Author: admin

GSMA Plans End-to-End Encryption for Cross-Platform RCS Messaging

admin Leave a comment

# GSM Association Aims to Implement End-to-End Encryption for RCS Messages Across Android and iOS

In an ambitious move towards bolstering user privacy, the GSM Association has announced plans to integrate end-to-end encryption (E2EE) for messages transmitted using the Rich Communications Services (RCS) protocol. This development is poised to secure communications across both Android and iOS platforms, representing a significant leap in safeguarding user data.

## The Evolution of RCS

Rich Communication Services (RCS) was introduced as an upgrade to the traditional SMS, aiming to incorporate richer text features, media sharing, read receipts, and more. Despite its promise, RCS has faced a slew of adoption challenges primarily due to inconsistent implementation across mobile carriers and the lack of native iOS support. However, the recent pronouncement from the GSM Association, which administers the RCS specifications, indicates that they are resolutely working towards overcoming these hurdles by enhancing security measures.

## A Pivotal Step: End-to-End Encryption

E2EE ensures that a message is encrypted on the sender’s device and only decrypted on the recipient’s device, making it nearly impervious to interception or unauthorized access by intermediaries including service providers and governments. This upgradation to E2EE on the RCS protocol is not merely a technical enhancement but a profound commitment to user privacy.

“The next major milestone,” stated a representative from the GSM Association, “is for the RCS Universal Profile to add important user protections such as interoperable end-to-end encryption.” This milestone underscores their dedication to creating a unified and secure messaging ecosystem that transcends platform boundaries.

## Interoperability: The Ultimate Goal

While encryption itself is a crucial feature, the GSM Association is focused on ensuring that the E2EE implementation is interoperable between different operating systems—primarily Android and iOS. Unlike other messaging services that limit secure communications within their own ecosystems, the interoperability of encrypted RCS messages could mark a transformative shift in how mobile users perceive and utilize secure messaging services.

The move is particularly significant given Apple’s historical reluctance to adopt RCS, favoring its proprietary iMessage platform instead. If successfully implemented, this could potentially bridge a significant gap between Android and iOS users, making secure messaging more universally accessible.

## Technical and Logistical Challenges

However, this ambitious project is not without its challenges. Implementing E2EE on a protocol as widely used and varied as RCS involves navigating complex technical landscapes. Ensuring that encryption keys are handled securely across different devices and maintaining performance and user experience are among the myriad of issues to be dealt with.

Moreover, the GSM Association will need to collaborate closely with mobile carriers worldwide to standardize the implementation, an effort that has historically been fraught with inconsistencies and delays. The association’s ability to galvanize support from these entities will be crucial to the success of this initiative.

## Privacy Concerns and Regulatory Hurdles

While bolstering user privacy is undoubtedly a commendable objective, it is not devoid of controversy. Regulatory bodies in various countries have expressed concerns over the potential misuse of encrypted communication channels by malicious actors. Balancing the demands of privacy advocates with those of law enforcement agencies is a delicate act that the GSM Association will need to navigate meticulously.

## Looking Ahead: A New Era of Secure Messaging

Despite the challenges, the implementation of E2EE in the RCS protocol could signify the dawn of a new era in secure messaging. With more users becoming aware of and concerned about their digital privacy, the demand for secure communication channels is at an all-time high.

As the GSM Association progresses with this initiative, it remains to be seen how mobile carriers, device manufacturers, and regulatory bodies will respond. What is clear, however, is that this endeavor has the potential to significantly enhance the security, privacy, and overall user experience of messaging services globally.

The integration of end-to-end encryption into the RCS protocol marks a vital step in the ongoing battle to secure user communications in an increasingly interconnected world. It demonstrates a proactive approach to addressing the ever-evolving challenges in the realm of IT security, setting a precedent for future technological advancements.

Stay tuned as we keep you updated on this crucial development and its implications for the tech world.

Integracija Infoblox BloxOne Threat Defense in Palo Alto Networks

admin Leave a comment

Kot strokovnjaki na področju kibernetske varnosti se zavedamo, kako pomembno je imeti celovito zaščito pred vse bolj naprednimi grožnjami. Ravno zato je ta integracija ključnega pomena za vse uporabnike Palo Alto Networks.

Kaj je Infoblox BloxOne Threat Defense?

Infoblox BloxOne Threat Defense je rešitev, ki zagotavlja zaščito pred kibernetskimi grožnjami na omrežni ravni. Deluje tako, da analizira ves DNS promet in na podlagi obsežne baze znanja o zlonamernih domenah in IP naslovih v realnem času prepoznava in blokira zlonamerne aktivnosti. Poleg tega rešitev omogoča tudi pregled nad celotnim DNS prometom v omrežju, kar omogoča lažje odkrivanje anomalij in morebitnih vdorov.

Kaj je Palo Alto Networks?

Palo Alto Networks je vodilni ponudnik varnostnih rešitev za zaščito omrežij, oblaka in naprav. Njihove rešitve temeljijo na principu “Next-Generation Firewall”, ki združuje tradicionalne funkcionalnosti požarnega zidu z naprednimi varnostnimi mehanizmi, kot so prepoznavanje aplikacij, preprečevanje vdorov, filtriranje vsebin in zaščita pred zlonamerno kodo.

Prednosti integracije

Integracija rešitev Infoblox BloxOne Threat Defense in Palo Alto Networks prinaša številne prednosti za uporabnike Palo Alto Networks:

  1. Izboljšana zaščita pred kibernetskimi grožnjami: Z združitvijo naprednih varnostnih mehanizmov Palo Alto Networks in zaščite na omrežni ravni, ki jo nudi Infoblox BloxOne Threat Defense, se znatno poveča raven varnosti pred vse bolj naprednimi grožnjami, kot so zlonamerna programska oprema, phishing napadi in druge oblike kibernetskih napadov.
  2. Zmanjšanje tveganja za varnostne incidente: Z blokiranjem zlonamernih domen in IP naslovov v realnem času se zmanjša tveganje za varnostne incidente, kot so okužbe z zlonamerno kodo, kraja podatkov in druge oblike kibernetskih napadov.
  3. Boljši pregled nad omrežnim prometom: Integracija omogoča boljši pregled nad celotnim omrežnim prometom, vključno z DNS prometom. To olajša odkrivanje anomalij in morebitnih vdorov, kar omogoča hitrejše ukrepanje in zmanjšanje škode v primeru varnostnega incidenta.
  4. Enostavnejše upravljanje in vzdrževanje: Z integracijo obeh rešitev se poenostavi upravljanje in vzdrževanje varnostnih mehanizmov, saj se vse funkcionalnosti upravljajo prek enotnega vmesnika Palo Alto Networks.
  5. Boljša učinkovitost in zmogljivost: Integracija omogoča boljšo učinkovitost in zmogljivost varnostnih mehanizmov, saj se izognemo podvajanju funkcionalnosti in optimiziramo porabo sistemskih virov.

Kaj pridobijo uporabniki Palo Alto Networks?

Uporabniki Palo Alto Networks z integracijo rešitev Infoblox BloxOne Threat Defense in Palo Alto Networks pridobijo:

  • Izboljšano zaščito pred kibernetskimi grožnjami: Z združitvijo naprednih varnostnih mehanizmov Palo Alto Networks in zaščite na omrežni ravni, ki jo nudi Infoblox BloxOne Threat Defense, se znatno poveča raven varnosti pred vse bolj naprednimi grožnjami.
  • Boljši pregled nad omrežnim prometom: Integracija omogoča boljši pregled nad celotnim omrežnim prometom, vključno z DNS prometom, kar olajša odkrivanje anomalij in morebitnih vdorov.
  • Enostavnejše upravljanje in vzdrževanje: Z integracijo obeh rešitev se poenostavi upravljanje in vzdrževanje varnostnih mehanizmov, saj se vse funkcionalnosti upravljajo prek enotnega vmesnika Palo Alto Networks.
  • Boljšo učinkovitost in zmogljivost: Integracija omogoča boljšo učinkovitost in zmogljivost varnostnih mehanizmov, saj se izognemo podvajanju funkcionalnosti in optimiziramo porabo sistemskih virov.
  • Zmanjšanje tveganja za varnostne incidente: Z blokiranjem zlonamernih domen in IP naslovov v realnem času se zmanjša tveganje za varnostne incidente, kot so okužbe z zlonamerno kodo, kraja podatkov in druge oblike kibernetskih napadov.

V zaključku lahko rečemo, da je integracija rešitev Infoblox BloxOne Threat Defense in Palo Alto Networks ključnega pomena za vse uporabnike Palo Alto Networks, ki želijo zagotoviti celovito zaščito pred vse bolj naprednimi kibernetskimi grožnjami. Z združitvijo naprednih varnostnih mehanizmov in zaščite na omrežni ravni se znatno poveča raven varnosti, hkrati pa se poenostavi upravljanje in vzdrževanje varnostnih mehanizmov. Vabimo vas, da se o možnostih integracije pogovorite z našimi strokovnjaki in izkoristite prednosti te rešitve za zaščito svojega omrežja in podatkov.

Integracija Entrust nShield HSM s F5 BIG-IP

admin Leave a comment

Integracija Entrust nShield HSM (Hardware Security Module) z F5 BIG-IP omogoča varno upravljanje in shranjevanje kriptografskih ključev, kar je ključno za zaščito podatkov in uporabniških poverilnic. Sledite spodnjim korakom za uspešno integracijo.

1. Priprava okolja

1.1. Preverite zahteve

  • F5 BIG-IP različica: Prepričajte se, da uporabljate BIG-IP Virtual Edition 16.0.1 ali 17.0.0.1.
  • Operacijski sistem: Uporabite CentOS 7.3.
  • nShield HSM: Preverite, da so nShield naprave v FIPS 140 nivoju 2 ali 3.

1.2. Namestitev programske opreme

  • Namestite programsko opremo Security World na F5 BIG-IP sistem.
  • Upoštevajte navodila za namestitev, ki jih zagotovi Entrust.

2. Konfiguracija Security World

2.1. Ustvarjanje Security World

  • Uporabite nShield HSM orodja za ustvarjanje in konfiguracijo Security World.
  • Določite potrebne parametre, kot so ime Security World in varnostne nastavitve.

2.2. Dodajanje ključev

  • Dodajte kriptografske ključe v Security World.
  • Upoštevajte varnostne smernice za upravljanje ključev.

3. Konfiguracija povezljivosti HSM z BIG-IP

3.1. Povezava med napravami

  • Prepričajte se, da sta nShield HSM in F5 BIG-IP povezana z omrežjem.
  • Določite IP naslov BIG-IP odjemalca na seznamu dovoljenih odjemalcev na nShield napravi.

3.2. Omogočanje komunikacije

  • Preverite, da so vrata 9004 odprta in omogočajo komunikacijo med nShield HSM in BIG-IP.
  • Uporabite ustrezne omrežne nastavitve za zagotovitev varne povezave.

4. Upravljanje HSM ključev za LTM

4.1. Konfiguracija ključev na BIG-IP

  • Uporabite F5 BIG-IP vmesnik za konfiguracijo HSM ključev, ki se uporabljajo za LTM (Local Traffic Manager).
  • Prepričajte se, da so ključi pravilno povezani z ustreznimi aplikacijami in storitvami.

4.2. Testiranje integracije

  • Izvedite teste za preverjanje delovanja integracije.
  • Preverite, ali se kriptografski ključi pravilno uporabljajo in upravljajo v F5 BIG-IP.

5. Dokumentacija in podpora

5.1. Uporabite dokumentacijo

  • Preverite uradno dokumentacijo Entrust in F5 za dodatne informacije in specifikacije.

5.2. Podpora

  • V primeru težav se obrnite na tehnično podporo Entrust ali F5 za pomoč.

Zaključek

Integracija Entrust nShield HSM z F5 BIG-IP je ključna za varno upravljanje kriptografskih ključev in zaščito občutljivih podatkov. S pravilno konfiguracijo in upravljanjem lahko zagotovite visoko raven varnosti za svoje aplikacije in storitve.

Netsparker: Avtomatizirano varstvo spletnih aplikacij

admin Leave a comment

Varnost spletnih aplikacij je danes ključnega pomena, saj so le-te pogosto tarča kibernetskih napadov. Ena izmed najuspešnejših metod za odkrivanje ranljivosti v spletnih aplikacijah so penetracijski testi, ki jih izvajajo varnostni strokovnjaki. Netsparker je vodilno orodje za avtomatizirano izvajanje penetracijskih testov, ki omogoča celovito oceno varnosti spletnih aplikacij.V tem blogu bomo podrobneje spoznali proces penetracijskih testov in prednosti uporabe Netsparkerja pri zagotavljanju varnosti spletnih aplikacij.

Kaj so penetracijski testi?

Penetracijski testi so simulirani kibernetski napadi, katerih namen je odkriti ranljivosti v informacijskih sistemih organizacije. Izvajajo jih varnostni strokovnjaki, ki skušajo prodreti v sistem na enak način kot kibernetski napadalci. Cilj penetracijskih testov je odkriti šibke točke v sistemu, preden jih zlonamerni akterji izkoristijo za nezakonite aktivnosti.Proces penetracijskih testov običajno vključuje naslednje faze:

  1. Opredelitev obsega – določitev sistemov in aplikacij, ki bodo predmet testiranja
  2. Zbiranje informacij – pridobivanje podatkov o tarčnih sistemih in aplikacijah
  3. Identifikacija ranljivosti – odkrivanje šibkih točk v sistemih in aplikacijah
  4. Izkoriščanje ranljivosti – preizkušanje odkritih ranljivosti z namenom pridobitve dostopa do sistema
  5. Poizvedovanje po napadu – analiza pridobljenih informacij in ocena obsega vdora
  6. Poročanje – priprava poročila z ugotovitvami in priporočili za izboljšanje varnosti

Prednosti uporabe Netsparkerja

Netsparker je orodje za avtomatizirano izvajanje penetracijskih testov, ki ponuja številne prednosti v primerjavi z ročnim testiranjem:

  1. Celovitost – Netsparker izvede obsežen nabor varnostnih testov, ki pokrivajo najrazličnejše ranljivosti, kot so vbrizgavanje SQL, XSS, CSRF, neustrezna avtentikacija, neustrezna konfiguracija strežnika itd.
  2. Natančnost – Netsparker uporablja napredne tehnologije, kot so dinamično generiranje kode in analiza konteksta, ki omogočajo natančno odkrivanje ranljivosti z minimalnim številom lažnih rezultatov.
  3. Hitrost – Netsparker lahko pregleda tudi kompleksne spletne aplikacije v kratkem času, kar je bistveno hitreje kot ročno testiranje.
  4. Poročanje – Netsparker samodejno generira podrobna poročila o odkritih ranljivostih, vključno z navodili za odpravo le-teh. Poročila so primerna za različne deležnike, od razvijalcev do vodstva.
  5. Integracija – Netsparker se lahko integrira z razvojnimi orodji, kot so JIRA, Trello in GitHub, kar omogoča učinkovito upravljanje odkritih ranljivosti v celotnem razvojnem ciklu.
  6. Skalabilnost – Netsparker lahko testira tako majhne spletne aplikacije kot tudi velike, kompleksne sisteme, kar omogoča prilagoditev različnim potrebam organizacij.

Faze penetracijskih testov z Netsparkerjem

Netsparker podpira vse faze penetracijskih testov, od opredelitve obsega do poročanja. Oglejmo si, kako Netsparker podpira posamezne faze:

1. Opredelitev obsega

Netsparker omogoča enostavno opredelitev obsega testiranja. Uporabniki lahko določijo URL-je spletnih aplikacij, ki jih je treba testirati, vključno z izključitvami določenih delov aplikacije, če je to potrebno.

2. Zbiranje informacij

Netsparker samodejno zbira informacije o tarčnih spletnih aplikacijah, vključno z verzijami programske opreme, uporabljenimi knjižnicami in okvirji. Te informacije so ključne za identifikacijo znanih ranljivosti.

3. Identifikacija ranljivosti

Netsparker izvede obsežen nabor varnostnih testov, ki pokrivajo najrazličnejše ranljivosti. Uporaba naprednih tehnik, kot sta dinamično generiranje kode in analiza konteksta, zagotavlja visoko stopnjo natančnosti pri odkrivanju ranljivosti.

4. Izkoriščanje ranljivosti

Netsparker lahko samodejno izkorišča nekatere odkrite ranljivosti, da dokaže, da so resnično zlonamerne. To vključuje testiranje vbrizgavanja SQL in XSS napadov.

5. Poizvedovanje po napadu

Netsparker analizira pridobljene informacije in oceni obseg morebitnega vdora. To vključuje identifikacijo občutljivih podatkov, ki so bili razkritih, in oceno tveganja za organizacijo.

6. Poročanje

Netsparker samodejno generira podrobna poročila o odkritih ranljivostih, vključno z navodili za odpravo le-teh. Poročila so primerna za različne deležnike, od razvijalcev do vodstva.

Primeri uporabe Netsparkerja

Netsparker se lahko uporablja v različnih scenarijih, vključno z:

  • Rednimi varnostnimi pregledi spletnih aplikacij
  • Testiranjem novih izdaj programske opreme pred objavo
  • Oceno varnosti aplikacij tretjih oseb pred integracijo
  • Preverjanjem skladnosti z varnostnimi standardi, kot sta PCI DSS in GDPR

Zaključek

Netsparker je zmogljivo orodje za avtomatizirano izvajanje penetracijskih testov, ki organizacijam omogoča celovito oceno varnosti spletnih aplikacij. Z uporabo naprednih tehnik, kot sta dinamično generiranje kode in analiza konteksta, Netsparker zagotavlja visoko stopnjo natančnosti pri odkrivanju ranljivosti. Poleg tega Netsparker podpira vse faze penetracijskih testov, od opredelitve obsega do poročanja, in se lahko integrira z razvojnimi orodji za učinkovito upravljanje odkritih ranljivosti.Uporaba Netsparkerja pri zagotavljanju varnosti spletnih aplikacij prinaša številne prednosti, vključno s celovitostjo, natančnostjo, hitrostjo in skalabilnostjo. Z rednimi varnostnimi pregledi z Netsparkerjem lahko organizacije bistveno zmanjšajo tveganje kibernetskih napadov in zaščitijo svoje podatke in ugled.

Nova storitev Razvijalca kot Storitev na forumih za hekanje spodbuja ribarjenje in kibernetske napade

Nova storitev Razvijalca kot Storitev na forumih za hekanje spodbuja ribarjenje in kibernetske napade

admin Leave a comment
SCATTERED SPIDER, skupina izsiljevalskih virusov (ransomware), izkorišča infrastrukturo v oblaku za ciljanje na zavarovalniške in finančne sektorje s pomočjo taktik socialnega inženiringa, kot sta vishing in smishing, da bi zavedli tarče in pridobili dostop do njihovih sistemov.

Skupina uporablja ukradene poverilnice, SIM swap in orodja integrirana v oblak, da ohranijo svojo prisotnost. Njihovo globoko razumevanje zahodnih poslovnih praks je omogočilo partnerstvo z BlackCat, kar je povečalo njihovo sposobnost ciljati zahodne organizacije.

Analiza je identificirala tehnike, ki jih SCATTERED SPIDER uporablja za infiltracijo, vztrajnost in izvedbo izsiljevalskih virusov v oblačnih okoljih ter poudarja tveganja, povezana z infrastrukturo v oblaku.

Življenjski cikel nameščanja izsiljevalskih virusov v oblačnih okoljih
Življenjski cikel nameščanja izsiljevalskih virusov v oblačnih okoljih

Napadajo infrastrukturo oblaka z izkoriščanjem uhajanih avtentikacijskih žetonov in z lansiranjem phishing in smishing kampanj, tako da ciljajo na visoko privilegirane račune, zlasti tiste od identitetnih administratorjev, z uporabo taktik socialnega inženiringa in domen s tipičnimi napakami.

Uporabljajo phishing strani, ki posnemajo zakonite oblačne platforme, in SMS sporočila za zavajanje žrtev, da razkrijejo svoje poverilnice, kar jim omogoča nepooblaščen dostop do oblačnih sistemov in potencialno izvedbo nadaljnjih napadov.

Primer uhajanja AWS žetona v GitHub
Primer uhajanja AWS žetona v GitHub

Kiberkriminalna skupina izkorišča ukradna orodja za zbiranje poverilnic, kot je Stealc, za zbiranje avtentikacijskih žetonov v oblačnih storitvah in zaobide MFA zaščitne ukrepe preko tehnik SIM zamenjave, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.

Skupina zlorablja zakonita orodja v oblaku za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje po omrežju brez zaznavanja. Analitiki EclecticIQ so identificirali Telekom Enemies, DaaS skupino, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.

Admin panel vse-v-enem Phishing kompleta
Admin panel vse-v-enem Phishing kompleta

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle za zbiranje informacij iz korporativnega Active Directory s ciljanjem na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne podatke znotraj M365.

Prav tako iščejo podatke tretjih oseb in informacije, povezane z izsiljevanjem. Z izkoriščanjem Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavi vztrajnost in neopažen dostop znotraj kompromitiranih oblačnih okolij.

Napad Cross-Tenant Synchronization v Azure
Napad Cross-Tenant Synchronization v Azure

Napadalci lahko izkoriščajo nastavitve meddejanskih dostopov in federirane identitetne ponudnike za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitiranimi privilegiranimi računi, vzpostavitvijo sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo med različnimi najemniki in izvajajo različne zlonamerne aktivnosti.

Federirani identitetni ponudniki so prav tako ranljivi za zlorabo, kar omogoča napadalcem ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtentikacijskih žetonov in vzdrževanje vztrajnega dostopa tudi po prvotnem onemogočenju kompromitiranih računov.

Uporabljajo orodja za oddaljen dostop, kot sta RMM in protokolarno tuneliranje, da ohranijo nadzor nad kompromitiranimi okolji z uporabo tehnik, kot so rezidenčni proxyji in onemogočanje varnostnih orodij za izogibanje zaznavanju.

Linux različica izsiljevalskega virusa BlackCat, ki se prenaša iz BlackBaze
Linux različica izsiljevalskega virusa BlackCat, ki se prenaša iz BlackBaze

Z izkorišč

Kako se primerljivo porovnava Wazuh z komercialnimi SIEM rešitvami

admin Leave a comment

Wazuh je odprtokodna platforma za upravljanje varnosti, ki združuje funkcionalnosti SIEM (Security Information and Event Management) in XDR (Extended Detection and Response). V primerjavi s komercialnimi SIEM rešitvami, kot so Splunk, ArcSight in QRadar, ponuja Wazuh več prednosti in nekaterih slabosti, ki jih je vredno preučiti.

Prednosti Wazuh SIEM

  1. Brezplačna in odprtokodna rešitev: Wazuh je na voljo brezplačno, kar pomeni, da podjetja ne plačujejo stroškov licenc. To je še posebej privlačno za mala in srednja podjetja, ki imajo omejene proračune za varnost.
  2. Prilagodljivost in fleksibilnost: Kot odprtokodna platforma omogoča Wazuh prilagoditev izvorne kode, kar podjetjem omogoča, da prilagodijo rešitev svojim specifičnim potrebam. To je pomembno, saj se zahteve po varnosti lahko razlikujejo med različnimi organizacijami.
  3. Integracija z drugimi orodji: Wazuh se lahko enostavno integrira z različnimi orodji in API-ji, kar povečuje njegovo funkcionalnost. To vključuje integracijo z rešitvami za obveščanje, kot so VirusTotal in TheHive, kar omogoča boljšo analizo groženj in odzivanje na incidente.
  4. Aktivna skupnost: Wazuh ima široko in aktivno skupnost uporabnikov, kar pomeni, da je na voljo veliko virov in podpore. Uporabniki lahko dostopajo do forumov, dokumentacije in rednih posodobitev, kar olajša reševanje težav in izmenjavo znanja.
  5. Skladnost z regulativnimi zahtevami: Wazuh pomaga podjetjem pri izpolnjevanju regulativnih zahtev, kot so PCI DSS, NIST 800-53, GDPR in HIPAA. To je ključno za podjetja, ki delujejo v reguliranih panogah.

Slabosti Wazuh SIEM

  1. Manjša funkcionalnost v primerjavi s komercialnimi rešitvami: Medtem ko Wazuh ponuja širok spekter funkcij, nekatera komercialna orodja, kot so Splunk in QRadar, morda nudijo bolj napredne analitične funkcije, boljšo uporabniško izkušnjo in dodatne funkcionalnosti, ki jih Wazuh ne pokriva v enaki meri.
  2. Potrebna je tehnična znanja za implementacijo: Ker je Wazuh odprtokodna rešitev, lahko zahteva več tehničnega znanja za pravilno namestitev, konfiguracijo in vzdrževanje. To lahko predstavlja izziv za podjetja, ki nimajo ustreznih virov ali izkušenj.
  3. Omejena podpora: Medtem ko je na voljo brezplačna podpora prek skupnosti, podjetja, ki potrebujejo hitro in zanesljivo podporo, morda ne bodo imela dostopa do enake ravni storitev, kot jo nudijo komercialne rešitve, ki ponujajo plačljive podporne pakete.

Primerjava z drugimi SIEM rešitvami

1. Stroški

  • Wazuh: Brezplačen, odprtokoden.
  • Komercialne rešitve: Visoki stroški licenc in dodatnih funkcij.

2. Prilagodljivost

  • Wazuh: Visoka prilagodljivost in možnost sprememb v izvorni kodi.
  • Komercialne rešitve: Omejena prilagodljivost, odvisna od funkcionalnosti, ki jih ponuja proizvajalec.

3. Uporabniška izkušnja

  • Wazuh: Uporabniška izkušnja je lahko manj intuitivna in zahteva več učenja.
  • Komercialne rešitve: Ponavadi bolj uporabniku prijazne in enostavne za uporabo.

4. Funkcionalnosti

  • Wazuh: Osnovne funkcionalnosti, ki pokrivajo večino potreb, vendar brez nekaterih naprednih analitičnih orodij.
  • Komercialne rešitve: Napredne analitične funkcionalnosti, boljša integracija z drugimi orodji in obsežnejše poročanje.

Sklep

Wazuh je odlična izbira za podjetja, ki iščejo odprtokodno in brezplačno rešitev za upravljanje varnosti. Njegova prilagodljivost, aktivna skupnost in zmožnost izpolnjevanja regulativnih zahtev so velike prednosti. Vendar pa je pomembno upoštevati, da Wazuh morda ne ponuja vseh funkcij, ki jih nudijo komercialne rešitve, in da lahko zahteva več tehničnega znanja za implementacijo in vzdrževanje.Za podjetja, ki imajo omejene proračune in potrebujejo prilagodljivo rešitev, je Wazuh odlična izbira. Vendar pa bi morala podjetja, ki iščejo napredne funkcionalnosti in hitro podporo, razmisliti o investiciji v komercialne SIEM rešitve.

Nov razvijalec-kot-storitev na forumih za hekanje spodbuja ribarjenje in kiber napade.

Nov razvijalec-kot-storitev na forumih za hekanje spodbuja ribarjenje in kiber napade.

admin Leave a comment

SCATTERED SPIDER Koriščenje Infrastrukture v Oblaku za Napade na Zavarovalniške in Finančne Sektorje

Kibernetska kriminalna skupina SCATTERED SPIDER je nedavno pritegnila pozornost strokovnjakov za kibernetsko varnost zaradi inovativne uporabe infrastrukture v oblaku za izvajanje sofisticiranih napadov na zavarovalniške in finančne sektorje. Napadalci se poslužujejo taktik socialnega inženiringa, kot sta vishing in smishing, da prevarajo ciljane osebe in pridobijo dostop do njihovih sistemov.

Življenjski cikel odkupne programske opreme v okoljih v oblaku

Kompromitiranje Infrastrukture v Oblaku

SCATTERED SPIDER uporablja ukradene poverilnice, zamenjave SIM kartic in različna orodja, ki so naravna za oblak, za vzdrževanje nepooblaščene prisotnosti v sistemih žrtev. Njihovo globoko razumevanje zahodnih poslovnih praks jim je omogočilo sodelovanje s skupino BlackCat, kar je dodatno izboljšalo njihove sposobnosti ciljati na zahodne organizacije.

Primer uhajanja AWS žetona v GitHubu

Skupina uspešno kompromitira infrastrukturo v oblaku z uporabo tactic phishing in smishing za ciljanje visoko privilegiranih računov, predvsem identitetnih administratorjev. Te pogosto zlorabljajo domene, ki vsebujejo tipkarske napake.

Kraja Poverilnic in Avtentikacijskih Žetonov

Analiza je pokazala, da SCATTERED SPIDER uporablja številna orodja za krajo poverilnic, kot je Stealc, za pridobivanje avtentikacijskih žetonov oblačnih storitev. Prav tako se poslužujejo taktike zamenjave SIM kartic, kar jim omogoča zaobid zaščite z večfaktorsko avtentikacijo (MFA).

Skupina zlorablja zakonita orodja za oblak za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje lateralno znotraj sistema brez odkritja. Telekom Enemies, skupina razvijalcev, kot storitev (DaaS), je identificirana kot dobavitelj teh orodij in storitev, vključno s kompleti za phishing in zlonamerno programsko opremo.

Admin panel kompleta za vse-v-enem phishing.

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon, in PingCastle za zbiranje informacij iz korporacijskih okolij Active Directory, ciljanje na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne informacije znotraj M365.

Trajna Prisotnost v Okoljih v Oblaku

Napadalci z izkoriščanjem funkcije Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavijo neopažen dostop znotraj kompromitiranih okoljih v oblaku.

Napad Cross-Tenant Synchronization v Azure.

S kompromitiranjem privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.

Ponudniki zveznih identitet so prav tako ranljivi za zlorabe, kar omogoča napadalcem, da ustvarijo zlonamerne federativne domene, generirajo ponarejene avtentikacijske žetone in ohranijo trajni dostop tudi po tem, ko so začetni kompromitirani računi onemogočeni.

Izogibanje Odkritju in Vzdrževanje Nadzora

Uporabljajo orodja za daljinski dostop, kot je RMM, in protokolarne tunele za vzdrževanje nadzora nad kompromitiranimi okolji, s tehnikami, kot so rezidenčni proxy strežniki in onemogočanje varnostnih orodij, da bi se izognili odkrivanju.

Linux verzija odkupne programske opreme BlackCat, ki se prenaša iz BlackBaze.

Z izkoriščanjem varnostnih orodij žrtev in ustvarjanjem virtualnih strojev, vzpostavijo trajno osnovno točko in izvajajo zlonamerne aktivnosti, manipulirajo poštne transportne pravila in ponovno zaganjajo sisteme v varnem načinu za dodatno preprečevanje varnostnih ukrepov.

SCATTERED SPIDER uporablja različne taktike za pridobivanje nepooblaščenega dostopa do Active

Zakaj stranke izbirajo CrowdStrike pred SentinelOne

admin Leave a comment

V svetu kibernetske varnosti je izbira pravega partnerja ključnega pomena za zaščito podjetij pred naraščajočimi grožnjami. Med najbolj prepoznavnimi imeni v tej industriji sta CrowdStrike in SentinelOne. Kljub temu, da obe podjetji ponujata napredne rešitve za zaščito pred zlonamernimi napadi, se mnoge stranke odločajo za CrowdStrike. V tem blogu bomo raziskali razloge, zakaj je CrowdStrike pogosto izbrana izbira.

Učinkovitost pri preprečevanju napadov

CrowdStrike se ponaša z izjemno učinkovitostjo pri preprečevanju napadov. Njihova tehnologija temelji na umetni inteligenci in vključuje indikatorje napadov (IOA), kar omogoča 100-odstotno zaznavanje in zaščito pred grožnjami, kar je bilo neodvisno potrjeno s strani MITRE. V nasprotju s tem SentinelOne v zadnjih testih MITRE beleži le 79-odstotno pokritost, kar pomeni, da ne uspe zaznati vseh napadov, kar lahko pusti podjetja ranljiva.

Enostavna namestitev in upravljanje

Namestitev in upravljanje varnostnih rešitev sta ključnega pomena za podjetja. CrowdStrike ponuja enostavno in hitro namestitev s samo enim agentom, kar omogoča hitro širitev na tisoče končnih točk. SentinelOne pa zahteva več agentov za polno funkcionalnost, kar podaljša čas namestitve in oteži upravljanje sistema.

Zmanjšanje lažnih pozitivnih signalov

Lažni pozitivni signali so velik izziv za ekipe za kibernetsko varnost, saj lahko povzročijo preobremenitev in zmanjšajo učinkovitost. CrowdStrike uporablja nesupervizirano strojno učenje, kar pomeni, da uspešno zmanjšuje število lažnih pozitivnih signalov, medtem ko SentinelOne pogosto zahteva obsežno prilagajanje, da bi zmanjšal to težavo.

Integracija in centralizacija

CrowdStrike ponuja enotno konzolo, ki integrira različne funkcionalnosti, kar poenostavi upravljanje in zmanjšuje stroške. SentinelOne pa se zdi, da ponuja razdrobljene točke izdelkov, kar upočasni preiskave in odzive. Enotna platforma CrowdStrike omogoča hitrejše preiskave in učinkovitejše delovanje varnostnih ekip.

Dokazana uspešnost

CrowdStrike je v preteklih MITRE ATT&CK evalvacijah dosegel vrhunske rezultate, kar dokazuje njegovo učinkovitost in zanesljivost. To daje strankam več zaupanja v izbiro CrowdStrike kot njihovega partnerja za kibernetsko varnost, medtem ko SentinelOne ne more doseči enake ravni priznanja.

Prilagodljivost in prihodnost

Svet kibernetske varnosti se nenehno spreminja, zato je pomembno, da podjetja izberejo rešitve, ki se lahko prilagajajo novim grožnjam in tehnologijam. CrowdStrike se nenehno razvija in nadgrajuje svoje rešitve, kar pomeni, da ostaja na vrhu tehnološkega napredka in se prilagaja potrebam strank.

Zaključek

Izbira med CrowdStrike in SentinelOne ni enostavna, vendar številni dejavniki, kot so učinkovitost pri preprečevanju napadov, enostavna namestitev, zmanjšanje lažnih pozitivnih signalov, integracija funkcionalnosti in dokazana uspešnost, pogosto pretehtajo v korist CrowdStrike. Podjetja, ki iščejo zanesljive in učinkovite rešitve za kibernetsko varnost, se zato pogosto odločijo za CrowdStrike kot svojega glavnega partnerja.

Novi Razvijalec-Kot-Storitev na Hekerskih Forumih spodbuja Ribarjenje in Spletne Napade

Novi Razvijalec-Kot-Storitev na Hekerskih Forumih spodbuja Ribarjenje in Spletne Napade

admin Leave a comment

SCATTERED SPIDER, skupina za izsiljevalsko programsko opremo, izkorišča infrastrukturo v oblaku za ciljanje na sektorje zavarovalništva in financ s pomočjo taktik socialnega inženiringa, kot sta vishing in smishing, za prevaro tarč in pridobitev dostopa do njihovih sistemov.

Skupina uporablja ukradene poverilnice, zamenjavo SIM kartic in orodja, ki so naravna za oblak, za vzdrževanje prisotnosti, saj jim je njihovo globoko razumevanje zahodnih poslovnih praks olajšalo partnerstvo z BlackCat, kar jim je izboljšalo sposobnost ciljati zahodne organizacije.

Analiza je identificirala tehnike, ki jih uporablja SCATTERED SPIDER za infiltracijo, vzdrževanje prisotnosti in izvedbo izsiljevalske programske opreme v okolju oblaka, pri čemer so izpostavljena tveganja, povezana z infrastrukturo v oblaku.

Življenjski cikel uvedbe izsiljevalske programske opreme v okolju oblaka

Kompromitira infrastrukturo oblaka z izkoriščanjem razkritih avtorizacijskih žetonov in lansiranjem kampanj phishing in smishing s ciljanjem na račune z visokimi pooblastili, zlasti račune administratorjev identitete, ter uporabo taktik socialnega inženiringa in domen tipkarske prevare.

Skupina uporablja phishing strani, ki posnemajo legitimne oblačne platforme, in SMS sporočila, da zavaja žrtve in pridobi njihove poverilnice, kar jim omogoča nepooblaščen dostop do sistemov oblaka in potencialno izvedbo nadaljnjih napadov.

Primer AWS puščanja žetona v GitHubu

Kibernetska zločinska skupina izkorišča kradljivce poverilnic, kot je Stealc, za pridobivanje avtorizacijskih žetonov oblačnih storitev in zaobide zaščite MFA s tehnikami zamenjave SIM kartic, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.

Skupina zlorablja legitimna oblačna orodja za ustvarjanje nepooblaščenih VM, krajo podatkov in gibanje po omrežju neopaženo. Analitiki EclecticIQ so identificirali Telecom Enemies, skupino DaaS, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.

Upravna plošča All-in-One Phishing Kit.

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle, za zbiranje informacij iz korporativnih Active Directory ciljnih sistemov. S temi informacijami cilja orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, rešitve PAM in osebne informacije znotraj M365.

Prav tako iščejo podatke tretjih oseb in informacije povezane z izsiljevanjem. S pomočjo sinhronizacije prek najemnikov (CTS) v Microsoft Entra ID, vzpostavijo prisotnost in neopaženi dostop v kompromitiranem oblačnem okolju.

Napad sinhronizacije prek najemnikov v Azure.

Napadalci lahko izkoriščajo nastavitve sinhronizacije prek najemnikov in ponudnikov federiranih identitet za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitacijo privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov, lahko napadalci premikajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.

Ponudniki federiranih identitet so prav tako ranljivi za zlorabe, kar napadalcem omogoča ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtorizacijskih žetonov in vzdrževanje prisotnega dostopa tudi po tem, ko so začetni kompromitirani računi onemogočeni.

Izkoristi oddaljena dostopna orodja, kot sta RMM in protokolski predor, za vzdrževanje nadzora nad kompromitiranimi okolji s pomočjo tehnik kot so rezidenčni posredniki in onemogočajo varnostna orodja za izogibanje zaznavanju.

Varnost API-jev pod drobnogledom: Kaj nas uči kršitev podatkov Dell

admin Leave a comment

Incident, ki se je zgodil maja 2024, je bil eden največjih v zgodovini podjetja Dell, saj je razkril osebne podatke približno 49 milijonov strank. Kršitev podatkov je bila posledica izkoriščanja ranljivosti v API-ju partnerjevega portala, kar je razkrilo resne pomanjkljivosti v varnosti API-jev. V tej podrobni razlagi bomo raziskali, kaj se je zgodilo, kako je napad potekal, kakšne so bile posledice in kaj se lahko naučimo iz tega incidenta.

Kako je prišlo do napada

Registracija lažnih računov

Napadalec, znan kot “Menelik”, je najprej registriral več lažnih računov na Dellovem portalu za partnerje. Postopek registracije je bil presenetljivo enostaven; zahteval je le osnovne podatke o podjetju in razlog za partnerstvo. Instantno odobrenje je omogočilo dostop do portala brez preverjanja identitete, kar je napadalcu omogočilo dostop do občutljivih podatkov.

Izkoriščanje ranljivosti API-jev

Po pridobitvi dostopa do portala je Menelik razvil programsko opremo, ki je generirala sedemmestne oznake storitev. Te oznake so bile vnesene v portal, kar je omogočilo pridobitev povezanih informacij. Ker portal ni imel ustreznih omejitev hitrosti, je Menelik lahko pošiljal do 5000 zahtevkov na minuto, kar je omogočilo ekstrakcijo podatkov iz 49 milijonov zapisov strank v treh tednih.

Razkritje podatkov

Podatki, ki so bili ukradeni, so vključevali občutljive osebne informacije, kot so imena strank, naslovi, številke naročil in podrobnosti o strojni opremi. Menelik je poskušal podatke prodati na hekerskem forumu, vendar je bil njegov oglas hitro odstranjen.

Odkritje in odziv podjetja Dell

Prvo obvestilo o ranljivosti

Menelik je trdil, da je Dell obvestil o ranljivosti, ki jo je izkoristil, vendar podjetje ni ukrepalo takoj. Dell je prejel začetna poročila o ranljivosti 12. in 14. aprila, vendar ni bilo odziva, kar je omogočilo napadalcu nadaljevanje ekstrakcije podatkov. Dell je kasneje potrdil, da so bili seznanjeni s sumljivimi dejavnostmi, preden so prejeli obvestila od Menelika.

Preiskava in sodelovanje z organi pregona

Po incidentu je Dell začel preiskavo v sodelovanju z organi pregona in angažiral zunanje forenzične strokovnjake. Podjetje je obvestilo stranke o kršitvi in jih opozorilo, da so njihovi osebni podatki morda bili ogroženi.

Posledice kršitve podatkov

Vpliv na stranke

Kršitev podatkov je imela resne posledice za stranke, katerih podatki so bili razkrite. Stranke so bile obveščene, da so njihovi osebni podatki dostopni nepooblaščenim osebam, kar je povzročilo zaskrbljenost glede možnosti zlorabe teh podatkov. Mnoge stranke so mislile, da so njihovi podatki varni, saj jih je Dell zbiral za namene poslovanja, vendar ta incident kaže, da to ni nujno res. Kršitev je pokazala, da lahko tudi zaupanja vredna podjetja postanejo žrtve hekerskih napadov, če nimajo ustreznih varnostnih ukrepov.

Vpliv na podjetje Dell

Za Dell je ta incident pomenil resno škodo na ugledu in zaupnosti, kar lahko dolgoročno vpliva na poslovanje podjetja. Dell se je moral soočiti tudi z morebitnimi pravnimi posledicami in zahtevki za odškodnino. Incident je pokazal, da mora Dell izboljšati svoje varnostne prakse, da zaščiti podatke strank in ohrani njihovo zaupanje.

Lekcije in priporočila

Pomen varnosti API-jev

Ta incident jasno kaže, kako pomembno je, da podjetja izvajajo stroge varnostne ukrepe za zaščito svojih API-jev. Uvedba strožjih kontrol dostopa, izboljšanih postopkov preverjanja in omejevanja hitrosti je ključna za preprečevanje nepooblaščenega dostopa.

Kako bi F5 rešitev lahko rešila problem

F5 ponuja rešitve, ki lahko bistveno izboljšajo varnost API-jev in zmanjšajo tveganje za podobne napade. Njihove tehnologije vključujejo:

  • Učinkovito upravljanje dostopa: F5 rešitve omogočajo implementacijo naprednih kontrol dostopa, kar zagotavlja, da le pooblaščeni uporabniki lahko dostopajo do občutljivih podatkov.
  • Omejevanje hitrosti zahtevkov: F5 lahko pomaga pri uvedbi omejitev hitrosti, kar preprečuje avtomatizirane napade, kot je tisti, ki ga je izvedel Menelik, in omejuje število zahtevkov, ki jih lahko pošlje en sam uporabnik.
  • Napredna zaščita pred napadi: F5 rešitve vključujejo zaščito pred različnimi vrstami napadov, vključno z napadi DDoS in drugimi zlonamernimi dejavnostmi, kar dodatno ščiti API-je in podatke.
  • Monitoring in analitika: F5 omogoča spremljanje in analizo prometa v realnem času, kar pomaga pri odkrivanju in preprečevanju nenavadnih vzorcev obnašanja, ki bi lahko kazali na varnostne grožnje.

Zaključek

Kršitev podatkov Dell je opomin o ranljivostih, ki jih prinaša varnost API-jev. Organizacije morajo prioritizirati zaščito svojih API-jev, da zaščitijo občutljive podatke strank in ohranijo zaupanje. Usklajenost s predpisi bi morala biti naravni rezultat robustnega varnostnega programa, ne pa končni cilj. Ta incident je pokazal, kako lahko preproste pomanjkljivosti v procesih in tehnologiji vodijo do obsežnih kršitev podatkov. Stranke morajo biti pozorne, da tudi zaupanja vredna podjetja niso imuna na hekerske napade, če nimajo ustreznih varnostnih ukrepov. Vlaganje v varnost API-jev, vključno z rešitvami, kot je F5, je ključno za zaščito občutljivih podatkov in ohranitev zaupanja strank.