Adesea ne găsim în situația extinderii necontrolate a rețelelor corporate, adăugăm host-uri noi, servere noi, imprimante și tot felul de echipamente. Odată cu această extindere se mărește și plaja de acțiune a unui atacator deoarece numărul crescut de sisteme informatice duce la creșterea posibilelor vulnerabilități din rețea.
Dacă extinderea nu o putem controla putem face ceva în privința vulnerabilităților. Asemeni unui atacator putem scana periodic rețeaua, identifica vulnerabilitățile de pe sisteme și în loc să le exploatăm le putem remedia prin actualizarea lor sau prin alte metode.
Un utilitar ce ne permit să scanăm rețeaua, să identificăm vulnerabilitățile și să le remediem este Qualys. Cu ajutorul Qualys putem efectua scanări periodice ale rețelei și putem ține o evidență centralizată a vulnerabilităților găsite până ce acestea sunt remediate.
Pentru rețelele mici putem opta pentru versiunea Community Edition ce este gratuită. Aceasta ne permite să scanăm până la 16 sisteme interne, 3 externe și un web site. În cazul rețelelor mari este necesar un upgrade, o vedere de ansamblu a rețelei ne poate ajuta să depistăm sistemele noi instalate în rețea, asta în cazul în care un atacator își instalează un sistem nou pentru a păstra un canal de comunicare cu exteriorul sau porturile noi deschise pe sisteme astfel încât dacă un atacator a compromis un sistem și a deschis un port nou pentru a exfiltra date îl putem descoperi.
În cazul în care doriți să testați soluția vă puteți face cont pe https://www.qualys.com/community-edition/
După ce primiți confirmarea veți avea accces la cloud-ul Qualys.
Pentru a începe scanarea sistemelor interne aveți nevoie să instalați în rețea un Virtual Appliance din tab-ul Scan -> Appliances.
În cazul nostru am folosit un Virtual Appliance de VMware Workstation deoarece rețeaua simulată de noi a fost construită în VMware Workstation.
Cu ajutorul codului de personalizare din cloud-ul Qualys am reușit să conectăm mașina virtuală la platformă.
Putem începe scanarea selectând din mai multe profile inițiale.
Sau putem personaliza scanarea apăsând pe Select.
Rezultatele scanării pot fi văzute inspectând fiecare sistem în parte din meniul Assets -> Hosts assets.
Sau cu ajutorul unui raport din meniul Reports -> Templates, de unde putem selecta mai multe tipuri de rapoarte.
Iar raportul are forma următoare:
În raport putem vedea tipul vulnerabilităților, dacă există exploit disponibil și ce metode de remediere exista.
Un astfel de soft, cum este Qualys ne poate ajuta să descoperim vulnerabilitățile înaintea atacatorilor, să le remediem și cu ajutorul rapoartelor periodice putem vedea progresul remedierii lor.
Dacă doriți să implementați soluția management a vulnerabilităților Qualys în rețeaua dvs. ne puteți contact oricând folosind formularul nostru de contact.
În articolul precedent subliniam faptul că un antivirus tradițional nu este de ajuns pentru a securiza host-urile angajaților. Astăzi vom prezenta câteva avantaje ale soluțiilor de tip EDR (Endpoint Detection and Response) în comparație cu un antivirus tradițional.
Ce este un EDR (Endpoint Detection and Response)
Soluțiile EDR sunt aplicații ce ajută membrii SOC (Security Operation Center) în detectarea și invesigarea activităților suspecte de pe endpoint-urile din întreaga organizație. EDR-ul a devenit tehnologia preferată de organizațiile din întreaga lume pentru a adăuga un strat suplimentar de securitate pentru rețelele lor în comparație cu un antivirus.
Structura unui EDR
Structura unui EDR este compusă din aplicații de tip client care se instalează pe endpoint-uri și platforme ce stochează datele primite de la clienți, aceste platforme pot fi înstalate în rețeaua organizației (in house/on-premise) sau pot fi folosite soluții de stocare în cloud-ul funizorului de serviciu.
Cum funcționează un EDR
Soluțiile EDR monitorizează traficul de rețea al endpoint-urilor și evenimentele de pe acestea. Datele sunt colectate centralizat pe un server pentru a putea fi analizate de membrii SOC.
Avantajele EDR
Programele antivirus tradiționale se limitează la detectarea și îndepărtarea virușilor și a altor programe malițioase pe baza unor semnături actualizate de vânzătorul produsului, acestea sunt o componentă a EDR. Pe lângă funcțiile oferite de antivirus, EDR-ul oferă o privire de ansamblu a tuturor evenimentelor de pe endpoint-uri. Mai jos vom prezenta câteva scenarii unde se poate vedea eficiența sporită a unui EDR.
- Utilizatorii raportează un email de phishing, analisul SOC extrage URL-ul malițios și poate verifica în EDR dacă și alți utilizatori au dat click pe URL-ul respectiv. Un alt beneficiu al verificării traficului este acela că pe baza URL-urilor malițioase se pot crea watchlist-uri astfel încât atunci când un endpoint face un DNS Lookup pentru domeniul malițios să se creeze o alertă și incidentul să poată fi remediat.
- Actualizarea proactivă a semnăturilor fișierelor malițioase. Un antivirus tradițional are în spate o echipă care actualizează semnăturile, actualizărilor pot fi primite cu întârziere de către client. Cu ajutorul unui EDR, personalul din SOC poate analiza mai multe surse externe de semnături și pot bloca proactiv ce este de interes pentru companie. În domeniul securității IT 5 minute de întârziere în blocarea unei amenințări pot fi catastrofale.
- Cu ajutorul unui EDR analiștii SOC pot determina dacă un proces este malițios sau nu folosindu-se de cunoștințele lor în criminalistică digitală. Se poate determina dacă un proces a pornit dintr-un folder din care nu ar fi trebuit să pornească, se poate determina ce sub-procese a deschis un anumit proces și dacă acesta conțin cod malițios, spre exemplu powershell.
- Un alt aspect foarte important ce poate face un EDR să fie mai eficient decât un antivirus este acela că oferă o privire de ansamblu asupra tuturor fișierelor din mediul clientului. La ce ajută asta? Spre exemplu, departamentul SOC primește o alertă despre un fișier posibil malițios, cu ajutorul EDR-ului se poate determina cât de mare este impactul asupra mediului clientului, dacă fișierul este instalat pe 5 endpoint-uri sau dacă este instalat pe 10.000 iar dacă în urma analizei se determină că fișierul este malițios acesta poate fi blocat pe toate endpoint-urile.
- Blocarea USB-urilor malițioase pe toate endpoint-urile din organizație. La ce ne ajută asta? Spre exemplu un atacator cu acces fizic in organizație introduce un USB malițios într-un endpoint, acesta este detectat dar între timp atacatorul a scos USB-ul și a plecat mai departe, dat fiind că identificarea atacatorului poate dura, ca măsura preventivă se poate bloca USB-ul pentru citire/scriere pe toate endpoint-urile din organizație.
Cele prezentate mai sus sunt câteva dintre avantajele unui EDR în comparație cu un antivirus tradițional. Nu toate soluțiile de EDR au caracteristicile enumerate mai sus și este posibil ca o soluție să aibă o parte dintre caracteristici iar cealaltă să aibă caracteristici diferite. În funcție de necesitățile companiei se poate alege soluția optimă.