Sunday, May 20, 2018
Trends

2271
Sergiu Banyai
Prefață

Raportul se bazează pe datele furnizate de instrumentele interne ale F5 Networks ce monitorizează activitatea malware în Internet, folosite de F5 Security Operations Center (SOC) pentru identificarea atacurilor informatice noi, analiza comportamentului acestora și a modului în care influenţează ţintele asupra cărora sunt direcţionate. Datele din raport nu au un caracter exhaustiv, ci acoperă doar mostrele de malware analizate cu „f5 Threat Monitor Tool”. Acesta este utilizat de către echipa F5 SOC și echipa extinsă de cercetare pentru strângerea și analiza mostrelor noi de malware „in the wild”, decriptarea configuraţiilor acestora, și folosirea rezultatelor analizei lor ca și input pentru produsul WebSafe sau generarea de rapoarte pentru clienţii acestui produs. Mulţumiri lui Ilan Meller, Manager F5 SOC & Threat Research și lui Doron Voolf, Malware Analyst, pentru ajutorul dat la elaborarea acestui raport.

Atacuri tip malware ce au vizat organizațiile bancare din România

Programele malware financiare reprezintă porţiuni de cod ce par a executa operaţiuni dorite de utilizator, dar capturează datele clientului pentru a executa de fapt tranzacţii frauduloase. Victimele pot fi atrase în a-și instala componenta malware fie prin mijloace de Social Engineering (de cele mai multe ori campanii tip SPAM) sau pot descărca aceste componente prin vizitarea paginilor web maliţioase ce exploatează diverse vulnerabilităţi ale clienţilor (Drive by Downloads).

Printre tehnicile uzuale folosite de componente malware financiare se numără:

  • Programe de acces remote ce conţin și componente tip SOCKS Proxy
  • Keylog-ere & from grabbing – pentru furtul credenţialelor
  • Furtul de informaţii din fișierele cookie și ale certificatelor client
  • Atacuri tip Man in the Browser (MITB) – modificarea aplicaţiei de e-banking în componenta client și injectarea de JavaScript maliţios pentru furtul de informaţii adiţionale(ex: 2FA – componente de autentificare cu 2 factori). Atacurile MITB permit modificarea fișierelor de configurare pentru malware, în sensul că aceste fișiere de configurare conţin reguli tip “webinject” pentru a determina ce cod maliţios JavaScript va fi inserat în funcţie de numele de domeniu accesat de către utilizator
Despre TrickBot, pe scurt

În noiembrie 2015, malware-ul Dyre, ce era extrem de prolific la vremea respectivă și ameninţase nenumărate instituţii bancare în întreaga lume, dispare din mediul online aproape peste noapte. Abia în februarie 2016, autorităţile ruse au anunţat că au arestat o mare parte din grupul implicat în generarea și coordonarea atacurilor malwareului Dyre la nivel global. De atunci nu s-a mai auzit nimic despre respectiva grupare, dar s-a speculat că membrii acesteia care au reușit să evite arestarea s-au integrat în alte grupări ale criminalităţii informatice (http://www.reuters.com/article/ us-cybercrime-russia-TrickBot-exclusive-idUSKCN0VE2QS ) La începutul lunii septembrie 2016, apărea o nouă variantă de malware autoîntitulat «TrickBot», având multe similitudini cu malware-ul Dyre. Printrea acestea: un loader aproape identic, mecanisme de criptare și decriptare, precum și o structură similară a fișierelor de configurare. (http://www.threatgeek.com/2016/10/trickbot-the-TrickBot-connection. html )

Există însă și câteva diferențe notabile:

  • Metoda de programare, ce pare a fi opera unui alt programator sau echipe de dezvoltare. TrickBot este scris majoritar în C++, spre deosebire de Dyre, scris predominant în C;
  • TrickBot folosește Task Scheduler și COM pentru persistenţa în sistemele infectate, în timp ce Dyre rula comenzi direct în sistemul infectat;
  • Spre deosebire de algoritmii de criptare folosiţi de Dyre (SHA256 pentru hashing și criptare AES), TrickBot folosește Microsoft Crypto API pentru operaţiile de criptare;
  • Infrastructura performantă pentru Command

Dyre o utiliza nu se regăsește însă la TrickBot. Aceste diferenţe indică faptul ca TrickBot reprezintă o variantă îmbunătăţită a malware-ului Dyre, în plus, întrucât TrickBot nu face eforturi deosebite pentru a-și ascunde prezenţa în sistemele infectate, se presupune că acesta este încă în proces de dezvoltare.

Articole de pe blogul F5 tratează modul de acțiune al diferitelor versiuni :

  • https://f5.com/labs/articles/threat-intelligence/ malware/trickbot-expands-global-targets-beyondbanks- and-payment-processors-to-crms
  • https://f5.com/labs/articles/threat-intelligence/ malware/trickbot-focuses-on-wealth-managementservices- from-its-dyre-core
  • https://f5.com/labs/articles/threat-intelligence/ malware/trickbot-rapidly-expands-its-targets-in-augustshifting- focus-to-us-banks-and-credit-card-companies
TrickBot: paginile web malformate (false)

Una din multele funcţionalităţi pe care Dyre le prezenta, ce îl diferenţiau de alţi malware cunoscuţi din mediul de online banking, a fost cea de “pagină falsă”. Aceasta a fost ulterior înglobată și în TrickBot și se manifesta în momentul în care sistemul client infectat (victima) încearcă să se conecteze la pagina de e-banking, TrickBot interceptând cererea și servind o pagină falsă de pe unul din serverele C&C. Folosirea funcţiei “send”a browser-ului Serverul atacatorului răspunde cu o pagină de login falsă. Deși respectiva pagină web pare identică cu cea originală a băncii, componentele HTML si JavaScript de fond sunt foarte diferite și par a fi construite manual. Una din diferenţele majore le reprezintă bloc-ul JavaScript, comun pentru toate paginile false ce conţin configuraţia pentru o anumită bancă, cum ar fi informaţiile ce urmează a fi interceptate din pagina de login. După încărcarea paginii false, componenta JavaScript va interoga constant serverele C&C, trimiţând cereri către “/!/ping” URL . După ce victima completează câmpurile login, o cerere ce conţine credenţialele interceptate este trimisă către “/!?new=1” URL , și se așteaptă un răspuns de la server-ul C&C. Răspunsul conţine un număr ce indică perioada de timp în care malware-ul va sta în stare latentă, fără a mai intercepta cererile de login pentru respectiva bancă. Pagina JavaScript falsă va confirma timpul prin emiterea unei cereri (“/!/ go_skip?time=[Amount of time to sleep]”) , urmată de un răspuns al serverului C&C ce va redirecta victima către pagina originală a băncii. În plus, ultimul răspuns al serverului C&C va conţine un header unic, interpretat intern de malware, cu o valoare ce indică timpul de latenţă. 44 – Cybersecurity Trends Din perspectiva victimei, dupa introducerea informaţiilor în form-ul de login, i se va servi fie o pagină alterată de către atacator, sau va fi redirectată către site-ul real al băncii. Pagina alterată poate fi un mesaj de „eroare”, după cum s-a observat în noile versiuni TrickBot, sau o altă pagină care încearcă să intercepteze de exemplu onetime password. Ulterior, malware-ul descarcă un fișier de configurare ce conţine o listă cu URL-urile băncilor ţintă. Fiecare URL e configurat pentru a fi redirectat către un proxy server cu rol de MITM, pentru fiecare bancă fiind asignat un port diferit. Aceasta permite atacatorului să trimită mai departe cererile victimei către site-ul băncii și să returneze date false, incluzând pagini malformate de login, ferestre pop-up și injectare de cod JavaScript/HTML. După ce informaţiile ajung la atacator, acesta poate accesa remote sistemul victimă folosind modulul VNC (Virtual Network Computing) integrat în TrickBot și poate efectua tranzacţii bancare.

Atacuri TrickBot direcționate către băncile din România

În timpul analizei diferitelor variante ale TrickBot, s-a observat că, începând de la versiunea 45 de configuraţie, în lista de bănci ţintă au început să fie introduse și bănci din România.

Exemplu de configurație TrickBot :

MD5: c0360b2b178d7c05ac6e35ef41e67cb9

Config: https://ro.unicreditbanking.net*https://ro.unicreditbanking.net/disp* bhsaviterghbloqznkcpfdasuxym.com 195.133.147.135:443 În configuraţia de mai sus, utilizatorilor ce încearcă să acceseze https://ro.unicreditbanking.net sau https:// ro.unicreditbanking.net le este prezentată o pagină falsă ce se încarcă de pe serverul C&C: 195.133.147.135:443

Config:https://www.ingonline.com* https://www.ingonline.com/ro* cqsdplqchaogzenrvsjftwumbkxy.net195.133.147.135:443

În mod identic, ulitizatorilor ce vor accesa https:// www.ingonline.com sau https://www.ingonline.com/ ro* le este servită o pagină falsă ce va fi încărcată de la același server C&C. URL-urile respective se regăsesc și în versiunea curentă a TrickBot V 81.

Codul sursă al paginii false servite de TrickBot:

Pagina falsă conţine un script numit main_new, responsabil cu manipularea obiectelor prezentate victimei în pagina falsă și cu atacul MITM De asemenea, pagina mai conţine o matrice a parametrilor de configurare în header. Interesanţi sunt:

ID. Identificator unic al băncii, identic cu numărul portului din fișierul de configurare.

Incorrect login error. La fiecare încercare a victimei de login în site-ul băncii, serverul proxy trimite automat cererea către site-ul real la băncii și realizează autentificarea. Daca aceasta eșueaza, va trimite o notificare de eroare către victimă în pagina falsă.

Block message. Dacă atacul MITM reușește, atacatorul poate realiza tranzacţii bancare și poate bloca accesul victimei la cont. Parametrul va stoca mesajul trimis.

Trickbot: analiza atacurilor uzuale

TrickBot poate folosi câteva moduri de atac, cele mai interesante fiind „Redirection Attack’”și „WebInject Attack” Cele două metode sunt explicate mai jos: Redirection attack: reprezintă modalitatea prin care TrickBot interceptează cererea și servește utilizatorului victimă o pagină malformată, falsă de pe unul din serverele C&C, ce impresonează site-ul real de e-banking. (comportamentul este tratat mai sus în capitolul TrickBot: paginile malformate). Webinject attack: reprezintă modul de injectare a unui cod HTML sau JS în conţinutul paginii web, înainte ca aceasta să fie vizualizată de către victimă în browser-ul web, în acest mod malware-ul poate schimba conţinutul câmpurilor cu care victima interacţionează în pagina de login TrickBot interceptează apoi cererile victimei către pagina de login și răspunde cu link-uri externe ce sunt injectate în pagina falsă de login. Conform analizelor mostrelor de TrickBot, statistica indică: Total Targeted Redirect URLs: 453 Total Targeted Webinject URLs:1057 Total targeted URL 1510

Total Romanian Targeted URLs:3

https://www.ingonline.com/ro*

https://ro.unicreditbanking.net/disp

https://ro.unicreditbanking.net*

În cazul anumitor variante alterate, s-au mai identificat și următoarele mutaţii: Total Targeted Webinject URLs:5

Total Romanian Targeted URLs:5

https://www\.raiffeisenonline\.ro/eBankingWeb/login.*

https://login\.24banking\.ro/casserver/login.*

https://www\.homebank\.ro/public/HomeBankLogin/home.*

https://www\.brdoffice\.ro/smartoffice/_mcologon.*

https://www\.mybrdnet\.ro/brdinternetbank/login\.html.*

BIO

Sergiu Banyai, Business Development Manager, Veracomp Europe Experienţa: 25 de ani în proiectarea de soluţii complexe în domeniul IT / Cybersecurity pentru companii mari şi telco.

2242
Laurent Chrzanovski

Urmând – și chiar îmbunătățind – framework-ul GDPR al Uniunii Europene, Elveția a adaptat și și-a întărit legile federale pentru protecția datelor.

În majoritatea ţărilor europene conformarea la GDPR este văzută ca un motiv de îngrijorare pentru companiile care administrează date personale, deoarece amenzile în cazul încălcării regulamentului pot ajunge până la 4% din cifra de afaceri anuală. Dar în cazul persoanelor private GDPR arată mai mult ca o parașută „post-prăbușire”, în cazul violării intimităţii personale, și în funcţie de ţară, ca o modalitate de a primi o indemnizaţie de la compania vinovată sau de a o acţiona în justiţie. Dimpotrivă, Elveţia – dincolo de adoptarea acelorași sancţiuni și amenzi pentru deţinătorii și procesatorii de date care încalcă regulamentul – propune un sistem proactiv tuturor locuitorilor ţării care doresc să anticipeze și întărească protecţia datelor lor, printr-un parteneriat public-privat, cum este Swiss Internet Security Alliance. Ca o consecinţă, au luat naștere o întreagă gamă de servicii gratuite (free-of-charge) oferite cetăţenilor (hotline-uri gratuite în caz de phishing, furt de identitate, viruși care criptează datele etc.), dar efectul cel mai vizibil și mai interesant al acestor 6 luni de (r) evoluţie l-a constituit nașterea unui număr nenumărabil de contracte de „protecţie internet individuală/familială”, ieftine și bine gândite, propuse ca un serviciu adiţional de către tot felul de companii elveţiene de asigurări. O persoană cu rezidenţa în Elveţia poate adăuga acum asigurărilor de responsabilitate civică, mașină, casă sau sănătate, o extensie de „protecţie internet”, pentru tarife anuale care pornesc de la un minim de 4 CHF (3,2 EUR) și care pot ajunge la un maxim de 100 CHF (85 EUR) pe an, în funcţie de protecţia pe care și-o dorește clientul.Întregul sistem elveţian se bazează pe înscrierea individuală obligatorie și gratuită pe site-ul web IDprotect.ch, un serviciu creat de I-surance.ch și finanţat din taxele de asigurare. Acolo, fiecare individ – și nu asiguratorul său – alege care sunt datele pentru care dorește protecţie – personale / poze intime, texte, serii și numere de pașaport/CI, carduri de credit/debit s.a.m.d. Rolul lui IDprotect.ch, care se conformează unor reguli federale foarte stricte referitoare la confidenţialitatea datelor, este să scaneze 24/365 web-ul pentru a vedea dacă aceste date sunt disponibile, ceea ce ar însemna că sunt compromise.

Câteva exemple din Elveţia, Luxemburg şi Anglia de publicitate pentru asigurări Internet

Caz în care clientul este sunat imediat și sfătuit ce proceduri să urmeze și ce atitudine să adopte. Deoarece pe net totul este legat de timp(ul de reacţie), echipa de la IDprotect va începe să se ocupe imediat de cele mai urgente aspecte tehnice și juridice (fraudă, furt de identitate, asistarea clientului pentru recuperarea datelor în caz de crypto-ransomware, asistenţă medicală directă în cazul în care un copil sau adolescent din familie este victima unui caz de grooming/bullying (ademenire/ hărţuire) etc.).Un element uimitor, dacă luăm în considerare contractele de valoare medie și mare, este că pentru mai puțin de o sută de euro pe an un individ beneficiază de următoarele asigurări:

  1.  acoperire globală
  2. ajutor în eliminarea tutor scurgerilor de date private
  3. plata directă a până la 5000 CHF pentru înlocuirea dispozitivului deteriorat
  4. până la 1000 CHF pentru bunuri cumpărate online și nelivrate (în valoare de min. 200 CHF)
  5.  până la 1 milion CHF (850.000 EUR) costuri cu avocaţii – alegere liberă a avocatului –, costuri de judecata, costuri juridice*
  6. indemnizaţie pentru pierderi financiare directe (pentru profesioniști privaţi) și pierderea reputaţiei
  7. operire nelimitată a cheltuielilor de sănătate, în caz de consecinţe psihologice, pentru 5 ani
  8. 300.000 CHF în caz de invaliditate parţială cauzată de un atac (șantaj etc.)
  9. 150.000 CHF familiei în cazul morţii (sinucidere)

* Lista cazurilor acoperite este impresionantă:

  • utilizarea abuzivă a identităţii;
  • utilizarea abuzivă a credenţialelor cardurilor de credit;
  • victimă a unui phishing;
  • victimă a unui hacking;
  • victimă a unui șantaj sau ameninţări asupra individului sau a familiei sale;
  • victimă a unor mesaje sexuale, de ademenire, hărţuire (sexting, grooming, bullying);
  • victimă a furtului unei proprietaţi virtuale: proprietate intelectuală, drepturi de autor, mărci și denumiri înregistrate individual, furtul sau utilizarea neautorizată a unor imagini private sau texte confidenţiale etc.

Cel mai important aspect al noilor servicii de asigurare propuse în Elveţia este abilitatea previzionată pentru indivizi de a obţine (la alegerea lor) o protecţie deplină care să acopere amploarea posibilă a daunelor și o provocare constantă pentru serviciile companiilor de asigurări (cu excepţia SUA sau a câtorva state asiatice avansate). Ca exemplu, o asigurare de „securitate cibernetică” pentru o companie din Franţa sau Italia se bazează pe veniturile brute ale cumpărătorului poliţei, este în general foarte scumpă și acoperă un maxim de câteva milioane în caz de daune, ceea ce se situează mult sub consecinţele financiare reale ale celor mai recente atacuri globale. Cauzele care au dus la acest sistem „semi-orb” stau în faptul că nici companiile de asigurări, nici companiile care cumpără poliţe de asigurare nu au standarde uniforme de evaluare a rezilienţei infrastructurilor, sau a pregătirii angajaţilor în domeniul cunoștinţelor de securitate de bază și a eficienţei departamentelor CISO/ CSO. Lipsa conștientizării majorităţii echipelor de conducere a companiilor stă la baza subevaluării inevitabile a dimensiunii daunelor posibile. Securitatea fiind imatură în întregul său, asigurările naţionale nu pot recompensa companiile care se conformează perfect framework-urilor NIST / GDPR cu tarife corecte și cu restituiri foarte mari în cazul unui atac, forţând mai multe sectoare (bancar, finanţe, infrastructuri critice) să contracteze, când este posibil, o companie de asigurare de peste mări. De ce i se prezice acestui serviciu nou-născut un viitor atât de strălucitor? Există mai multe motive simple care concură la crearea ecosistemului în care asigurările se poat angaja la un preţ corespunzător și restituiri mari fără risc, și toate acestea sunt îndeplinite în ţara celor 26 de cantoane.

1 Cetăţenii elveţieni sunt adesea ironizaţi ca fiind „supra-asiguraţi”, ceea ce este parţial adevărat, dar trebuie privit nu ca fiind din frică, ci ca o conștientizare a costurilor în cazul apariţiei unor probleme. Protecţia de responsabilitate civică, asigurarea de sănătate, asigurarea locuinţei și multe altele sunt obligatorii și administrate privat. Dintre acestea, sănătatea este singura asigurare publică care a devenit privată, sub supervizarea statului, prin stabilirea creșterii anuale de tarife (după un referendum popular din 1996). Programele de asigurări administrate de stat sunt doar asigurarea de șomaj și de invaliditate, precum și un mic fond de pensii, care se completează cu unele private.

O consecinţă a faptului că „toată lumea este asigurată” și a mentalităţii colective de a fi responsabil și corect cu asigurările, companiile din acest sector, benefiiciind de aceasta, pot oferi clienţilor diferite bonusuri, care sunt aproape în exclusivitate un privilegiu elveţian. Ca exemplu, putem cita faptul despăgubirii integrale în cazul spargerii unui geam de la mașină (indiferent de motiv: violenţă urbană sau incident în trafic) fără nici o reducere a „bonusului” la plata asigurării pentru anul următor. Un alt exemplu este asigurarea completă a bagajului de mână oriunde (autobuz, tren, avion) pentru mai puţin de 50 CHF pe an – odată bagajul ne-a fost furat și asigurarea ne-a plătit într-o săptămână, nu doar preţul integral al aparatului foto care fusese înăuntru,

ci și preţul valizei!

3 Fiind propusă pentru un preţ foarte rezonabil ca un „plus” la un contract deja existent – și obligatoriu prin lege – sănătate, mașină sau asigurare de locuinţă, asigurarea cibernetică este la un click distanţă, beneficiind, în termeni de marketing, de un „client captiv” (bonus) care are deja o relaţie de lungă durată cu compania.

4 Prin cunoașterea și alegerea liberă a „datelor care să fie protejate”, colaborarea dintre client și asigurator este totală. Suplimentar, platforma de asigurare își poate utiliza toate activele pentru scanarea net-ului și căutarea unor articole foarte precise și poate reduce la maxim duplicarea datelor scurse/furate atunci când este cazul.

5 Nu e cazul să fim naivi, multe dintre serviciile oferite sunt deja împachetate în asigurările obligatorii (de boală, invaliditate, moarte) sau în condiţiile financiare pe care majoritatea băncilor elveţiene le oferă (acoperirea integrală în cazul furtului datelor cardurilor de credit, taxe limitate de plătit în cazul furtului cardurilor de debit cu PIN etc.). Oricum, aceste noi asigurări vor face ca unele companii (cum este cazul celor agresive de ecommerce) să fie foarte atente cu datele elveţiene de provenienţă necunoscută sau cumpărate de pe piaţa gri. Posibilitatea cetăţenilor elveţieni de a beneficia de acoperirea unor costuri avocăţești și de judecată de până la 1 milion CHF va da posibilitatea cetăţenilor elveţieni de a acţiona în judecată, la nevoie, o companie din USA, într-un tribunal din USA, acţiune imposibilă din punct de vedere financiar pentru orice cetăţean european obișnui

BIO

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

2215
Laurent Chrzanovski

Desfășurată sub Înaltul Patronaj al Ambasadorului Elveției în România și organizată în colaborare cu Uniunea Internațională a Telecomunicațiilor (ONU-Geneva), cea de-a 5-a ediție a platformei de dialog public-privat din Europa centrală s-a desfășurat în septembrie 2017.

Auditoriul a fost constituit în majoritate din prestatori de servicii TIC, oameni de afaceri, responsabili informaţii din sectorul public și privat, iar congresul a atras, pentru al treilea an consecutiv, directori generali ai celor mai mari uzine din regiune și ai unor companii de infrastructuri critice (producţie, transport și stocare de gaz, electricitate sau petrol) din România. Prezenţa directorilor generali în persoană, și nu a responsabililor de securitate ca în cazul ediţiilor precedente, reprezintă dovada unei evoluţii atât așteptate cât și sperate pentru un dialog care constituie piatra de temelie a creării Congresului din Sibiu, una dintre rarele manifestări care nu are nici caracter tehnic, nici de marketing. Motivul participării unor asemenea VIP-uri este unul firesc: WannaCry și Not-Petya au lovit Europa în mai și în iunie, generând pierderi de miliarde de euro de în sectoare despre care se credea anterior că pot fi ţinte potenţiale ale criminalităţii organizate doar cu ocazia tranzacţiilor financiare sau în scopul obţinerii accesului la baza de date. Speakeri dintre cei mai elocvenţi au explicat în detaliu vulnerabilităţile ecosistemului nostru digital. Vulnerabilităţi atât de mari încât un singur virus devastator, Not-Petya (sau Goldeneye) „lansat pur și simplu pe internet” și nu creat special pentru o anumită întreprindere, a provocat pagube directe, fără a pune la socoteală consecinţele indirecte, la o scară inimaginabilă. Au fost date o mulţime de exemple concrete, printre altele și cazul gigantului industrial Saint-Gobain1 (220 de milioane de euro de pierderi directe – 4,4% din profit – doar în primul semestru și 3 zile de lucru cu hârtie și pixuri2),cazul gigantului din industria alimentară Mondelez (-3% din cifra de afaceri doar în trimestrul 2) sau al liderului în transporturi maritime Maersk (pierderi de 300 de milioane de euro).Concepute special pentru directorii din industrie, prezentările reprezentanţilor instituţiilor specializate ale Statului Român (Poliţie, servicii de informaţii, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, Autoritatea naţională pentru Administrare și Reglementare în Comunicaţii) au oferit radiografia întregii ţări. Publicul a beneficiat în avanpremieră de o raportare a situaţiei la zi, iar aceasta la șase luni înainte de raportările naţionale obligatorii din sarcina fiecărui stat membru al Uniunii, întocmite la sfârșitul anului și publicate în primele luni ale anului următor. Apoi, lideri recunoscuţi în domeniul securităţii au abordat aspecte cruciale pentru lumea afacerilor și pentru industrie, care prezintă o întârziere semnificativă în înţelegerea non-tehnică a insecurităţii globale a internetului.

Nicola Sotira
Intrusul râvnit

Nicola Sotira (Chief information security officer al Grupului Poste Italiane, Roma) a prezentat utilitatea smartphone-urilor în marketing, comunicarea internă și externă, dar și pentru o gamă de servicii disponibile, de la e-banking la plăţile smart sau comanda la distanţă. Un smartphone purtat de proprietar cu sine 24/7 reprezintă visul antreprenorului și coșmarul responsabilului cu securitatea: în prezent, este instrumentul tehnologic cel mai vulnerabil și cel mai des atacat în termeni absoluţi.

Când cea mai bună armată este atacată cu succes
Ido Naor

Ido Naor (Kaspersky Labs Tel Aviv) a luat urma unei infiltraţii teroriste care era cât pe ce să reușească. Pe reţelele sociale, un grup de „canadiene” tinere și drăguţe care se pregăteau să facă o „vizită de studii” în Israel a vizat niște tineri recruţi din IDF (armata israeliană) din cazărmile din apropierea Fâșiei Gaza. Ingineria socială a reușit, iar numeroși soldaţi au corespondat cu „canadienele” și apoi au descărcat un pachet de aplicaţii de chat video și audio care conţinea… un troian, care ar fi permis grupului terorist în cauză să folosească smartphone-urile tinerilor ca pe niște veritabile microfoane, aparate foto și video în avantajul lor. Doar vigilenţa ofiţerilor superiori și a ofiţerilor de informaţii a permis ca IDF să coopereze cu Kaspersky Labs, care au observat imediat mai multe formule desuete în ebraică a textelor „canadienelor”, prezenţa stranie a unei aplicaţii muzicale în pachetul trimis spre descărcare și linii de cod care trimiteau direct în… Gaza. Dacă recruţii IDF, instruiţi să fie în alertă permanentă și să deceleze atitudinile suspecte, au putut să cadă în capcana clasică a fetei drăguţe, să ne imaginăm doar pagubele pe care o operaţiune similară le-ar putea produce într-o întreprindere occidentală, unde succesul ar fi asigurat din cauza lipsei de cultură în domeniul securităţii.

O apărare pe șapte niveluri, iar nimeni nu cunoaște în prezent mai mult de două
Marco Essomba

Marco Essomba (CEO, iCyber-Security, Reading), în speech-ul său, Full Stack Cybersecurity Defense, a insistat pe necesitatea reformării în profunzime a organigramei și a modului de funcţionare a marilor întreprinderi și industrii. O viziune holistică a leadershipului asistat de un expert în securitate și antrenamente trans-departamentale sunt elemente vitale pentru a ţine piept atacurilor tot mai sofisticate, care vizează toate procesele unei întreprinderi, de la finanţe la utilaje de producţie, și în care componenta umană este cea mai vulnerabilă dintre toate. În aceste „7 niveluri” ale apărării, este crucială existenţa unor echipe motivate de către directori de nouă generaţie, în special printre ingineri, care să cunoască și să explice cel puţin 3 niveluri – sau straturi – fiecare, asigurând astfel legătura necesară cu specialiștii celorlalte niveluri și cu profesioniștii de nișă al căror singur obiectiv este de a fi cei mai buni pe nișa încredinţată. De-a lungul a două zile, peste 20 de speakeri din 10 ţări au atras atenţia asupra mai multor aspecte specifice în care mediul de afaceri și industria nu deţin cunoștinţele adecvate, de pildă cu ocazia elaborării criteriilor de angajare a unui nou Responsabil cu securitatea potrivit pentru specificul întreprinderii, sau cu ocazia alegerii, printre instrumentele de apărare de ultimă generaţie, a celui adaptat la ecosistemul întreprinderii, mai ales când aceasta din urmă deţine și folosește cantităţi semnificative de date și de servicii în cloud sau când interacţionează la distanţă cu unităţi de transport și de producţie. Ultima sesiune a Congresului, plasată sub egida Vallée de l’Energie și a Camerei de Comerţ și Industrie din Belfort, a fost consacrată exclusiv temei „Industria 4.0”. Publicului i s-a propus o privire de ansamblu a pericolelor și a vulnerabilităţilor, rezultat al colaborării dintre organizatori și speakeri, ale căror subiecte s-au completat într-un mod agreabil și au asigurat succesul întâlnirii. Expunerea directorului adjunct al Cyberint (centru special al serviciilor române de informaţii interne) a avut ca obiect blocajele actuale și viitoare cauzate de viziunea strategică legată de crearea, acum mai bine de un deceniu, a categoriei de „infrastructuri critice” sau „întreprinderi de interes strategic”, adică cele pentru care statul trebuie să contribuie la asigurarea apărării. Această doctrină, a cărei aplicaţie, deși mai generoasă, este în prezent prost înţeleasă, determină o reţinere din partea a numeroși antreprenori în a colabora cu Cyberint sau în a solicita ajutorul CERT-RO, ambele servicii de stat, în plus faţă de Poliţie, în materie de incidente și de infracţiuni informatice. Or, dacă o industrie – cu corolarul său de furnizori – cu zeci de mii de angajaţi ar da faliment ca urmare a unui atac, consecinţele sociale ar atinge o amplitudine strategică egală cu cea a unui atac asupra reţelei electrice a unei regiuni.

Jean-Luc Habermacher

Jean-Luc Habermacher (Vallée de l’Energie) și Jean-Gabriel Gautraud (Bessé Conseil) au prezentat punctele de vedere aleunui risk manager și ale unui consilier în asigurări, arătând în ce măsură consilierii administraţiilor grupurilor industriale consideră încă securitatea cibernetică o problemă exclusiv tehnologică.

Jean-Gabriel Gautraud

Or, fără cultura siguranţei și a securităţii, fără o abordare fizică, umană și o supraveghere permanentă a fiecărui obiect conectat – fie și numai mașina de ambalat de la capătul lanţului de producţie – fiecare terminal conectat devine atât o pradă cât și un agresor în mâna unui infractor, întrucât dispozitivele și roboţii nu au fost concepuţi pentru securitatea oferită, ci pentru îndeplinirea eficientă a unei sarcini precise.

Virgil Stănciulescu

Virgil Stănciulescu, responsabil la ANCOM (Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii), a prevenit întreprinderile, în special industriile, cu privire la creșterea exponenţială a suprafeţei de expunere la atacuri rău-voitoare pe care o generează prin propriile decizii, de pildă prin instalarea de captatori IoT în exces sau prin dotarea cu roboţi de ultimă generaţie, de mașini care se perfecţionează în mod automat, care își preiau informaţiile din Big Data și care comunică prin canale multiple atât cu mediul fabricii, cât și cu exteriorul. Marc German (IHEDN) şi Jean-Jacques Wagner (IUT Belfort), în prezentarea lor Inteligenţa concurenţială și securitatea cibernetică sunt două feţe ale aceleeași monede a longevităţii unei întreprinderi, au analizat lumea concurenţei internaţionale, în care morala și etica sunt elemente foarte rare. Apărarea datelor, asigurarea securităţii fizice și cibernetice ale site-urilor proprii, dar și acumularea de informaţii despre planurile concurenţilor și posibilităţile de dezvoltare sunt acţiuni rezervate specialiștilor în inteligenţă care le pot gestiona, împreună cu echipa lor, în mod simultan și profesionist. Punând în balanţă o echipă internă alcătuită din profesioniști calificaţi, patronii cedează adesea în faţa preţurilor atractive de externalizare a serviciilor de analiză sau de apărare. Această decizie crește gradul de imprecizie și de risc, compromiţând în mod grav atât securitatea cât și fundamentul deciziilor strategice care vor fi luate ulterior. Atmosfera inegalabilă de networking, marcă a con gresului, precum și adaptarea sa la temele cele mai importante ale momentului, privite dintr-o perspectivă internaţională, care permite o veritabilă dezbatere de idei și de culturi, reprezintă valori care au făcut ca acest congres să fie solicitat și adaptat și în alte regiuni ale continentului. Astfel, prima ediţie consacrată Europei Occidentale a avut loc la Porrentruy (Elveţia) („Cybersecurity-Switzerland”, 7-8 decembrie 2017), iar prima ediţie dedicată spaţiului mediteraneean va avea loc la Noto (Sicilia, Italia) („Cybersecurity-Mediterranean”, 10-11 mai 2018), congresul din Sibiu fiind organizat în continuare anual, la jumătatea lunii septembrie.

105

Conștientizarea copiilor și adulţilor: după recordul UE (1059 de copii) stabilit cu ziua gratuită de prevenţie (13 septembrie) realizată în cadrul congresului „Cybersecurity-Romania” ediţia a 6-a de către Swiss Webacademy împreună cu Poliţia Română, Inspectoratul Școlar Sibiu și în colaborare cu Telekom, a fost rândul Elveţiei să stabilească un record, odată cu ziua gratuită de prevenţie (6 decembrie) realizată în cadrul premierei congresului „Cybersecurity-Switzerland” de către Swiss Webacademy împreună cu Police du Jura, Police de Genève, Ville de Porrentruy și în colaborare cu UBS și UPC… 440 adolescenţi (18 clase complete ale liceului orașului) și profesorii lor au luat parte la 2 sedinţe de 90 de minute de conștientizare – cu celebrul concurs de întrebări la sfârșitul prezentărilor asupra riscurilor ţinute de către Poliţia din Jura, Daniela Chrzanovski și de către un invitat cu totul special, Pierre-Alain Dard, Director Brigada Minorilor din Geneva, orașul multicultural unde toate noile tendinţe și riscuri din mediile sociale se vând în timp real în rândul tinerilor. Seara, la 19:30, au venit nu mai puţin de 115 adulţi, printre care 27 CEO de IMM-uri și 28 de administratori IT din sectorul public, să beneficieze de o conferinţă dedicată problematicilor observate în 2017 și soluţiilor de bază de luat. După alocuţiunea inaugurală a lui Pierre- Arnauld Fueg, Primarul oraşului Porrentruy, prezentările au fost ţinute în tandem de către Francisco Arenas, Manager UPC Business Solutions Elveţia Francofonă și Laurent Chrzanovski. Cu mare surprindere, cele 90 de minute de prezentări au dat naștere unei sesiuni Q&A de… peste 50 de minute. Acest moment confirmă iniţiativa noastră și arată clar, în ceea ce privește Elveţia, că adulţii sunt extrem de dornici de a afla mai multe despre tematică, despre ce se întâmplă, și despre ce pot să facă pentru a se proteja.

660

retrospect

Retrospect Backup & Recovery furnizează o metodă rapidă pentru construirea unui plan complet cu scopul securizării datelor unei organizații. Soluția furnizează numeroase opțiuni pentru backup precum: local, cloud sau în altă locație. Aceste opțiuni permit implementarea unui plan pentru protejarea datelor local și accesarea acestora foarte ușor sau protejarea datelor prin mutarea acestora într-un alt loc cu scopul arhivarii și protejării acestora împotriva dezastrelor.

 

Economisește bani și resurse
* Soluţia reduce consumul de timp și spaţiu alocat pentru backup prin eliminarea nevoi de backup complet folosind tehnologia de la Retrospect Smart Incremental.
* Produsul furnizează backup-uri mai mici și mai rapide folosind Block Level Incremental Backups.
* Garantează că există întotdeauna spaţiu pentru un backup folosind funcţia Automatic Disk Grooming.
* Elimină nevoia includerii în backup a fișierelor dublate și astfel reduce timpul și spaţiul alocat procesului folosind tehnologiaddededuplicare la nivel de fișiere.
 Reduce timpul și banii alocaţi deplasărilor folosind gestionarea centralizată a mai multor servere și staţii de lucru Retrospect.
Protecție puternică, flexibilă și de încredere pentru date
 Protejează întreaga reţea Windows, Mac sau Linux folosind o soluţie cu cost redus Retrospect.
 Soluţia suportă backup-uri: cloud, disk, NAS și tape.
 Produsul oferă o imagine completă a procesului de backup folosind panoul High-Level Dashboard Retrospect.
 Reduce timpul în care un dispozitiv nu este operaţional deoarece un backup poate fi implementat pe un calculator diferit fără probleme folosind agentul Retrospect: Dissimial Hardware Restore.
 Garantează că mediile virtuale sunt protejate datorită integrarii cu VMware.
 Suportă medii Exchange si SQL.
 Poate restaura fișiere datate înainte de corupere sau infecţie cu viruși folosind recuperări în funcţie de timp și dată.
„Am putut recupera date pentru inginerii noștri pe parcursul anilor ce ar fi fost pierdute dacă nu ar fi fost trecute în backup. A fost o situație în care date vechi de 7 ani au fost recuperate pe un PC fără probleme iar inginerii au putut folosi aceste date fără probleme.”
Dale Windsor, Honeywell Technologies Solution sat NASA
Securitate înseamnă liniște
 Produsul poate crea dispozitive de stocare bootabile cu scopul recuperării într-o situaţie în care un echipament este într-o stare non-bootabilă folosind tehnologia Bare Metal Disaster Recovery.
 Criptarea pe mai multe niveluri de la Retrospect securizează datele chiar dacă un backup este pierdut sau furat.
 Raportarea email informează dacă un proces backup este finalizat corect.
 Retrospect furnizează securitate în plus prin întreţinerea automată a mai multor seturi de backup.
 Garantează protecţia calculatoarelor noi în reţea sau nu sunt conectate la un sistem automat pentru detecţia și înregistrarea clienţilor.

Retrospect Pentru Editii Windows
Multi Server pentru Windows
Protejează orice număr de servere, desktop-uri şi laptopuri ce folosesc Windows, Mac şi Linux de la un singur calculator gazda Retrospect. Suportă medii de stocare: cloud, disk şi tape.

Un Singur Server-Dispozitive Conectate Nelimitate

Protejează un server şi orice număr de laptop-uri şi desktop-uri ce folosesc: Windows, Mac şi Linux folosind o singură gazdă Retrospect. Licenţe adiţionale pentru servere pot fi achiziţionate pentru protecţia serverelor Windows, Mac şi Linux conectate la reţea. Suportă medii de stocare: cloud, disk şi tape.

 

„Am folosit Retrospect de mai bine de 15 ani. În acest timp mi-a salvat datele de cel puţin 2 ori. Odată eram plecată din ţară şi echipa IT a recuperat datele folosind Retrospect. Am folosit Retrospect de multe ori pentru recuperarea versiunilor vechi de fi şiere. Rosemary Muller, Muller & Caulfi eld Architects

 

Single Server (Disk la Disk) 5 pentru Windows

Protejează un singur server Windows şi 5 staţii de lucru Windows, Mac şi Linux conectate la reţea. Suportă medii de stocare: cloud, disk şi tape.

MS (SBS) Essentials cu Exchange şi SQL pentru Windows

Protejează un singur Server Windows ce rulează MS SBS 2012 Essentials plus un număr nelimitat de staţii de lucru şi laptop-uri. Include agenţi pentru: Exchange, SQL, Open File Backup şi Dissimilar Hardware. Suportă medii de stocare: cloud, disk şi tape.

Desktop Pentru Windows
Protejează un PC Windows non-server şi cinci staţii de lucru sau laptop-uri Windows, Mac şi Linux. Suportă medii de stocare: cloud, disk şi tape. 
Întrebări?
Contactaţi Retrospect prin scanarea codului QR sau vizitarea site-ului retrospect.com/contact_sales

CERINŢE SISTEM
Retrospect pentru Windows suportă următoarele sisteme de operare Microsoft Windows pentru backup local sau
Microsoft Windows Apple OS X Linux
  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista
  • Windows XP
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008
  • Windows Server 2003
  • Windows Server Essentials 2012
  • Windows SBS 2011
  • Windows SBS 2008
  • Windows SBS 2003
  • Windows Storage Server 2008
  • Windows Storage Server 2003
  • OS X El Capitan 10.11
  • OS X El Capitan Server 10.11
  • OS X Yosemite 10.10
  • OS X Yosemite Server 10.10
  • OS X Mavericks 10.9
  • OS X Mavericks Server 10.9
  • OS X Mountain Lion 10.8
  • OS X Mountain Lion Server 10.8
  • OS X Lion 10.7
  • OS X Lion Server 10.7
  • OS X Snow Leopard 10.6
  • OS X Snow Leopard Server 10.6
  • OS X Leopard 10.5
  • OS X Leopard Server 10.5
  • OS X Tiger 10.4
  • OS X Tiger Server 10.4
  • OS X Panther 10.3
  • OS X Panther Server 10.3
  • CentOS 7
  • CentOS 6.5
  • CentOS 6.4
  • Red Hat Enterprise Linux 7
  • Debian 7.6
  • Ubuntu Server 14.04
  • SUSE 11 Enterprise Server 11 SP3
  • SUSE 11 Enterprise Server 11 SP2

Produsele Retrospect sunt disponibile în România prin distribuitorul autorizat Romsym Data (www.romsym.ro)

605

Untitled-1

Arhitectura integrată Cisco îmbunătățește major viteza de detectare a breșelor și incidentelor de securitate. Conform Security Capabilities Benchmark Study 2015, soluțiile Cisco permit reducerea timpului de detecție a unui atac până la 17,5 ore.

„Există două tipuri de organizaţii: cele care s-au confruntat cu incidente de securitate și cele care încă nu știu că acest lucru li s-a întâmplat și lor”, declara John Chambers, ex-președinte executiv al Cisco, la Forumul Economic Mondial de la Davos din 2015. Verdictul fostului CEO Cisco se bazează pe date reale: la momentul actual, 54% din breșele de securitate nu sunt detectate în timp util, iar companiilor le sunt necesare între 100 și 200 de zile pentru depistarea incidentelor cu care s-au confruntat deja. Și totuși, deși investesc continuu în soluţii (o companie de dimensiuni mijlocii deţine, în medie, 40 de produse de securitate de la varii vendori), organizaţiile nu reușesc să atingă nivelul de protecţie dorit. Motivele: atacurile cresc continuu în frecvenţă, diversitate și nivel de sofisticare, iar numeroasele soluţii deţinute sunt dificil de gestionat, au un grad redus de interoperabilitate, oferă vizibilitate limitată și necesită specialiști cu competenţe avansate pentru a le personaliza astfel încât să răspundă nevoilor organizaţiilor.

Modelul integrat Cisco
Cisco abordează aceste provocări dintr-o altă perspectivă – un model care propune abordarea integrată a tuturor etapelor unui incident de securitate:

Înainte: Organizaţiile au nevoie să știe ce trebuie să protejeze (device-uri, sisteme de operare, aplicaţii, echipamente de reţea, categorii de utilizatori etc.), pentru a stabili reguli și politici de securitate bazate pe nevoi și situaţii reale și a le aplica eficient.

În perioada atacului: Când atacurile penetrează sistemul de securitate, companiile trebuie să poată detecta incidentul, să blocheze rapid ameninţarea și să remedieze problema.

După atac: Inevitabil, unele atacuri au succes, iar companiile trebuie să poată determina rapid scopul atacurilor, anvergura lor și echipamentele și aplicaţiile compromise și să aibă soluţii de limitare a pagubelor și revenire la parametrii normali. Arhitectura de securitate Cisco se bazează pe soluţii și produse mature, integrate unitar, ceea ce permite:
– reducerea gradului de eterogenitate a infrastructurii de securitate;
– soluţionarea problemelor de incompatibilitate;
– îmbunătăţirea nivelului de interoperabilitate;
– creșterea vitezei de reacţie;
– blocarea în faza incipientă și eliminarea a ameninţărilor;
– reducerea efortului si costurilor de management al securităţii.
Sunt câștiguri care îmbunătăţesc și consolidează capacitatea companiilor de a face ameninţărilor.
ISE, pilonul arhitecturii Cisco

Elementul central al arhitecturii Cisco este Identity Services Engine (ISE), platforma de management centralizat al politicilor de securitate care automatizează aplicarea contextuală a regulilor de acces la resursele din reţea. ISE furnizează vizibilitate sporită, accelerând identificarea, stoparea și eliminarea ameninţărilor, şi este ușor de personalizat.

Cisco ISE integrează sisteme de autentificare și autorizare și unelte de control al accesului la resurse – atât al utilizatorilor interni, cât și al celor externi (guest). Platforma stabilește identitatea, locaţia și istoricul accesărilor reţelei pentru fiecare user, nivelul de autorizare al acestuia și gradul de conformitate al echipamentului utilizat cu politicile de securitate și permite accesul la date, aplicaţii și servicii în funcţie de categoriile de utilizatori și drepturile lor, tip de device etc.

Prin intermediul ISE Posture Agent, platforma monitorizează și controlează nivelul de securitate al fiecărui device care accesează reţeaua, asigurându-se că acesta respectă standardele definite. Platforma verifică securitatea echipamentelor utilizatorilor, certificându-le sau, în cazul în care nu respectă normele, blocându-le accesul (device-ul e trecut în carantină până când situaţia e remediată).

ISE simplifică managementul produselor provenind de la varii vendori prin intermediul ecosistemului de parteneri pxGrid, care pot partaja soluţii telemetrice de securitate și investiga rapid ameninţările pe baza datelor contextuale. Platforma oferă suport avansat pentru integrarea cu Active Directory și asigură gestionarea eficientă a utilizatorilor mobili.

Cisco ISE este o platformă scalabilă și flexibilă, care suportă un număr extins de scenarii de dezvoltare – de la companii mici și mijlocii, până la «large enterprise » și arhitecturi distribuite – și oferă posibilităţi avansate de customizare.
Protecție avansată împotriva amenințărilor

Un alt element de bază al arhitecturii Cisco îl reprezintă firewall-urile de nouă generaţie (NGFW) ASA cu FirePOWER Services, care furnizează vizibilitate granulară asupra aplicaţiilor ce rulează în reţea și asupra vulnerabilităţilor și ameninţărilor cu care se confruntă organizaţiile, asigurând protecţie superioară.

Cisco ASA depistează tipurile de vulnerabilităţi ale aplicaţiilor și echipamentelor, propunând și/sau aplicând automat, la nivel de configuraţii, reguli și metode de remediere. Prin corelarea vulnerabilităţilor din reţea și a ameninţărilor detectate, soluţia Cisco poate determina amplitudinea unui incident și identifică rapid măsurile de limitare și soluţionare.

Cisco ASA utilizează sisteme de acces securizat al reţelelor VPN, NGIPS (Next Generation Intrusion Prevention System), unelte de filtrare URL și DNS (Security Intelligence IP Address Reputation permite filtrarea conexiunilor pe baza analizelor Web Reputation) și are capabilităţi superioare în zona Advanced Malware Protection (AMP).

Cisco ASA integrează soluţia AMP ThreatGrid care asigură protecţia împotriva noilor generaţii de ameninţări avansate persistente (Ransomware, Ghostware, Two-Faced Malware etc.), ce utilizează tehnici de disimulare, trafic criptat etc. Soluţia AMP monitorizează continuu device-urile utilizatorilor și echipamentele de reţea, precum și traficul (Wired, Wireless si/sau VPN) și activitatea fișierelor. În cazul depistării unei evoluţii ce se încadrează în categoria «ameninţare», soluţia emite o alertă și realizează automat o analiză retrospectivă pentru identificarea sursei ameninţării, a riscurilor generate și a potenţialelor ţinte. Analiza este scalabilă putând fi extinsă la puncte finale, device-uri mobile, sisteme virtuale și echipamente dedicate securităţii Web și email.

Funcţionalităţile de tip File Trajectory depistează rapid când și ce utilizator, aplicaţie și/sau echipament a accesat un fișier-ameninţare, iar File Retrospection stabilește când și cine a accesat un fișier considerat neutru iniţial și ulterior identificat ca ameninţare. Odată decelată o ameninţare, aplicaţia emite o alertă și/sau pune automat în carantină fișierul și/sau echipamentul infectat, până la finalizarea operaţiunilor de remediere a problemei.

Cisco ASA cu FirePOWER Services furnizează informaţii acţionabile, prioritizând măsurile de eliminare a vulnerabilităţilor în funcţie de gravitatea ameninţărilor.

Arhitectura integrată de securitate Cisco asigură un nivel superior de protecţie, îmbunătăţește gradul de proactivitate al companiilor, limitează efectele incidentelor de securitate și facilitează remedierea lor rapidă.

Datanet Systems, prin experiența solidă acumulată în cei 18 ani de activitate și de parteneriat la cel mai înalt nivel, este principalul partener local Cisco. Competențele extinse ale Datanet Systems, confirmate în numeroasele implementări realizate local și regional, oferă garanția unui partener capabil să livreze soluții eficiente la nevoile organizațiilor și să asigure atingerea nivelului de securitate dorit. Echipa Datanet de ingineri specializați în sisteme de securitate informatică asigură proiectarea, livrarea, punerea în funcțiune și întreținerea infrastructurii de securitate informatică, precum și instruirea de specialitate. Pentru informaţii suplimentare, vă rugăm să accesați www.datanets.ro. 

727
Bogdan Vigaru, Business Development Manager on Security, Asseco SEE România
Bogdan Vigaru, Business Development
Manager on Security, Asseco SEE România

Studiile pe tema ciber-securităţii arată o creştere per manentă a gradului de conştientizare a nevoii de securitate din partea mana gerilor executivi din companii, indiferent de mărimea acestora, reacția fiind una normală atunci când gândim că astfel de temeri cresc direct proporțional cu maturitatea proceselor organizației.

Ne aflăm așadar în situaţia în care, deşi companiile recunosc beneficiile asigurării protecţiei datelor, executivii de la nivelurile CxO depun eforturi doar în sensul incorporării problematicii securităţii în zona operaţiunilor curente, fără afectarea altor iniţiative de afaceri ale companiei. Rezultatul? Abordate într-o asemenea manieră, grijile legate de securitate limitează drastic adoptarea de concepte aliniate cu dezvoltarea tehnologică din piaţă, dar și cu nevoile tot mai crescute ale organizaţiilor, precum: cloud-computing, mobilitatea și, mai nou, evaluările analitice legate de ameninţările și atacurile informatice avansate.

„În condiţiile unei viziuni concrete asupra evoluţiei tehnologice a organizaţiilor la nivel global și local, dar mai ales particularizând aceste aspecte la propriile strategii de business, observăm o pre ocupare din ce în ce mai mare exprimată de la nivelurile de conducere către o abordare sistemică și centralizată a gestiunii riscurilor de securitate, cei mai mulţi fiind direct interesaţi de adresarea acestora pe de o parte în mod tradiţional tehnologic, dar mai ales prin extinderea procedurilor existente prin abordări noi, capabile să acopere inclusiv ameninţările avansate. Aceia care au înţeles cum se prezintă taberele de luptă din tabloul de an samblu al internetului din 2016, deja și-au aliniat strategiile în direcţia protejării resurselor de business expuse” spune Bogdan Vigaru, Business Development Manager on Security în cadrul Asseco SEE România, unul din integratorii de pe piaţa locală care pune un accent deosebit pe asigurarea securităţii datelor la nivelul clienţilor.

Mai bine de două treimi din factorii de decizie consideră problematica securităţii datelor ca pe o povară suplimentară de timp şi buget. Acesta este, poate, şi motivul pentru care mai mult de trei sferturi dintre ei consideră că sistemele IT din organizaţia lor ar ridica mai puţine probleme în viitor dacă ar proveni integral de la un singur furnizor și dacă ar fi gestionate centralizat, din console integrate, determinând astfel un trend de reducere a riscurilor. „Pentru a determina scăderea probabilităţii de producere a atacurilor informatice generice din piaţă, fiecare organizaţie ar trebui să fi rezolvat deja problema unui minim necesar pentru protecţia afacerii, fie că vorbim despre informaţii, infrastructuri, comunicaţii, dispozitive sau chiar și angajaţi. Astfel, o imagine ideală de ansamblu asupra securităţii ar trebui să conţină sisteme de protecţie la nivelul dispozitivelor endpoint, cum ar fi cele care asigură gestionarea eficientă a actualizărilor pentru acoperirea vulnerabilităţilor la care sunt expuse în special din perspectiva aplicaţiilor de sistem, de tip office şi third-party, care sunt de regulă preferatele hackerilor în atacurile informatice de tip zero-day,” spune Alexandra Duricu, Security Presales Consultant, Asseco SEE România, referindu-se la soluţiile Landesk din portofoliu. „Pe de altă parte, politicile de control al aplicaţiilor, precum și gestiunea dispozitivelor externe sau criptarea datelor reprezintă subiecte fierbinţi din categoria protecţiei la nivelul endpoint” completează ea.

Securitatea infrastructurii este în continuare un subiect de bază în construirea unui perimetru protejat în mod adecvat. Din acesta nu trebuie să lipsească sisteme cu capabilităţi de detecţie și protecţie avansată, cum ar fi sistemele NextGeneration Firewall și de prevenire a ameninţărilor avansate, cele de protecţie a aplicaţiilor web – Web Application Firewall, și mai recent cele specializate în analiză de tip antifraudă web și antifraudă mobilă. Acestea din urmă vor reprezenta un punct esenţial de control în 2016, ţinând cont de modul în care organizaţiile globale cu specific criminal se reorganizează împotriva comercianţilor online sau a instituţiilor financiare.

În ultimul an soluţiile de antifraudă web și-au dovedit eficienţa în special în cadrul instituţiilor financiare din România, unde, atacurile direcţionate începuseră să ia o amploare îngrijoratoare, iar perspectivele de pierdere financiară deveniseră alarmante. Toate sistemele de securitate clasică nu erau suficiente pentru a detecta la timp și în mod eficient aceste evenimente, așa cum arată studiile interne ale specialiștilor în securitate de la Asseco SEE România. 

516

Constientizare-Trends-No-4Realizat de Swiss Webacademy, împreună cu Inspectoratul General a Poliţiei Române, Silensec si Bitdefender evenimentul din 23 septembrie a adunat 560 de copii și adolescenţi, însoţiţi de profesorii lor. Șeful Departamentului de preventie al Poliţiei Române s-a adresat copiilor, urmat de o prezentare «taylor made» susţinută de către specialiști Bitdefender și de diferite activităţi, dintre care merită menţionat quiz-ul «Stop.Think. Connect» dotat cu premii. De asemenea, o videoconferinţă a permis adolescenţilor să aibă un dialog în direct cu Dr. Szymon Vojcik, președinte Safer Internet Polonia și gazdele sale din World Child Online Protection Congress, care a avut loc la Varșovia în aceeași zi.

În cadrul aceluiași eveniment, mai multi adulţi au participat la seara de conștientizare dedicată publicului larg, unde specialiști ITU, SRI, IGPR și analiști internaţionali au vorbit despre soluţiile de bază necesare pentru a se proteja mai ales la folosirea smartphone-ului sau la utilizarea reţelelor de internet wireless publice.

În total, 980 de elevi și 110 adulţi au învăţat care sunt cele mai periculoase capcane ale mediului digital și, mai ales, cum să se apere în mod simplu și imediat…

511
Aflaţi cum hackerii pot face ravagii și învăţaţi ce puteţi face pentru a vă proteja

Afacerile locale sau agenţiile guvernamentale sunt o parte importantă a comunităţii. Oamenii se simt în siguranţă aici. Viaţa e bună. Dar, acestea au de asemenea o parte întunecată.

Atacurile cibernetice sofisticate sunt orientate de regulă către aceste organizaţii, fie că vorbim despre întreprinderile mici și mijlocii (IMM-uri) fie despre agenţiile guvernamentale. Aceste infracţiuni nu fac întotdeauna valuri în presă, cum fac cele privind atacurile care au lovit state naţionale sau entităţi mari precum Sony, dar sunt mult mai extinse. Vestea bună? Vă puteţi proteja afacerea dumneavoastră de aceste atacuri cibernetice. Vă vom arăta cum.

Ameninţările cibernetice sunt mult mai sofisticate astăzi decât oricând, ceea ce face ca infractorii să vizeze întreprinderile mici din comunitate. Infractorii cibernetici pot fi „hacktiviști” cu agende sociale care doresc să perturbe afacerea dumneavoastră de zi cu zi sau grupări infracţionale organizate care folosesc datele financiare sau personale ale clienţilor dumneavoastră în scopuri ilicite.

În 2014, firmele mici cu venituri anuale de mai puţin de 100 milioane $ au redus cu 20% cheltuielile de securitate, în timp ce companiile mari au crescut investiţiile în securitate cu 5%.

Cyber Crime în afacerile curente

IMM-urile investesc de obicei mai puţin timp și bani în securitatea reţelei decât companiile mari. Aceasta înseamnă că sunt ţinte ușoare pentru infractorii cibernetici. Dar chiar dacă întreprinderile mici nu sunt ţintite în mod specific, atacurile automatizate scanează în mod constant în căutarea de date vulnerabile și computere neprotejate care pot fi folosite ca o resursă.

Încălcări ale securităţii la companii mari au costat în 2013, în medie, între £ 450.000 ($ 697.000) și £ 850.000 (1,3 milioane $). Pentru o afacere mică, o încălcare ar putea costa între £ 35.000 și 65.000 £. Deturnarea companiilor mai mici mai degrabă decât a entităţilor individuale mari păstrează atacatorii în anonimat, departe de mass-media și de guvern, permiţându-le să facă profituri mari de la mai multe companii compromise. În unele cazuri, întreprinderile mici nu sunt nici măcar ţinta finală. Sunt de multe ori cea mai slabă verigă într-un atac, lanţ de încredere, în care atacatorii vizeză parteneri de afaceri mai mari.

Vânzarea cu amănuntul este una dintre primele cinci industrii în ceea ce privește volumul de atacuri și tentativele de intruziuni. Chiar și organizaţiile mici și mijlocii pot stoca date valoroase, care înseamnă bani pentru băieţii răi. Și infractorii cibernetici pot viza segmente de piaţă, verticale care le permit să profite de vulnerabilităţi comune și profituri ridicate de la mai multe victime.

Actualizați-vă măsurile de protecție

În ciuda ameninţărilor care evoluează rapid, multe IMM-uri și agenţii locale sunt încă axate pe strategiile de apărare moștenite, cum ar fi un firewall simplu. Primul pas este un upgrade la firewall de ultimă generaţie NGFW sau united threat (UTM), dispozitiv care combină toate metodele de apărare existente astăzi într-un unic device, ușor de administrat și rentabil.

PRIMUL PAS

Platforma WatchGuard oferă cele mai performante metode de apărare din industrie în fiecare categorie și lucrează la viteză redusă, astfel încât să nu utilizeze la maxim performanţa reţelei chiar și cu toate motoarele de securitate pornite. WatchGuard Firebox® M200 și M300 sunt firewall-uri cu până la 218% mai rapide decât concurenţa, cu performanţă de neegalat și până la 385% mai rapide pentru inspecţia traficului criptat.

PASUL DOI

Dispozitivele de securitate sofisticate de astăzi au controale pentru a detecta diferite părţi ale unui atac, dar atacatorii pot găsi încă modalităţi de a se sustrage mecanismelor de apărare. Apărarea în profunzime umple golurile. Teoria din spate este că trebuie să creaţi mai multe straturi (sau link-uri) de apărare pentru a preveni diferite tipuri de atacuri, cu atât mai multe pentru a maximiza protecţia dumneavoastră. Cu cât un sistem de securitate are mai multe nivele cu atât complică sarcina unui atacator și reduce șansele unei breșe.

PASUL TREI

Ameninţările trebuie să fie mai întâi identificate, pentru ca apoi să fie blocate. Organizaţiile mici sunt atacate și compromise în fiecare zi, dar o treime din acestea nu își pot da seama dacă au fost atacate sau nu. În mod normal unei organizaţii mici îi ia aproape 80 de zile ca să își dea seama dacă a fost penetrată. Până realizează această problemă pagubele deja au fost produse. Aceste breșe sunt nedetectate deoarece aceste organizaţii au prea multe date de analizat și nu pot face faţă. Deoarece nu există o apărare perfectă, o metoda bună pentru creșterea securităţii este implementarea de unelte pentru identificarea ameninţărilor și blocarea acestora.Organizaţiile au nevoie de o unealtă care furnizează date despre celelalte unelte de securitate și corelează toate aceste date într-un singur incident care ajuta la detectarea și blocarea ameninţărilor complexe.

Protejarea organizațiilor mici și mijlocii

Firmele și agenţiile guvernamentale de mărime mică sau mijlocie sunt vizate de atacatori care folosesc medote sofisticate și complexe. WatchGuard furnizează apărare de nivel enterprise proiectată pentru nevoile organizaţiilor mici și mijlocii. 

752

Utilitatea platformelor informatice cu impact direct asupra activităţii instituţiilor publice, societăţilor comerciale și cetăţenilor unei ţări este vizibilă și apreciată atâta timp cât acestea sunt 100% funcţionale, fără întreruperi nedorite. Aici intervin, în primul rând, departamentele tehnice gestionare, pentru a preveni riscul disfuncţionalităţilor generate de atacuri cibernetice, erori umane sau de sistem.

Agenţia pentru Agenda Digitală a României (AADR), instituţie publică aflată în subordinea Ministerului pentru Societatea Informaţională, este cea care administrează astfel de sisteme informatice naţionale, destinate guvernării electronice, cu misiunea de a crește performanţele administraţiei publice și de a spori satisfacţia contribuabililor. Printre acestea se află Sistemul Electronic Naţional-S.E.N (www.e-guvernare.ro), Sistemul Electronic de Achiziţii Publice S.E.A.P (www.e-licitaţie.ro), Sistemul informatic pentru atribuirea electronică a autorizaţiilor de transport inter naţional rutier de marfă și pentru atribuirea electronică a traseelor naţionale din programele de transport prin serviciile judeţene și interjudeţene S.A.E.T (www.autorizatiiauto.ro) și Sistemul Naţional Electronic de Plată online cu cardul a taxelor și impozitelor locale (www.ghișeul.ro ), Punctul de contact unic electronic (www.edirect.e-guvernare.ro). Activitatea Agenţiei urmărește îndeaproape implementarea Strategiei Agenda Digitală pentru România.

Cerința tehnică

SEAP este în prezent unul dintre cele mai utilizate sisteme guvernamentale, cu peste 14,721 autorităţi publice contractante, 56,483 depunători de oferte și o valoare a procedurilor iniţiate de 345,414,166,938.49 RON în 2014. Numărul autorizaţiilor de transport internaţional de marfă a fost în 2014 de 39,714, iar cel al camioanelor înregistrate în sistem de 31,067. Valoarea plăţilor fără autentificare realizate prin SNEP s-a ridicat în același an la 21,314,817.15 RON.

În consecinţă, răspunderea echipelor tehnice însărcinate cu supervizarea sistemelor este uriașă. Pentru colectarea, depozitarea și analiza volumelor mari de date, log-uri și evenimente cu care operează zilnic, AADR a instalat de-a lungul timpului mai multe soluţii de tip SIEM, printre care Dell InTrust, HP Arcsight și AlienVault. Analizând atent activitatea acestora, s-a constatat nevoia implementării unei soluţii unificatoare, care să coreleze datele obţinute într-o interfaţă unitară și să îmbunătăţească timpii de reacţie și operativitatea ofiţerilor de securitate IT în caz de incidente.

Soluția

După auditarea performanţelor SIEM-urilor instalate, AADR a identificat soluţia de investigaţii de securitate – Smart Investigator de la Q-East Software ca fiind cea mai potrivită pentru testare în mediul informatic complex din cadrul AADR.

Smart Investigator supraveghează în prezent sistemele informatice SEN, SEAP, SAET și Ghișeul Virtual de Plăţi, fiind platforma prin care departamentul tehnic AADR gestionează mult mai rapid incidentele de securitate ivite, având acum o imagine de ansamblu completă asupra tuturor punctelor nevralgice din infrastructura de date.

„Smart Investigator este soluția de investigații de securitate care aduce un suflu nou pe piața SIEM-urilor clasice, este intuitivă și foarte ușor de utilizat de către decidenții de la toate nivelurile organizaționale. Tehnologizat corespunzător zilelor noastre, net superior ca viteză de reacție, este un instrument românesc foarte cuprinzător, care aduce rezolvare rapidă situațiilor întâmpinate zilnic de echipele noastre de securitate,”
spune Cătălin Gabriel Dumitru, Director Direcţie Dezvoltare și Suport Tehnic eGuvernare.

Smart Investigator oferă AADR atât capabilităţi de monitorizare a nivelului de securitate al propriilor sisteme, cât și de colectare a evenimentelor din SIEM-urile existente. Datele colectate sunt ordonate corect și cuprinzător în fracţiuni de secundă, chiar dacă volumul lor este imens. Acest lucru permite utilizatorului Smart Investigator să acţioneze în timp real atunci când situaţia o cere.

Având la bază o tehnologie tip No-SQL, Smart Investigator include funcţii de căutare de ultimă generaţie și filtre performante, care, prin criterii definite anterior sau ad-hoc, ajută la investigarea rapidă a incidentelor de securitate în interval de câteva secunde.

Pe baza unor algoritmi de învăţare unici, Smart Investigator analizează fluxurile colectate de date pentru a identifica tiparele normale de lucru ale proceselor, utilizatorilor și sistemelor, urmând ca, mai apoi, prin modulul de detecţie anomalii, „Anomaly Analyzer”, să scoată la lumină evenimentele anormale și să trimită alerte în timp real.

Funcţia de raportare este de asemenea o componentă esenţială a noului software de securitate IT. Smart Investigator generează instant rapoarte în acord cu ultimele standarde în domeniu: ISO 27001, COBIT, FISMA, HIPPA, PCP/DSS, SOX.

Modulele de investigaţii, monitorizare și raportare ale Smart Investigator sunt integrate într-o platformă centrală, cu o interfaţă grafică prietenoasă, extrem de intuitivă, rezultatele interogărilor fiind redate prin grafice complexe și arbori decizionali ușor de interpretat:

„Mai simplu de atât nu se poate. Cu Smart Investigator, intuitiv e cuvântul cheie. Ajungi la informația dorită mult mai ușor, ceea ce îți lasă mai mult timp pentru investigații amănunțite. În acest mod, scoți la suprafață vulnerabilități greu de identificat altfel. Simplifică foarte mult munca specialiștilor noștri în securitate. Pot spune că, în acest moment, avem tehnologia completă pentru a nu fi luați prin surprindere de anumite evenimente” adaugă Cătălin Gabriel Dumitru.

Pe parcursul sesiunilor de testare ale soluţiei Smart Investigator, echipa Q-East Software a lucrat îndeaproape cu experţii în securitate din cadrul AADR, pentru a implementa funcţionalităţi noi și cerinţe de conformitate cu infrastructura AADR, exigenţele tehnice ale Agenţiei aducând soluţia Smart Investigator la un nivel de performanţă crescut.

„Smart Investigator este dezvoltat de o echipă tânără de informaticieni din cadrul Q-East Software și beneficiază de întregul suport tehnic și logistic al companiei, care este la ora actuală un model de servicii în piață, ceea  ce înseamnă management al resurselor, flexibilitate și tehnologie de ultimă generație. Ne ajută să economisim bani și timp, dar mai presus de acest aspect, este pur și simplu genial. Putem evalua genialitatea unui soft pe un volum foarte mare de date, aceasta fiind realitatea informatică a zilelor noastre. Iar Smart Investigator face față cu brio unor volume impresionante de date,” menţionează Cătălin Gabriel Dumitru.

Smart Investigator este la ora actuală o premierăîn industria IT, fiind singura soluţie 100% românească multi-SIEM care reușește să îndeplinească scopuri multiple în sfera de investigaţii și analiză IT, oferind scalabilitateorizontală nelimitată inclusă, fără costuri suplimentare.

Pentru informaţii suplimentare despre soluţia Smart Investigator:
Tel./Fax: +4021 222 43 55 / 56
office@qeast.ro

EDITIE SPECIALA – INTERNET OF THINGS

1422
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1179
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2070
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1249
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1204
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1207
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...