AVEȚI ÎNTREBĂRI? SUNAȚI LA: +40 701 136 476

Red Elite

  • ACASĂ
  • ARTICOLE
  • SERVICII
  • CONTACT
  • Home
  • Tehnologie
  • Archive from category "Tehnologie"
June 12, 2025

Category: Tehnologie

  • 0
Valentin Virtejanu
Thursday, 04 March 2021 / Published in Securitate, Soluții, Tehnologie

Cum putem reduce riscul unui atac cibernetic într-o rețea ce se dezvoltă în permanență?

Adesea ne găsim în situația extinderii necontrolate a rețelelor corporate, adăugăm host-uri noi, servere noi, imprimante și tot felul de echipamente. Odată cu această extindere se mărește și plaja de acțiune a unui atacator deoarece numărul crescut de sisteme informatice duce la creșterea posibilelor vulnerabilități din rețea.

Dacă extinderea nu o putem controla putem face ceva în privința vulnerabilităților. Asemeni unui atacator putem scana periodic rețeaua, identifica vulnerabilitățile de pe sisteme și în loc să le exploatăm le putem remedia prin actualizarea lor sau prin alte metode.

Un utilitar ce ne permit să scanăm rețeaua, să identificăm vulnerabilitățile și să le remediem este Qualys. Cu ajutorul Qualys putem efectua scanări periodice ale rețelei și putem ține o evidență centralizată a vulnerabilităților găsite până ce acestea sunt remediate.

Pentru rețelele mici putem opta pentru versiunea Community Edition ce este gratuită. Aceasta ne permite să scanăm până la 16 sisteme interne, 3 externe și un web site. În cazul rețelelor mari este necesar un upgrade, o vedere de ansamblu a rețelei ne poate ajuta să depistăm sistemele noi instalate în rețea, asta în cazul în care un atacator își instalează un sistem nou pentru a păstra un canal de comunicare cu exteriorul sau porturile noi deschise pe sisteme astfel încât dacă un atacator a compromis un sistem și a deschis un port nou pentru a exfiltra date îl putem descoperi.

În cazul în care doriți să testați soluția vă puteți face cont pe https://www.qualys.com/community-edition/

După ce primiți confirmarea veți avea accces la cloud-ul Qualys.

Pentru a începe scanarea sistemelor interne aveți nevoie să instalați în rețea un Virtual Appliance din tab-ul Scan -> Appliances.

În cazul nostru am folosit un Virtual Appliance de VMware Workstation deoarece rețeaua simulată de noi a fost construită în VMware Workstation.

Cu ajutorul codului de personalizare din cloud-ul Qualys am reușit să conectăm mașina virtuală la platformă.

Putem începe scanarea selectând din mai multe profile inițiale.

Sau putem personaliza scanarea apăsând pe Select.

Rezultatele scanării pot fi văzute inspectând fiecare sistem în parte din meniul Assets -> Hosts assets.

Sau cu ajutorul unui raport din meniul Reports -> Templates, de unde putem selecta mai multe tipuri de rapoarte.

Iar raportul are forma următoare:

În raport putem vedea tipul vulnerabilităților, dacă există exploit disponibil și ce metode de remediere exista.

Un astfel de soft, cum este Qualys ne poate ajuta să descoperim vulnerabilitățile înaintea atacatorilor, să le remediem și cu ajutorul rapoartelor periodice putem vedea progresul remedierii lor.

Dacă doriți să implementați soluția management a vulnerabilităților Qualys în rețeaua dvs. ne puteți contact oricând folosind formularul nostru de contact.

  • 0
Valentin Virtejanu
Sunday, 22 November 2020 / Published in Securitate, Soluții, Tehnologie

EDR în comparație cu antivirus tradițional

În articolul precedent subliniam faptul că un antivirus tradițional nu este de ajuns pentru a securiza host-urile angajaților. Astăzi vom prezenta câteva avantaje ale soluțiilor de tip EDR (Endpoint Detection and Response) în comparație cu un antivirus tradițional.

Ce este un EDR (Endpoint Detection and Response)

Soluțiile EDR sunt aplicații ce ajută membrii SOC (Security Operation Center) în detectarea și invesigarea activităților suspecte de pe endpoint-urile din întreaga organizație. EDR-ul a devenit tehnologia preferată de organizațiile din întreaga lume pentru a adăuga un strat suplimentar de securitate pentru rețelele lor în comparație cu un antivirus.

Structura unui EDR

Structura unui EDR este compusă din aplicații de tip client care se instalează pe endpoint-uri și platforme ce stochează datele primite de la clienți, aceste platforme pot fi înstalate în rețeaua organizației (in house/on-premise) sau pot fi folosite soluții de stocare în cloud-ul funizorului de serviciu.

Cum funcționează un EDR

Soluțiile EDR monitorizează traficul de rețea al endpoint-urilor și evenimentele de pe acestea. Datele sunt colectate centralizat pe un server pentru a putea fi analizate de membrii SOC.

Avantajele EDR

Programele antivirus tradiționale se limitează la detectarea și îndepărtarea virușilor și a altor programe malițioase pe baza unor semnături actualizate de vânzătorul produsului, acestea sunt o componentă a EDR. Pe lângă funcțiile oferite de antivirus, EDR-ul oferă o privire de ansamblu a tuturor evenimentelor de pe endpoint-uri. Mai jos vom prezenta câteva scenarii unde se poate vedea eficiența sporită a unui EDR.

  • Utilizatorii raportează un email de phishing, analisul SOC extrage URL-ul malițios și poate verifica în EDR dacă și alți utilizatori au dat click pe URL-ul respectiv. Un alt beneficiu al verificării traficului este acela că pe baza URL-urilor malițioase se pot crea watchlist-uri astfel încât atunci când un endpoint face un DNS Lookup pentru domeniul malițios să se creeze o alertă și incidentul să poată fi remediat.
  • Actualizarea proactivă a semnăturilor fișierelor malițioase. Un antivirus tradițional are în spate o echipă care actualizează semnăturile, actualizărilor pot fi primite cu întârziere de către client. Cu ajutorul unui EDR, personalul din SOC poate analiza mai multe surse externe de semnături și pot bloca proactiv ce este de interes pentru companie. În domeniul securității IT 5 minute de întârziere în blocarea unei amenințări pot fi catastrofale.
  • Cu ajutorul unui EDR analiștii SOC pot determina dacă un proces este malițios sau nu folosindu-se de cunoștințele lor în criminalistică digitală. Se poate determina dacă un proces a pornit dintr-un folder din care nu ar fi trebuit să pornească, se poate determina ce sub-procese a deschis un anumit proces și dacă acesta conțin cod malițios, spre exemplu powershell.
  • Un alt aspect foarte important ce poate face un EDR să fie mai eficient decât un antivirus este acela că oferă o privire de ansamblu asupra tuturor fișierelor din mediul clientului. La ce ajută asta? Spre exemplu, departamentul SOC primește o alertă despre un fișier posibil malițios, cu ajutorul EDR-ului se poate determina cât de mare este impactul asupra mediului clientului, dacă fișierul este instalat pe 5 endpoint-uri sau dacă este instalat pe 10.000 iar dacă în urma analizei se determină că fișierul este malițios acesta poate fi blocat pe toate endpoint-urile.
  • Blocarea USB-urilor malițioase pe toate endpoint-urile din organizație. La ce ne ajută asta? Spre exemplu un atacator cu acces fizic in organizație introduce un USB malițios într-un endpoint, acesta este detectat dar între timp atacatorul a scos USB-ul și a plecat mai departe, dat fiind că identificarea atacatorului poate dura, ca măsura preventivă se poate bloca USB-ul pentru citire/scriere pe toate endpoint-urile din organizație.

Cele prezentate mai sus sunt câteva dintre avantajele unui EDR în comparație cu un antivirus tradițional. Nu toate soluțiile de EDR au caracteristicile enumerate mai sus și este posibil ca o soluție să aibă o parte dintre caracteristici iar cealaltă să aibă caracteristici diferite. În funcție de necesitățile companiei se poate alege soluția optimă.

Antivirus tradiționalComparațieEDRSoluții

Recent Posts

  • Cum putem reduce riscul unui atac cibernetic într-o rețea ce se dezvoltă în permanență?

    Adesea ne găsim în situația extinderii necontro...
  • Business card photo created by jcomp - www.freepik.com

    Review Boosteroid

    Review Boosteroid: cum să ți se tragă banii de ...
  • Saga SolarWinds, poveste fără sfârșit

    În decembrie 2020, SolarWinds, o companie din A...
  • EDR în comparație cu antivirus tradițional

    Astăzi vom prezenta câteva avantaje ale soluții...
  • Directiva NIS aproape de a fi implementată în România

    Directivă NIS (Network and Information Security...

Recent Comments

    Categories

    • CTF
    • Data breach
    • GDPR
    • LEGISLAȚIE
    • Securitate
    • Soluții
    • Tehnologie

    Programează o întâlnire

    MENIU

    • ACASĂ
    • ARTICOLE
    • SERVICII
    • CONTACT

    Contactați-ne

    T +40 701 136 476
    Email: contact@redelite.ro

    REDELITE INTERNATIONAL SRL
    STR. DIAMANTULUI NR 111, BRAGADIRU, ILFOV

    • GET SOCIAL

    © 2023 Toate drepturile rezervate, redelite.ro este marcă înregistrată a REDELITE INTERNATIONAL SRL. Termeni și condiții.

    TOP
    We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
    Cookie settingsACCEPT
    Manage consent

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
    Necessary
    Always Enabled
    Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
    Non-necessary
    Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
    SAVE & ACCEPT