמש לאמת את ניסיון הכניסה.
מתקפת MFA Fatigue היא כאשר התוקף מריץ סקריפט שמנסה להיכנס עם אישורים גנובים שוב ושוב, וגורם לזרם אינסופי של בקשות דחיפה של MFA להישלח למכשיר הנייד של בעל החשבון.
המטרה היא לשמור על כך, יום ולילה, לשבור את עמדת אבטחת הסייבר של היעד ולגרום לתחושת "עייפות" לגבי בקשות ה-MFA הללו.
במקרים רבים, התוקפים ידחפו הודעות חוזרות ונשנות של MFA ואז יצרו קשר עם היעד באמצעות דואר אלקטרוני, פלטפורמות הודעות או בטלפון, תוך התחזות לתמיכה ב-IT כדי לשכנע את המשתמש לקבל את ההנחיה של MFA.
בסופו של דבר, היעדים כל כך מוצפים שהם לוחצים בטעות על כפתור 'אשר' או פשוט מקבלים את בקשת ה-MFA כדי לסיים את הזרם האינסופי של התראות שהם קיבלו בטלפון שלהם.
סוג זה של טכניקת הנדסה חברתי שהוכח כמוצלח מאוד על ידי גורמי האיום של $Lapsus ו-Yanluowang כאשר הם פורצים ארגונים גדולים ומוכרים, כמו מיקרוסופט, סיסקו ועכשיו אובר.
לכן, אם אתה עובד שהוא יעד להתקפת MFA עייפות/דואר זבל, ואתה מקבל גל אינסופי של הודעות דחיפה של MFA, אל תיבהל, אל תאשר את בקשת ה-MFA, ואל תדבר עם אלמונים הטוענים לכך שהם חלק מהארגון שלך.
במקום זאת, צור קשר עם מחלקת ה-IT והסביר שאתה מאמין שהחשבון שלך נפרץ והוא מותקף.
עליך גם לשנות את הסיסמה לחשבונך במידת האפשר כדי למנוע מהתוקף להמשיך להיכנס וליצור הודעות דחיפה נוספות של MFA.
ברגע שהסיסמה שלך תשתנה, התוקף לא יוכל עוד להנפיק דואר זבל של MFA, מה שנותן לך ולמנהלים שלך מקום לנשום בזמן שהפשרה נחקרת.
ניתן לראות הדגמה של מתקפת MFA Fatigue :
https://www.youtube.com/watch?v=auGdUGIqESU
האקרים משתמשים בתדירות גבוהה יותר בהתקפות הנדסה חברתית כדי לקבל גישה לאישורי תאגיד ולפרוץ רשתות גדולות.
אחד המרכיבים של התקפות אלה שהופך פופולרי יותר עם עלייתו של אימות דו-שלבי הוא טכניקה הנקראת MFA Fatigue.
כאשר פורצים רשתות ארגוניות, האקרים משתמשים בדרך כלל באישורי התחברות גנובים של עובדים כדי לגשת ל-VPN ולרשת הפנימית.
המציאות היא שקבלת אישורים תאגידיים אינה קשה במיוחד עבור אקרים, שיכולים להשתמש בשיטות שונות, כולל התקפות דיוג, תוכנות זדוניות, אישורים שדלפו מפריצות נתונים, או רכישתם בשווקי הdarknet.
בשל כך, ארגונים אימצו יותר ויותר אימות דו-שלבי כדי למנוע ממשתמשים להיכנס לרשת מבלי להזין תחילה צורה נוספת של אימות. מידע נוסף זה יכול להיות קוד גישה חד פעמי, הנחיה המבקשת ממך לאמת את ניסיון הכניסה, או שימוש במפתחות אבטחה של חומרה.
בעוד שאקרים יכולים להשתמש במספר שיטות כדי לעקוף אימות דו-שלבי, רובן סובבות סביב גניבת קובצי Cookie באמצעות תוכנות זדוניות או מסגרות של התקפת פישינג.
ץעם זאת, טכניקת הנדסה חברתית הנקראת 'MFA Fatigue', או 'MFA push spam', פופולריות מאוד בקרב האקרים מכיוון שהיא אינה דורשת תוכנה זדונית או תשתית דיוג ומוצלחת מאוד בהתקפות.
מהי MFA-Fatigue ואיך זה קשור לעייפות?
כאשר אימות דו-שלבי של ארגון מוגדר להשתמש בהודעות 'push', תוצג הנחיה במכשיר הנייד של עובד כאשר מישהו ינסה להיכנס עם האישורים שלו. הודעות דחיפה אלו של MFA מבקשות מהמשתמש לאמת את ניסיון הכניסה.
מתקפת MFA Fatigue היא כאשר התוקף מריץ סקריפט שמנסה להיכנס עם אישורים גנובים שוב ושוב, וגורם לזרם אינסופי של בקשות דחיפה של MFA להישלח למכשיר הנייד של בעל החשבון.
המטרה היא לשמור על כך, יום ולילה, לשבור את עמדת אבטחת הסייבר של היעד ולגרום לתחושת "עייפות" לגבי בקשות ה-MFA הללו.
במקרים רבים, התוקפים ידחפו הודעות חוזרות ונשנות של MFA ואז יצרו קשר עם היעד באמצעות דואר אלקטרוני, פלטפורמות הודעות או בטלפון, תוך התחזות לתמיכה ב-IT כדי לשכנע את המשתמש לקבל את ההנחיה של MFA.
בסופו של דבר, היעדים כל כך מוצפים שהם לוחצים בטעות על כפתור 'אשר' או פשוט מקבלים את בקשת ה-MFA כדי לסיים את הזרם האינסופי של התראות שהם קיבלו בטלפון שלהם.
סוג זה של טכניקת הנדסה חברתי שהוכח כמוצלח מאוד על ידי גורמי האיום של $Lapsus ו-Yanluowang כאשר הם פורצים ארגונים גדולים ומוכרים, כמו מיקרוסופט, סיסקו ועכשיו אובר.
לכן, אם אתה עובד שהוא יעד להתקפת MFA עייפות/דואר זבל, ואתה מקבל גל אינסופי של הודעות דחיפה של MFA, אל תיבהל, אל תאשר את בקשת ה-MFA, ואל תדבר עם אלמונים הטוענים לכך שהם חלק מהארגון שלך.
במקום זאת, צור קשר עם מחלקת ה-IT והסביר שאתה מאמין שהחשבון שלך נפרץ והוא מותקף.
עליך גם לשנות את הסיסמה לחשבונך במידת האפשר כדי למנוע מהתוקף להמשיך להיכנס וליצור הודעות דחיפה נוספות של MFA.
ברגע שהסיסמה שלך תשתנה, התוקף לא יוכל עוד להנפיק דואר זבל של MFA, מה שנותן לך ולמנהלים שלך מקום לנשום בזמן שהפשרה נחקרת.
ניתן לראות הדגמה של מתקפת MFA Fatigue :
https://www.youtube.com/watch?v=auGdUGIqESU
YouTube
MFA Spamming Demonstration | Push Notification Fatigue
MFA Spamming Demonstration | Push Notification Fatigue
In this video we demonstrate MFA spamming attack and push notification fatigue.
___________________________________________________________________________
If you require any more assistance, feel free…
In this video we demonstrate MFA spamming attack and push notification fatigue.
___________________________________________________________________________
If you require any more assistance, feel free…
🔥2👏1
איומי סייבר הפכו לחלק בלתי נפרד מניהול הפעילות העסקית. אפילו ארגונים שעדיין לא התמודדו עם ההשפעות של התקפות סייבר יכולים להפוך בכל יום לקורבנות של פריצה לשרשרת אספקת תוכנה או חומרה, התקפות כופר.
עלייתם של גורמי איום ממדינות שממומנים היטב מסוגלים לגרום הרס לארגונים במגזר הציבורי והפרטי
הגיע הזמן לחשוב מחדש על האופן שבו אנו מאבטחים את המערכות והרשתות שלנו מעבר להוספת שכבות מורכבות יותר של תשתיות IT ותשתיות אבטחה - הגנה קולקטיבית !!
מהי הגנה קולקטיבית?
הגנה קולקטיבית היא אסטרטגיית אבטחת סייבר שיתופית המושגת באמצעות שיתוף מידע ותגובת איומים מתואמת בין ארגונים, הן פנימית והן חיצונית, ובין תעשיות שונות.
הגנה קולקטיבית מספקת נקודת מבט חדשה לבניית חוסן סייבר לכל הארגונים ללא תלות בקנה המידה שלהם, או במיקומם הגיאוגרפי.
https://www.spiceworks.com/it-security/cyber-risk-management/guest-article/stopping-the-next-wave-of-cyberattacks/
עלייתם של גורמי איום ממדינות שממומנים היטב מסוגלים לגרום הרס לארגונים במגזר הציבורי והפרטי
הגיע הזמן לחשוב מחדש על האופן שבו אנו מאבטחים את המערכות והרשתות שלנו מעבר להוספת שכבות מורכבות יותר של תשתיות IT ותשתיות אבטחה - הגנה קולקטיבית !!
מהי הגנה קולקטיבית?
הגנה קולקטיבית היא אסטרטגיית אבטחת סייבר שיתופית המושגת באמצעות שיתוף מידע ותגובת איומים מתואמת בין ארגונים, הן פנימית והן חיצונית, ובין תעשיות שונות.
הגנה קולקטיבית מספקת נקודת מבט חדשה לבניית חוסן סייבר לכל הארגונים ללא תלות בקנה המידה שלהם, או במיקומם הגיאוגרפי.
https://www.spiceworks.com/it-security/cyber-risk-management/guest-article/stopping-the-next-wave-of-cyberattacks/
Spiceworks
Stopping the Next Wave of Cyberattacks with Collective Defense
Gary C. Tate, regional VP of APJ, Cyware, shares why it’s time to rethink cybersecurity and create a network of collective defense to shield against evolving cyber threats.
🔥2
מדריך לעצירת פשעי סייבר :
התקפות סייבר מסכנות את כולם על ידי פגיעה בנתונים שמנהלים את העולם ועלות לחברות מיליוני דולרים.
תוכנת כופר היא איום הסייבר המשמעותי ביותר שעמו מתמודדים ארגונים פרטיים וממשלתיים.
ארגונים אלה מנהלים נתונים חיוניים, החל משירותי בריאות דרך חינוך ועד לתשתיות. פושעי סייבר הנגישים לנתונים האלה ומחזיקים אותם עבור כופר מאיימים על הפעילויות היומיומיות שלנו ואולי על חיינו.
המפתח לצמצום האיום הזה הוא מניעה, תגובה והתאוששות.
שהתקפות תוכנות כופר פגעו ב-77 ממשלות וסוכנויות מקומיות, שיבשו את הלמידה ביותר מ1000 בתי ספר ופגעו ב-1,200 אתרים רפואיים ב-2021.
הסוכנות לאבטחת סייבר ותשתיות (CISA) דיווחה על תקריות של תוכנות כופר נגד 14 מתוך 16 מגזרי התשתית הקריטיים בארה"ב.
תוכנת כופר תעלה לקורבנותיה בסביבות 265 מיליארד דולר בשנה עד 2031, על פי תחזיות של Cybersecurity Ventures.
בכל פעם שארגון משלם כופר, הוא מחזק את פושעי הרשת. היערכות לשחזור נתונים במקרה של תקיפה מונעת את הצורך בתשלומים ומסירה את התמריץ הכספי מההאקרים.
ארגונים יכולים לנקוט בצעדים הבאים כדי לסייע במניעת התקיפה הבאה:
1.התקנת עדכוני תוכנה קבועים.
2.דורש אימות דו-שלבי.
3.ניהול מכשירים המתחברים לרשת
4.הגבלת גישה לנתונים והקשחת הרשאות
5.ניטור מערכות.
6.הכשרת עובדים - מחקר של אוניברסיטת סטנפורד מצא שטעויות של עובדים גורמות ל-88% מהפרצות למידע.
להקדיש זמן כדי ללמד את הצוות שלך על דיוג ואיומי אבטחה אחרים וליישם שיטות עבודה מומלצות כדי למנוע אותם.
אחרי שייסמנו את הכל האםאנחנו מוכנים להגיב להתקפה ?
כדי לעצור את פשעי הסייבר, ארגונים צריכים להתמקד בשיטות אילו ולהימנע מתשלום כופר.
כולנו במאבק הזה ביחד. הבטחה שאתה יכול לשחזר את הנתונים שלך מבלי לשלם כופר חוסכת לך זמן וכסף משמעותיים ומסירה את התמריץ לפושעים להמשיך בהתקפות שלהם.
https://pimages.toolbox.com/300x169/c6/71/85d51f734f8f98abad8bb7991f0c/nsa-opts-for-open-source-sleuthing-of-cyber-threats.jpg
התקפות סייבר מסכנות את כולם על ידי פגיעה בנתונים שמנהלים את העולם ועלות לחברות מיליוני דולרים.
תוכנת כופר היא איום הסייבר המשמעותי ביותר שעמו מתמודדים ארגונים פרטיים וממשלתיים.
ארגונים אלה מנהלים נתונים חיוניים, החל משירותי בריאות דרך חינוך ועד לתשתיות. פושעי סייבר הנגישים לנתונים האלה ומחזיקים אותם עבור כופר מאיימים על הפעילויות היומיומיות שלנו ואולי על חיינו.
המפתח לצמצום האיום הזה הוא מניעה, תגובה והתאוששות.
שהתקפות תוכנות כופר פגעו ב-77 ממשלות וסוכנויות מקומיות, שיבשו את הלמידה ביותר מ1000 בתי ספר ופגעו ב-1,200 אתרים רפואיים ב-2021.
הסוכנות לאבטחת סייבר ותשתיות (CISA) דיווחה על תקריות של תוכנות כופר נגד 14 מתוך 16 מגזרי התשתית הקריטיים בארה"ב.
תוכנת כופר תעלה לקורבנותיה בסביבות 265 מיליארד דולר בשנה עד 2031, על פי תחזיות של Cybersecurity Ventures.
בכל פעם שארגון משלם כופר, הוא מחזק את פושעי הרשת. היערכות לשחזור נתונים במקרה של תקיפה מונעת את הצורך בתשלומים ומסירה את התמריץ הכספי מההאקרים.
ארגונים יכולים לנקוט בצעדים הבאים כדי לסייע במניעת התקיפה הבאה:
1.התקנת עדכוני תוכנה קבועים.
2.דורש אימות דו-שלבי.
3.ניהול מכשירים המתחברים לרשת
4.הגבלת גישה לנתונים והקשחת הרשאות
5.ניטור מערכות.
6.הכשרת עובדים - מחקר של אוניברסיטת סטנפורד מצא שטעויות של עובדים גורמות ל-88% מהפרצות למידע.
להקדיש זמן כדי ללמד את הצוות שלך על דיוג ואיומי אבטחה אחרים וליישם שיטות עבודה מומלצות כדי למנוע אותם.
אחרי שייסמנו את הכל האםאנחנו מוכנים להגיב להתקפה ?
כדי לעצור את פשעי הסייבר, ארגונים צריכים להתמקד בשיטות אילו ולהימנע מתשלום כופר.
כולנו במאבק הזה ביחד. הבטחה שאתה יכול לשחזר את הנתונים שלך מבלי לשלם כופר חוסכת לך זמן וכסף משמעותיים ומסירה את התמריץ לפושעים להמשיך בהתקפות שלהם.
https://pimages.toolbox.com/300x169/c6/71/85d51f734f8f98abad8bb7991f0c/nsa-opts-for-open-source-sleuthing-of-cyber-threats.jpg
🔥1🤩1
WhatsApp
תיקון שתי נקודות תורפה קריטיות שהיו מאפשרות לתוקפים לפרוץ מרחוק למכשירים :
1. על ידי קריאה אליהם (CVE-2022-36934)
2. שליחת קובץ וידאו (CVE-2022-27492)
https://www.whatsapp.com/security/advisories/2022/
תיקון שתי נקודות תורפה קריטיות שהיו מאפשרות לתוקפים לפרוץ מרחוק למכשירים :
1. על ידי קריאה אליהם (CVE-2022-36934)
2. שליחת קובץ וידאו (CVE-2022-27492)
https://www.whatsapp.com/security/advisories/2022/
WhatsApp.com
WhatsApp Security Advisories 2022
WhatsApp Security Advisories 2022 - List of security fixes for WhatsApp products
💯1
לאחר המקרים האחרונים זה לא עניין של אם אלא מתי הארגון שלכם יעבור מתקפת סייבר
לפי גרטנר, ארגונים צפויים להוציא 172.58 מיליארד דולר על טכנולוגיות אבטחת IT וניהול סיכונים ב-2022 בלבד. למרות הכסף הרב, אין שבוע שלא שומעים על ארגון סייבר שעבר מתקפה למשל : KeyBank, Okta ,Twilio, DoorDash ו- Samsung
המציאות היא שלעולם לא נוכל לחסל את סיכוני הסייבר לחלוטין, אבל אנחנו יכולים לנהל אותו בצורה יעילה יותר עם תהליכים ונהלים של "Left and Right of Boom", יצירת אסטרטגיה מנצחת על ידי פיצול השקעות הסייבר של הארגון בין הספקים השונים, מניעה ותגובה לאירועים.
מקור המונח "left of boom" מגיע מצבא ארה"ב, לפיו הוטלו על כוחות העוסקים בפעולות בעיראק ובאפגניסטן לחקור כיצד לזהות מטעני חבלה מאולתרים (IED) ולפוצץ אותם ללא מזיק, או לחדור ולשבש את ייצור הפצצות כדי למזער את כמות הנפגעים והנזק לאנשי צבא ולחומר. לפני כ-15 שנה החלו ליישם את הניב על אבטחת סייבר, כאשר רצף ניהול הסיכונים מעריך את ההשקעה בהגנה כדי למתן את ההשלכות השליליות של אירוע סייבר.
התפקיד העיקרי של צוות האבטחה של הארגון הוא להקפיד על צמצום סיכונים, במסגרת תיאבון הסיכון וסובלנות הסיכון של החברה.
תהליכי "left of boom" חשובים :
• להבין את מלאי החומרה והתוכנה כדי לקבל את הנראות הדרושה כדי ליצור מדדים משמעותיים ולהעריך את יעילות האבטחה.
• עבור לענן כדי למנף את אמצעי האבטחה הטבועים של הספקים הגדולים ובהמשך לצמצם את משטח ההתקפה.
• הטמעת אימות דו שלבי (MFA) ומינימום הרשאות כדי למזער את הסיכון ל-lateral movement.
• הפוך את נקודת הקצה לגמישה, שכן בעידן עבודה מכל מקום, כל המכשירים מהווים את ההיקף הארגוני החדש.
• פילוח רשת כדי למזער את הסיכון ל-lateral movement.
• הפעל anti-malware, וודא שהתוכנה לא רק מותקנת אלא פועלת כמתוכנן.
• ביסוס עקרונות אפס אמון "לעולם אל תבטח, תמיד תאמת".
למרבה הצער, אין דבר כזה 100% הגנה. לכן, אנחנו לא יכולים להתמקד רק בתהליכי "Left of Boom",
אלא גם צריכים לדבר על "Right of Boom".
מבחינה היסטורית, העדיפות העליונה של מומחי IT ואבטחה בנוגע לחוסן סייבר הייתה אבטחה ושכפול של תשתית קריטית, כגון שרתים ומערכות עסקיות מפתח. עם זאת, בעולם "עבודה מכל מקום" של ימינו, האיום של התקפות סייבר מוגבר מאוד על ידי ההפצה הגיאוגרפית של נקודות הקצה. הדגם החדש הזה הרחיב את משטח התקיפה הפוטנציאלי.
כדי להבטיח את הרמה הגבוהה ביותר של חוסן סייבר ולאפשר חיבור של נקודות קצה, עסקים חייבים להיות בעלי טכנולוגיית הגנה מתמשכת. הסיבה לכך היא שכל צורה של הגנה שחיה על נקודת קצה יכולה להיות יעילה רק אם היא תישאר מבצעית ותתפקד כמתוכנן. בכך, ארגונים יכולים למדוד את התקינות והתאימות של בקרות אבטחה של נקודות קצה ולזהות מיד מתי יישומים מושבתים, מוגדרים לא נכון או מנוצלים בדרך אחרת.
אין זה מפתיע שהמכון הלאומי לתקנים וטכנולוגיה (NIST) מפיץ את השימוש במערכות מאובטחות שורדות ואמינות אלו כחלק מאסטרטגיית "Left and Right of Boom" מאוזנת.
בסופו של דבר, מציאת האיזון הנכון בין מוצרים אסטרטגים, מניעה ותגובה לאירועים הפכה חיונית בקביעת יכולתו של ארגון לצפות, לעמוד, להתאושש מהתקפות על משאבי סייבר ולהסתגל אליהם.
https://share.vidyard.com/watch/pzvz4vXZbawdBNcPRzQdio?autoplay=2&second=10.83
לפי גרטנר, ארגונים צפויים להוציא 172.58 מיליארד דולר על טכנולוגיות אבטחת IT וניהול סיכונים ב-2022 בלבד. למרות הכסף הרב, אין שבוע שלא שומעים על ארגון סייבר שעבר מתקפה למשל : KeyBank, Okta ,Twilio, DoorDash ו- Samsung
המציאות היא שלעולם לא נוכל לחסל את סיכוני הסייבר לחלוטין, אבל אנחנו יכולים לנהל אותו בצורה יעילה יותר עם תהליכים ונהלים של "Left and Right of Boom", יצירת אסטרטגיה מנצחת על ידי פיצול השקעות הסייבר של הארגון בין הספקים השונים, מניעה ותגובה לאירועים.
מקור המונח "left of boom" מגיע מצבא ארה"ב, לפיו הוטלו על כוחות העוסקים בפעולות בעיראק ובאפגניסטן לחקור כיצד לזהות מטעני חבלה מאולתרים (IED) ולפוצץ אותם ללא מזיק, או לחדור ולשבש את ייצור הפצצות כדי למזער את כמות הנפגעים והנזק לאנשי צבא ולחומר. לפני כ-15 שנה החלו ליישם את הניב על אבטחת סייבר, כאשר רצף ניהול הסיכונים מעריך את ההשקעה בהגנה כדי למתן את ההשלכות השליליות של אירוע סייבר.
התפקיד העיקרי של צוות האבטחה של הארגון הוא להקפיד על צמצום סיכונים, במסגרת תיאבון הסיכון וסובלנות הסיכון של החברה.
תהליכי "left of boom" חשובים :
• להבין את מלאי החומרה והתוכנה כדי לקבל את הנראות הדרושה כדי ליצור מדדים משמעותיים ולהעריך את יעילות האבטחה.
• עבור לענן כדי למנף את אמצעי האבטחה הטבועים של הספקים הגדולים ובהמשך לצמצם את משטח ההתקפה.
• הטמעת אימות דו שלבי (MFA) ומינימום הרשאות כדי למזער את הסיכון ל-lateral movement.
• הפוך את נקודת הקצה לגמישה, שכן בעידן עבודה מכל מקום, כל המכשירים מהווים את ההיקף הארגוני החדש.
• פילוח רשת כדי למזער את הסיכון ל-lateral movement.
• הפעל anti-malware, וודא שהתוכנה לא רק מותקנת אלא פועלת כמתוכנן.
• ביסוס עקרונות אפס אמון "לעולם אל תבטח, תמיד תאמת".
למרבה הצער, אין דבר כזה 100% הגנה. לכן, אנחנו לא יכולים להתמקד רק בתהליכי "Left of Boom",
אלא גם צריכים לדבר על "Right of Boom".
מבחינה היסטורית, העדיפות העליונה של מומחי IT ואבטחה בנוגע לחוסן סייבר הייתה אבטחה ושכפול של תשתית קריטית, כגון שרתים ומערכות עסקיות מפתח. עם זאת, בעולם "עבודה מכל מקום" של ימינו, האיום של התקפות סייבר מוגבר מאוד על ידי ההפצה הגיאוגרפית של נקודות הקצה. הדגם החדש הזה הרחיב את משטח התקיפה הפוטנציאלי.
כדי להבטיח את הרמה הגבוהה ביותר של חוסן סייבר ולאפשר חיבור של נקודות קצה, עסקים חייבים להיות בעלי טכנולוגיית הגנה מתמשכת. הסיבה לכך היא שכל צורה של הגנה שחיה על נקודת קצה יכולה להיות יעילה רק אם היא תישאר מבצעית ותתפקד כמתוכנן. בכך, ארגונים יכולים למדוד את התקינות והתאימות של בקרות אבטחה של נקודות קצה ולזהות מיד מתי יישומים מושבתים, מוגדרים לא נכון או מנוצלים בדרך אחרת.
אין זה מפתיע שהמכון הלאומי לתקנים וטכנולוגיה (NIST) מפיץ את השימוש במערכות מאובטחות שורדות ואמינות אלו כחלק מאסטרטגיית "Left and Right of Boom" מאוזנת.
בסופו של דבר, מציאת האיזון הנכון בין מוצרים אסטרטגים, מניעה ותגובה לאירועים הפכה חיונית בקביעת יכולתו של ארגון לצפות, לעמוד, להתאושש מהתקפות על משאבי סייבר ולהסתגל אליהם.
https://share.vidyard.com/watch/pzvz4vXZbawdBNcPRzQdio?autoplay=2&second=10.83
Vidyard
CyberVoices | Left of Boom Panel
👍1🥰1
טכנולוגיית זיהוי איומים:
זיהוי ותגובה ברשת (NDR),זיהוי ותגובה של נקודות קצה (EDR) וזיהוי ותגובה מורחבים (XRD)
מימוש EDR מזהה שינויים מוחשיים ברמת נקודת הקצה
מערכות EDR מגנות על חברות על ידי פריסת סוכן תוכנה על כל מכשיר נקודת קצה מחובר. סוכני נקודות קצה אלו יכולים לסייע בזיהוי פעילות זדונית שהוחמצה בעבר על ידי FW, למשל, על ידי זיהוי שינויים מוחשיים כגון שינויים ברישום ומניפולציה של קבצי מפתח.
מערכות EDR מתקדמות יותר עשויות להפעיל אוטומטית למידת מכונה או AI כדי לזהות איומים חדשים, תוך מינוף פרופילים המבוססים על התנהגויות ופעילות חשודות.
עם זאת, יש גבולות ליעילותם. לדוגמה, לא ניתן גם לפרוס סוכנים בכל המכשירים (למשל, מכשירי BYOD או IoT או בסביבות כמו הענן הציבורי) בנוסף תוקפים חזקים יודעים כיצד לגרום לסוכן EDR "לישון" או לחשוב שמתנהלת פעילות לגיטימית, וזו הסיבה שארגונים רבים בוחנים פתרונות XDR
מימוש XDR מספק הגנה הוליסטית יותר מפני התקפות סייבר מאשר EDR
בעוד שההגדרות משתנות ככל שהקטגוריה מתפתחת, XDR מובנת בדרך כלל כהתפתחות הבאה של EDR, שנעשתה יעילה יותר עם שילוב של מקורות נתונים ברשת, יישומים וענן כדי להגיב במהירות וביעילות רבה יותר לאיומים.
שלא כמו EDR פתרונות XDR מנסים להביא גישה פרואקטיבית יותר לזיהוי ותגובה של איומים על ידי מתן פתרון פלטפורמה אחת המציע נראות על פני זרמי נתונים מרובים (נקודת קצה, רשת וענן). בנוסף, ניתן לשפר עוד יותר את המודיעין הזה עם כלי אבטחה משופרים של מידע ואירועים (SIEM) ו (SOAR)
למרות שגישת הפלטפורמה האחת של XDR מתאימה לארגונים עם סביבות נתונים מגוונות כדי לנטר את כל הפעילות במקום אחד, אפילו פתרון יעיל של פלטפורמה אחת מוגבל אם הוא חסר נראות לתוך הסביבה הרחבה יותר ברשת של הארגון. אבל כדי לראות שינויים בפעילות הרשת ולהשוות זאת מול נתוני נקודות קצה וענן, שם פתרונות NDR יכולים לספק את ההקשר הדרוש להתמקד באיומי סייבר פוטנציאליים.
מימוש NDR מזהה איומים ברמת המנות לתגובה בזמן אמת
בניגוד לפתרונות EDR או NDR, XDR מתמקדת בניתוח נתוני מנות בתעבורת רשת במקום בנקודות קצה או זרמי נתונים אחרים כדי לזהות איומי סייבר פוטנציאליים. אחרי הכל, מנות לא משקרות, מה שהופך אותן למקור הטוב ביותר לתובנות אמינות, מדויקות ומקיפות.
https://pimages.toolbox.com/300x150/wp-content/uploads/2022/09/27062854/Cybersecurity-Stack.jpg
זיהוי ותגובה ברשת (NDR),זיהוי ותגובה של נקודות קצה (EDR) וזיהוי ותגובה מורחבים (XRD)
מימוש EDR מזהה שינויים מוחשיים ברמת נקודת הקצה
מערכות EDR מגנות על חברות על ידי פריסת סוכן תוכנה על כל מכשיר נקודת קצה מחובר. סוכני נקודות קצה אלו יכולים לסייע בזיהוי פעילות זדונית שהוחמצה בעבר על ידי FW, למשל, על ידי זיהוי שינויים מוחשיים כגון שינויים ברישום ומניפולציה של קבצי מפתח.
מערכות EDR מתקדמות יותר עשויות להפעיל אוטומטית למידת מכונה או AI כדי לזהות איומים חדשים, תוך מינוף פרופילים המבוססים על התנהגויות ופעילות חשודות.
עם זאת, יש גבולות ליעילותם. לדוגמה, לא ניתן גם לפרוס סוכנים בכל המכשירים (למשל, מכשירי BYOD או IoT או בסביבות כמו הענן הציבורי) בנוסף תוקפים חזקים יודעים כיצד לגרום לסוכן EDR "לישון" או לחשוב שמתנהלת פעילות לגיטימית, וזו הסיבה שארגונים רבים בוחנים פתרונות XDR
מימוש XDR מספק הגנה הוליסטית יותר מפני התקפות סייבר מאשר EDR
בעוד שההגדרות משתנות ככל שהקטגוריה מתפתחת, XDR מובנת בדרך כלל כהתפתחות הבאה של EDR, שנעשתה יעילה יותר עם שילוב של מקורות נתונים ברשת, יישומים וענן כדי להגיב במהירות וביעילות רבה יותר לאיומים.
שלא כמו EDR פתרונות XDR מנסים להביא גישה פרואקטיבית יותר לזיהוי ותגובה של איומים על ידי מתן פתרון פלטפורמה אחת המציע נראות על פני זרמי נתונים מרובים (נקודת קצה, רשת וענן). בנוסף, ניתן לשפר עוד יותר את המודיעין הזה עם כלי אבטחה משופרים של מידע ואירועים (SIEM) ו (SOAR)
למרות שגישת הפלטפורמה האחת של XDR מתאימה לארגונים עם סביבות נתונים מגוונות כדי לנטר את כל הפעילות במקום אחד, אפילו פתרון יעיל של פלטפורמה אחת מוגבל אם הוא חסר נראות לתוך הסביבה הרחבה יותר ברשת של הארגון. אבל כדי לראות שינויים בפעילות הרשת ולהשוות זאת מול נתוני נקודות קצה וענן, שם פתרונות NDR יכולים לספק את ההקשר הדרוש להתמקד באיומי סייבר פוטנציאליים.
מימוש NDR מזהה איומים ברמת המנות לתגובה בזמן אמת
בניגוד לפתרונות EDR או NDR, XDR מתמקדת בניתוח נתוני מנות בתעבורת רשת במקום בנקודות קצה או זרמי נתונים אחרים כדי לזהות איומי סייבר פוטנציאליים. אחרי הכל, מנות לא משקרות, מה שהופך אותן למקור הטוב ביותר לתובנות אמינות, מדויקות ומקיפות.
https://pimages.toolbox.com/300x150/wp-content/uploads/2022/09/27062854/Cybersecurity-Stack.jpg
🔥1😍1
חברת Veeam פרסמה את תוצאות פרויקט המחקר הגדול ביותר בתעשיית הסייבר, מ-3,393 חברות ב-28 מדינות.
כמה מהממצאים המרכזיים במחקר :
רק 24% לא הותקפו על ידי תוכנת כופר - או שהם לא היו מודעים להתקפה
16% הותקפו פעם אחת בשנת 2021
60% הותקפו מעל שני פעמים ב-2021
מבין המותקפים, 47% מהנתונים הוצפנו בהצלחה, ומהנתונים המוצפנים, רק 64% היו ניתנים לשחזור.
מהמחקר עולה שהקורבן הממוצע מאבד 17% מהנתונים שלו בכל התקפה.
https://www.veeam.com/blog/2022-ransomware-trends-report.html
כמה מהממצאים המרכזיים במחקר :
רק 24% לא הותקפו על ידי תוכנת כופר - או שהם לא היו מודעים להתקפה
16% הותקפו פעם אחת בשנת 2021
60% הותקפו מעל שני פעמים ב-2021
מבין המותקפים, 47% מהנתונים הוצפנו בהצלחה, ומהנתונים המוצפנים, רק 64% היו ניתנים לשחזור.
מהמחקר עולה שהקורבן הממוצע מאבד 17% מהנתונים שלו בכל התקפה.
https://www.veeam.com/blog/2022-ransomware-trends-report.html
👍1🔥1