» »

Locky Virus

Locky Virus

«
1
2

stuffy ::

Namesto Tesle se je pojavil virus Locky "https://medium.com/@networksecurity/loc...

Če izklopite macroje v Office dokumentih naj se nebi več širil po mreži....

Lp

pviran3 ::

ima še kdo to okužbo in zašifrirane fajle?

mared ::

pri nas v firmi je že cela štala...

dronyx ::

mared je izjavil:

pri nas v firmi je že cela štala...

To se večinoma širi prek elektronske pošte in okuži ko zaposleni zažene priponko. Pri teh izsiljevalskih virusih je žal tako, da antivirusi in ostala zaščita nikakor niso dovolj in je veliko odvisno od pazljivosti zaposlenih pri uporabi e-pošte. Samo kaj, ko lahko nekatere še tako opozarjaš na nevarnosti, pa jim je v bistvu čisto vseeno...saj ko pride do okužbe naprej ni več njihov problem.

SeMiNeSanja ::

Jasno, če imate na vhodu tup firewall, ki spusti vse skozi, ne da bi preveril, kaj to sploh spušča.

Če so potem še uporabniki naivni in klikajo po vseh priponkah, ki jih vidijo.... potem lahko samo še moliš, da bo AV mogoče uspel kaj prestreči.

Jaz že celo večnost pridigam, da danes navaden stateful packet filter firewall (Linksys, Mikrotik,...) ne zadošča več na vhodu v poslovno omrežje, pa se vedno najdejo hudo pametni, ki trdijo drugače.

Če ti samo eden računalnik zaklenejo, da moraš plačat odkupnino, te zgolj ta stane več, kot mala spodobna požarna pregrada za 10 uporabnikov z vso možno zaščito pred takšnimi nadlogami.
Če pride do okužbe, bi jaz 'odkupnino' takim pametnjakovičem, ki trdijo, da Linksys-i in Mikrotiki povsem zadoščajo, odtrgal od plače.

Število okuženih mailov je zadnje dni izredno naraslo. Če nimaš ustrezne zaščite, rabiš samo malo nepozornosti enega uporabnika, pa že imaš celo štalo. Vsaj jaz zadnje dneve dobivam celo goro teh zlonamernih mailov, ki mi jih požarna pregrada več kot uspešno briše.

Sem zadnjič zasledil zanimiv Wired članek, ki zelo lepo pokaže, kako daljnosežne so lahko tovrstne okužbe in kakšno škodo lahko povzročijo. Ko enkrat bolnica ne more sprejemati pacientov in jih mora preusmerjati v druge bolnice, je to dejansko že cela katastrofa!

Popravek: vidim, da je tudi S-T že povzel to novičko...

Zgodovina sprememb…

karafeka ::

In katera bi bila ta mala spodobna požarna pregrada?
Saj verjetno je bilo že omenjeno kje, anpak če si že napisal tak izčrpen komentar, bi pa lahko omenil še to.
Bi marsikomu prav prišlo, da prepreči morebitne težave.

dronyx ::

karafeka je izjavil:

In katera bi bila ta mala spodobna požarna pregrada?

Sem bil presenečen ko je napisal, da požarna pregrada briše maile. Resda se s tem ne ukvarjam, samo sem pa mislil, da znajo kakšne napredne požarne pregrade samo preprečiti komunikacijo virusu do nadzornega sistema na internetu, od koder se potem potegne okužba...

AC_DC ::

Prizadeta je predvsem Žermani:
http://www.heise.de/newsticker/meldung/...

Lux CERT ima na svojem honeypotu 500 zadetkov v pol ure 8-O.
https://twitter.com/circl_lu/status/700...

Zgodovina sprememb…

  • spremenilo: AC_DC ()

jukoz ::

SeMiNeSanja> Jasno, če imate na vhodu tup firewall, ki spusti vse skozi, ne da bi preveril, kaj to sploh spušča.

Kaj ma pa firewall z maili? DPI ni kar tako in če se zaposleni ne strinjajo ga ne bo. Se pa strinjam da naj odklep fajlov plačajo glupi zaposleni.

SeMiNeSanja ::

jukoz je izjavil:

SeMiNeSanja> Jasno, če imate na vhodu tup firewall, ki spusti vse skozi, ne da bi preveril, kaj to sploh spušča.

Kaj ma pa firewall z maili? DPI ni kar tako in če se zaposleni ne strinjajo ga ne bo. Se pa strinjam da naj odklep fajlov plačajo glupi zaposleni.

Od kdaj imajo zaposleni pravico odločati o tem, če se bo v podjetju uporabljal DPI ?!? Če jim ni prav, da podjetje varuje svoje omrežje, lahko gredo delati drugam.

jukoz ::

Od nekdaj - ker imajo pravico do zasebnosti tudi na delovnem mestu. Če se ji odrečejo sami je eno, prisiliti v to jih pa ne moreš.

Admin, ki mi to ni všeč, pa gre lahko delati drugam =)

Furbo ::

Ja fino, naj se ne odrečejo, če bodo prevzeli odgovornost za morebitno škodo.
Lp,f

SeMiNeSanja ::

jukoz je izjavil:

Od nekdaj - ker imajo pravico do zasebnosti tudi na delovnem mestu. Če se ji odrečejo sami je eno, prisiliti v to jih pa ne moreš.

Admin, ki mi to ni všeč, pa gre lahko delati drugam =)

Ko bi ti vedel, kako se motiš!

Kaj boš jutri rekel, da naj se varnostni inženir nekam ugrizne, da ne boš nosil predpisane čelade, ker ti lahko pokvari frizuro?

Ja, imaš pravico do zasebnosti - za zasebne namene uporabljaj internet od doma! Tvoja izbira je, če v javnosti razkazuješ svojo zadnjico - sam ne potem jokat, če jo kdo vidi.

Sploh pa DPI, dokler ne logiraš, ni noben poseg v zasebnost! Posega vanjo ravno toliko, kot AV in personal firewall, ki ga imaš na računalniku - pa še nisem slišal, da bi se kdo bunil, da mu je treba AV odstraniti, ker mu krati zasebnost.

dronyx ::

O kakšnem sistemu za DPI je tu govora in kakšen je cenovni rang tega?

Kar se tiče posega v zasebnost tu po moje ne more biti ničesar spornega če ima firma določena pravila in če so zaposleni o tem seznanjeni.

Zgodovina sprememb…

  • spremenil: dronyx ()

SeMiNeSanja ::

Ok, vidim, da sem dolžan bolj poglobljenega pojasnila glede filtriranja mailov.

Omejil se bom na WatchGuard izvedbo, kakšen drug UTM/NextGen ponudnik nudi podobne možnosti, koliko in kaj konkretno kdo omogoča, pa zelo močno zavisi od posameznega proizvajalca, firmware-a in seveda UTM naročnin, ki jih imaš aktivne.

Ko mail prispe do požarne pregrade, se tako, kot na vsaki požarni pregradi, kot prvo preveri, če na tem IP naslovu imamo pravilo, ki bi dovoljevalo SMTP promet.

Ker incoming maile obravnavamo z SMTP proxijem, ta povezavo prevzame in analizira kompletno konverzacijo z oddaljenim SMTP strežnikom.

Pri tem preveri vse headerje in po potrebi briše neželjene.
Preveri vse priponke in za posamezno vrsto priponk glede na 'Content Type' in Filename izvede ustrezno definirano akcijo (AV scan, zaklep datoteke, brisanje datoteke, connection drop, blokado izvora). Izvršljive datoteke običajno ne dovoljujemo pošiljati preko maila, niti če so zapakirane v kakšen zip arhiv.

Če recimo dovolimo *.doc priponke in smo odredili AV scan, se bo datoteka skenirala z antivirusom. Če signatura/heuristika zazna virus, priponko/sporočilo zaklene in pošlje v karanteno ali izbriše.

Če imamo naročnino za 'Sandbox', se vse priponke, ki so prestale AV test preveri še s pomočjo sandbox analize.

Ko vse to prestane, se mailu določi še spam score in ga v primeru spama označi kot takega ali pošlje v spam karanteno, preostale maile pa dostavi uporabniku v mailbox.

Če se je kljub temu še vedno uspela zadeva nekako izmuzniti, lahko uporabnik mail odpre in zažene priponko.

Na tej točki se aktivira lokalno nameščeni AV proizvod. Ta bo ali ne bo zaznal malware.

V večini primerov (tudi pri Locke), se mora vzpostaviti neka dodatna komunikacija z 'centralo' barabinov, da bodisi naloži še dodatne module, katere potrebuje za uspešno okužbo in/ali za komuniciranje enkripcijskih ključev.

Tudi če ta komunikacija poteka preko https, ponavadi ne bomo dovolili navadnim uporabnikom prenašanje *.exe in *.cab datotek iz neznanih izvorov (jim omogočimo to samo za tiste lokacije, katere so potrebne za posodabljanje ).
Še pred tem pa samo povezavo preveri spletni filter, če se morda gre za 'rizična spletišča' (nove domene, parkirane domene, znani izvori malware-a,...).

Tudi če je uporabnik med 'priviligiranimi' (admini,..), ki smo jim morda dovolili prenašanje izvršljivih datotek, bomo te ob prenosu spet poslali skozi AV check in sandbox analizo (če imamo naročnino).

Na koncu pa potem še enkrat pride do poteze lokalni AV proizvod, ki ga imamo nameščenega na osebnem računalniku, če je vse ostalo prej odpovedalo.

Skratka, sito, skozi katerega mora zadeva v takem slučaju, je bistveno bolj gosto pleteno, kot pri kakšnem navadnem 'home grade' routerčku.

In stvari danes sploh niso nujno grozljivo drage. Cena napravice za 10 uporabnikov (400Mbps firewall, 120Mbps AV, 90Mbps UTM), vsemi naročninami vred (tudi sandbox) in naprednim poročanjem se prične pri 670€.

jukoz ::

> Ko bi ti vedel, kako se motiš!
...

O tem smo že imeli precej dolgo debato. In da ne bo pomote, jaz kot delodajalec se strinjam da zaposleni nimajo kaj zlorabljati službeno opremo za privatne zadeva. A na žalost seveda jo in imajo pravico do zasebnosti. Če pa podpišejo da se strinjajo s tem da se jih spremlja, potem pa ni težav. To je januarja dosodilo tudi ESČP. Ampak če se ne strinjajo potem pa ne moreš nič. Oz, lahko DPIjaš promet tistih ki so se strinjali s tem. Ali je to učinkovito ali ne pa ...
Ne moreš pa nekoga odpustiti ker se ne strinja s tem da se mu posega v zasebnost.

jukoz ::

Mimogrede, tale FW ti dela pol tega kar naj bi ti že mail srv naredil:
- oceni za spam
- preveri za viruse
- vrže v karanteno oz izbriše

Še to - tole sranje smo prvič zabeležili v ponedeljek, 15.02. Kdaj so ga AVji na FWju začeli blokirati pri tebi. Ker po moje je ravno to problem, tako AVji na desktopih kot AVji na FW/mail srv ... rabijo nekaj časa da se po updajtajo. In v tem času uporabniki dobijo vsega boga.

dronyx ::

jukoz je izjavil:

... rabijo nekaj časa da se po updajtajo.

Nekod, ki se ukvarja s protivirusno zaščito mi je dejal, da danes dobiš na črnem trgu programske rešitve za ransomware z garancijo, torej ti avtorji zagotavljajo, da te določen čas protivirusni programi ne bodo odkrili. Verjetno je koda spisana tako da se spreminja in mu protivirusna oprema niti ne more slediti tako hitro.

Zgodovina sprememb…

  • spremenil: dronyx ()

SeMiNeSanja ::

jukoz je izjavil:

Mimogrede, tale FW ti dela pol tega kar naj bi ti že mail srv naredil:
- oceni za spam
- preveri za viruse
- vrže v karanteno oz izbriše

Še to - tole sranje smo prvič zabeležili v ponedeljek, 15.02. Kdaj so ga AVji na FWju začeli blokirati pri tebi. Ker po moje je ravno to problem, tako AVji na desktopih kot AVji na FW/mail srv ... rabijo nekaj časa da se po updajtajo. In v tem času uporabniki dobijo vsega boga.

Ravno zato določene content type in datoteke z izvršljivimi končnicami ne spuščaš do uporabnikov.
Ker AV 'zamuja' in caplja zadaj za grožnjami, se danes zadevo nadgrajuje z analizo v 'peskovniku' - tzv. Sandbox analizo, katera sproti preverja kaj namerava neka določena datoteka početi, uporablja pa se samo za tisto, kar je uspešno šlo skozi AV filter.

Kaj za eni virusi vletavajo, sproti ne gledam - koneckoncev so itak pobrisani.
Sem pa šel gledat v poročila: prva priponka z imenom invoice_*.doc (tipično za Locke) je bila s strani sandbox-a prestrežena 3.2.2016 ob 14:51. Precej prej, kot ste jo prvič opazili pri vas.

dronyx je izjavil:

jukoz je izjavil:

... rabijo nekaj časa da se po updajtajo.

Nekod, ki se ukvarja s protivirusno zaščito mi je dejal, da danes dobiš na črnem trgu programske rešitve za ransomware z garancijo, torej ti avtorji zagotavljajo, da te določen čas protivirusni programi ne bodo odkrili. Verjetno je koda spisana tako da se spreminja in mu protivirusna oprema niti ne more slediti tako hitro.

To imaš celo freeware, sploh ne rabiš kupovati!
Zato pa se vse bolj uveljavljajo sandbox rešitve, ki v nadzorovanem okolju odprejo datoteko in spremljajo njeno obnašanje, nekateri proizvodi pa celo analizirajo izvorno kodo, če vsebuje značilne elemente prikrivanja zlonamerne dejavnosti (če npr. preverja ali se poganja v virtualki, če ima kakšen 'sleep timer',....).

Zgodovina sprememb…

SeMiNeSanja ::

jukoz je izjavil:

> Ko bi ti vedel, kako se motiš!
...

O tem smo že imeli precej dolgo debato. In da ne bo pomote, jaz kot delodajalec se strinjam da zaposleni nimajo kaj zlorabljati službeno opremo za privatne zadeva. A na žalost seveda jo in imajo pravico do zasebnosti. Če pa podpišejo da se strinjajo s tem da se jih spremlja, potem pa ni težav. To je januarja dosodilo tudi ESČP. Ampak če se ne strinjajo potem pa ne moreš nič. Oz, lahko DPIjaš promet tistih ki so se strinjali s tem. Ali je to učinkovito ali ne pa ...
Ne moreš pa nekoga odpustiti ker se ne strinja s tem da se mu posega v zasebnost.

Nihče ni govoril o tem, da boš nekoga odpustil.

Kot delodajalec si najprej dolžan poskrbeti za transparenco in ljudjem pojasniti ZAKAJ je danes DPI potreben. Če se jim to ne da ustrezno pojasniti, potem definitivno ni problem v DPI-ju ampak v odnosu med vodstvom podjetja in zaposlenimi.

Razne sodbe po različnih sodiščih pa so tako tako - enkrat gredo v eno, drugič v drugo smer. Zadnje čase kaže celo, da bo pravica bolj na strani delodajalcev, kar se tiče 'pričakovanja zasebnosti'.

Ampak kot rečeno, dokler ne logiraš česa, je DPI primerljiv s katerimkoli AV produktom, glede 'vdora v zasebnost'. Stvari se začno pravno komplicirati šele s tem, ko nekaj pričneš logirati. Ravno ti logi so potem jabolko spora - kdo jih bo gledal in kakšen bo namen tega 'gledanja logov'.
Če je komunikacija v podjetju na nekem normalnem nivoju in lahko govorimo o določenem nivoju zaupanja, da tako zbrani podatki ne bodo zlorabljeni zoper delavce, če se točno ve, kdo ima vpogled v njih in zakaj (pa ta namen ni iskanje črnih ovc za odstrel), potem se zaposleni zagotovo ne bodo mrgodili.

Drugače pa pozabljaš, da imaš cel kup dejavnosti (bančništvo,...), kjer se zahteva logiranje prometnih podatkov s strani regulatorjev. V teh dejavnostih delavec dejansko lahko samo pobere delavsko knjižico in si poišče drugega delodajalca za vsiljevanje svojih pogledov na zasebnost komunikacij na delovnem mestu.

tony1 ::

jukoz je izjavil:

Od nekdaj - ker imajo pravico do zasebnosti tudi na delovnem mestu. Če se ji odrečejo sami je eno, prisiliti v to jih pa ne moreš.

Admin, ki mi to ni všeč, pa gre lahko delati drugam =)


Niti slučajno zakon ne zahteva, da se morajo zaposleni strinjati z DPIjem. Zakon zahteva, da so obveščeni, da se DPI dela, in to je vse.

Praktično povedano: direktor podpiše okrožnico, ki se nabije na oglasno desko v vseh oddelkih firme in fertik maša.

SeMiNeSanja ::

tony1 je izjavil:

jukoz je izjavil:

Od nekdaj - ker imajo pravico do zasebnosti tudi na delovnem mestu. Če se ji odrečejo sami je eno, prisiliti v to jih pa ne moreš.

Admin, ki mi to ni všeč, pa gre lahko delati drugam =)


Niti slučajno zakon ne zahteva, da se morajo zaposleni strinjati z DPIjem. Zakon zahteva, da so obveščeni, da se DPI dela, in to je vse.

Praktično povedano: direktor podpiše okrožnico, ki se nabije na oglasno desko v vseh oddelkih firme in fertik maša.

Približno tako...

Največji problem pa je v glavah ljudi, ker sploh ne vedo, kaj je DPI. Potem pa pridejo naokoli eni preveč pametni, ki začno razlagat, da je to grob poseg v zasebnost, da jim lahko potem vsi berejo maile, kaj si dopisujejo na facebook-u, gmailu,.... in imaš 'upor' pred vrati.

Jaz temu pravim zloraba pojma DPI.
DPI je namreč tako širok pojem, da si lahko pod njim vsakdo predstavlja nekaj drugega - paranoik seveda točno najhujšo obliko - da lahko vsak, ki to hoče, bere njegovo zasebno komunikacijo, gleda slike, katere pošilja naokoli in seveda, da mu lahko vsak vidi vsa gesla do njegovih accountov, v katera se prijavlja.

Seveda obstajajo specializirana orodja, ki vse to in še vse kaj drugega omogočajo. Vendar se tem orodjem ne reče požarna pregrada!

Nobena meni znana požarna pregrada ne bo kopirala vsebin sporočil in priponk. Ravno tako ne shranjujejo vsebin besedil, ki jih tipkaš na spletu, kaj šele, da bi shranjevala gesla uporabnikov.

Shranjuje se (če imaš vključeno) zgolj prometne podatke. Kdo je kdaj dostopal do katere spletne strani, katere datoteke (ime in velikost) so se prenašale, kakšnih kategorij so bile obiskane spletne strani, kdo je komu pošiljal maile (redko se shranjuje tudi subject), ali so ti maili imeli priponke in kako velike so bile.

Podatke se shranjuje, da bi se lahko kasneje lažje diagnosticiralo težave in jih odpravilo. Služijo tudi preventivi, da lahko s pomočjo analize prometa vidiš, da se določen računalnik sumljivo obnaša, ustvarja nenavaden promet.

Seveda lahko nekdo tudi prometne podatke zlorabi. Tudi če ne vidiš vsebine sporočila, lahko nekdo sklepa, da ima Jaka iz prodaje nekaj z Metko iz tajništva, če si vsakodnevno prepošiljata po 30 mailov. Lahko posumiš, da je Jože resno bolan, če po cele dneve brska po straneh, ki imajo v URL-ju string 'cancer', da se Jožica morda ločuje, če brska po straneh odvetniških pisarn in forumov z URL stringom 'locitve'.
Seveda je tudi to neke vrste poseg v zasebnost. Vendar pa tukaj lahko govorimo o 'sorazmernem posegu', če se podatki ne obdelujejo za namen ugotavljanja zdravstvenega stanja, socialnega statusa posameznika, njegovih interesov in nagnjenj.
To tudi pomeni, da delodajalec ne more nekoga odpustiti kar tako, ker je na osnovi prometnih podatkov ugotovil, da npr. Pepe med delovnim časom brska po pornografskih straneh. Lahko pa administrator to informacijo uporabi, da prepreči dostop do tovrstnih strani, če se izkaže, da zaposleni preveč brskajo po tej kategoriji spletišč.

Nekaterim bi sicer najbolj ustrezalo, če se teh podatkov sploh nebi beležilo. Če pa že, da bi administrator do njih imel dostop zgolj z odredbo sodišča. Toda kako naj potem administrator opravlja svoje delo?

Iz prakse lahko rečem, da administratorji še veliko premalo gledajo analitiko prometa. Zato pogosto ne opazijo nenavadnega dogajanja na mreži in na koncu samo še igrajo vlogo gasilca.

Vsa ta DPI paranoja me spominja na zblojeno pacientko, ki reče zdravniku 'ne bom se slekla' ali pa celo zahteva, da se je zdravnik ne sme dotakniti.
Seveda imaš tudi kakšnega perverznega zdravnika, ki se pali ob pogledu na golo kožo pacientk in se jih dotika več, kot bi to bilo potrebno. Ampak bomo zato zahtevali, da nas 'pregledajo' oblečene in z enega metra varnostne razdalje?

A_A ::

SeMiNeSanja je izjavil:

Ok, vidim, da sem dolžan bolj poglobljenega pojasnila glede filtriranja mailov.

Če recimo dovolimo *.doc priponke in smo odredili AV scan, se bo datoteka skenirala z antivirusom. Če signatura/heuristika zazna virus, priponko/sporočilo zaklene in pošlje v karanteno ali izbriše.

Če imamo naročnino za 'Sandbox', se vse priponke, ki so prestale AV test preveri še s pomočjo sandbox analize.

Ko vse to prestane, se mailu določi še spam score in ga v primeru spama označi kot takega ali pošlje v spam karanteno, preostale maile pa dostavi uporabniku v mailbox.

Če se je kljub temu še vedno uspela zadeva nekako izmuzniti, lahko uporabnik mail odpre in zažene priponko.

Na tej točki se aktivira lokalno nameščeni AV proizvod. Ta bo ali ne bo zaznal malware.

V večini primerov (tudi pri Locke), se mora vzpostaviti neka dodatna komunikacija z 'centralo' barabinov, da bodisi naloži še dodatne module, katere potrebuje za uspešno okužbo in/ali za komuniciranje enkripcijskih ključev.

Tudi če ta komunikacija poteka preko https, ponavadi ne bomo dovolili navadnim uporabnikom prenašanje *.exe in *.cab datotek iz neznanih izvorov (jim omogočimo to samo za tiste lokacije, katere so potrebne za posodabljanje ).
Še pred tem pa samo povezavo preveri spletni filter, če se morda gre za 'rizična spletišča' (nove domene, parkirane domene, znani izvori malware-a,...).

Tudi če je uporabnik med 'priviligiranimi' (admini,..), ki smo jim morda dovolili prenašanje izvršljivih datotek, bomo te ob prenosu spet poslali skozi AV check in sandbox analizo (če imamo naročnino).


A ta sandboxing maš potem zvezan v inline al mirroriraš promet? Če delaš mirror prometa, kje potem blokiraš kar ugotovi sandbox? Razumem, da če imaš na vsakem PCju klienta od tega produkta, potem se da to lepo urediti. Samo kaj pa če nimaš?

SeMiNeSanja ::

Kako se izvaja sandbox analiza se precej razlikuje med različnimi ponudniki tovrstnih rešitev. Že tako se gre za precej mlado tehnologijo, ki vsekakor tudi lahko ima svoje pomanjkljivosti.

WatchGuard uporablja cloud varianto Lastline rešitve, podpira pa tudi lokalno Lastline varianto. Lastline rešitev uporabljajo oz. se z njo integrirajo številni proizvajalci varnostnih rešitev, ki imajo vsak malo drugačen pristop.

WatchGuard za vsako datoteko, ki jo hoče analizirati, najprej ustvari hash in v oblaku preveri, če je datoteka s tem hashom, že kdaj bila analizirana. Lastline namreč vsa imena datotek, njihove hash vrednosti in rezultate analiz shranjuje v bazo v oblaku. Če je torej datoteka že bila kategorizirana, se jo direktno prepusti ali blokira, ne da bi se še kaj ukvarjali z njo. Torej v primeru že kdaj zaznane škodljive kode, jo ne bomo dostavili uporabniku.

Bolj problematične so datoteke, ki še nikoli niso bile analizirane. Sandbox analiza v oblaku namreč lahko traja tudi do 15 minut, predenj nam vrne rezultat. V praksi je sicer odstotek 'že videnega' izredno visok, vendar smo vsekakor lahko tudi mi kdaj prvi, ki določeno datoteko posreduje v analizo.
V tem primeru se po sedanji implementaciji mail sprosti in dostavi uporabniku v mailbox. Če analiza ne pokaže problemov, se ne bo zgodilo nič. Če pa analiza naknadno kaže na potencialno nevarno datoteko, pa administrator prejme obvestilo o tem na mail in lahko ustrezno ukrepa.

To seveda pušča odprt določen čas (15 min za analizo+reakcijski čas admina), ko lahko nastopijo komplikacije in zagotovo bo tu še prišlo do kakšnih izboljšav.
Vendar pa je zadeva v primerjavi z nekaterimi drugimi implementacijami dokaj napredna. Nekatere implementacije namreč sploh nimajo splošne baze rezultatov, temveč zgolj generirajo nove AV signature, katere se potem distribuirajo vsem uporabnikom rešitve. Lastline ščiti vse svoje uporabnike širom sveta že prvo sekundo po končani analizi prvega primerka neke zlonamerne datoteke, medtem ko takšna implementacija preko AV signatur dovoljuje tudi do 24 urni zamik od prve zaznave, kar pa je lahko 24 ur preveč, če si zadevo v tem času staknil.

Seveda ti bo Lastline z veseljem prodal še varianto za na kliente, tako da ne boš toliko odvisen od reakcijskega časa administratorja, vendar ne vem, koliko te to potem še dodatno stane.

Kot rečeno obstaja cel kup različnih implementacij že samo pri Lastline-u, še bolj pestro postane, če greš gledat še kakšne druge rešitve. Glede na ceno 123€/leto za okolje z okoli 10 uporabnikov, se meni implementacija vsekakor zdi vredna svojega denarja, saj na račun tega lahko na PC-jih namesto nekega dragega PRO antivirusa vzameš neko 'light' varianto in ta znesek hitro nazaj noter prineseš. Seveda potem ni priporočljivo na klientih uporabljati isti AV, kot na požarni pregradi.

Je pa treba tu tudi povedati, da nekatere UTM požarne pregrade pridejo z zelo skromnimi AV signaturami. Ni redkost, da moraš za kolikor tolikor spodobne AV signature posebej doplačati - ali pa sploh niso na voljo. Žal proizvajalci precej skrivajo obsežnost AV signatur, ki jih uporabljajo, tako da je končnemu uporabniku praktično nemogoče razločevati med solidno in slabo AV implementacijo, saj tega podatka v datasheet-ih ne boste našli. Sam sem enkrat videl en diagram enega proizvajalca z primerjavo signatur s konkurenti. Če drži, kar je diagram prikazoval, se nekateri proizvajalci sploh nebi smeli oglaševati, da nudijo tudi AV skeniranje!

dronyx ::

Te naprave o katerih tu govorite so predvidevam tudi nekakšen gateway oz. posredniki za internet, tako da se celoten https oz. šifriran promet dešifrira tam in ne na uporabnikovem računalniku (nekaj takega)? Ker če to ne dela tako si pri teh okužbah potem še vedno odvisen od zaščite, ki jo ima zaposleni nameščeno na računalniku (antivirus).

Zgodovina sprememb…

  • spremenil: dronyx ()

jukoz ::

SeMiNeSanja:

> Kot delodajalec si najprej dolžan poskrbeti za transparenco in ljudjem pojasniti ZAKAJ je danes DPI potreben.
ZAKAJ je danes DPI potreben, 5 let nazaj pa ni bil? Predvsem zato ker so stroji postali dovolj poceni in zmogljivi da to lahko delajo

> Ampak kot rečeno, dokler ne logiraš česa, je DPI primerljiv s katerimkoli AV produktom, glede 'vdora v zasebnost'. Stvari se začno pravno komplicirati šele s tem, ko nekaj pričneš logirati. Ravno ti logi so potem jabolko spora - kdo jih bo gledal in kakšen bo namen tega 'gledanja logov'.
Če je komunikacija v podjetju na nekem normalnem nivoju in lahko govorimo o določenem nivoju zaupanja, da tako zbrani podatki ne bodo zlorabljeni zoper delavce, če se točno ve, kdo ima vpogled v njih in zakaj (pa ta namen ni iskanje črnih ovc za odstrel), potem se zaposleni zagotovo ne bodo mrgodili.

Že AVji so lahko problematični, ker pošiljajo podatke v nek oblak za analizo. Glede logiranja in nelogiranja - kako lahko zaposleni ve da se ne logira. Kako lahko delodajalec ve da se ne logira. Nadzoruje nadzornike? Sem že srečal bolne admine ki so logirali stvari brez dovoljenja. In prepričan sem da si jih tudi ti, glede na to v kakšnem fohu si. Niso samo DURSovci gledali davčne napovedi Helene Blagne. Take stvari se dogajajo tudi na nižjem nivoju.
Poleg tega DPI in HTTPS pač ne gresta skupaj. Kako boš razložil zaposlenemu da pa res ne beležiš njegove prijave na Facebook?

> Drugače pa pozabljaš, da imaš cel kup dejavnosti (bančništvo,...), kjer se zahteva logiranje prometnih podatkov s strani regulatorjev. V teh dejavnostih delavec dejansko lahko samo pobere delavsko knjižico in si poišče drugega delodajalca za vsiljevanje svojih pogledov na zasebnost komunikacij na delovnem mestu.

Ne, ne pozabljam. Ampak to so posebni primeri. Pri njih je tudi omejeno kam sploh lahko gredo.
Kako boš pa nekomu v razvoju ali trženju omejil dostop do facebooka ali googla, skypa, dropboxa, ..., ne da bi delal MITM, kar bi ta oseba seveda opazila. Tako da ji boš preprečil obiskovanje teh strani? Da boš odfiltriral obiske teh strani in tam ne boš izvajal DPI? Če je to tako ga lahko tudi ne izvajaš.

Moje mnenje je, da je izobraževanje zaposlenih o varni uporabi računalniške opreme vsaj tako pomembno kot tečaji varstva pri delu. In bi tudi moralo biti tako - če prekršiš pravila varnega dela si sam kriv, enako za varno uporabo računalniške opreme.

tony1 je izjavil:

jukoz je izjavil:

Od nekdaj - ker imajo pravico do zasebnosti tudi na delovnem mestu. Če se ji odrečejo sami je eno, prisiliti v to jih pa ne moreš.

Admin, ki mi to ni všeč, pa gre lahko delati drugam =)


Niti slučajno zakon ne zahteva, da se morajo zaposleni strinjati z DPIjem. Zakon zahteva, da so obveščeni, da se DPI dela, in to je vse.

Praktično povedano: direktor podpiše okrožnico, ki se nabije na oglasno desko v vseh oddelkih firme in fertik maša.


Še zaposleni o tem ni bil obveščen ob podpisu pogodbe in nastopu dela, potem se mora strinjati s tem.

Zgodovina sprememb…

  • spremenilo: jukoz ()

jukoz ::

SeMiNeSanja > Vsa ta DPI paranoja me spominja na zblojeno pacientko, ki reče zdravniku 'ne bom se slekla' ali pa celo zahteva, da se je zdravnik ne sme dotakniti.
Seveda imaš tudi kakšnega perverznega zdravnika, ki se pali ob pogledu na golo kožo pacientk in se jih dotika več, kot bi to bilo potrebno. Ampak bomo zato zahtevali, da nas 'pregledajo' oblečene in z enega metra varnostne razdalje?

Ne vem no, občutek imam da je takih adminov kar dosti. Sicer boš pa ti povedal, ker je to tvoj foh.

jernejl ::

Ampak bomo zato zahtevali, da nas 'pregledajo' oblečene in z enega metra varnostne razdalje?

Ali se boste zato, ker nekateri kradejo, začeli slačiti ob izhodu iz trgovine, da vas bodo na blagajni lahko pogledali?

tony1 ::

Niti slučajno zakon ne zahteva, da se morajo zaposleni strinjati z DPIjem. Zakon zahteva, da so obveščeni, da se DPI dela, in to je vse.

Praktično povedano: direktor podpiše okrožnico, ki se nabije na oglasno desko v vseh oddelkih firme in fertik maša.

Še zaposleni o tem ni bil obveščen ob podpisu pogodbe in nastopu dela, potem se mora strinjati s tem.
**************
(Ne vem sicer v kakšnem okolju delaš, sem pa sam v lajfu dobil v podpis še precej bolj problematične reči (ki so nam kdaj nižale plačo iz ljubega miru), in sem preprosto moral podpisati, DA se strinjam.)

Zaposleni dobi v roke obvestilo, ki ga obvešča, kakšna inšpekcija se dela in podpiše, da je s tem seznanjen. Ne bo pa dobil zraven še DA, se strinjam in NE, se ne strinjam, ne zakon ne IP tega ne zahtevata.

jernejl je izjavil:

Ampak bomo zato zahtevali, da nas 'pregledajo' oblečene in z enega metra varnostne razdalje?

Ali se boste zato, ker nekateri kradejo, začeli slačiti ob izhodu iz trgovine, da vas bodo na blagajni lahko pogledali?


Ne razumeš, kaj pomeni strojno skeniranje prometa z DPIjem za namene blokiranja škodljive kode oz. ščitenja omrežja.

Ti bom dal plastično primerjavo: tisto, kar počne firewall z DPIjem, je primerljivo z detektorji senzorjev proti kraji v trgovini s kavbojkami. Se štekava?

Zgodovina sprememb…

  • spremenil: tony1 ()

jernejl ::

Ali omenjeni detektorji pregledujejo vsebino galerije in SMS-ov na telefonu v mojem žepu zato, da bi ugotovili, če sem morda kradel?

tony1 ::

(Slab primer: vso vsebino tvojega telefona že preiskuje desetina naloženih aplikacij). Ampak,ja, got a point there. Hm, rezultati pregleda se ne beležijo nikjer, dela jih stroj, in do njih ne more dostopati nihče. Današnji konsenz v družbi je, da je to sprejemljivo in zakon to dovoljuje.

Sorry, internet je pač postal ena grda, zlobna reč. Vsak dan bolj. Wake up and smell the seaweed. ;)

SeMiNeSanja ::

dronyx je izjavil:

Te naprave o katerih tu govorite so predvidevam tudi nekakšen gateway oz. posredniki za internet, tako da se celoten https oz. šifriran promet dešifrira tam in ne na uporabnikovem računalniku (nekaj takega)? Ker če to ne dela tako si pri teh okužbah potem še vedno odvisen od zaščite, ki jo ima zaposleni nameščeno na računalniku (antivirus).

'Naprave o katerih govorimo' se postavi izza routerja ali namesto routerja, tako da mora ves promet do interneta skozi njih. Ponavadi pa filtrirajo tudi promet med omrežji v podjetju.

Če zadeva izpade, potem se 'zatakne' tudi ves promet, zato večje firme zadeve postavljajo v načinu visoke razpoložljivosti.

Drugače pa ni namen nadomestiti 'endpoint security' (AV na računalnikih), temveč vse to nadgraditi in naresti neodvisno od uporabniških interakcij (neposodabljanje AV, zaustavljanje AV scanov ker preveč ovirajo delo,...).

SeMiNeSanja ::

@Jukoz

> ZAKAJ je danes DPI potreben, 5 let nazaj pa ni bil? Predvsem zato ker so stroji postali dovolj poceni in zmogljivi da to lahko delajo

Mi smo že 5 let nazaj ponujali 'DPI' firewall-ing.
Hecno se mi zdi, če nekdo reče, da je DPI problem, ni pa problem, če gre promet čez proxy - v končni faz tudi DPI ni nič drugega kot transparenten proxy.
Zakaj potreben? Saj vidiš, koliko enega malware-a se distribuira preko interneta. 5 let nazaj se še nismo srečevali z ramsonware-om, zgolj z 'navadnimi' virusi, trojanci,... Vsaka okužba, tudi z 'navadnim' škodljivcem predstavlja strošek za podjetje. V Bitcoin eri pa je ta strošek dobil še konkretne številke - ko pa ne predstavljajo celotne škode, ki jo taka infekcija naredi podjetju.
Razen DPI/proxy tehnologij, ki preverjajo prmet na vhodu, ti preostane zgolj še AV na računalnikih - za katerega pa se ve, da danes ne dohaja razvoja na malware sceni.
Katero drugo alternativo za zaščito še imaš, poleg izobraževanja uporabnikov, ki pa ti tudi ne koristi v primeru kakšnih drive-by download-ov malware-a?

> Že AVji so lahko problematični, ker pošiljajo podatke v nek oblak za analizo.

Jaz še nisem slišal, da bi se kdaj kateri od zaposlenih upiral namestitvi AV na njegov delovni računalnik. Da je AV nujno potreben, se je v 30+ letih, kar te rešitve obstajajo, uporabnikom vgnezdilo v podzavest in jim tudi približno ne pada na pamet, da bi se mu zoperstavljali.

Zakaj bi se potem zoperstavljali AV preverbi prometa na požarni pregradi?
Ker je to MITM? Sorry - kdo pa trombezlja uporabnikom, da je to MITM NAPAD?
Če smo dlakocepski, je tudi navaden AV 'MITM', saj se vmeša vmes med odpiranjem datoteke in njenim prenosom v pomnilnik. Pa tu nihče ne govori o MITM, kaj šele o 'napadu'.

Zakaj npr. Squid proxy ni MITM? Samo zato, ker mora uporabnik ročno skonfigurirati Squid proxy?

Zakaj se meša nepooblaščeno invazivno špioniranje uporabnikovega prometa (MITM napad) z DPI tehnologijo, kateri je namen zaščita omrežja pred nevarnostmi na internetu?

> Glede logiranja in nelogiranja - kako lahko zaposleni ve da se ne logira. Kako lahko delodajalec ve da se ne logira. Nadzoruje nadzornike? Sem že srečal bolne admine ki so logirali stvari brez dovoljenja.

Če mail server logira kdo je kdaj komu pošiljal mail, to ni problem - če pa požarna pregrada to isto naredi, je pa problem?

Zakaj mešaš brskanje po dohodninski napovedi Helene Blagne z brskanjem po logih? Kako pa misliš, da zdaj preprečujejo tovrstno brskanje? Z LOGIRANJEM takega brskanja!

Brez logiranja je admin slep in nima najmanjše možnosti delovati preventivno. Lahko ukrepa šele takrat, ko sekaj preneha delovati - saj nima logov, ki bi mu povedali, kdaj je nekaj postalo kritično.

> Poleg tega DPI in HTTPS pač ne gresta skupaj. Kako boš razložil zaposlenemu da pa res ne beležiš njegove prijave na Facebook?

Zakaj DPI in HTTPS ne gresta skupaj? VSE BOLJ gresta skupaj!

Jaz bi se raje vprašal, kaj je narobe s tvojim zaposlenim, ki meni, da admin kvazi lahko logira direktorjevo prijavo na Facebook, njegovo pa ne.
Vprašal bi se, kje je odpovedalo izobraževanje zaposlenih, da so mišljenja, da se logirajo tudi gesla.

Če pa se logira, da je sploh dostopal do Facebooka in ga to moti, pa ni problem - ga daš v skupino uporabnikov, ki nima dostopa do Facebooka in je stvar rešena.
Še vedno pa ga lahko vprašaš, kaj ima med delovnim časom za početi na Facebook - če ima premalo dela, verjetno ne bo tako težko najti mu še kakšno dodatno zadolžitev, da ne bo imel časa za Facebook in bo njegova dilema postala odvečna.

> Ne, ne pozabljam. Ampak to so posebni primeri. Pri njih je tudi omejeno kam sploh lahko gredo.
Kako boš pa nekomu v razvoju ali trženju omejil dostop do facebooka ali googla, skypa, dropboxa, ..., ne da bi delal MITM, kar bi ta oseba seveda opazila. Tako da ji boš preprečil obiskovanje teh strani? Da boš odfiltriral obiske teh strani in tam ne boš izvajal DPI? Če je to tako ga lahko tudi ne izvajaš.

Zakaj je neka banka 'poseben primer'? Zato, ker imajo z predpisi definirano, kaj je dobra praksa, ti pa ne?

Kdo ti brani, da različnim skupinam zaposlenih definiraš različne pravice? Trženje, če rabi Facebook, mu to pač omogočiš, blokiraš pa proizvodnji. Ker nisi tiran, pa proizvodnji med malico dovoliš dostop do Facebook-a.

Dropbox? Marsikje v poslovnih okoljih je prepovedan! In to z dobrim razlogom. Upam, da veš zakaj.

In zakaj bi na facebook izklopil DPI in dovolil, da si preko njega navlačijo malware? Očitno ti še vedno ni jasno, zakaj se uporablja DPI na požarni pregradi?

Če si sam prepričanja, da je DPI namenjen špioniranju in zbiranju gesel uporabnikov, potem TI ne boš NIKOLI uspel svojim delavcem pojasniti, zakaj bi bilo dobro promet pregledovati s to 'tehnologijo'.
Že samo dejstvo, da sploh v istem stavku omenjaš DPI firewall-ing in MITM napade, kaže na to, da o samih implementacijah ne veš nič. Daj sposodi si eno tako napredno škatlo za kakšen teden in jo namontiraj pred svoj računalnik, da boš videl, kaj DPI pomeni.

> Moje mnenje je, da je izobraževanje zaposlenih o varni uporabi računalniške opreme vsaj tako pomembno kot tečaji varstva pri delu. In bi tudi moralo biti tako - če prekršiš pravila varnega dela si sam kriv, enako za varno uporabo računalniške opreme.

Seveda je izobraževanje nadvse pomembno. Ampak kot vidiš, se že pri tebi zatakne, ko se gre za pravilno razumevanje tehnologij in njihove uporabe, kako boš potem pričakoval čudeže od zaposlenih?
Tudi če si doktoriral iz IT znanosti, imaš Cisa in še keri drugi certifikat, nisi imun na človeške napake. Še manj lahko narediš proti podtaknjenim škodljivcem na spletnih straneh, lahko nasedeš na malo bolj prebrisan spearphishing,.... VSI delamo napake! Zato pa imamo tehnologijo, da z njeno pomočjo skušamo prestreči napake, katere delamo.

SeMiNeSanja ::

Še to....

Če se pogovoriš z zaposlenimi v okviru izobraževanja o rabi interneta, bo vsakemu zaposlenemu jasno, da je poslovni del mreže tesno povezan z njegovim vsakdanjim kruhom. Če jih boš vprašal, ali mislijo, da je treba ta del zaščititi kolikor se da - tudi z DPI, bo večina pritrdila.

Kot delodajalec pa jim lahko omogočiš, da uporabijo ločeno omrežje na WiFi za svoje osebne zadeve. Lahko jim ponudiš varovan SSID in nezaščiten SSID, ne logiraš pa prometa na nobenem od obeh, oz. logiraš izključno tisti del, ki je v interakciji z poslovnim delom omrežja (dostop do mail serverja, intranet serverja).

Če boš zaposlenim pravilno razložil kaj je razlika, boš presenečeno ugotovil, da se bo večina posluževala zaščitenega SSID! Na nezaščitenem pa boš našel tiste, ki si ne bodo znali namestiti certifikata požarne pregrade in paranoike - ki se bolj bojijo delodajalca, kot pa internetnih nadlog.

Danes accesspointi omogočajo kopico SSID-jev in takšna postavitev ne predstavlja nobenega dodatnega stroška. Zgolj nekaj dobre volje.

deadbeef ::

karafeka je izjavil:

In katera bi bila ta mala spodobna požarna pregrada?
Saj verjetno je bilo že omenjeno kje, anpak če si že napisal tak izčrpen komentar, bi pa lahko omenil še to.
Bi marsikomu prav prišlo, da prepreči morebitne težave.


Glede požarnih pregrad so dobre: Cisco ASA with FirePOWER, CheckPoint in Palo Alto Networks. Vsi te ponujajo tudi sandboxing, ki danes skoraj ključen. AV ne zadošča več. Najboljši sandbox je pa sigurno FireEye in njihov MVX (Multi-Vector-Exection) Engine.

SeMiNeSanja ::

deadbeef je izjavil:

karafeka je izjavil:

In katera bi bila ta mala spodobna požarna pregrada?
Saj verjetno je bilo že omenjeno kje, anpak če si že napisal tak izčrpen komentar, bi pa lahko omenil še to.
Bi marsikomu prav prišlo, da prepreči morebitne težave.


Glede požarnih pregrad so dobre: Cisco ASA with FirePOWER, CheckPoint in Palo Alto Networks. Vsi te ponujajo tudi sandboxing, ki danes skoraj ključen. AV ne zadošča več. Najboljši sandbox je pa sigurno FireEye in njihov MVX (Multi-Vector-Exection) Engine.

Po katerih kriterijih? Ker je baba kazala?

Sploh PaloAlto proglašat za najboljšega, ob tem, da pade na evazijskih testih po dolgem in počez? Kaj spremljaš, kaj CheckPoint vse očita PaloAltu?

V okolju, kjer je 99% mrež tipa SME (small to medium enteprise) trditi, da so enterprise rešitve najboljše, je tudi nevmesno. Je pa to bolezen slovenskih velikih integratorskih hiš, ki si želijo prodajati samo tiste najdražje zadeve, na katerih v žep vtaknejo največ marže.

SME ima svojo specifiko, katero enterprise rešitve pogosto sploh ne pokrivajo in zato sploh ne morejo biti najboljše na tem segmentu trga (razen za prodajalce).

Dodaten problem takega naštevanja 'to je najboljše, ostalo je šrot' (ne da bi sploh kdaj delal s čem drugim?) je dezinformiranje 'raje', ki potem gleda cene teh 'najboljših' rešitev in zgroženo ugotovi, da lahko kar pozabijo na 'spodobno požarno pregrado'....na koncu ostanejo na nekem home grade routerju brez vsake zaščite.

Dodatna nesramnost prodajalcev je prikazovanje Gartnerjevih magičnih kvadrantov za enterprise okolje - tiste za SME okolje pa skrijejo.
Seveda Gartner ni absolutno merilo za kakovost - koneckoncev sploh ne testirajo rešitev ampak pridejo do rezultatov na precej magične načine, predvsem preko intevjujev, kjer lahko eni tako zelo nakladajo (PaloAlto), da zanje naredijo prav posebno kategorijo, češ da so oni pa čisto nekaj drugega.

Če si bolj tehnični freak, boš šel gledat NSS Labs rezultate primerjav požarnih pregrad. Ups, tu pa PaloAlto tudi približno ni izpadel kot 'wau' rešitev, zgolj kot zelo draga. Še nekaj drugega NSS Labs razkriva: če gledaš najdražji Cisco z vso možno razpoložljivo kramo na njemu in ga primerjaš z 10x cenejšo SME rešitvijo, si samo za dlako bolj učinkovit pri zaščiti (ali pa še to ne).

Zakaj so potem Cisco, CheckPoint in PaloAlto najboljši? Ker so najdražji? Sorry, ta argument mene ne prepriča.

SeMiNeSanja ::

Na FireEye sem pozabil... Tudi niso ravno to, kar ti trdiš?



Pa če že lepim slike, še slika, ki dokazuje, da za več denarja ne dobiš nujno tudi boljšo zaščito:

deadbeef ::

Tudi te proizvajalci imajo produkte za SME. npr CheckPoint 700 Series.. bomba za SME https://www.checkpoint.com/products/700... in cena pod 1000€

darkolord ::

Mimogrede, tudi brez UTM so pri vsakem normalnem setupu vsaj 3 nivoji zaščite pred nesnago, o kateri se gre v tej temi:
- AV in druge tehnologije na mail serverju
- AV na clientu
- zaščita v samih pisarniških aplikacijah (npr. Protected View v Office)
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

jukoz ::

Mah, sem uspel zbirsat cel komentar.

Bolj na kratko:

Seminesanja:
Kako izvajaš DPI na HTTPS brez MITM. Na FWju se dešifira in ponovno šifrira promet od klienta do strežnika. Obstaja kakšen drug postopek.

Ne strinjam se s tem da so AVji na desktopih kaj počasnejši kot na FW. Ker če novega virusa ni v bazi, ga ni v bazi in je torej AV na FW odveč. Res pa je da se na FWju verjetno hitreje osveži.

Zakaj bi izklopil DPI na facebooku? - ker se tudi kuvert in paketov načeloma ne odpira.

Mail server logira pošto ki je prišla. FW logira promet uporabnika s facebookom, googlom, banko, ... Kle je mal razlike.

Uporabniki se upirajo nameščanju AVjev ki pošiljajo njihove podatke v oblak. Če ne pošilja v oblak ni panike. Sicer pa, približno tako kot je sporen win10.

Brkljanje po logih je problematično s tega vidika, da morajo biti uporabniki obveščeni, v primeru kršitev pa mora nekdo za to brkljanje odgovarjati.


Moje mnenje je na kratko to, da se z DPI lahko povzroči veliko več škode kot pa je koristi. Sej načeloma tudi NSA in ostale varnostne službe ne izkoriščajo pridobljenih podatkov. Razen včasih kakšen admin pogleda kaj dela njegova partnerica.
S to razliko da so bili ti admini verjetno šolani in poučeni kaj se sme in kaj ne, ter da za svoja dejanja ne bodo odgovarjali. Preveč navdušen admin v podjetju tudi verjetno ne, bo pa kakšen direktor, ker ali je opustil dolžno ravnanje in ni preprečil zlonamernih posegov, ali pa jih je sam izvajal. Kot sem rekel, sem srečal tako preveč navdušene admine kot preveč navdušene direktorje, ki so želeli imeti nadzor nad zaposlenimi.

Mimogrede, upam da kupcem daješ v podpis kakšno izjavo da sami odgovarjajo za delovanje naprave.

jernejl>Ali omenjeni detektorji pregledujejo vsebino galerije in SMS-ov na telefonu v mojem žepu zato, da bi ugotovili, če sem morda kradel?
Ta primerjava z senzorji proti kraji je odlična =)

tony1> Zaposleni dobi v roke obvestilo, ki ga obvešča, kakšna inšpekcija se dela in podpiše, da je s tem seznanjen.

Lahko tudi ne podpiše. Tako kot ti ni potrebno podpisani da se ti zniža plača.

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

darkolord je izjavil:

Mimogrede, tudi brez UTM so pri vsakem normalnem setupu vsaj 3 nivoji zaščite pred nesnago, o kateri se gre v tej temi:
- AV in druge tehnologije na mail serverju
- AV na clientu
- zaščita v samih pisarniških aplikacijah (npr. Protected View v Office)

Se strinjam. Toda dva od teh nivojev sta navaden AV, ki je točno toliko dober, kot je dober AV proizvod, ki ga imaš v uporabi. Glede na številne okužbe, pa bi lahko počasi bilo jasno, da danes AV ne dohaja zadev.
Če potem uporabljaš še isti AV proizvod na strežniku in odjemalcu, tudi ne moreš govoriti o 'dodatnem nivoju', saj oba uporabljata iste signature.

To pa še ne pomeni, da AV nima smisla... samo efektivnost ni tista, ki bi si jo želeli, ko se gre za nove oblike malware-a.

In zakaj bi sploh prepuščal problematične priponke do mail serverja?
Zakaj bi dovolil kar vsem uporabnikom sprejemanje mailov z rizičnimi priponkami? Zakaj bi priponko, ki ima ime *invoice*.doc sploh pustil doseči mail server - če ko AV prepozna kot škodljivo ali ne? Račune se danes pošilja kot pdf ali xml, ne pa kot *.doc!

Ne gre se za to, da itak že imaš AV - gre se za to, kaj lahko narediš še dodatno, ko veš, da AV ne 'grabi'. Predvsem, kaj lahko narediš še UČINKOVITEGA, kar bo delovalo tudi takrat, ko uporabnik ne bo pozoren, ali pa niti ne bo vedel, kaj počne za računalnikom.

darkolord ::

Če če če ... če imaš na UTMju "isti AV proizvod", potem tudi ne bo nobene razlike, mar ne? Seveda imaš tam drugo zadevo.

Poleg tega sem napisal tudi "in druge tehnologije", kot npr. content filtering, reputiation, recurrent pattern detection, ... Proizvajalci mail strežnikov ne gledajo samo križem rok, kako je njihov produkt glavni vektor za napade.
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

SeMiNeSanja ::

darkolord je izjavil:

Če če če ... če imaš na UTMju "isti AV proizvod", potem tudi ne bo nobene razlike, mar ne? Seveda imaš tam drugo zadevo.

Poleg tega sem napisal tudi "in druge tehnologije", kot npr. content filtering, reputiation, recurrent pattern detection, ... Proizvajalci mail strežnikov ne gledajo samo križem rok, kako je njihov produkt glavni vektor za napade.

Na koncu pa še vedno ne moreš nastaviti, da razen IT osebja nihče ne more prejemati izvršljivih datotek?

'Napredne dodatne tehnologije', na mail serverju niso vedno poceni. Na koncu vržeš kup denarja, pa si pokril samo SMTP protokol, vse ostalo je pa še vedno odprto?

darkolord ::

Lahko, ampak ".doc" načeloma ne spada med izvršljive datoteke.

Odvisno od produkta, kar nekaj od teh tehnologij je takih, ki ne potrebuje subscriptiona. AV in podobni seveda ga. Pri filtriranju ima sicer mail server sam kar nekaj dodatnih informacij, ki jih lahko uporabi za to.

Seveda nobena rešitev ni univerzalna. Če vse super duper zaščiteno z neta, ti pa zadevo še vedno prinese na USBju ali kaj podobnega.
spamtrap@hokej.si
spamtrap@gettymobile.si

psychoshorty ::

Pozdrav,

ko vidim, da debata tece tudi o bolj profesionalnih napravicah za zascito small to middle enterprise -a -> @Seminesanja: kaj bi priporocal za firmo do nekje 50 zaposlenih? Obstaja kaj enakega checkpoint 700 series, samo da je lahko virtualizirano?

deadbeef ::

CheckPoint imaš Trial http://www.checkpoint.com/try-our-produ... lahko naložiš v VMware in stestiraš

darkolord je izjavil:

Lahko, ampak ".doc" načeloma ne spada med izvršljive datoteke.

Odvisno od produkta, kar nekaj od teh tehnologij je takih, ki ne potrebuje subscriptiona. AV in podobni seveda ga. Pri filtriranju ima sicer mail server sam kar nekaj dodatnih informacij, ki jih lahko uporabi za to.

Seveda nobena rešitev ni univerzalna. Če vse super duper zaščiteno z neta, ti pa zadevo še vedno prinese na USBju ali kaj podobnega.


.doc ima notri kakšen nasty vbs ki naredi callback do C&C in naloži payload.

Zgodovina sprememb…

  • spremenil: deadbeef ()

deadbeef ::

Za mala podejtja recmo Palo Alto Networks PA-200, CheckPoint 700 Series in kakšna Cisco ASA 5506-X vrh glave pa vse pod 1000eur. Seveda za totaln TCO je treba še prištet kakšen subscription ampak načeloma manjši ko je box cenej je subscription :)

Zgodovina sprememb…

  • spremenil: deadbeef ()

SeMiNeSanja ::

deadbeef je izjavil:

Tudi te proizvajalci imajo produkte za SME. npr CheckPoint 700 Series.. bomba za SME https://www.checkpoint.com/products/700... in cena pod 1000€

SMB škatle Safe@Office, UTM-1 in ZoneAlarm Secure Wireless Router so joke, saj v 'SmartDefense' sploh nimaš opcije za SMTP. Pa tudi ostale opcije so milorečeno 'skromne'.

600 in 700 modeli mislim, da nimajo gor isti firmware?
Vsaj glede na manual (nisem našel online demo sistema), bogved kaj ne moreš 'štelat', še vedno vse skupaj precej low-tech. Temu ustrezno tudi nebi pričakoval cene nad 500€ za rešitev v tem razredu.

Za nekoga je dovolj, kar nudita modela 600 in 700... zame premalo. Sem pač razvajen glede tega, kaj vse lahko nastavljam v specializiranih ALG-jih.

Tu pridejo potem do izraza uporabnikove preference.

Včasih je bolje, da vzame bolj low-tech UTM, kot zgoraj omenjeni, kakor napravo, kateri ni dorasel. Problem namreč nastane, ko z eno napačno nastavitvijo podre vse, za kar je neko rešitev nabavil.
Jaz bi vsekakor priporočal, da si za prvo konfiguracijo najameš nekoga, ki ima nekaj pojma o varnosti v omrežjih in se v konkretno rešitev spozna. Marsikdo, ki je 'splošni vzdrževalec računalnikov', tem zahtevam ni dorasel. Se pa lahko veliko naučiš, če ti nekdo zadevo postavi tako, kot se spodobi.

deadbeef ::

SMB škatle Safe@Office, UTM-1 in ZoneAlarm Secure Wireless Router. So stari produkti.


700 serija ima identičen OS kot tavelke škatle torej R77.xx.
http://dl3.checkpoint.com/paid/93/93e71...

Če te še zanima kako zgleda management:

Zgodovina sprememb…

  • spremenil: deadbeef ()

SeMiNeSanja ::

psychoshorty je izjavil:

Pozdrav,

ko vidim, da debata tece tudi o bolj profesionalnih napravicah za zascito small to middle enterprise -a -> @Seminesanja: kaj bi priporocal za firmo do nekje 50 zaposlenih? Obstaja kaj enakega checkpoint 700 series, samo da je lahko virtualizirano?

Danes praktično vsi uveljavljeni proizvajalci nudijo tudi virtualno varianto svojih rešitev.

Vprašanje pa je cenovna politika pri virtualnih inačicah. Včasih pride zadeva lahko celo dražje, kot če bi vzel hardw. appliance primeren svojim potrebam. Če potem še prišteješ ceno spodobne kartice z več mrežnimi vmesniki, lahko postane zadeva še manj privlačna.

Virtualne variante so zanimive predvsem takrat, ko na virtualnem strežniku želiš nadzirati promet med posameznimi virtualnimi omrežji. Ker imaš virtualna omrežja ponavadi bridgana na fizična omrežja, seveda potem tudi filtriraš promet med fizičnimi omrežji, kot nekakšen 'stranski učinek'.

Slaba stran vitualiziranih rešitev je pomanjkanje strojne enkripcije, katero mora prevzeti CPU, ki ni specializiran za to opravilo. Ampak pri peščici uporabnikov se to še nebi smelo kaj dosti poznati.

Predvsem moraš paziti na način licenciranja posameznega proizvajalca.
WatchGuard ponuja XTMv v različnih edicijah, ki so omejene glede na throughput in število VPN tunelov. Kdo drug lahko omejuje glede na število IP naslovov (uporabnikov), številu connection-ov, itd.

Pri 50 uporabnikih vsekakor nebi pograbil kar ta prvo rešitev, ampak bi jih ene par prej preizkusil. Pri virtualnih variantah je to toliko lažje, ker večinoma ni problem dobiti 30-dnevno evaluacijo pri praktično vseh ponudnikih.

Vsekakor ne verjemi nikomur, da je njegova rešitev tista 'najboljša' - na koncu je vsaka rešitev namreč točno toliko dobra, kolikor dobro si jo skonfiguriral. Je pa seveda prednost, če imaš več opcij na voljo za 'fine nastavitve' - problem pa je, da ti to datasheet-i ne bodo razkrili in ne moreš mimo praktičnega preizkusa. Bi ti pa svetoval, da si pustiš od potencialnega prodajalca demonstrirati zadevo, da ti razloži koncept rešitve, da po nepotrebnem ne zgrešiš bistva.

Če si pogledal tisti NSS Labs chart zgoraj, je v bistvu jasno, da so danes bolj ali manj vse rešitve 'solidne', da se 'znamke' kot Cisco in CheckPoint ne obnesejo nič ali le malenkost bolje, kot manj 'razvpite' znamke, kot npr. WatchGuard. So pa lahko ogromne razlike v managementu in cenah. Ravno management pa je tisti, ki te bo na določeni rešitvi 'mučil' naslednjih 6 let, če se boš narobe odločil. Mi imamo lahko vsak svoje preference, ti pa moraš najti tisto rešitev, ki tebi in tvojemu načinu dela najbolj ustreza - v okviru tvojega budgeta.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
1208982 (3424) SeMiNeSanja
»

V letu 2016 bistveno več šifriranega prometa

Oddelek: Novice / Zasebnost
255504 (3374) Lonsarg
»

CTB locker (cryptolocker) (strani: 1 2 )

Oddelek: Informacijska varnost
7518083 (10560) AC_DC
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
688535 (6869) SeMiNeSanja
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10714912 (11889) NeMeTko

Več podobnih tem