Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się usługami wypuszczanymi na zewnątrz sieci, dziurawym protokołem RDP oraz powracającym jak bumerang zagadnieniem Wannacry.

Poprzednie części możńa znależć tutaj i tutaj.

W ciągu 30 lat, które upłynęły od komercjalizacji Internetu, poziom „hałasu”, który wylewa się na brzegach naszych sieci stale rośnie, zarówno pod względem objętości, jak i zaciekłości. Łagodnym skanom portów towarzyszą sondy sieciowe, które są coraz częściej powiązane z wrogim ruchem generowanym przez robaki.
Całe to „internetowe promieniowanie tła”, analogiczne do kosmicznego promieniowania tła, odpowiada za rosnącą liczbę naruszeń bezpieczeństwa wpływając na szeroki zakres usług i urządzeń internetowych.

Protokół RDP na celowniku

Negatywne wykorzystywanie protokołu Remote Desktop Protocol (RDP) – zarówno jego usługi hostowanej, jak i aplikacji klienckiej, wzrosło znacząco w 2019 r. w następstwie głośnych ataków na protokół RDP ze strony podmiotów atakujących wykorzystujących kampanie ransomware takie jak SamSam.  Wielu atakujących próbuje ponadto użyć usług RDP wykorzystując ataki typu brute force, używając list typowych haseł dostępnych w sieci.

Podstawowe ataki to tylko część problemu. Sophos zaobserwował, że niektórzy napastnicy starannie wybierają swoje cele, przeprowadzają rozpoznanie przeciwko określonym pracownikom i atakują tych pracowników atakami typu spear phishing, aby uzyskać przydatne poświadczenia, które mogą następnie wykorzystać, aby włamać się do organizacji docelowych.

W sytuacji gdy atakujący uzyskają dostęp do pojedynczego komputera, mogą użyć narzędzi takich jak Mimikatz, w celu wykrycia poświadczeń o podwyższonych uprawnieniach przekazywanych przez sieć. Posiadając poświadczenia użytkownika posiadającego uprawnienia administratora domeny zauważyć można, że osoby atakujące wykorzystują te dane do rozprzestrzeniania złośliwego oprogramowania w dużych częściach sieci internetowej, korzystając z narzędzi do zarządzania oprogramowaniem, które są nieodłączną częścią serwerów kontrolera domeny w dużych sieciach.
Ataki przy użyciu tej metodologii były rdzeniem jednych z największych i najbardziej bolesnych incydentów związanych z oprogramowaniem ransomware, które były badane w ubiegłym roku, dlatego rady dla administratorów sieci, którzy zarządzają sieciami korporacyjnymi aby unikać udostępniania połączeń RDP na punktach końcowych sieci nadal pozostają aktualne.

Usługi wystawione „na świat” zagrożone zautomatyzowanymi atakami

RDP nie jest jedyną usługą, której poszukują napastnicy. Coraz częściej przychodzi nam stawiać czoła zautomatyzowanym atakom skierowanym we wszelkiego typu usługi dostępne publicznie. W ubiegłym roku zaobserwować można było  szeroki zakres usług internetowych, które stają się coraz bardziej zagrożone, w sytuacji gdy atakujący próbują wykorzystać luki w zabezpieczeniach i w konsekwencji próbują brutalnie włamać się do serwerów baz danych, routerów domowych i modemów  kablowych, czy do sieci spiętych z urządzeniami pamięci masowej (NAS), atakom nie oparły się również systemy VoIP i cały szereg innych urządzeń „Internetu rzeczy”.
Jeden z najczęstszych ataków, jaki obecnie obserwujemy, pochodzi z sieci, które w przeszłości były hostami dla botnetów takich jak Mirai. Ataki te zwiększają się zarówno pod względem wielkości, jak i pod względem wyrafinowania, ponieważ atakujący stale dokonują drobnych udoskonaleń samych skryptów, które atakują serwery baz danych.
Szczególnie narażone są maszyny hostujące starsze wersje oprogramowania Microsoft SQL Server w domyślnej konfiguracji – znajdują się one niemal pod ciągłym atakiem. Sam mechanizm polega na użyciu złożonego, przeplatanego zestawu poleceń bazy danych, które po pomyślnym zakończeniu powodują, że serwer bazy danych zaraża się całą gamą różnych rodzajów złośliwego oprogramowania.

Dlaczego Wannacry może nigdy nie zniknąć, a Ciebie powinno to obchodzić?

Wannacry pojawił się w sieci 12 maja 2017 r. zalewając Internet i infekując komputery firm, szpitali i uniwersytetów w ataku, którego szybkość i skala  była do tej pory niespotykana. Ransomware, o którego powstanie różne źródła (w tym rządowe agencje wywiadowcze), oskarżają rząd Korei Północnej siało spustoszenie, dopóki kilku badaczy bezpieczeństwa nie odkryło pięty achillesowej w złośliwym oprogramowaniu: tak zwany kill switch (mechanizm lub czynnik przerywający działanie programu) został przypadkowo uruchomiony, gdy jeden z badaczy, Marcus Hutchins, zarejestrował nazwę domeny internetowej, która funkcjonowała w pliku binarnym Wannacry.

Postępy  w zarażaniu Wannacry skokowo zatrzymały się, sam atak zachęcił administratorów systemów operacyjnych na całym świecie do zainstalowania poprawki bezpieczeństwa wydanej przez Microsoft, (która notabene została opublikowana kilka miesięcy wcześniej). Jak na ironię, wielu administratorów celowo powstrzymało się od instalowania aktualizacji systemu Windows z powodu obawy o zakłócenia do których rzekomo miała ta aktualizacja doprowadzić. Ta wymuszona i niczym nie poparta ostrożność pozwoliła na zainfekowanie niezabezpieczonych systemów, a w konsekwencji na dalsze rozprzestrzenianie się infekcji. Ale to nie koniec.

Kill switch wcale nie zakończył żywota Wanncry. Wręcz przeciwnie. W rzeczywistości, w ciągu zaledwie kilku dni od pierwszego ataku, nieznane osoby dokonały przypadkowych modyfikacji oryginalnej wersji Wannacry które skutecznie ominęły wrażliwą domenę. Ale to nie wszystko. Zmodyfikowane pliki binarne Wannacry zawierały błąd: skrypt, który powodował największe szkody w pierwszej kolejności – sam został uszkodzony. Oprogramowanie nie mogło już szyfrować wszystkich plików. Ale nadal mogło przenosić się na komputery, które nie zostały jeszcze załatane.

Wannacry jest w obiegu do dziś. Badacze SophosLabs raportują, że codziennie otrzymują ogromną liczbę zgłoszeń o próbach infekcji. Na dzień dzisiejszy laboratoria bezpieczeństwa otrzymują więcej alertów o Wannacry niż miało to miało to miejsce w przypadku jakiejkolwiek wcześniejszej rodziny szkodliwego oprogramowania.

Ciągłe raportowanie wykryć Wannacry zwraca uwagę na fakt, że miliony maszyn pozostają nieodporne na błąd, który został załatany ponad dwa lata temu. W tym czasie pojawiło się mnóstwo o wiele bardziej niebezpiecznych ataków. Jeśli maszyny zainfekowane Wannacry nadal są niewyleczone, są również podatne na te nowsze ataki a tym samym stanowią jeszcze większe zagrożenie.
Popularność i szybkość rozprzestrzeniania się Wannacry jest przestrogą i przypomnieniem tego, że aktualizowanie każdego punktu końcowego i komputera w sieci tak szybko, jak to możliwe, jest kluczowe, aby maszyny nie padły ofiarą epidemii ransomware.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

 

Producent oprogramowania i sprzętu z zakresu ochrony infrastruktury IT, firma Sophos, zaprezentował niedawno nową wersję zapory sieciowej z serii XG, czyli XG Firewall Xstream. Poniżej zamieszczamy komunikat prasowy wydany w związku z tą premierą.

Badania przeprowadzone przez SophosLabs wskazują, że nawet 23% złośliwego oprogramowania wykorzystuje protokół TLS (Transport Layer Security) do szyfrowania komunikacji przesyłanej do centrów zarządzania Command&Control. Szyfrowanie stosuje także 44% przestępców kradnących dane, którzy ukrywają w ten sposób swoją działalność. Aby umożliwić firmom eliminowanie ryzyka ataków i deszyfrowanie ruchu sieciowego, Sophos wprowadził nową architekturę Xstream do zapór z rodziny XG Firewall. Zapewnia ona m.in. większą wydajność aplikacji oraz rozszerzoną analizę zagrożeń bazującą na sztucznej inteligencji.

Cyberprzestępcy wykorzystują protokół TLS m.in. do ukrywania swoich działań. Zwiększone ryzyko ataku wykorzystującego zaszyfrowany ruch sieciowy często jest jednak pomijane przez zespoły ds. bezpieczeństwa. Aż 82% administratorów uważa, że kontrola protokołu TLS jest konieczna, jednak tylko 3,5% firm odszyfrowuje ruch sieciowy w celu jego prawidłowego sprawdzenia. Powodem jest m.in. spowolnienie działania sieci i aplikacji.

– Jak pokazują badania SophosLabs, cyberprzestępcy stosują szyfrowanie, aby ominąć używane przez firmy rozwiązania ochronne i uniknąć wykrycia. Niestety, większość firewalli nie ma skalowalnych funkcji obsługujących szyfrowanie w wykorzystaniem protokołu TLS i nie jest w stanie kontrolować tego typu ruchu bez przerwania pracy aplikacji lub pogorszenia wydajności sieci. Dzięki nowej architekturze Xstream oraz pełnej obsłudze najnowszej wersji protokołu TLS 1.3, XG Firewall eliminuje opóźnienia oraz problemy z kompatybilnością. Zapewnia przy tym lepszy wgląd w zaszyfrowany ruch przechodzący przez sieć. Nasze wewnętrzne testy wykazały dwukrotnie większą wydajność nowego silnika TLS XG w porównaniu z poprzednimi wersjami firewalla. Rozwiązanie Xstream jest też kompatybilne z platformą chmurową Sophos Central, dostępną w modelu SaaS. Umożliwia ona zarządzanie polityką bezpieczeństwa, aktualizacjami, reagowaniem na zagrożenia, logami, raportami czy analityką – wskazuje Mariusz Rzepka, Senior Manager Eastern Europe w firmie Sophos.

Nowe funkcje XG Firewall obejmują:

– Kontrolę protokołu TLS 1.3 zwiększającą prawdopodobieństwo wykrywania złośliwego oprogramowania: nowy silnik TLS podwaja wydajność operacji deszyfrowania w porównaniu z poprzednimi wersjami XG Firewall.

– Zoptymalizowaną wydajność krytycznych aplikacji: nowe elementy pakietu FastPath przyspieszają działanie aplikacji SD-WAN i ruchu sieciowego, w tym Voice over IP, SaaS i innych.

– Dopasowane skanowanie ruchu: ulepszony silnik Deep Packet Inspection (DPI) dynamicznie ocenia strumienie ruchu i w odpowiedni sposób dopasowuje poziomy zaawansowania skanowania zagrożeń, zwiększając wydajność tego procesu nawet o 33% w większości środowisk sieciowych.

– Analizę zagrożeń z SophosLabs: administratorzy sieci zyskują dostęp do modułu analizy zagrożeń wspomaganej przez sztuczną inteligencję SophosLabs. Umożliwia to zrozumienie stale zmieniającego się krajobrazu zagrożeń i dopasowanie zabezpieczeń do aktualnych potrzeb.

– Kompleksowe zarządzanie i raportowanie w chmurze w Sophos Central: scentralizowane funkcje platformy Sophos Central zapewniają całościowe zarządzanie zaporami sieciowymi i elastyczne raportowanie w chmurze bez dodatkowych opłat.

– Integrację z usługą Sophos Managed Threat Response (MTR): użytkownicy XG Firewall, którzy korzystają także z usługi Sophos MTR Advanced, będą dysponowali większymi możliwościami zapobiegania, wykrywania i reagowania na zagrożenia.

Sophos XG Firewall jest dostępny w chmurze na platformie Sophos Central, wraz z całą gamą rozwiązań Sophos nowej generacji. Unikalne podejście Synchronized Security umożliwia koordynację wymiany informacji w czasie rzeczywistym pomiędzy różnych rozwiązaniami Sophos, dzięki czemu wzrasta skuteczność i szybkość reagowania na zagrożenia.

Więcej informacji o sposobach wykorzystywania protokołu TLS przez cyberprzestępców w filmie Sophos: https://vimeo.com/392040023

Rozwijanie kultury świadomości dotyczącej bezpieczeństwa informatycznego w firmie, to coraz częściej obierany kierunek we współczesnym biznesie. Osoby zarządzające firmami zaczęły zdawać sobie sprawę, że posiadanie nawet najlepszych i najdroższych rozwiązań zabezpieczających ich organizacje może być niewystarczające, ponieważ od zawsze najsłabszym ogniwem w tym łańcuchu jest i pewnie pozostanie człowiek. Dlatego też w przedsiębiorstwach coraz częściej powoływane są osoby lub zespoły, których zadaniem jest tworzenie mechanizmów uświadamiających, a przez to zmieniających nawyki dotyczące bezpieczeństwa w trakcie wykonywania przez pracowników codziennych obowiązków w miejscu pracy.
Jednym z takich obowiązków lub też czynności, bez których nie wyobrażamy sobie funkcjonowania żadnej organizacji we współczesnym świecie jest obsługa poczty email. W ciągu jednego dnia pracy organizacje odbierają i wysyłają olbrzymie ilości wiadomości email. Jest to proces, który idealnie nadaje się do wykorzystania, w celu dystrybucji złośliwego oprogramowania lub wyłudzenia danych. Według CERT Polska:

„W 2018 r. trzy najczęściej występujące typy incydentów to phishing, dystrybucja złośliwego oprogramowania i spam.”

Jednym ze sposobów na sprawdzenie świadomości pracowników oraz przetestowanie zabezpieczeń wykorzystywanych w organizacji jest Phish Threat. Jego producentem jest firma Sophos – jeden z wiodących dostawców rozwiązań cybersecurity na świecie.

Czym jest Sophos Phish Threat?

Phish Threat jest niczym innym jak symulatorem ataku, który możemy przeprowadzić w kilku bardzo prostych krokach (o czym później), wystarczy tylko wybrać odpowiedni szablon, wysłać go mailem do wybranej grupy osób i sprawdzić raporty, dzięki którym zyskamy wiedzę, którzy pracownicy lub grupy pracowników są podatni na tego typu zagrożenia i w konsekwencji jaka jest świadomość całej organizacji.

Co nam daje Phish Threat?

Phish Threat umożliwia nam wybranie interesującej nas kampanii lub całej jej serii, w zależności od naszych preferencji. Do wyboru posiadamy 4 rodzaje kampanii, których odpowiednio przygotowane szablony są w pełni edytowalne, co pozwala na 100% spersonalizowanie wiadomości aby skutecznie oszukać odbiorcę i sprowokować go do kliknięcia w podejrzany link lub do otwarcia podejrzanego załącznika. Jest to bardzo przydatne ze względu na możliwość dopasowania ataku do wewnętrznych polityk bezpieczeństwa, procedur, czy zaleceń.

Wraz z wyborem symulacji ataku Phish Threat oferuje nam dowolność w spersonalizowaniu zaplanowanego ataku. Między innymi mamy możliwość edycji dostępnych szablonów, a ich ilość i pomysłowość robi wrażenie. Możemy przygotowywać różne kampanie, które swoim zasięgiem obejmą całą firmę lub przygotowanym stricte dla konkretnych odbiorców np. księgowości, działów zakupów, czy obsługi klienta.

Po wyborze kampanii oraz odpowiadającym jej szablonom, mamy możliwość podpięcia szkolenia, które „w nagrodę”, za otwarcie podejrzanego załącznika lub podanie danych do logowania, zafunduje sobie nierozważny odbiorca wiadomości. Phish Threat już na etapie tworzenia mailingu sugeruje, w zależności od rodzaju kampanii, jakie szkolenie byłoby najodpowiedniejsze. Oczywiście mamy możliwość rezygnacji ze szkolenia w ogóle.

Wiedza, to kluczowa sprawa!

Po przygotowaniu i rozesłaniu kampanii przychodzi najciekawszy moment, a mianowicie sprawdzenie wyników. Nie byłoby to możliwe, bez zaawansowanego systemu raportowania, który w Phish Threat, w przejrzysty sposób dostarczy nam wielu ciekawych informacji o poszczególnych użytkownikach jak i całych grupach a w konsekwencji o całej organizacji.

Wyzwanie!

Podsumowując jeśli szukacie wydajnego narzędzia do przetestowania swojej firmy pod względem podatności jej pracowników na wszelkiego rodzaju ataki phishingowe i nie tylko, lub jeśli uważacie, że Wasi pracownicy są odporni na tego typu prowokacje, to zachęcamy Was do przetestowania Sophos Phish Threat. Wystarczy do nas zadzwonić lub napisać.

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym artykule zajmiemy się urządzeniami mobilnymi i faktem, że są one nieodłącznym elementem naszego życia, a niejednokrotnie bagatelizujemy ich znaczenie i ochronę informacji, które w nich przechowujemy.

Pierwszą część raportu, opisującą ransomware można znaleźć TUTAJ

Brzydkie zagrywki przynoszą efekty

W ubiegłym roku zaobserwowaliśmy zwiększającą się różnorodność ataków mobilnych wykorzystywanych przez przestępców mających na celu atakowanie właścicieli smartfonów. Kieszonkowe komputery, które wielu z nas nosi, zawierają mnóstwo osobistych i poufnych informacji, które ujawniają wiele o naszym codziennym życiu. Wbrew pozorom, napastnicy wcale nie muszą kraść tych informacji, aby czerpać korzyści z ataku. Coraz częściej polegamy na tych urządzeniach, aby zabezpieczyć nasze prywatne konta, wykorzystując uwierzytelnianie dwuskładnikowe poprzez wiadomości SMS lub przy użyciu aplikacji uwierzytelniających na samych telefonach komórkowych. Wiele ataków „SIMjacking”, które miały miejsce w ubiegłym roku, ujawniło, że atakujący biorą sobie na cel słabe ogniwo między klientami a dostawcami telefonów komórkowych, które może być łatwo skompromitowane za pomocą inżynierii społecznej, co  w konsekwencji doprowadziło do kilku głośnych kradzieży zarówno kryptowaluty, jak i środków finansowych od zamożnych osób.

 Złośliwe oprogramowanie pozostaje największym problemem, przede wszystkim (choć nie wyłącznie) na platformach Android i iOS. Aby temu zaradzić, właściciele dużych sklepów z oprogramowaniem, Apple i Google, skanują aplikacje w poszukiwaniu cech wskazujących na to, że mogą one zawierać kod, o którym wiadomo, że jest wykorzystywany w złośliwy sposób. Jeśli skanowanie zarejestruje podejrzane zachowania aplikacji, to jest ona automatycznie oznaczana jako niebezpieczna. Niestety mechanizm ten nie jest idealny – niektórzy twórcy oprogramowania opracowali genialne metody ukrywania prawdziwych intencji swoich aplikacji przed kontrolą Google (lub badaczy bezpieczeństwa).

Pomyślmy, co się stanie, jeśli programista tak napisze swoją aplikację, aby uniknąć kontroli systemów Google i nadal będzie oszukiwać użytkowników, stosując nieuczciwe metody? W połączeniu z bardzo rozdrobnionym ekosystemem Androida, w którym wielu producentów urządzeń rzadko oferuje aktualizacje systemu operacyjnego, urządzenia mobilne pozostają łatwym celem ataków.

Pieniądze z reklam zasilają oszustów

Reklama pomaga twórcom aplikacji utrzymać się na rynku, a jednocześnie zapewnia użytkownikowi w rewanżu przydatne aplikacje. W samych reklamach nie ma nic złego, pod warunkiem, że celem aplikacji nie jest maksymalizacja przychodów z reklam – kosztem praktycznie wszystkiego innego.

Aby osiągnąć wspomniany wyżej cel, programiści aplikacji mobilnych oszukują klientów i systemy naliczania wynagrodzeń za reklamy. Niektórzy twórcy publikują w sklepie aplikacje zawierające w większości pracę innej osoby, a sama aplikacja jest połączona z bibliotekami reklamowymi, które nie są częścią oryginalnej aplikacji właściwego autora. Ponieważ aplikacje tego typu nie zawierają jawnie złośliwego kodu, automatyzacja zastosowana do skanowania aplikacji po ich pierwszym przesłaniu do Sklepu Play zgłasza, że ​​są one łagodne i umożliwia ich dopuszczenie do pobrania przez konsumentów.

Inni programiści tworzą oryginalne aplikacje, które oprócz podanych funkcji, wykorzystują specjalnie opracowane instrukcje, które automatycznie generują „pseudokliknięcia” treści reklamowych, aby przekonać reklamodawców, że użytkownicy aplikacji byli tak niesamowicie zachwyceni reklamami wyświetlanymi w aplikacji, że klikali w nie bez opamiętania. Gdy użytkownik faktycznie kliknie reklamę, sieć reklamowa płaci premię twórcy, którego aplikacja przedstawiła użytkownikowi reklamę. Fałszywe kliknięcia gwarantują, że partner reklamowy otrzyma premię za reklamy za każdym razem, gdy użytkownik fizycznie kliknie w baner z reklamą. Niektóre z tych zwodniczych aplikacji zgłaszają sfałszowany ciąg User-Agent reklamodawcom, dzięki czemu całe zachowanie wygląda tak, jakby sztucznie wygenerowane kliknięcia, z jednej aplikacji na systemie Android na jednym urządzeniu, faktycznie powstały w kilkudziesięciu różnych aplikacjach na różnych urządzeniach.
Oszustwo to odbija się nie tylko na reklamodawcach, ale również i na samych użytkownikach, ponieważ zauważają oni, że aplikacje, które biorą udział w tego typu oszustwach reklamowych, zużywają ogromne ilości danych, nawet gdy telefon jest w trybie uśpienia. W konsekwencji doprowadza to do skrócenia żywotności baterii, generuje wyższe opłaty za wykorzystanie danych mobilnych i obniżoną wydajność urządzenia.

Fleeceware – nowa metoda wyłudzania środków przez aplikacje 

W ubiegłym roku laboratoria Sophos odkryły grupę aplikacji, które wykorzystują nowatorski model biznesowy, który nazwany został fleeceware. Aplikacje tego typu istnieją wyłącznie po to, by klienci tracili bardzo duże pieniądze. Same aplikacje nie spełniają nijak definicji złośliwej aplikacji, ani nie wykazują żadnej złośliwej aktywności, nie są również uważane za potencjalnie niechciane aplikacje, czy też takie, które miałyby cokolwiek uszkodzić. Twórcy aplikacji fleeceware korzystają z modelu biznesowego zakupów w aplikacji dostępnego w ekosystemie Sklepu Play na Androida. Użytkownicy mogą pobierać aplikacje i korzystać z nich bezpłatnie przez krótki okres próbny, ale muszą za to podać informację o wybranej przez siebie formie płatności dla programisty na samym początku okresu próbnego. Jeśli użytkownik nie anuluje okresu próbnego przed jego wygaśnięciem, programista obciąża użytkowników regularnie bardzo wysoką kwotą za użytkowanie aplikacji z funkcjami tak prostymi, jak darmowe filtry fotograficzne czy skanery kodów kreskowych. Wielu użytkowników błędnie  zakłada, że odinstalowanie aplikacji kończy okres próbny, ale programiści są o krok przed nimi – wymagają przejścia procesu anulowania subskrypcji. Jeśli po wygaśnięciu okresu próbnego, użytkownik nie odinstalował aplikacji, ale poinformował programistę, że nie chce dalej z niej korzystać, programista pobiera specjalną opłatę za rezygnację z korzystania z aplikacji. I koło się zamyka.

 Pseudobankowe aplikacje unikają kontroli w Sklepie Play

Aplikacje zaprojektowane w celu kradzieży danych uwierzytelniających nasze konta bankowe od dawna niepokoją użytkowników Androida.
Aplikacje dostępne za pośrednictwem Sklepu Google pojawiły się jako te związane z finansami, jednakże dopiero w drugim etapie ujawniają one swoją prawdziwą naturę. Ponieważ złośliwy kod nie jest obecny w pliku .apk, dopóki użytkownik nie pobierze i nie zainstaluje aplikacji na swoim urządzeniu, usługom skanowania bezpieczeństwa Google bardzo trudno jest wykryć i zapobiec tym zagrożeniom. Twórcy aplikacji do wyłudzania danych bankowych zaczęli również nadużywać różnych uprawnień aplikacji na Androida, takich jak pozwolenie na dostęp (które ma pomóc użytkownikom niepełnosprawnym). Złośliwe aplikacje używają tego uprawnienia, aby przyznać sobie prawa do monitorowania działań użytkownika, takich jak naciśnięcia klawiszy na klawiaturach wirtualnych, gdy użytkownicy logują się do zaufanych aplikacji bankowych.

Ukryte aplikacje adware typu hiddad

Hiddad to rodzina szkodliwego oprogramowania, której głównym celem jest zarabianie poprzez agresywną reklamę. Oprogramowanie to przynosi autorowi zyski tak długo, jak długo pozostaje niewykryte i nieusunięte przez użytkownika. W związku z powyższym takie aplikacje ukrywają się w celu uniknięcia prób odinstalowania.
Złośliwe oprogramowanie  typu hiddad ukrywa ikonę aplikacji w zasobniku aplikacji i programie uruchamiającym (launcherze) co więcej często tworzony jest skrót do aplikacji, który nie umożliwia jej usunięcia. Złośliwe oprogramowanie hiddad może również nadawać sobie nieszkodliwe nazwy i systemowe ikony w ustawieniach telefonu. Złośliwe oprogramowanie tego typu zwykle przyjmuje formę legalnej aplikacji, takiej jak czytnik kodów QR czy aplikacja do edycji obrazów. Autorzy bardzo często udostępniają go w sklepach z aplikacjami, aby szybko zainfekować dużą liczbę urządzeń, a tym samym znacząco zwiększyć przychody reklamodawcy. Niektóre aplikacje tego typu wielokrotnie proszą użytkowników o wysoką ocenę aplikacji  lub instalują dodatkowe aplikacje, aby szybko zwiększyć popularność i liczbę instalacji. Tylko we wrześniu 2019 r. W Sklepie Play odkryto co najmniej 57 aplikacji typu hiddad, których łączna liczba instalacji wynosi około 15 milionów. Laboratoria Sophos odkrywają nowy zestaw takich aplikacji regularnie co kilka tygodni. Wielu z tych aplikacji udało się uzyskać ponad milion pobrań w ciągu kilku tygodni od pojawienia się w Internecie.
Aplikacje typu hiddad będą na pewno jednymi z najchętniej wykorzystywanych przez cyberprzestępców w 2020 roku.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Producent oprogramowania MailStore opublikował najnowszą wersję oprogramowania, oznaczoną numerem 12.1 która wnosi kilka zmian:

1) Poprawa wydajności archiwizacji skrzynek pocztowych – producent deklaruje, że dzięki ulepszeniom w sposobie obsługi magazynów archiwów w MailStore Sterver i MailStore SPE, wydajność archiwizacji skrzynek pocztowych zwiększyła się nawet o 20% w porównaniu z wcześniejszymi wersjami.

 2) Zakończenie wsparcia dla Windows Vista, Windows Server 2008 i Windows Server SBS 2008 - po długiej fazie przejściowej, MailStore Server kończy wsparcie dla przestarzałych już systemów operacyjnych firmy Microsoft. Nie będzie już możliwe uruchomienie MailStore Server w systemach Windows Vista, Windows Server 2008 oraz Windows Small Business Server 2008. Klienci korzystający z tych systemów operacyjnych nie będą mogli używać oprogramowania MailStore od wersji 12.1.

We własnym interesie zalecamy użytkownikom zaktualizowanie używanego systemu operacyjnego do wersji objętej aktualizacjami i wsparciem producenta.

3) Oprogramowanie MailStore jest teraz w stanie eksportować zarchiwizowane wiadomości e-mail bez potrzeby odtwarzania oryginalnej struktury folderów archiwum. W niektórych scenariuszach ułatwi to obsługę i przetwarzanie eksportowanych wiadomości e-mail oraz umożliwi to użytkownikom uniknięcie ograniczeń maksymalnej głębokości podfolderów dopuszczalnej w miejscu eksportu.

4) Pomoc podczas procesu konfiguracji oraz opcja eksportu szczegółowych informacji o czynnościach wykonywanych przez użytkowników:

- Podczas procedury konfigurowania archiwizacji wiadomości e-mail dla Microsoft Exchange kreator instalacji zapewnia bezpośredni link do pomocy online dla wszystkich obsługiwanych wersji Exchange i Microsoft Office 365.

- Ważną funkcją zgodności oprogramowania jest dziennik kontroli, w którym zdarzenia na serwerze są rejestrowane w celu późniejszego ewentualnego audytu. Począwszy od wersji 12.1 administrator MailStore może dodatkowo wyeksportować szczegółowe informacje należące do każdego zarejestrowanego zdarzenia zawartego w dzienniku kontroli MailStore, aby dane te można było później szczegółowo przeanalizować.

5) Archiwa należące do użytkowników, którzy opuścili firmę, są teraz wyświetlane osobno na stronie „Uprawnienia” w sekcji „Użytkownicy i archiwa”.  Dzięki temu administratorzy mogą szybko zidentyfikować archiwa, do których użytkownicy nie są już przypisani.

6) Nowe ikony MailStore znacznie lepiej komponują się z obecnym wyglądem Outlooka, tworząc bardziej harmonijny, nowoczesny wygląd:

Szczegółowe informacje o programie oraz wersję próbną można pobrać ze strony: https://mailstore.suncapital.pl

 

źródło: https://www.mailstore.com/en/blog/2020/02/05/mailstore-v12-1-faster-easier-use/

 

SOPHOS ogłosił listę urządzeń, które będą umożliwiały aktualizację oprogramowania XG do wersji 18.

Szczegóły znajdują się na grafice poniżej:

Wszystkie obecne i poprzednie modele z serii XG i SG z co najmniej 4 GB pamięci RAM można zaktualizować do wersji 18, drugim warunkiem koniecznym jest ważna subskrypcja.

Każdy model, który nie będzie umożliwiał aktualizacji do wersji 18 będzie wspierany w wersji 17.5. 

Dowolny model obsługiwany tylko do wersji 18, np. starsze wersje XG / SG, będzie nadal otrzymywać wsparcie zgodnie z polityką producenta.

Tak jak obiecałem, wracam z drugim artykułem, będącym serią podsumowań i przedstawieniem wyzwań w cyberbezpieczeństwie w 2020 roku. Dzisiaj drugi z producentów – SOPHOS. Z racji tego, że cały raport, który omawiam jest dość obszerny, dla swobody czytania podzielę go na kilka osobnych artykułów:

Część I: Ransomware i spółka;
Część II: Urządzenia mobilne w akcji – uwielbiamy we wszystko klikać;
Część III: Nie ma czasu tego wszystkiego analizować, czyli konsekwencje ignorowania „szumu” w sieci;
Część IV: Ochrona chmury – małe zaniedbania prowadzą do dużych problemów;
Część V: Uczenie maszynowe – ma pomagać, a samo jest obiektem ataków;
Część VI: Szklana kula, czy wróżenie z fusów? Prognozy na przyszłość.

Ransomware wchodzi na wyższy poziom

Ransomware wpływa na coraz większą liczbę ofiar z każdym rokiem, ale ma piętę achillesową: szyfrowanie jest procesem czasochłonnym, napędzanym przez moc obliczeniowa procesora komputera hosta. Potrzeba odpowiednio dużo czasu, aby  algorytmy szyfrujące bezpiecznie zaszyfrowały dane na całych dyskach twardych. W przypadku oprogramowania ransomware aplikacja powinna być niemalże tak samo dobrze zoptymalizowana pod kątem dwóch kluczowych czynników: aby uniknąć wykrycia przez nowoczesne narzędzia bezpieczeństwa oraz aby sam proces szyfrowania był jak najbardziej wydajny. Jako, że priorytetem staje się uniknięcie wykrycia, zdajemy się zauważać, że wielu atakujących używających oprogramowania ransomware rozwinęło głębokie zrozumienie tego, w jaki sposób produkty bezpieczeństwa sieci i urządzeń końcowych wykrywają lub blokują ich złośliwą aktywność. W związku z tym, ataki ransomware prawie zawsze zaczynają się od prób udaremnienia mechanizmów bezpieczeństwa, z różnym powodzeniem.

Atakujący odkryli również, że po uzyskaniu dostępu do stacji ofiary mają większa szansę na uzyskanie okupu, gdy atak szyfruje tylko taką ilość danych, których nie można odzyskać, aby było to warte zapłacenia okupu przez ofiarę. Chociaż cel oprogramowania ransomware jest zawsze taki sam – wejść w posiadanie ważnych dla firmy, czy użytkownika danych – o wiele łatwiej jest zmienić złośliwe oprogramowanie „z wyglądu” (zaciemnić kod źródłowy) niż zmienić jego ostateczny cel. Nowoczesne oprogramowanie ransomware coraz bardziej stara się ukrywać cel swojego działania poprzez zręcznie napisany kod.

Dodatkowym sposobem na utrudnienie wykrycia oprogramowania ransomware jest skompilowanie go dla jednej ofiary, ochrona unikatowym hasłem, czy też uruchamianie tylko w ściśle określonym środowisku, wykorzystując identyfikatory sprzętu komputerowego charakterystyczne dla konkretnej fizycznej maszyny (HWID).

Niektóre cechy oprogramowania ransomware są dla niego bardzo charakterystyczne (na przykład szyfrowanie plików po kolei), ale z drugiej strony jest to również domena programów takich jak VeraCrypt, które wcale ransomware’m nie są. W związku z powyższym wykrywanie ransomware’u wymaga obecnie analizy coraz większej liczby czynników, zależności i uwarunkowań.

Konta użytkowników z ograniczonym dostępem administracyjnym. Ale co z tego?

Chociaż dobrą praktyką jest nadawanie kontom użytkowników – a tym samym uruchamianym przez nich aplikacjom – ograniczonych praw dostępu, w dzisiejszym krajobrazie zagrożeń niewiele to pomaga. Nawet jeśli zalogowany użytkownik ma standardowo ograniczone uprawnienia, dzisiejsze oprogramowanie ransomware może korzystać z obejścia kontroli konta użytkownika (UAC) lub wykorzystać lukę w oprogramowaniu, chociażby tą oznaczoną CVE-2018-8453, w celu podniesienia uprawnień. Co bardziej ambitni i aktywni przeciwnicy, którzy atakują sieć odpowiednio przygotowani, przechwycą poświadczenie administracyjne, aby upewnić się, że szyfrowanie jest wykonywane przy użyciu uprzywilejowanego konta domenowego, aby uzyskać pełne uprawnienia dostępu do plików i zwiększyć szansę na sukces. Atakujący mogą próbować ukryć swoją obecność, podpisując cyfrowo swoje oprogramowanie przy użyciu certyfikatu Authenticode. W sytuacji, gdy oprogramowanie ransomware posiada poprawnie podpisany cyfrowo kod, oprogramowanie chroniące stacje końcowe może nie analizować tego kodu tak rygorystycznie, jak w przypadku innych plików wykonywalnych bez zweryfikowanego podpisu. Co więcej, bardzo często przy domyślnych ustawieniach, niejako „z automatu” ufamy programowi podpisanemu zaufanym certyfikatem.

Wygodne zarządzanie jest wygodne też dla złodziei

Coraz częściej obserwuje się atakujących wykorzystujących skradzione dane uwierzytelniające lub wykorzystujących luki w rozwiązaniach do zdalnego monitorowania i zarządzania (RMM), takich jak Kaseya, ScreenConnect czy BeyondTrust. Z rozwiązań RMM zwykle korzysta dostawca usług zarządzanych (MSP), który zdalnie zarządza infrastrukturą IT i / lub systemami użytkowników końcowych. Rozwiązania RMM zazwyczaj działają z wysokimi uprawnieniami, a po „wejściu do środka” oferują zdalnemu napastnikowi dostęp „z klawiatury własnego sprzętu”, co skutkuje ryzykiem „porwania” danych.  Dzięki takiemu rodzajowi dostępu, przestępcy mogą łatwo dystrybuować oprogramowanie ransomware z dowolnego miejsca na świecie, potencjalnie uderzając jednocześnie w wielu klientów MSP.

W związku z tym bardzo ważne jest, aby włączyć uwierzytelnianie wieloskładnikowe (MFA) na urządzeniu pełniącym rolę serwera do zarządzania i uruchomić ochronę przed manipulacją w oprogramowaniu na stacjach końcowych (tzw. tamper protection), ale należy mieć na uwadze, że świadomi przeciwnicy mogą próbować zalogować się do centralnego serwera, aby wyłączyć ochronę w całej sieci, bez podziału na konkretne maszyny.

Planowanie kluczem do sukcesu

Aby zwiększyć prawdopodobieństwo zapłacenia okupu, oprogramowanie ransomware próbuje zaszyfrować jak najwięcej dokumentów, czasami ryzykując lub celowo uszkadzając stację końcową. Program może zapobiegawczo nadawać priorytet szyfrowania biorąc pod uwagę rozmiary dysków lub dokumentów, aby zdążyć zaszyfrować najnowsze dokumenty, zanim zostanie wykryte przez oprogramowanie do ochrony stacji końcowych. Co więcej, złośliwe oprogramowanie może być zaprogramowane tak, aby szyfrować kilka dokumentów jednocześnie za pomocą wielu wątków, może ustalać priorytety dla mniejszych dokumentów, a nawet wyszukiwać i atakować dokumenty na zmapowanych zdalnych współdzielonych dyskach.

Cały powyższy artykuł pokazuje, że oprogramowanie ransomware nieustannie ewoluuje i stara się przegonić oprogramowanie zabezpieczające, stosując coraz bardziej wyrafinowane sztuczki, taki jak podpisy cyfrowe, skomplikowany kod, czy uruchamianie szyfrowania ze sporym opóźnieniem. Wszystko to pokazuje, że w 2020 roku będziemy mieli do czynienia z ransomware’m, który będzie jeszcze bardziej niebezpieczny i trudny do wykrycia.

Cyber Security Team będący częścią zespołu tworzącego BackupAssist – rozwiązania do tworzenia kopii bezpieczeństwa systemów Windows przygotował przewodnik po zabezpieczeniu biznesu przed ransomware na 2020 rok. W tym kompleksowym przewodniku przedstawione są konkretne kroki, które opisują najlepsze sposoby na ochronę przed ransomware. Wszystkich zainteresowanych zapraszamy do lektury najważniejszych (według nas) treści.

CZĘŚĆ 1 Poznać swojego wroga, czyli zrozumieć, czym jest i jak działa ransomware. Czym jest ransomware?

Ransomware, to złośliwe oprogramowanie, które szyfruje Twoje dane, pozbawiając Cię tym samym możliwości z ich korzystania. Następnie żąda zapłaty za klucz, którym możesz odszyfrować swoje dane i odzyskać do nich dostęp.

Bardzo często ransomware wymusza na swoich ofiarach podjęcie konkretnych działań poprzez informację o dacie wygaśnięcia żądania okupu: jeśli okup nie zostanie zapłacony w wyznaczonym terminie, klucz do odszyfrowania zostanie zniszczony i tym samym wszystkie zaszyfrowane dane pozostaną niedostępne na zawsze. Innym rodzajem straszaka jest również informacja o ujawnieniu twoich danych w sieci.

Czy ransomware to to samo co malware?

Jest wiele rodzajów malware, czyli złośliwego oprogramowania, a jednym z nich jest własnie ransomware. Z tą różnicą, że zamiast kradnąć twoje dane, czy usuwać je albo szpiegować Cię, jego głównym zadaniem jest wyciągnięcie od Ciebie pieniędzy w zamian za odzyskanie dostępu do Twoich danych.

Skąd pochodzi ransomware?

Ransomware jest tworem cyber-przestępców, którymi moga być pojedyncze osoby lub dobrze zorganizowane konsorcja. Ich działalność w sieci jest doskonale zorganizowana. Zachowują oni swoja anonimowość dzieki wykorzystaniu narzędzi takich jak TOR (Wikipedia: (ang. The Onion Router) – wirtualna sieć komputerowa implementująca trasowanie cebulowe drugiej generacji. Sieć zapobiega analizie ruchu sieciowego i w konsekwencji zapewnia użytkownikom prawie anonimowy dostęp do zasobów Internetu.) i kryptowaluty, dzięki temu zwykły użytkownik praktycznie nie jest w stanie ustalić, gdzie znajduje się przestępca.

W jaki sposób ransomware może dostać się do mojej sieci lub komputera?

Mówiąc ogólnie trzy najczęstsze sposoby, które mogą się wydarzyć to:

1. Samorozprzestrzenianie się infekcji – podobnie jak wirus, niektóre odmiany oprogramowania ransomware mogą automatycznie sondować sąsiednie komputery w sieci i „przeskakiwać” z jednego komputera na inny, rozprzestrzenianie odbywa się utomatycznie poprzez wykorzystanie określonych cech i usług systemu operacyjnego lub aplikacji zainstalowanych na komputerze.

2. Manualna infekcja – polegająca na włamaniu sie przez przestepcę do systemów (często dzięki zastosowaniu słabych haseł, luk w protokołach RDP (remote Desktop Protocol) lub exploitom zero-day), a następnie ręczne zainstalowanie oprogramowania ransomware w celu uzyskania okupu.

3. Użytkownicy nieświadomie infekują swój komputer, klikając linki w spamie lub wiadomościach phishingowych, podłączając urządzenia USB lub odwiedzając witryny, które zostały zainfekowane.

W jaki sposób ransomware wpływa na twoje systemy komputerowe?

Dwie typowe rzeczy, które ransomware może zrobić w twoim systemie:

1. Uniemożliwia uruchomienie. The Petya (odmiana z 2016) atakował główny rekord rozruchowy (MBR) maszyny, przejmując tym samym kontrolę nad maszyną i wymuszając zapłacenie okupu od jego użytkownika.

2. Umożliwia uruchomienie komputera ale jednocześnie uniemożliwia dostęp do danych. W tym przypadku ransomware będzie szukać danych, które według niego są wartościowe, takich jak dokumenty i bazy danych, które następnie szyfruje.

Co stanie się, gdy zostaniesz zainfekowany?

Większość oprogramowania ransomware wyświetla na ekranie monitora ostrzeżenie, że dane zostały zaszyfrowane.

Jest tam również instrukcja jak zapłacić okup i że dostaniesz klucz do odszyfrowania danych po zapłaceniu okupu. Niektóre programy ransomware uniemożliwiają uruchomienie komputera, chyba że zapłacisz okup.

Jak powszechne jest oprogramowanie ransomware?

Ataki ransomware występują znacznie częściej niż może nam się wydawać, a zgłaszane infekcje rosną z roku na rok. Według raportu McAfee Labs Threat Report (sierpień 2019 r.) Liczba raportów Ransomware na całym świecie w pierwszym kwartale 2019 r. Wyniosła 1,3 miliona. To ponad dwukrotnie więcej niż 600 000 infekcji zgłoszonych w poprzednim kwartale na koniec 2018 r.

Czy oprogramowanie ransomware może zainfekować nasze kopie zapasowe?

Niestety tak. Istnieje wiele sposobów, dzięki którym ransomware może uczynić nasze kopie zapasowe bezużytecznymi – takie jak uszkodzenie plików z kopiami zapasowymi znajdującymi się na urządzeniach zewnętrznych (np. zainfekowanie dysku USB z kopiami po podłączeniu go do zainfekowanej maszyny) lub uszkodzenie kopii zapasowej wewnętrznie (np. poprzez rozprzestrzenienie się złośliwego oprogramowania w sieci lokalnej do udostępnianych zasobów, w tym również do serwerów backupowych). Dobra strategia ochrony przed oprogramowaniem ransomware musi uwzględniać sposób, w jaki ransomware infekuje kopie zapasowe.

Czy mogę ponownie wykorzystać wcześniej zainfekowaną maszynę?

Ze względu na ryzyko ponownej infekcji specjaliści z BacupAssist odradzają takie postępowanie. Najbezpieczniejszą metodą odzyskiwania jest odzyskanie danych z kopii zapasowej na nowy sprzęt. Pozwoli to zminimalizować ryzyko ponownej infekcji.

Nie rekomendowane jest używanie istniejącej maszyny z nowymi dyskami twardymi. Jak wyjaśniają w rozdziale 3 tego artykułu, oprogramowanie ransomware często instaluje backdoory. Backdoory mogą obejmować modyfikację firmware UEFI komputera, co może skutkować ponowną infekcją, nawet jeśli dysk twardy zostanie całkowicie wyczyszczony.

Absolutnie nie zalecają dalszego korzystania z zainfekowanego systemu operacyjnego. Wykorzystanie narzędzi do usunięcia malware z naszego systemu może wydawać się najszybszą drogą do ponownego korzystania z komputera, niekoniecznie jednak musi to być bezpieczne rozwiązanie. Nie mamy 100% pewności, czy malware został usuniety w całości, co finalnie może doprowadzić do
ponownej infekcji urządzenia lub co gorsza do rozprzestrzenienia sie jej na pozostałe komputery w sieci. Ponowne korzystanie z zainfekowanego wcześniej systemu operacyjnego (jesli jest konieczne) powinno odbywać się w całkowitym odseparowaniu od sieci.

Jaka jest najlepsza forma ochrony przed ransomware?

W dalszej części artykułu, specjaliści z BackupAssist omówią zarówno zapobiegawcze jak i naprawcze formy ochrony przed niechcianym szyfrowaniem naszych danych. Dlatego też jeśli używasz tylko jednej formy ochrony BackupAssist rekomenduje tworzenie kilku kopii zapasowych, jako jedyne w pełni niezawodne rozwiązanie.

Użytkownicy domowi komputerów mogą w najprostszy sposób zabezpieczyć się przed utrata danych, poprzez ręczne skopiowanie najważniejszych plików na wymienny dysk USB lub wypalenie danych na płytach (Blu-ray), choć tutaj mamy do czynienia z problemem ograniczonej pojemności.

W przypadku firm wymagania są zasadniczo znacznie wyższe, związane z koniecznością przywracania serwerów i systemów o kluczowym znaczeniu, takich jak Active Directory, poczta e-mail i bazy danych. Backup dla tych zasobów jest zwykle wykonywany przez oprogramowanie klasy biznesowej, najlepiej zawierające aktywne zabezpieczenia przed tworzeniem kopii zapasowej z zainfekowanych ransomware danych.

CZĘŚĆ 2 Bądź o krok przed – czyli jak ransomware może dostac sie do Twojej sieci.

Ta część pozwoli Ci zrozumieć, jakie luki może mieć Twoja firma i jak infekcja może je wykorzystać. To zrozumienie jest niezbędne w celu ochrony organizacji przed oprogramowaniem ransomware.

Powodem, dla którego oprogramowanie ransomware jest tak wszechobecne, jest to, że może się rozprzestrzeniać na wiele sposobów.

Jak już wcześniej wspomniano ransomware może dostać się do Twojej sieci dzięki wykorzystaniu luk w sieci, dzięki nośnikom wymiennym, które podłączymy do komputera będącego częścią sieci, poprzez narzędzia zdalnego dostępu, takie jak RDP, złośliwe strony internetowe i załączników e-mail. Po zainstalowaniu na jednym komputerze ransomware może rozprzestrzeniać się po całej sieci, instalując się na każdym znalezionym urządzeniu.

Ta grafika pokazuje 3 popularne sposoby rozprzestrzeniania się oprogramowania ransomware: połączenia internetowe, załączniki e-mail i zainfekowane dyski wymienne.

 

Gdy znajdzie się w sieci, ransomware może wykryć wszystkie stacje robocze, serwery, laptopy i inne sieci lokalne i w konsekwencji rozprzestrzenić się również na nie.

5 posobów na rozprzestrzenienie się ransomware wśród Twojej sieci

1. Zagrożenie internetowe

Za każdym razem, gdy usługa (np. web serwer, serwer zdalnego logowania, serwer e-mail lub witryna e-commerce) jest narażona na działanie Internetu, istnieje potencjalne ryzyko, że może zostać wykorzystana nie tak jak sobie założymy. Hakerzy często używają zautomatyzowanych narzędzi do wyszukiwania w Internecie komputerów i sieci z lukami w zabezpieczeniach, takimi jak słaba konfiguracja, przestarzałe łatki oraz słabe hasła, a następnie wykorzystują znalezione luki do kopiowania kodu ransomware na urządzenie w naszej sieci.

2. Zagrożenie urządzeń przenośnych

Ransomware może być zainstalowane na dyskach USB, urządzeniach typu pendrive i rozprzestrzenia się na inne maszyny, gdy ten napęd lub urządzenie jest podłączone.

3. Złośliwe strony internetowe

Komputer z brakiem aktualizacji zainstalowanych na nim aplikacji może zostać zainfekowany oprogramowaniem ransomware podczas odwiedzania złośliwej witryny www. Chociaż Google i przeglądarki internetowe filtrują złośliwe strony internetowe, niebezpieczeństwo infekcji utrzymuje się ze względu na ryzyko przekierowania na inna witrynę (cross-site scripting). Ataki te wykorzystują zainfekowaną, legalną stronę internetową do przekierowania cię na stronę zainfekowaną.

4. Malvertising

Reklama online korzysta z dynamicznych funkcji zachęcających do przeglądania i klikania w banery reklamowe. Niestety, funkcje te mogą być wykorzystywane przez hakerów, którzy wstawiają oprogramowanie ransomware do legalnych reklam. Dzięki temu mogą zainfekować Twój komputer, przekierowując Cię na złośliwą stronę internetową lub zainstalować oprogramowanie ransomware podczas interakcji z reklamą. W niektórych przypadkach wystarczy wyświetlić reklamę, aby zainfekować komputer.

5. Zagrożenie związane z pocztą email

Ransomware można rozprzestrzeniać za pomocą wiadomości e-mail z załącznikami. Chociaż pliki PDF i dokumenty biurowe są znacznie bezpieczniejsze niż kiedyś, formaty kompresji plików, takie jak WinRAR, mogą być używane do dostarczania oprogramowania ransomware, zwłaszcza jeśli serwer pocztowy nie zapewnia odpowiedniego filtrowania poczty. Wiadomość e-mail może wyglądać jak oryginalna wiadomość (np. od firmy kurierskiej, czy sklepu internetowego) po otwarciu załącznika takiej wiadomości ransomware niezauważalnie rozpoczyna szyfrować dane i rozprzestrzeniać się z jednego komputera na drugi.

Pomimo tego, że email jest jedną z najstarszych form rozpowszechniania oprogramowania ransomwrae, według raportu McAfee Advanced Threat Research z sierpnia 2019 r. technika ta jest nadal jedną z najbardziej popularnych metod a zarazem przynosząca największy dochód z ransomware, zwłaszcza w dużych organizacjach.

To koniec pierwszej części raportu, kolejne już niebawem. Jeśli chcecie już dziś zapoznać się z całością to odsyłamy do źródła i życzymy udanej lektury.

Źródło: https://www.backupassist.com/blog/ransomware-protection-guide

Koniec stycznia to dobry moment na podsumowania. W dwóch kolejnych artykułach przedstawię podsumowanie roku 2019 i perspektywy na rok 2020 oczami dwóch firm zajmujących się cyberbezpieczeństwem: GFI oraz SOPHOS. Zapraszam do lektury!

Na pierwszy ogień – podsumowanie roku 2019 według GFI

Rok 2019 to bez wątpienia rok ransomware i wszelkiego rodzaju phishingów – zaobserwowano nowe i bardziej wyrafinowane ataki typu ransomware, prawie 8 miliardów rekordów zostało narażonych na ponad 5000 naruszeń (według stanu na listopad według danych opartych na ryzyku podanych przez CNET), wyjątkowo popularne były zagrożenia obierające sobie za cel urządzenia mobilne, kontenery oraz narzędzia chmurowe, takie jak Kubernetes.

Oprócz samych ataków można również (co jest nieuniknione i naturalne) zauważyć postępy w zakresie bezpieczeństwa IT. Firmy muszą szybko reagować na to, co dzieje się wokół, aby skutecznie zapewnić bezpieczeństwo danych i aplikacji w obliczu ciągle ewoluujących zagrożeń. Organizacje, jako ogół, i ludzie nimi zarządzający, jako organ wykonawczy, wreszcie zaczynają zdawać sobie sprawę z niebezpieczeństw płynących z używania tylko jednej metody uwierzytelniania w postaci nazwy użytkownika i hasła i zaczynają przechodzić na uwierzytelnianie wieloskładnikowe – coraz popularniejsze staje się uwierzytelnianie sprzętowe i biometria oraz karty inteligentne.

Jeśli chodzi o samych producentów – zaawansowane techniki, takie jak analiza behawioralna użytkownika, mogą pomóc w szybszym wykrywaniu zainfekowanych kont, użycie sztucznej inteligencji (AI) w połączeniu z uczeniem maszynowym może pomóc wskazać nieprawidłową aktywność i wykryć złośliwe oprogramowanie, zanim będzie miało szansę wyrządzić szkodę.

Przed wejściem w nowy rok, który niewątpliwie przyniesie nieoczekiwane wyzwania, rzućmy okiem na dobre, złe i brzydkie części krajobrazu bezpieczeństwa w roku 2019 oraz wnioski, które możemy wyciągnąć z niektórych głównych incydentów związanych z bezpieczeństwem.

Internet niepewnych rzeczy

Internet rzeczy (IoT) rozwinął się skokowo w ciągu ostatniego roku. Według danych Statisty na koniec 2019 roku, baza podłączonych do Internetu urządzeń (wszelkiego typu) na całym świecie wynosi około 26,6 miliarda. W porównaniu z 23,14 miliarda w 2018 roku, jest to wzrost o ponad 3 miliardy. Przewiduje się ponadto, że liczba ta wzrośnie do ponad 30 miliardów w roku 2020 i ponad 75 miliardów do roku 2025.

Zarówno firmy, jak i osoby prywatne korzystają z wygody i korzyści płynących z „Internetu” wszystkiego, od żarówek, termostatów i urządzeń gospodarstwa domowego po sprzęt i pojazdy służbowe. Przedsiębiorstwa uzyskują cenny wgląd w sposób korzystania z ich produktów i usług przez klientów, analizując dane i zwyczaje konsumenckie gromadzone przez urządzenia internetu rzeczy sterowane czujnikami. W medycynie, handlu detalicznym, lotnictwie, usługach finansowych, produkcji i wielu innych obszarach urządzenia internetu rzeczy służą do angażowania klientów, zwiększania wydajności, zarządzania zapasami i wielu innych interakcji.

Jest jednak jedna rzecz o której zdajemy się zapominać. Przy tak wielu różnych producentach produkujących tak wiele różnych urządzeń – a wiele z tych firm koncentruje się na funkcjonalności, a nie bezpieczeństwie – internet rzeczy był i jest powszechnie uznawany za koszmar bezpieczeństwa. Według badania przeprowadzonego w tym roku przez Forrester, 80% przedsiębiorstw wie, że muszą zająć się polityką bezpieczeństwa niezarządzanego i IoT, ale skala problemu jest tak duża, że firmy same nie wiedzą od czego zacząć.

Według analityków Forbesa częstość ataków na urządzenia IoT wzrosła w 2019 roku o 300%. Ciągłe zagrożenie botnetem Mirai IoT oraz głośny raport Kaspersky’ego, w którym wspomina się o ponad 100 milionów ataków na „inteligentne” urządzenia w pierwszej połowie 2019 roku, pomogły przedstawić problem opinii publicznej. Dobrą wiadomością jest to, że w 2019 roku firmy produkujące urządzenia IoT wreszcie zaczęły poważnie podchodzić do zwiększania ochrony swoich produktów – ale nie zmienia to faktu, że wciąż mają przed sobą długą drogę.

Wszystkie warianty „-ishingów”

Phishing, spear phishing (phishing kierowany), vishing (phishing głosowy), smishing (phishing SMS) – zgodnie z raportem Verizon z 2019 roku, 32% naruszeń danych w ubiegłym roku wiązało się z pewną formą phishingu, która polega na przekonaniu użytkowników do otwarcia złośliwego załącznika wiadomości e-mail, odwiedzenia złośliwej strony internetowej lub pobranie złośliwego oprogramowania, a jego ostatecznym celem jest uzyskanie informacji osobistych lub poufnych.

Według Statisty globalne portale internetowe, banki, sieci społecznościowe, systemy płatności i sklepy internetowe to 5 organizacji najczęściej atakowanych przez phisherów, a badacze Microsoft odkryli, że próby phishingu kierowanego podwoiły się w ciągu roku.

Ponieważ phishing polega na nakłonieniu użytkowników do ujawnienia ich nazw i haseł, często można mu przeciwdziałać poprzez uwierzytelnianie wieloskładnikowe.

W sytuacji, gdy firmy przechodzą na uwierzytelnianie dwuskładnikowe, phisherzy wiedzą, że posiadanie danych uwierzytelniających bez dostępu do drugiego czynnika uwierzytelniającego, którym często jest telefon użytkownika, karta inteligentna lub token, który fizycznie pozostaje w posiadaniu użytkownika, jest dla nich bezużyteczne.

Cyber-zakładnicy

Kierowane na konkretną instytucję czy firmę ataki ransomware stanowiły poważny problem przez cały ubiegły rok, skupiając się głównie na instytucjach opieki zdrowotnej, lokalnych samorządach, firmach kurierskich, dużych korporacjach czy firmach doradczych.

To nie wszystko. Ransomware staje się coraz bardziej wyrafinowane, a coraz powszechniejsze stają się wielostopniowe ataki na dużą skalę na znane organizacje siejące spore spustoszenie w firmach. Obecnie cyberprzestępcy zaczęli nawet publikować dane firm, które odmawiają opłaty, w sytuacji gdy ich dane firmowe są zaszyfrowane, narażając tym samym firmę na zły PR.

Dobrą wiadomością jest to, że nawet te zaawansowane ataki ransomware zwykle zaczynają się po prostu od oszustwa phishingowego. Edukacja użytkowników jest kluczem do obrony przed nimi, a coraz więcej organizacji uczy się jak zapobiegać, działać i szkolić użytkowników przed, a nie po fakcie, jak rozpoznać metody działania przestępców, czy fałszywe maile, a także zaczyna zadawać sobie sprawę, że należy często aktualizować kopie zapasowe ważnych danych, przechowywać je offline, w miejscu, które nie będzie narażone na atak ransomware, bo zwyczajnie nie będzie podpięte do sieci.

Nawet jeśli twoja firma nie należy do jednej z kategorii wymienionych powyżej, ważne jest, aby zachować czujność.  Prognozuje się, że w nadchodzącym roku osoby wykorzystujące oprogramowanie ransomware do pozyskiwania okupu rozszerzą swój zasięg, a nowymi ulubionymi celami będą instytucje badawcze, media, przemysł spedycyjny i transportowy, a także sieci energetyczne i inne obiekty użyteczności publicznej.

Podsumowanie 

Ataki IoT, phishing i ransomware to tylko kilka rodzajów ataków, z którymi mieliśmy do czynienia w 2019 roku i możemy spodziewać się, że ich ilość nie spadnie, a raczej zwiększy się w nowym roku. Atakujący pracują „w nadgodzinach”, aby pozostać o dwa kroki do przodu, ale jednocześnie stają się coraz bardziej wyrafinowani, podobnie jak środki bezpieczeństwa i mechanizmy, które są dostępne, aby podjąć wysiłek ochrony przed nimi.

Gdy sztuczna inteligencja ulegnie poprawie i stanie się bardziej zintegrowana z naszymi strategiami informatycznymi, funkcjami biznesowymi i życiem osobistym, będzie nieuchronnie wykorzystywana przez cyberprzestępców do zwiększenia skuteczności ataków. Drugą stroną tego medalu jest fakt, że analiza z wykorzystaniem sztucznej inteligencji pomoże dokładniej wykrywać wirusy i złośliwe oprogramowanie i będzie wykorzystywana do zwiększania skuteczności mechanizmów obronnych.

Żyjemy w ciekawych czasach i 2020 rok na pewno będzie obfitował w nowe zagrożenia, niebezpieczeństwa, a co za tym idzie metody walki z nimi.

 

opracowanie własne oraz https://techtalk.gfi.com/2019-cybersecurity-incidents-what-did-we-learn/

Sophos Intercept X dla urządzeń mobilnych jest już dostępny! Zwiększ ochronę swoich klientów przed najbardziej zaawansowanymi zagrożeniami dzięki naszemu mobilnemu rozwiązaniu do ochrony.

Wykorzystując technologię głębokiego uczenia się przed złośliwym oprogramowaniem, Intercept X for Mobile chroni użytkowników, ich urządzenia i dane firmowe przed znanymi i nigdy wcześniej nie rozpoznanymi zagrożeniami mobilnymi.

Całkowicie przeprojektowany interfejs umożliwia łatwe zarządzanie i identyfikację wszelkich luk bezpieczeństwa w urządzeniach.

 

 

Poniżej przegląd funkcji:

Bezpieczeństwo urządzeń: Intercept X for Mobile stale monitoruje i ostrzega użytkowników i administratorów IT przed oznakami potencjalnego zagrożenia, aby mogli szybko rozwiązać problemy i automatycznie odebrać dostęp do zasobów korporacyjnych. Kontrole zgodności wykrywają jailbreak, rootowanie, wyświetlają statusie zaszyfrowania urządzenia, informują użytkowników i administratorów IT o niezbędnych aktualizacjach systemu operacyjnego. Zalecenia dotyczące sprawdzania kondycji urządzenia dodatkowo określają ustawienia zabezpieczeń.

Bezpieczeństwo sieci: Intercept X for Mobile monitoruje połączenia sieciowe pod kątem podejrzanych działań w czasie rzeczywistym, ostrzegając użytkowników i administratorów IT przed potencjalnymi atakami Man-in-the-Middle (MITM). Filtrowanie sieci i sprawdzanie adresów URL również zatrzymuje dostęp do znanych witryn o złej reputacji, a wykrywanie phishingu SMS blokuje złośliwe adresy URL.

Bezpieczeństwo aplikacji: Intercept X for Mobile wykrywa złośliwe i potencjalnie niechciane aplikacje instalowane na urządzeniach, chroniąc przed złośliwym oprogramowaniem typu malware, ransomware czy fleeceware (automatyczne przedłużanie subskrypcji odinstalowanych aplikacji). Integracja z Microsoft Intune umożliwia ponadto administratorom tworzenie zasad dostępu warunkowego, ograniczając dostęp do aplikacji i danych w przypadku wykrycia zagrożeń.

Pełna ochrona i kontrola: Intercept X for Mobile to wiodące w branży rozwiązanie do mobilnej ochrony przed zagrożeniami. Zarządzaj nim bezproblemowo za pośrednictwem Sophos Mobile, części naszej platformy Sophos Central, wraz z całym portfolio rozwiązań bezpieczeństwa cybernetycznego.

Unikalne podejście Synos ​​Synchronized Security firmy Sophos umożliwia tym rozwiązaniom współpracę w zakresie udostępniania informacji w czasie rzeczywistym i reagowania na zagrożenia

Pobierz bezpłatnie program Intercept X for Mobile i przetestuj naszą najlepszą w branży ochronę urządzeń mobilnych!

Zachęcamy do zapoznania się z ofertą promocyjną producenta GFI Software™, która będzie obowiązywała do 31 marca 2020 roku.

Firma przygotowała dwie promocje, których zasady opisujemy poniżej:

1. Zamień dotychczasowe rozwiązanie na produkt GFI Software – klienci korzystający obecnie z konkurencyjnego produktu mogą teraz kupić roczny dowolny produkt GFI (z wyjątkiem produktów GFI FaxMaker Online, GFI Unlimited i Exinda) po obniżonej cenie. Osoby, które przedstawią licencję konkurencyjną, mogą przejść na GFI i otrzymać zniżkę do 40% od ceny katalogowej GFI New Business. Promocja obowiązuje od 16 stycznia do 31 marca 2020 roku.

2. Kup nową subskrypcję na 3 lata i zdobądź aż do 20% zniżki na produkty GFI i Kerio. Promocja obowiązywać będzie od 1 lutego do 31 marca 2020 roku i dotyczyć będzie wszystkich produktów z wyłączeniem GFI Unlimited, GFI FaxMaker Online, sprzętu Kerio i rozwiązań Exinda.

W razie pytań zachęcamy do kontaktu z Sun Capital.

Zachęcamy do wzięcia udziału w nadchodzącym webinarium przygotowanym przez firmę GFI Software™, które dotyczyć będzie archiwizacji poczty e-mail.

Podczas webinarium dowiesz się dlaczego rozwiązanie do archiwizacji wiadomości e-mail jest tak ważne dla klientów biznesowych oraz:

• podstawowych informacji na temat tego jak i dlaczego należy archiwizować pocztę elektroniczną i pliki;
• na które rzeczy należy zwrócić uwagę podczas wyboru rozwiązania do archiwizacji poczty e-mail;
• a także jak korzystać z solidnych funkcji kontroli i zgodności, aby uniknąć problemów prawnych.

Webinarium w języku angielskim odbędzie się w środę 5 lutego 2020 roku o godzinie 11:00. REJESTRACJA

Zapraszamy do udziału!

Producent oprogramowania MailStore wypuścił ważną aktualizację swojego oprogramowania dla klientów, używających automatycznego szyfrowania TLS z certyfikatami z Let’s Encrypt, w związku z czym należy jak najszybciej zaktualizować program do najnowszej wersjioznaczonej 12.0.6.

Let’s Encrypt dokonał ostatnio zmiany w swoim środowisku operacyjnym. W rezultacie tej zmiany serwer MailStore nie był w stanie automatycznie odnawiać certyfikatów Let’s Encrypt dla istniejących klientów, a nowi klienci oraz firmy korzystające z wersji próbnej programu nie były w stanie skonfigurować żądań certyfikatów za pomocą Let Encrypt. Z tego właśnie powodu zalecane jest przeprowadzenie aktualizacji, w przeciwnym razie użytkownicy będą otrzymywali ostrzeżenia o błędnych/nieważnych certyfikatach. Zarchiwizowane wiadomości e-mail nie są zagrożone, a archiwum wiadomości pozostaje zaszyfrowane.

Uwaga: jeśli aktywujesz automatyczne sprawdzanie aktualizacji serwera w ramach aktualizacji produktu, MailStore Server będzie regularnie wyszukiwał dla ciebie nowe wersje. Gdy nowa wersja stanie się dostępna, stosowna informacja pojawi się na pulpicie nawigacyjnym w kliencie MailStore. Jeśli w ustawieniach SMTP podałeś Odbiorcę powiadomień, osoba ta zostanie powiadomiona pocztą e-mail o wszelkich aktualizacjach.

Obecni klienci powinni zaktualizować swoje oprogramowanie za pomocą pliku instalacyjnego dla istniejących klientów, dostępnego pod tym linkiem: https://www.mailstore.com/en/support/downloads-and-resources/.

Klientom i Partnerom życzymy pięknych, zdrowych i spokojnych Świąt Bożego Narodzenia oraz pełnego sukcesów Nowego Roku 2020 życzą pracownicy i Zarząd Sun Capital Sp. z o.o.

W dzisiejszym artykule podejmę temat serwerów DNS –  dowiesz się czym są słynne DNS-y, jakie są ich zadania i dlaczego owe serwery są tak istotne.

W dalszej części artykułu opiszę na jakie ataki mogą być narażone serwery DNS oraz, co chyba najważniejsze, jak się przed takimi atakami bronić. Zapraszam do lektury!

System nazw domen (Domain Name System – DNS) to ta „część Internetu”, o której typowy użytkownik komputera bardzo rzadko lub w ogóle nie myśli. Wielu pracowników, których codzienne obowiązki zależą od poprawnego działania tego systemu, nawet nie wie, że taki system istnieje, a co najciekawsze, zdarzają się osoby, pracujące w IT, które również nie znają tego terminu.

Jedno jest pewne – bez systemu nazw domen, aby odwiedzić stronę internetową, wysłać e-mail lub uzyskać dostęp do zasobów na innym komputerze, musielibyśmy zapamiętać ogromną liczbę adresów IP w postaci ciągu liczb, co byłoby szalenie niepraktyczne.

Znaczenie DNS-ów

DNS tłumaczy adresy IP zrozumiałe dla komputerów na przyjazne dla użytkownika nazwy. Tak jednym zdaniem można podsumować rolę, którą ten system pełni. Całość brzmi dość prosto, ale za kulisami cały proces jest nieco bardziej skomplikowany i obejmuje różne typy serwerów – rekurencyjne serwery DNS, główne serwery nazw, serwery domen najwyższego poziomu i autorytatywne serwery nazw, które współpracują na samym końcu z komputerem użytkownika i uruchomioną na nim aplikacją (np. przeglądarka internetowa). Rozpoznanie nazwy na adres IP to wieloetapowy proces, który omówię w osobnym artykule.

Wystarczy powiedzieć, że DNS jest usługą o kluczowym znaczeniu, jeśli Twoja organizacja korzysta z Internetu. Gdy osoby atakujące wezmą sobie na celownik serwer DNS, mogą doprowadzić do blokady usług świadczonych w sieci wykorzystując atak DoS lub jego odmianę czyli atak DDoS (o czym za chwilę). Taka blokada usług może zatrzymać komunikację biznesową i osobistą w Internecie. Niestety, sam system DNS jest podatny na wiele różnych rodzajów ataków.

Podobnie jak inne protokoły internetowe opracowane kilkanaście lat temu, zanim bezpieczeństwo stało się priorytetem, DNS nie był z założenia projektowany z myślą o ochronie przed atakującymi. Gdy go tworzono, Internet rozumiany jako sieć był dostępny na znacznie mniejszą skalę niż ten, z którym mamy do czynienia dzisiaj. Dobrym przykładem niech będzie tutaj analogia do małego miasteczka, w którym wszyscy się znają i ufają sobie nawzajem. Wzajemne zaufanie i bezpieczeństwo jest zapewnione dopóty, dopóki miasto nie rozrośnie się i nie pojawią się osoby, które będą chciały nadużyć  tego zaufania.

DNS został zaprojektowany do korzystania z protokołu UDP (User Datagram Protocol), który jest szybszy niż protokół TCP (Transmission Control Protocol), ponieważ nie ma tutaj narzutu na nawiązywanie połączenia i śledzenie sesji, sam protokół nie posiada również mechanizmów kontroli przepływu i retransmisji.

Cyberprzestępcy wiedzą, że mogą siać spustoszenie, atakując system nazw domen. Ponieważ coraz więcej firm korzysta z zasobów chmurowych, DNS jest ważniejszy niż kiedykolwiek wcześniej. Awaria serwerów DNS może spowodować, że pracownicy nie będą mogli wykonywać swoich zadań, klienci nie będą mogli dokonywać zakupów ani skontaktować się z personelem wsparcia, a takie sytuacje będą mieć rzeczywisty i bardzo negatywny wpływ na wyniki finansowe firmy i jej reputację.

Uwaga: we wczesnych latach funkcjonowania Internetu wszystkie systemy komputerowe w sieci globalnej i ich adresy IP mogły być wymienione w jednym pliku tekstowym, zwanym plikiem hosts, który był przechowywany na każdym serwerze lub komputerze osobistym. Internet, rozumiany jako sieć urządzeń był wtedy znacznie mniejszy, bardziej kompaktowy. Obecnie istnieje ponad miliard stron internetowych, a prognozy mówią, że do 2022 roku 28,5 miliarda urządzeń będzie podłączonych do Internetu, a liczba użytkowników sięgnie 4,8 miliarda. Co minutę dodawane są nowe nazwy domen. Plik hosts jest dziś używanym, choć na mniejszą skalę, reliktem przeszłości.

Rodzaje ataków DNS

Istnieje wiele różnych sposobów wykorzystania przez atakującego DNS jako wektora ataku. Wiedza o każdym z nich i ich działaniu może pomóc Ci się przed nimi chronić.

Atak DoS (ang. Denial of Service) – odmowa usługi:

Atak polega zwykle na przeciążeniu aplikacji lub serwera serwującego określone dane. Oznacza to w praktyce zalewanie sieci (ang. flooding) nadmiarową ilością danych mających na celu wysycenie dostępnego pasma, którym dysponuje atakowany host. Niemożliwe staje się wówczas osiągnięcie go, mimo że usługi pracujące na nim są gotowe do przyjmowania połączeń. W przypadku ataku DoS na serwer DNS staje się on nieosiągalny dla innych urządzeń.

Odmianą ataku DoS jest DDoS:

Atak DDoS –  (ang. Distributed Denial of Service) – rozproszona odmowa usługi:

Atak DDoS jest odmianą ataku DoS polegającą na zaatakowaniu ofiary z wielu miejsc jednocześnie. Do przeprowadzenia ataku służą najczęściej komputery, nad którymi przejęto kontrolę przy użyciu innego oprogramowania (różnego rodzaju boty i trojany). Zainfekowane komputery rozpoczynają jednocześnie atak na system lub serwer ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej liczbie żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu.

Nieco innym rodzajem ataku DDoS jest atak polegający na wzmocnieniu DNS, który wykorzystuje sieć botnetów do wysyłania licznych małych zapytań DNS ze sfałszowanymi adresami IP. Zapytania takie skutkują dużą ilością odpowiedzi z serwera. Odpowiedzi jest tak dużo, że sztucznie wzmocniony ruch przytłacza cel. W tym przypadku atakujący nie skupia się na samych serwerach DNS, ofiarą jest urządzenie, którego adres IP został sfałszowany.

Usługi internetowe Amazon zostały poddane atakowi DDoS w październiku 2019 r., kiedy to zostały zalane fałszywymi zapytaniami DNS, które zakłócały legalny ruch do witryn i usług korzystających z AWS.

Zatrucie pamięci podręcznej DNS

Innym rodzajem fałszowania adresów IP związanych z DNS-ami jest przekierowywanie odwiedzających z legalnej strony internetowej na własne strony phishingowe, zaprojektowane tak, aby wyglądały jak prawdziwe, które mogą gromadzić nazwy użytkowników i hasła oraz inne wrażliwe dane. Nazywa się to zatruciem pamięci podręcznej i można to osiągnąć przez wprowadzenie spreparowanych informacji do pamięci podręcznej DNS. Dostawcy usług internetowych i sieci firmowe prowadzą własne serwery DNS buforujące informacje z serwerów DNS wyższego poziomu. Jeśli informacje DNS na serwerze zostaną zatrute, można je następnie zapisać w pamięci podręcznej innych serwerów. Wspomnieliśmy wcześniej, że DNS używa protokołu UDP do szybszych odpowiedzi. Oznacza to brak weryfikacji, czy nadawcy są tymi, za których się podają. Atakujący mogą sfałszować nagłówki danych, a serwer DNS zaakceptuje i zbuforuje dane. Dobrą wiadomością jest to, że zatrucie pamięci podręcznej DNS wymaga, aby atak wysłał sfałszowaną odpowiedź, zanim autorytatywny serwer nazw prześle prawdziwą odpowiedź, a atakujący musi wiedzieć, jakiego portu używa serwer DNS – atak nie jest zatem tak prosty do przeprowadzenia.

Przejęcie serwera DNS

Przejęcie serwera DNS to kolejny sposób, w jaki atakujący osłabiają bezpieczeństwo sieci firmowej. Złośliwe oprogramowanie może być użyte do zmiany konfiguracji komputera, tak aby wskazywał na skompromitowany serwer DNS obsługiwany przez osobę atakującą zamiast na właściwy serwer DNS. Podobnie jak w przypadku zatrucia pamięci podręcznej, skutkiem jest przekierowanie użytkowników na sfałszowane strony internetowe w celu wyłudzenia wrażliwych danych.

Oprócz rozpowszechniania złośliwego oprogramowania w celu wprowadzania zmian w ustawieniach TCP / IP na komputerach klienckich, osoby atakujące mogą wykorzystywać luki w routerach dostępowych, aby zmienić ustawienia serwera DNS, co wpłynie ostatecznie na wszystkie urządzenia łączące się z takim routerem. Co więcej, atakujący może przechwycić komunikację między użytkownikami a serwerami DNS i zmienić docelowy adres IP, aby przekierować użytkownika na złośliwą stronę internetową. Jest to forma ataku typu man-in-the-middle.

Jak chronić się przed atakami DNS i łagodzić ich skutki?

Ochrona przed atakami DNS DDoS polega na ograniczeniu niechcianych odpowiedzi DNS, zablokowaniu tego samego zapytania od  klienta, który już otrzymał odpowiedź, wymaganiu od klientów DNS udowodnienia, że ​​ich dane uwierzytelniające nie są sfałszowane, blokowaniu zapytań z lokalizacji geograficznych, w których nie prowadzi się działalności.

Brak weryfikacji w systemie DNS można rozwiązać za pomocą rozszerzeń zabezpieczeń systemu nazw domen (DNSSEC), które umożliwiają uwierzytelnianie danych. DNSSEC został zaprojektowany, aby uniemożliwić aplikacjom (i buforującym programom tłumaczącym, które obsługują aplikacje) używanie fałszywych lub zmanipulowanych informacji DNS dzięki stosowaniu podpisów cyfrowych. DNSSEC istnieje już od późnych lat 90., ale wdrażanie przebiegało powoli i często było wykonywane nieprawidłowo. DNSSEC stopnoiowo staje się standardem operacyjnym dla wielu rejestratorów domen i dostawców usług internetowych. W styczniu 2019 r. ICANN wezwał wszystkie rejestry domen i rejestratorów do pełnego wdrożenia DNSSEC, a także wezwał właścicieli nazw domen do migracji do tych rejestratorów, którzy oferują DNSSEC.

Jeśli Twoja organizacja posiada własne serwery DNS, możesz podjąć szereg kroków:

• Dostęp do serwerów DNS należy ograniczyć i zabezpieczyć za pomocą uwierzytelniania wieloskładnikowego, silnych zabezpieczeń fizycznych i standardowych zabezpieczeń sieci, aby uniemożliwić zdalny dostęp.
• Aktualizowanie serwerów DNS, terminowe stosowanie poprawek zabezpieczeń dla klientów DNS, a także ochrona przed złośliwym oprogramowaniem w celu zapobiegania zmianom ustawień DNS.
• Zamknij wszystkie niepotrzebne programy rozpoznawania nazw DNS w sieci i umieść potrzebne programy tłumaczące za zaporą ogniową.
• Ogranicz transfery stref.
• Wyłącz rekursję DNS.
• Monitoruj serwery nazw pod kątem podejrzanych działań.

Podsumowanie

System nazw domen ma kluczowe znaczenie dla działania Internetu, a atak na serwer DNS może mieć daleko idące konsekwencje. Ważne jest, aby zdawać sobie sprawę z zagrożenia, podjąć prewencyjne kroki, aby zapobiec takim atakom w przyszłości i ostatecznie wiedzieć, jak złagodzić szkody, jeśli atakujący zaatakuje Twoją organizację.

Zachęcamy do lektury artykułu opublikowanego w wydaniu online magazynu CRN Polska, który przybliża użytkownikom działanie i licencjonowanie produktu BackupAssist, czyli oprogramowania do wykonywania kopii zapasowych. Treść publikacji zamieszczamy poniżej.

BackupAssist chroni użytkowników Windows

Korzystając z narzędzia BackupAssist, można za pomocą intuicyjnych funkcji zrealizować dowolną strategię backupową dla najbardziej wymagającego klienta, używającego komputerów i serwerów z oprogramowaniem Microsoftu.

Oprogramowanie BackupAssist stworzone jest przez australijskiego producenta, firmę Cortex. Jego dystrybutorem w Polsce od wielu lat jest wrocławski Sun Capital, który zapewnia partnerom wysokie marże sprzedażowe oraz rejestrację projektów.

BackupAssist to bardzo proste narzędzie do tworzenia kopii zapasowych całych partycji, pojedynczych plików, folderów i aplikacji ze stacji roboczych i serwerów Windows, zabezpieczania środowisk wirtualnych Hyper-V, baz danych MySQL oraz serwerów Exchange. Backup może być zapisywany na dowolnym nośniku w siedzibie firmy (na dyskach zewnętrznych, dyskach w serwerze backupu, serwerach NAS oraz na taśmach), a także w chmurze publicznej AWS i Microsoft Azure lub w dowolnym zasobie, do którego dostęp można uzyskać przez protokół rsync. Kopiowane dane mogą być poddane wcześniejszej deduplikacji, kompresji i szyfrowaniu. Dostępna jest także funkcja tworzenia klucza bezpieczeństwa USB, bez którego niemożliwe będzie odtworzenie kopii backupowej.

Przywracanie dostępu do danych także jest bardzo proste – wystarczy wybrać interesujące użytkownika pliki, foldery, aplikacje, partycje lub maszyny wirtualne Hyper-V (nie ma konieczności odtwarzania całego środowiska). Repozytoria backupu można przeszukiwać na wiele sposobów, a dzięki zaawansowanym narzędziom indeksującym nie trzeba w tym celu podłączać zewnętrznych nośników, np. taśm. Granularne odzyskiwanie danych (wiadomości, kontaktów, wpisów do kalendarza) możliwe jest także z serwerów Exchange, a w przypadku baz danych SQL można wybrać dowolny moment z przeszłości, gdy wykonana została kopia.

Jeżeli administratorzy dysponują kopią całej partycji lub obrazu dysku, mogą przywrócić je na pusty nośnik (bare metal). Dzięki temu oszczędzają dużą ilość czasu, bo nie jest konieczne wcześniejsze instalowanie systemu operacyjnego. Oprogramowanie BackupAssist zapewnia również uruchamianie maszyn wirtualnych Hyper-V bezpośrednio z kopii.

Użytkownicy, którzy wykupią dodatkową usługę BackupCare, mogą skorzystać z funkcji CryptoSafe Guard. Zapewnia ona skanowanie środowiska IT pod kątem obecności ransomware’u, a po wykryciu szyfrowania wielu plików w wyniku działania nierozpoznanego wcześniej kodu blokuje odpowiedzialny za to proces. Następnie informuje administratora SMS-em i e-mailem o zaistniałym fakcie i blokuje wykonywanie kolejnych kopii backupowych, aby nie nadpisać zabezpieczonych, niezaszyfrowanych plików. W ten sposób zapewniona jest dodatkowa warstwa ochrony, wymagana m.in. przez unijne rozporządzenie o ochronie danych osobowych.

Oprogramowanie BackupAssist sprzedawane jest z licencją typu on-premise, bez ograniczeń czasowych i z rocznym wsparciem technicznym. Wersja dla komputerów stacjonarnych kosztuje mniej niż 100 zł, a dla serwerów Windows – ok. 1000 zł (ceny netto). Użytkownicy zyskują również prawo do zarządzania procesem backupu we własnym środowisku z wykorzystaniem konsoli Multisite Manager w chmurze.

Interesującym produktem firmy Cortex jest też BackupAssist 365, który gwarantuje bezpieczny backup danych z usług Office 365, Outlook, OneDrive, serwerów Exchange, Dropbox, Google Docs i wielu innych. Cena subskrypcji BackupAssist 365 to wydatek ok. 4 zł miesięcznie.

 

Krzysztof Konieczny
prezes zarządu, Sun Capital

Microsoft jest potentatem w branży IT, ma ogromną rzeszę klientów i partnerów, a czasem wręcz wyznawców swoich rozwiązań. Z powodu obecności oprogramowania tego producenta w większości pecetów i serwerów niemal wszyscy resellerzy i integratorzy zmuszeni są do znajomości tych rozwiązań oraz umiejętności doboru innych narzędzi, uzupełniających to, czego w szerokiej gamie produktów z Redmond nie ma. Od dawna brakującymi elementami są przede wszystkim narzędzia zabezpieczające dane, w tym służące do backupu. Dlatego warto zainteresować się oprogramowaniem BackupAssist, które za niską cenę zapewnia bardzo wiele funkcji wystarczających do stworzenia procedur zabezpieczania danych w każdej małej i średniej firmie.

 

Źródło: https://www.crn.pl/artykuly/vademecum/backupassist-chroni-uzytkownikow-windows?fbclid=IwAR2YxcYYRBHtrDZt5HkCJx-Ym_BbY-U_U2JqNPY9ypWbPiE6upRpW9gzrVQ

Kilka słów na temat rozwiązania:

Nakivo Backup&Replication pozwala skutecznie zabezpieczyć krytyczne systemy wirtualne w środowiskach VMware, Hyper-V a także chmurze Amazon EC2. Dzięki łatwemu i szybkiemu wdrożeniu pozwala w kilka minut rozpocząć wykonywanie backupu obrazów maszyn wirtualnych, a tym samym pozwala na szybkie przywrócenie systemu do działania w przypadku awarii.

Rozwiązanie dedykowane jest dla wymagających klientów, którzy posiadają rozbudowane środowisko virtualne.

Najciekawsze jest jednak to, że rozwiązanie nie ma praktycznie żadnych ograniczeń dotyczących platformy na której docelowo ma pracować.

Nakivo wspierane jest przez systemy Windows serwerowe i klienckie, Linuxy, najbardziej popularne NAS-y.

Ceny rozwiązania zaczynają się od około 400 zł netto…

Więcej cen i pełen cennik rozwiązania

W przypadku zainteresowania ofertę przygotowujemy pod wymogi klienta, gdzie ceny cennikowe są wartościami wyjściowymi.

Jeszcze w grudniu 2019 trwała promocja, która zachęcając do uczestnictwa w programie Beta, dawała możliwość zdobycia e-karty podarunkowej do Amazon.

 

 

Najważniejsze funkcje Nakivo:

– backup bezagentowy
– wsparcie dla najnowszych systemów wirtualizacji – Microsoft Hyper-V 2016 oraz VMware vSphere 6.5
– licencjonowanie per gniazdo fizycznego procesora
– kompresja i deduplikacja w obrębie całego repozytorium backupu
– łatwe wyszukiwanie i kasowanie niepotrzebnych backupów
– weryfikacja backupu migawek
– ochrona kontenera
– backup przyrostowy typu Forever Incremental
– pomijanie plików tymczasowych i pliku wymiany
– szyfrowanie przy użyciu AES256bit
– replikacja backupu
– przywracanie na poziomie plików
– obsługa backupu on-line aplikacji krytycznych
– backup off-site, do Amazon Cloud i MS Azure
– możliwość instalacji na serwerach NAS: QNAP, Synology, Western Digital oraz Asustorv7.2. BETA

Zapraszamy.

 

Zarejestruj się na webinar, aby dowiedzieć się więcej na temat sposobów rozwiązywania problemów dotyczących sieci.

Czy wiesz ile może Cię kosztować pojedynczy incydent związany z awarią infrastruktury lub aplikacji? Według najnowszego badania IDC straty mogą wynieść od 100 tysięcy do 1 miliona dolarów – nie za dzień, lecz godzinę awarii.

Nic dziwnego, że lepsze zarządzanie siecią jest tak ważnym celem, szczególnie dla firm, którym często brakuje zasobów, aby poradzić sobie z niską wydajnością sieci w odpowiednim czasie.

Rozwiązania do zarządzania siecią są jednymi z najważniejszych rozwiązań dla małych i średnich firm. Proaktywne zarządzanie siecią zapobiega przestojom, zmniejsza straty przychodów i poprawia zadowolenie klienta.

Wiesz, co jest zaskakujące? Jak proste może być zapewnienie doskonałej wydajności sieci. Weź udział w webinarium, odkryj zalety rozwiązania do monitorowania sieci w czasie rzeczywistym i zobacz krótką prezentację produktu GFI Software – Exinda Network Orchestrator. Exinda jest urządzeniem, które pozwala na zarządzanie urządzeniami, użytkownikami, ruchem i aplikacjami w sieci firmowej. Urządzenie pozwala bardzo łatwo priorytetyzować jedne aplikacje, całkowicie wyłączać inne lub obniżać im przydział dostępnego łącza internetowego. Dzięki temu administratorzy sieci mają pewność, że aplikacje, które wymagają wydajnego łącza zawsze mają do niego dostęp. Dodatkowo, Exinda umożliwia utworzenie i stosowanie polityk dostępu do aplikacji i łącza dla konkretnych aplikacji i użytkowników, wraz ze szczegółowymi raportami użycia.

 

Podczas webinarium nauczysz się:

• wartości przeprowadzania regularnych ocen wydajności sieci oraz sposobu szybkiego identyfikowania i usuwania typowych blokad wydajności;
• rozpoznawania ruchu, tworzenia raportów jakości, tworzenia zasad QoS;
• dlaczego zakup większej przepustowości nie rozwiąże problemów z wydajnością.

Webinarium odbędzie się w środę 11 grudnia 2019 r. o godzinie 11:00. REJESTRACJA

Zachęcamy do udziału!

Urządzenia mobilne są tak samo podatne na zagrożenia i ataki jak inne urządzenia końcowe, co sprawia, że znajdujące się na nich wrażliwe dane mogą nie być chronione.

Zapraszamy na webinarium, podczas którego dowiesz się jak prawidłowo chronić urządzenia mobilne. Skupimy się na Sophos Mobile 9.5, który oferuje nowe funkcje i dodatkową ochronę dla smatfonów i tabletów. Omówimy:

• praktyczne wskazówki, jak zabezpieczyć dane na urządzeniach mobilnych dzięki Sophos Mobile;
• ulepszone zarządzanie urządzeniami z systemem Android;
• zarządzanie bezpieczeństwem Chromebooków;
• Intercept X for Mobile;

Webinarium odbędzie się w czwartek 12 grudnia 2019 r. o godz.10:00 i potrwa ok. 60 minut. REJESTRACJA

Zachęcamy do udziału!

 

Firmy, które chcą obsługiwać własne serwery pocztowe, mają do wyboru wiele różnych platform serwerów pocztowych. Dwie z wiodących obecnie dostępnych to Microsoft Exchange Server 2019 i Kerio Connect od GFI Software. W tym artykule przeanalizujemy podobieństwa i różnice między tymi dwoma rozwiązaniami.

Wielkość firmy

Microsoft Exchange, jak deklaruje producent, przeznaczony jest dla organizacji o dowolnej wielkości, chociaż najczęściej opisywany jest jako platforma pocztowa klasy korporacyjnej. Microsoft oferuje również wersję Standard serwera Exchange, który jest skierowany do organizacji mniejszej niż korporacja, ale jego koszt i złożoność może zniechęcać do wdrożenia właśnie przez małe i średnie firmy.

Kerio Connect jest zaprojektowany z myślą o rynku małych i średnich firm. Oferuje wiele takich samych lub bardzo podobnie realizowanych funkcji, co jego konkurent – Exchange 2019, ale zwykle jest łatwiejszy w użyciu. Niech najbardziej obrazowy będzie fakt, że Kerio Connect ma plan licencyjny, który może obsługiwać zaledwie dziesięciu użytkowników. Największa liczba użytkowników objętych planem licencyjnym Kerio Connect (z wyłączeniem planów GFI Unlimited) to 2999 użytkowników.

Cena

Ceny Kerio Connect’a (https://www.gfi.com/products-and-solutions/email-and-messaging-solutions/kerio-connect/pricing) wynoszą od 26,50 do 32,50* euro za użytkownika, w zależności od liczby zakupionych licencji. Za opcjonalne rozszerzenie antyspamowe pobierana jest dodatkowa opłata w wysokości 2 euro* za użytkownika. Rozszerzenie antywirusowe jest dostępne za kolejne 2 euro* za użytkownika, a rozszerzenie ActiveSync za dodatkowe 3 euro* za użytkownika. Jeśli firma decyduje się na zakup Kerio Connect i wszystkich dostępnych rozszerzeń to cena wyniesie od 33,50 do 39,50 euro* za użytkownika.

Alternatywnie, GFI oferuje abonament o nazwie GFI Unlimited w cenie za 21,60 euro* za użytkownika. Plan ten obejmuje Kerio Connect i wszystkie rozszerzenia, a także licencje na korzystanie z wszystkich innych produktów GFI.

Microsoft Exchange jest dostępny w dwóch wersjach: wersji Standard lub Enterprise. Każda edycja wymaga licencji dla używanego serwera Exchange i licencji dostępu dla każdego klienta, który jest do tego serwera przypisany. Licencja na serwer dla Exchange 2019 Standard jest obecnie sprzedawana za ok. 740 dolarów*, a odpowiadające jej licencje CAL są sprzedawane za ok. 98 dolarów* za każdego użytkownika. Licencje Exchange 2019 Enterprise są sprzedawane za około 4200 dolarów*, a obowiązkowe licencje Enterprise CAL kosztują ok. 60 dolarów* za użytkownika. Oprócz licencji CAL na urządzenie są dostępne alternatywy w postaci licencji CAL na użytkownika, które są zazwyczaj nieco tańsze.

Dla tych klientów, którzy preferują rozwiązanie w chmurze, dostęp do Exchange Online jest dostępny za pośrednictwem planów Microsoft Office 365 E1, E3 i E5. Plany te wahają się od 8 do 35 dolarów* za użytkownika miesięcznie.

* – ceny mogą ulec zmianie i nie być aktualne w momencie, gdy czytasz ten artykuł

Czas potrzebny na wdrożenie

Czas potrzebny na wdrożenie serwera Exchange i Kerio Connect będzie różny w różnych organizacjach, w zależności od wiedzy specjalistów i wydajności dostępnego sprzętu komputerowego. Kerio Connect można zainstalować i w pełni skonfigurować w około godzinę (oczywiście w zależności od złożoności sieci czas ten może się różnić).

Instalacja serwera Exchange może potrwać kilka godzin, głównie ze względu na wszystkie wymagane składniki, które również muszą zostać zainstalowane. Warto jednak zauważyć, że Exchange zwykle wymaga obszernego planowania przed wdrożeniem i rozplanowania infrastruktury całej sieci.

Wymagania systemowe

Wymagania systemowe programu Exchange Server różnią się w zależności od roli (https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2019). Microsoft wymaga 64-bitowego procesora Intel lub AMD i zaleca dwa fizyczne procesory, jeśli Exchange jest instalowany na fizycznym serwerze. Producent zaleca także co najmniej 128 GB pamięci RAM dla serwerów skrzynek pocztowych i co najmniej 256 GB pamięci RAM dla serwerów transportu brzegowego. Exchange 2019 obsługuje do 256 GB pamięci RAM. Sam serwer wymaga również 30 GB miejsca na dysku, plus kolejne 200 MB miejsca na dysku systemowym i 500 MB miejsca na dysku zawierającym bazę danych kolejki komunikatów. Baza danych skrzynki pocztowej wymaga dodatkowego miejsca, w zależności od ilości skrzynek.

Podobnie jak w przypadku Exchange, wymagania sprzętowe Kerio Connect różnią się w zależności od liczby obsługiwanych użytkowników – (https://www.gfi.com/products-and-solutions/email-and-messaging-solutions/kerio-connect/specifications/). Kerio Connect wymaga co najmniej 64-bitowego procesora, 2 GB pamięci RAM i 40 GB miejsca na dysku. W przypadku komputerów z systemem Windows obsługujących ponad 100 użytkowników GFI zaleca czterordzeniowy procesor działający z częstotliwością 2,8 GHz lub wyższą, 16 GB pamięci RAM i co najmniej 200 GB miejsca do przechowywania danych.

Podstawowe możliwości

Zarówno Kerio Connect, jak i Exchange Server 2019 oferują obsługę poczty e-mail, kalendarzy, kontaktów i zadań, a obie platformy zapewniają bardzo podobne możliwości. Na przykład: zarówno Kerio Connect, jak i Exchange Server 2019 posiadają takie funkcjonalności jak: tworzenie i zarządzanie regułami filtrowania wiadomości, współdzielenie kalendarzy, delegowanie i ustawianie statusów wolny / zajęty.

Jedną z istotnych różnic między podstawowymi zestawami funkcji obu produktów jest to, że Kerio Connect posiada natywną obsługę wiadomości błyskawicznych. Microsoft również obsługuje komunikatory internetowe, ale robi to za pośrednictwem oddzielnych produktów, takich jak Microsoft Teams czy Skype dla firm.

Możliwości administracyjne

Kerio Connect i Microsoft Exchange działają w oparciu o webowe konsole administracyjne. Kerio Connect wykorzystuje konsolę MyKerio do scentralizowania zarządzania wieloma serwerami Kerio Connect, przy czym każdy serwer Kerio Connect ma własny wbudowany interfejs zarządzania siecią. Exchange Server udostępnia podobne możliwości za pośrednictwem Exchange Admin Center.

Nic dziwnego, że konsole Exchange Server i Kerio Connect są do siebie podobne. Oba zapewniają dostęp do podobnych narzędzi do zarządzania skrzynkami pocztowymi użytkowników, limitami pamięci, czy ustawieniami zabezpieczeń.

Jedną z głównych różnic między Exchange Server 2019 a Kerio Connect jest to, że Microsoft zapewnia dodatkowe narzędzie administracyjne o nazwie Exchange Management Shell, środowisko wiersza poleceń oparte na PowerShell. Z samego Centrum administracyjnego Exchange można korzystać do wykonywania większości codziennych zadań administracyjnych, ale ci administratorzy, którzy chcą wprowadzić zmiany w konfiguracji niskiego poziomu, często używają do tego wspomnianego wcześniej wiersza poleceń. Powłoka Exchange Management jest również przydatna do tworzenia skryptów masowych zmian w dużej liczbie skrzynek pocztowych.

Bezpieczeństwo

Microsoft Exchange Server jest ściśle zintegrowany z Microsoft Active Directory. Chociaż Exchange Admin Center zapewnia dostęp do różnych funkcji bezpieczeństwa i zgodności, wiele aspektów bezpieczeństwa skrzynki pocztowej Exchange jest zaimplementowanych na poziomie Active Directory. Centrum administracyjne Exchange udostępnia ustawienia związane z filtrowaniem złośliwego oprogramowania, filtrowaniem spamu, filtrowaniem połączeń i kluczami domeny, które są używane do celów uwierzytelniania wiadomości. Exchange Server 2019 zawiera również wiele funkcji związanych z audytem, ​​eDiscovery oraz zatrzymywaniem wiadomości.

Kerio Connect nie wymaga integracji z Active Directory, ale obsługuje ją (wraz z innymi popularnymi katalogami, takimi jak Apple Open Directory, Linux PAM i lokalną baza danych użytkowników). Kerio ma wbudowane podstawowe funkcje bezpieczeństwa na poziomie skrzynki pocztowej, co uczyniono z myślą o administratorach, którzy decydują się na użycie lokalnej bazy danych użytkowników zamiast Active Directory lub innego systemu katalogowego.

Podobnie jak w przypadku Exchange Server, Kerio Connect obsługuje klucze domen (sygnatury DKIM) i posiada wbudowaną ochronę przed atakami polegającymi na pobieraniu katalogów, obsługuje także wiadomości e-mail S/MIME i oferuje zdalne czyszczenie urządzeń mobilnych. Oba produkty oferują obszerny zbiór funkcji bezpieczeństwa, które znacznie wykraczają poza te wymienione w powyższym artykule. Każda platforma, niezależnie od producenta, powinna być w stanie zapewnić bezpieczeństwo danych, jeśli jest odpowiednio skonfigurowana. Warto jednak zauważyć, że ponieważ Exchange Server 2019 jest rozwiązaniem klasy korporacyjnej, zawiera znacznie więcej funkcji związanych ze zgodnością niż Kerio Connect, przeznaczony docelowo do małych i średnich przedsiębiorstw.

 Wnioski

Chociaż Kerio Connect i Microsoft Exchange nie są względem siebie całkowicie identyczne, mają zestawy funkcji, które są do siebie bardzo podobne. Główne różnice między dwiema platformami to koszt i zakres działania/użytku. Kerio Connect jest znacznie tańszy niż Microsoft Exchange, ale jest przeznaczony do użytku w małych i średnich organizacjach. Jest również łatwiejszy do skonfigurowania i zarządzania niż Exchange Server. I odwrotnie, Exchange Server jest droższy, ale dobrze przygotowany do użycia w organizacjach klasy korporacyjnej.