Ikke alene er dagens angreb stadig mere komplekse, men de områder som angriberne bruger er også anderledes og mere avancerede.

Denne rapport beskriver de trin man som virksomhed skal tage for at sikre sig mod dagens angreb, og hvordan en cloud-baseret sikkerhedsløsning kan hjælpe med at optimere sikkerheden.

Hent rapporten

I weekenden modtog Evernote’s 50 millioner bruge en email om at Evernote have set mistænkelig trafik på deres netværk, og som kunne læse på deres blog havde man valgt og resette alle brugers password. Evernote udtaler at der ikke har været nogen risiko for at angriberne har kunnet se Evernote brugernes data, ej heller kreditkort oplysninger for Evernote premium brugere. Men de beder altså deres brugere om og ændre password, ved og gå på deres site, hvor de skriver Har du modtaget en besked om nulstilling af adgangskode, klik her » Så når du har skiftet dit password, burde alt være ok igen, men det problem som man desværre ofte ser, er jo at samme password er brugt på flere sites, og så bliver problematikken jo en anden og gevinsten for angriber højere. Så hvor har du ellers brugt dette password?, nu er måskeet godt tidspunkt og få en password politik, kunne være og bruge en password manager, som kan hjælpe dig med engangs password pr. service/site. Der findes Password managere, eSec kan direkte anbefale nogle, men vi kender til services som 1Password og LastPass så om du vil bruge en af disse eller blot udvikle dit eget onetime password system, er jo helt op til dig selv, det vigtigste er at du kun bruger et password pr. service/site.

På ISC Diary kan man læse deres kommentarer til hændelsen og Evernote's håndtering, og det er jo glædeligt at netop sikkerheds overvågning har fungeret.

Hvordan foregår det?

Angrebene går under betegnelsen "vandhuls" angreb. Ideen kommer fra naturen, hvor rovdyrene ved, at på et eller andet tidspunkt kommer offeret og drikker vand, så det er bare og vente ved vandhullet. Samme metode bruger hackerne mod ofrene. De angriber specifikke websites som de ved at deres ofre besøger (vandhullet) og lægger malware på disse websites, så ofret bliver inficeret blot ved besøg på hjemmesiden. I dette tilfælde tyder det på at man har udnyttet Java eller Adobe plugin sårbarheder, så ofret aner ikke at de bliver inficeret, da det sker "silent”. Angriberen har nu en fod inde i virksomheden, og kan begynde og hente data ellers måske bevæge sig længere ind mod virksomhedens centrale data.

Hvorfor kommer disse angreb nu?

Den gamle traditionelle model med og bygge et hegn omkring virksomheden med firewall, IDS, Proxy, Antivirus etc. fungerer bare ikke mere, vores brugeres adfærd er forandret, så de nu måske er 80% af tiden udenfor hegnet, på en cafe, hotel værelse, hjemme eller andre steder, og det ved hackeren, så han vælger bare og gå efter det svageste led, der er jo ingen grund til og angribe hegnet, når man bare kan gå efter de sårbare "åbne" klient maskiner. Ofte er disse, ikke er beskyttet, i nogle tilfælde har man noget endpoint sikkerhed, som antivirus, personlig firewall, men det er jo også ”gammel teknologi” hvor hver eneste enhed skal holdes opdateret og hvor vi jo ved i følge undersøgelser ikke altid er så effektive som de skulle være.

Løsninger

1. De seneste angreb tyder på angreb mod sårbare browser plugins som Java & Adobe, så hvis ikke man bruger disse plugins, kan man jo starte med og de-aktivere eller afinstallere dem fra sin browser, men det kan være en udfordring, især i større organisationer med mange klienter og især de mobile klienter.
2. Vælg en service som beskytter klienterne både indenfor eller udenfor ”hegnet”, en service som renser Web trafikken for skadeligt indhold, hvad enten det er ind eller udgående trafik, uden at der kræves nogen former for installation af klient software eller hardware i virksomheden. Ej heller at klienten skal etablere en VPN hjem til virksomheden, hvilket er upraktisk, og hvad når denne forbindelse ikke er aktiv. Service skal være en central service, der opdateres kontinuerligt, og som beskytter klienter hvad enten man er på kontoret, i Sydney på ferie, New York på arbejde, eller cafe'en på hjørnet.

Har eSec en løsning?

Ja, eSec tilbyder Zscaler Web Security, som beskytter alle brugere mod avancerede angreb, lige gyldig hvor klienter befinder sig. Zscaler forudså allerede i 2008, hvor virksomheden blev etableret, at der ville ske ændringer i virksomheders trafikmønster, fra 80% intern trafik og 20% Web trafik, til det i dag ofte er 20% intern trafik og 80% ekstern Web trafik, ofte med klienterne placeret udenfor "hegnet". Zscaler beskytter i dag mere end 10 millioner klienter dagligt, i mere end 160 lande, og er verdens største Security cloud.

Kontakt mig på os@eSec.dk eller ring på 7020 5585 for mere info, du kan også bestille en Zscaler trial - IT-sikkerhed leveret som SaaS

Violino gør et stort stykke arbejde med at belyse flere forskellige typer af IT-sikkerhedstjenester, der leveres via skyen idag. Der er også nogle gode oplysninger fra Gartner analytiker Lawrence Pingree, der er meget vidende på netop dette område. Violino ser på flere Security-as-a-Service løsninger, og har talt med virksomheder, der bruger de tjenester, og har udspurgt dem om deres udfordringer, hvorfor de valgte en cloud-baseret løsning, og hvordan det har fungeret. Violino nævner også Cloud Security Alliance arbejdsgruppe om Security-as-a-Service og dens nyligt offentliggjorte retningslinjer.

Dette er en meget informativ artikel, som giver gode råd og indsigt i Security-as-a-Service, og hvis du har overvejelser omkring emnet, så syntes jeg at du skal læse artiklen på på Computerworld.  Jeg syntes dog at der var et aspekt af Security-as-a-Service, som ikke er med i artiklen, nemlig hvordan man sikrer de nye cloud-infrastrukturer. 

Alt for ofte er diskussionen omkring cloud sikkerhed og Security-as-a-Service fokuseret på levering af  it-sikkerhedstjenester via skyen til den lokale infrastruktur. Men hvad med de millioner af kroner som investeres i cloud løsninger?

Der er mange undersøgelser som forudsiger væksten i Cloud løsninger, men en ting er sikkert, flere og flere forretningskritiske applikationer flyttes ud i skyen.  Det betyder en øget efterspørgsel på nye it-sikkerheds løsninger, da de traditionelle entreprise løsninger ikke rigtig understøtter cloud løsningernes nye behov.

Security-as-a-Service er i dag anerkendt model til sikring af traditionel infrastruktur, og netop denne model vil i mange tilfælde også kunne leve op til en cloud og virtualiseret infrastruktur, hvor kravene er helt anderledes. Disse virtuelle miljøer er langt mere dynamiske, begrebet “elastic cloud instance”, beskriver netop dette, så du skal sikre dig at it-sikkerheds leverance modellen understøtter, et mix af traditionelle interne infrastrukturer og cloud baserede løsninger.

Du kan se artiklen her Security-as-a-Service om den stigende popularitet som dog kræver gratis registrering.

Angreb mod web applikationer er en af de mest alvorlige risici i dagens trussel billede. Almindelige web  applikations angreb, såsom SQL injection og Cross-Site scripting er ofte årsagen til større højt profilerede angreb.

Som hjælp til og beskytte dine web applikationer, web sites og virksomhedens data, tilbyder eSec nu i samarbejde med Alert Logic, Web Security Manager, en managed web applikations firewall (waf) service.

Web applikations firewalls placeres inline imelllem web applikationen og den indkomne trafik, og vil proaktiv blokere forsøg på kompromitering. Fordi Web Security Manageren analyserer trafikken og sammneligner den med sikkerheds politikkerne, som definere de hændelser som er tilladt mod applikationen, er den i stand til og beskytte mod zero day angreb og beskytte mod sårbarheder også de ukendte. Den opfylder også compliance kravene i PCI DSS sektion 6.6

Det bedste af det hele er at Web Security Manager er en managed service, så du behøver ikke bekymre dig om den kontinuerlige overvågning og tuning.

Du kan læse mere om eSec Web Security Manager her

Bag offentliggørelsen står den internationale hackergruppen Anonymous, der slås mod myndighederne i "Operation Antisec".

Ifølge Anonymous stammer data fra en PC der tilhører FBI agenten Christopher K. Stangl som de hackede med et java exploit i marts 2012.  Den oprindelige datafil NCFTA_iOS_devices_intel.csv indeholder over 12 millioner linjer med Unique Device Identifiers (UDID), bruger navne, device navne, devicetype, Apple Push Notification Service tokens, postnummmer, telefonnummer, adresse.

Det offentliggjorte udsnit på ca 8% af listen mangler de sidste 3 personlige felter.

NCFTA er en samarbejdsorganisationen med fokus på cyberkriminalitet mellem industri og myndigheder i USA. Uanset hvordan listen er fremkommet giver det Apple et forklaringsproblem.

FBI har udsendt en pressemeddelse om af der ikke er "evidence" for at de har besiddet disse data eller en af deres PCer er blevet hacket. Vi ved så ikke om de taler mod bedre viden, om Anonymous har misinformeret, om Stangl er dobbeltagent eller har lavet måneskinsarbejde. Det er til gengæld fra flere sider sandsynliggjort at der er tale om autentiske data, som brugere afleverer til Apple når de registrerer en iPhone eller iPad. 

Data indeholder eksotiske brugernavne som "Obama" og "Justin Bieber" men om dette er de virkelige ejere af de pågældende UDID's ved vi ikke. Til gengæld kan man i det offentliggjorte udsnit se helt almindelige danske og skandinaviske brugere:

• Søgning på "Stig" giver 68 tilfælde hvor en Stig har registreret en Apple enhed. 
• Søgning på "Jørgen" giver 42 tilfælde hvor en Jørgen eller Jørgensen har registreret sin Apple enhed.

Vil man se om man er på den offenliggjorte liste kan man finde sin UUID ved at følge vejledningen på whatsmyudid.com og taste koden ind i en formuler til de offentliggjorte data på thenextweb.com.

Hvad betyder det hvis man er på listen ?

UDID er en checksum der entydigt identificerer den pågældende enhed, altså iPad el.lgn.  Den bliver ved listen knyttet til din adresse og telefonnummer. Indtil marts 2012 har Apple i iTunes Store tilladt applikationer der henter UDID og registrerer det på det tilhørende website, en del spil har f.eks. gjort dette. Så en del af den brugeradfærd der før var anonym er nu kendt af listens ejer - potentielt kan det misbruges til idenditetstyveri. 

Hvordan får man en ny UDID uden at lave uautoriserede indgreb ? Det kræver inok at man skifter hardware eller at Apple laver en programændring i iOS.

De foreslår at du ændre dit password,  eller i det mindste logger ind på deres website og under fanen Security, checker om du ser noget mistænkeligt, herunder om andre enheder har været logget ind, måske der også er nogle enheder som ikke bør have adgang mere til din Dropbox.

Når du nu alligevel er derinde, så check også hvilke Apps, på fanen Apps,  du har tilladt kan tilgå dropbox, det kunne jo være at det var nogle gamle som du ikke bruger mere.

Overvej og brug password en password manager som 1Password, bruger den selv, men der findes også et alternativ som Lastpass, og sikkert flere, som gør det nemt og have unikke stærke password. 

Læs evt. denne artikel fra Business Insider Aug 2012.

Webinar Are Your Corporate Secrets in Dropbox? 

Zscaler, vores partner i eSec websikkerhed, inviterer meget apropos, til gratis webinar næste onsdag den 15. august, med temaet, Are Your Corporate Secrets in Dropbox?  

Tilmeld dig  her 

Zscaler service bruges i dag af mere end 8 millioner brugere i 2.400 firmaer fordelt på 160 lande via en af Zscaler mere end 47+ globale datacentre.

Gartner rapporten kan hentes her 

Du kan teste Zscaler service i 30 dage på dit eget netværk, blot udfyld denne form

Kære kunde, (korrekt så langt)

Vi har bemærket ugyldige login-forsøg ind på din online konto fra  en ukendt IP-adresse.  

På grund af dette, har vi suspevnderet din konto. Vi har brug for dig at opdatere dine kontooplysninger til din Netbank vil blive reaktiveret nu! Skal du opdatere dine  faktureringsoplysninger i dag ved...

Bekræft din konto

1. Den fjerner Flashback på din Mac hvis den er installeret
2. Den de-aktivere java hvis denne ikke har været anvendt i 35 dage.

Begge dele giver jo mening, især med og de-aktivere java, IT-sikkerheds folk har jo altid sagt; de-aktiver de services som du ikke bruger, men vi har jo også altid vidst, at det kun er tekniske sikkerheds folk som foretager en sådan tekniske ændringer,  ja faktisk kender jeg kun 1 person, han er faktisk ansat i eSec, som altid har valgt og de-aktivere Java.

Denne nye approach fra Apple, er jo ny for sikkerheds firmaer, så det bliver spændende og se om vi kommer til og se flere tilsvarende tiltag fra andre, og om det giver den ønskede effekt.. eller om det skyldes at Apple ikke rigtig "ser problemet", de reagerede jo først, da der var mere end 600.000 inficerede Mac computere... men det kan kun tiden vise.