Are you the publisher? Claim or contact us about this channel


Embed this content in your HTML

Search

Report adult content:

click to rate:

Account: (login)

More Channels


Showcase


Channel Catalog


older | 1 | .... | 198 | 199 | (Page 200) | 201 | 202 | .... | 254 | newer

    0 0

    Blog Feature Image: 

    在赛门铁克,我们无比重视自己保护全球信息安全的使命。为了确保我们的产品尽可能有效,我们依靠赛门铁克专家和安全研究社区来监视潜在的产品漏洞,使我们能够快速采取补救措施并发布相应的产品更新。根据我们的标准最佳做法,我们通过定期更新不断加强产品所提供的安全防护,并建议诺顿和企业产品客户始终及时更新他们的产品,以便尽可能获得最佳防护。

    在此案例中,我们收到了 Google Project Zero 的一位研究员发来的警示,他在审查我们的产品组合之后发现了 8 个漏洞。赛门铁克尚未在外界发现这些漏洞被利用的任何证据。更重要的是,修补程序目前已就位,而且更新也已推出,可供客户安装。 尽管许多产品都可以自动更新,但我们建议所有客户仔细阅读受影响的产品列表和安装说明,请单击此处

    要想始终比攻击者的威胁领先一步,需要有警惕性和行业范围的信息共享。我们始终致力于确保我们的产品能够消除目前最棘手的威胁,同时我们也非常感谢安全社区成员的协助。


    0 0

    The upcoming version of Android introduces a new condition so the "resetPassword" API cannot be used to reset a device’s password. The change impacts both ransomware and disinfectors.

    続きを読む

    0 0

    Cybercriminals leverage a more robust telecommunications regional infrastructure
    Twitter カードのスタイル: 
    summary

    7-1_Symantec_MATI-Solid-White_Twitter_0.png

    Bulletproof hosting services, which thrive in countries with relaxed cybercrime laws and enforcement, enable cybercriminals to stand up the infrastructure necessary to support their malicious activities. To protect against threats originating from domains hosted in these regions, CISOs have implemented blocking strategies and aligned security teams accordingly.

    The latest research findings from Symantec’s DeepSight Managed Adversary and Threat Intelligence (MATI) team, however, might influence this defensive strategy.  Symantec’s MATI team of intelligence analysts and collectors are dedicated to understanding the adversary ecosystem and in providing insightful reports on adversaries including their plans, tactics, tools, and attack campaigns to enable customers to better prepare for, identify and disrupt their activities.

    In a recent report, the team identified the following findings:

    • An increase in advertisements on Russian-language cybercrime forums for bulletproof hosting services that use servers and data centers in the Middle East and North Africa region (MENA), specifically Turkey, Lebanon, Egypt, and Iran.
    • Advertised prices for bulletproof hosting that are lower in MENA region data centers when compared to costs for similar services in other regions.
    • The number of malware samples connecting to infrastructure in Turkey, Iran, and Egypt – three countries that MATI observed being heavily advertised – for the first two quarters of 2016 surpassed identified activity in 2015.

    The increase in MENA-based bulletproof hosting parallels a rise in data center and cloud traffic growth throughout that region. According to recent global Internet studies, continued growth of traffic in the MENA region is expected to be at a rate of nearly 50% by 2019.

    What does this mean for security and technology leaders?

    As security plans are formed and resources allocated, IT leaders may want to take a look at their operations and consider the following options:

    • Include the DeepSight team’s MENA-based malicious IP addresses and domains in existing alerts, blocking policies and processes.  
    • Examine the nature of hosting organizations when seeking facilities in MENA region countries. Review the MATI team’s known nefarious MENA-based bulletproof hosting operations when entering new markets or introducing new technologies into the corporate ecosystem.
    • Ensure adequate resources are in place to understand and identify possible threats originating from the MENA region. Focus on threats that pose a risk to the confidentiality, integrity, and availability of mission-critical assets and resources.

    Stay Tuned

    Research into this emerging threat in MENA is just beginning.  Check back in the coming weeks for more on what the MATI team uncovers on bulletproof hosting in MENA countries.

    Get More Insights

    To learn more, visit the DeepSight Adversary Intelligence page to download a sample intelligence report and understand how we develop insights into changes in the threat environment.  

    Also, visit us at booth #523 on August 3rd and 4th at the Black Hat Conference.


    0 0

    Civic 50 List Recognizes Symantec for Doing Well by Doing Good

    For the second year, Symantec has been named to Points of Light's Civic 50 list as being one of the most community-minded companies in America.

    Last week, I had the honor of accepting the Civic 50 award on behalf of Symantec at the National Conference on Volunteering and Service in Detroit, Michigan, convened by Points of Light. The Civic 50 is an initiative of Points of Light, an international nonprofit dedicated to engaging more people and resources in solving serious social problems through voluntary service.

    The list analyzes the community engagement programs of US companies with a revenue of $1 billion or more. Criteria for inclusion is developed in consultation with business and community engagement experts and aims to uncover how the Civic 50 leaders are moving beyond "checkbook philanthropy" to developing innovative and integrated approaches to corporate philanthropy.  The criteria is based around four dimensions – investment in community and employee engagement, integration of community engagement throughout business processes, institutionalization via policies and procedures, and impact on their business and the community.

    Civic501.png

    Criteria for the Civic 50 is broken into four key categories that analyze how companies are moving beyond "checkbook philanthropy".

    Each year, a full report is released that analyzes trends in corporate philanthropy and best practices across each of the four dimensions. This year's report shows that companies are increasingly finding value in connecting their philanthropy programs with corporate goals, that they are adopting the policies, systems and incentives to support community engagement, they are recognizing the benefits of skills-based volunteering that leverages corporate talent to create impact, and that measurement rooted in defined performance metrics is key to ensuring impactful community engagement programs.

    Receiving the Civic 50 award is an honor as we've worked hard to structure a community engagement program that directly aligns to our business and corporate responsibility objectives, while leveraging what we do best to maximize our business and community impact:

    • Through our software donation programphilanthropy is integrated into our core business, delivering market leading cybersecurity products and services that make our world a safer place. This program is our largest mechanism to support community organizations and at the same time we are putting our products in the hands of users who can experience first-hand the benefit and quality of our offerings.
    • 74% of the Civic 50 list used community engagement to support their diversity and inclusion goals[1], a direct benefit we see here at Symantec.  Cecily Joseph, our VP of Corporate Responsibility and Chief Diversity Officer recently discussed in an article for The Conference Board, how at Symantec philanthropic investments are a powerful tool for translating the company's diversity strategy into tangible results.
    • Through philanthropic partnerships with nonprofits such as Science Buddies, Boys & Girls Clubs of America and AAUW Tech Trek, as well as the development of our flagship SC3 program, we are closing in on our 2020 STEM goal to excite, engage and educate 1 million students in science, technology, engineering and mathematics (STEM) education.
    • Through our Matching Grants, Dollars for Doers and Take 5 programs, as well as our Green Teams and employee resource groups (ERGs), we have developed multiple policies and channels that enable our employees to invest their time and skills to giving back to their communities and emphasize that philanthropy is a way of life at Symantec. 
    • Our long-term and short-term goals, backed by data management systems such as Symantec’s Giving Station, ensure we have the systems in place to monitor and measure the impact of our program and ensure we are moving closer to our 2020 goal to complete an average of four volunteer hours per employee.

    All of this is not easy, but it's well worth the work.

    The Civic 50 recognition is a direct result of the leadership and actions of our internal network of CR champions, community relations committees, Green Teams, and ERGs – these groups take our high-level corporate responsibility strategy and translate it into relevant local partnerships and programs.

    We’re proud to be included on this prestigious list, highlighted among market leaders who are challenging the corporate world to rethink how value creation for business and society go hand in hand.

    Lora Phillips is Symantec’s Director, Corporate Responsibility 


    0 0

    Android の次期バージョンでは、"resetPassword" API を使ってデバイスのパスワードをリセットできないという新しい制限が導入されます。この更新はランサムウェアだけでなく駆除ツールにも影響します。

    続きを読む

    0 0

    即将到来的安卓新操作系统采用了一种新方法,使"resetPassword"应用程序接口(API)无法用来重置设备密码。该变化对恶意软件和杀毒软件均带来了一定的影响。

    続きを読む

    0 0

    New Capabilities Eliminate Security Blind Spots

    As our jobs demand more collaboration with customers, partners and suppliers outside of our organizations, security teams are working harder than ever to secure an exponentially growing number of interconnected devices and applications, and keep sensitive data from slipping through the cracks. 

    The DLP team at Symantec is passionate about helping companies protect their most valuable and sensitive information from falling into the wrong hands. The new version of Data Loss Prevention 14.5 adds over twenty new data discovery, monitoring and protection capabilities to eliminate blind spots and give security teams better visibility and control over sensitive data. Read on to learn more!

    Minimize Your Cloud Security Risks                                                       

    During the past year, we’ve introduced new cloud discovery and monitoring capabilities for Box, Gmail for Work and Microsoft Office 365 Exchange Online. DLP 14.5 expands those capabilities so you can store and share data in the cloud even more securely.

    With DLP Cloud Storage, you can track sensitive documents that users are storing and sharing on Box, and identifies risky practices such as using shared links which could give open access to unauthorized users. When users violate a policy, you can automatically move exposed files and folders a protected quarantine folder on Box and leave behind a marker file in its place to notify users by leveraging the new File Quarantine feature of DLP Cloud Storage. Not only can you secure unprotected files, but also visually tag files to alert users to self-remediate sensitive files and folders.

    Box Screenshot.jpg

    Along with the release of DLP 14.5, we’ve rolled out an update to our DLP Cloud Service for Email. The DLP Cloud Service for Email is a cloud-powered data detection service that provides powerful email monitoring for Gmail for Work, Microsoft Exchange Online, and now your on-premises Microsoft Exchange Server, and can be easily plugged into your existing DLP Enforce Management Server. It protects your corporate email regardless of whether it’s hosted in a conventional on-premise email application, public or private cloud email service, or a hybrid mix of on-premise and cloud environments.

    Cloud Email Screenshot A.png

    Spot PII in Imaged Form Documents

    Tax returns, insurance claims, patient forms are rife with personally identifiable information (PII) that goes undiscovered because forms are often stored as imaged documents that aren’t easily recognized by security tools. With DLP Form Recognition, you can spot sensitive data in images of handwritten and typed forms. Form Recognition is a new type of content detection technology that leverages intelligent image processing to catch and stop confidential data that would otherwise go undetected in scanned or photographed forms.

    Form Recognition.png

    Control Data in Use Across More Apps, Files and Platforms  

    Employees have limited knowledge of the cybersecurity risks they face both inside and outside the enterprise firewall. With the DLPEndpoint Agent, you can keep them safe wherever they work by monitoring and protecting data in use across a wide range of activities such as downloading to removable storage; copying and pasting within documents; and sending over the web. In this release, we’ve added endpoint coverage for new apps, file types and operating systems routinely used by employees to store and share sensitive data:

    • Mac OS 10.11
    • Microsoft Office 2016 file types
    • Microsoft Outlook 2011 email client
    • Box for Office and Box Sync applications
    • Chrome, Firefox and Safari browsers (via HTTP and HTTPS)
    • Cisco Jabber and Skype for Business instant messaging clients
    • Skype instant messaging client                                                              

    Guard Dangerous SSL Blind Spots 

    With more and more applications encrypting their traffic to protect users from prying eyes, you lose visibility into sensitive content that company insiders are unwittingly leaking or knowingly concealing under the cover of encrypted protocols like SSL. In DLP 14.5, we’ve added new SSL monitoring capabilities for web, email, FTP and IM communications by leveraging integrations between DLP Network Monitor and these leading SSL decryption products: Blue Coat SSL Visibility and Palo Alto Networks Next Generation Firewalls.

    Learn More

    To learn more about what’s new in the latest version of Data Loss Prevention 14.5 visit go.symantec.com/dlp


    0 0

    セキュリティ体制を強化するための 6 つのベストプラクティス
    Blog Feature Image: 

    Symantec_ShortageOfProfessionals_Blog.png

    サイバー世界が急減に進化するなか、敵も潤沢な資金を背景に、動きを速めています。攻撃はますます高度になり、検出にかかる時間も長くなってきました。にもかかわらず、予算には上限があり、社内のリソースも不足しがちです。サイバーセキュリティに関するニーズの急増に対応できる専門家の数が足りない、と回答した企業は、実に 86% にものぼります[1]。こうした問題を中心に、CISO(最高情報セキュリティ責任者)は疑問をかかえ、答えを求めています。

    シマンテックは、10 年以上にわたって、セキュリティ運用におけるギャップを埋めようとする経営幹部陣をお手伝いしてきました。その世界的な取り組みを通じて、現在の市場を左右するトレンド、各社の今後のセキュリティ計画に影響を及ぼしそうなトレンドが明らかになりつつあります。ここでは、セキュリティ体制の強化に最適な方法を決める際に考慮したい 6 つの点を挙げてみましょう。

    • 脅威の環境が成熟するほど、規制の順守は煩雑になります。テクノロジの発達と、脅威を取りまく世界の爆発的な拡大によって、既存の規制を順守することは、いよいよもって難しくなってきました。PCI DSS や ISO 27001、SOX をはじめとする数多くの規定で、一貫した監督と報告が義務付けられています。これほど目まぐるしく変わる要求を把握するための時間、人材、予算を確保しようとすれば、その費用と手間は膨大になるでしょう。専門家の助力を仰ぐことが必須になります。そのプロセスを簡略にし、コンプライアンスの詳細を運用するうえで有用なのが、マネージドセキュリティサービスプロバイダー(MSSP)です。また、ISO 27001 認証などの資格認定、PCI サービスプロバイダーとしてのコンプライアンス、あるいは社内・社外の監査人による報告および立証の証明を求める SSAE16/SOC1 Type II などを毎年遅れずに更新する際にも、MSSP がお役に立ちます。

    • IT のクラウドへの移行には多額が投じられています。したがって、セキュリティ計画も歩調を合わせなければなりません。最近になって築き上げた堅牢なセキュリティインフラストラクチャを危険にさらさないようにしてください。データとアプリケーションがデータセンターにある場合でも、それ以外にある場合でも、同じレベルの保護を確保しましょう。MSSP は、クラウドでもオンプレミスでも、アプリケーションインフラストラクチャに同じレベルのセキュリティ監視を提供します。

    • 高度な検出技術が、新しいリスクの回避につながります。一部の脅威は、後に残された痕跡そのものから誤認になることもありますが、実際にインシデントである可能性も否定できません。セキュリティ製品の多くは可視性に限界があります。脅威の一部しか確認できず、全体のパターンを見逃すことになるので、結果的に脅威を未検知のまま通過させてしまいます。だからこそ、MSSP がマシンラーニングなどの高度な解析機能を実装し、制御ポイントで見逃されかねないインシデントの可能性を識別できることが不可欠なのです。同じ理由で、MSSP の SOC(セキュリティオペレーションセンター)担当者は各社の業種と業務に専門的に精通していなければなりません。アラートを正しい文脈で理解し、組織に対して想定される影響の全体像を描き出して、場合によってはインシデント調査を新たに開始できるからです。

    • 既存のセキュリティインフラストラクチャの価値は変わりません。この何年間か、予算のほとんどはセキュリティインフラストラクチャの構築と業務のサポートに費やされてきました。しかし、脅威が発展し続け、人材が手薄になった今、何らかの支援が必要です。時間をかけて企業の経営フレームワークを理解し、一緒になって致命的なギャップを埋めてくれるのが、MSSP です。MSSP は、既存のワークフローに統合されるセキュリティ監視計画を立案し、アセットを補って、セキュリティ体制を確実に強化します。

    • プロアクティブ(能動的)な対応で備えましょう。脅威の発見には時間がかかるようになり、修復に要する費用もかさむようになってきました。そのため、企業に対する影響は大きくなるばかりです。今や、セキュリティ侵害や危殆化を特定できれば十分という時代ではなくなりました。データや金銭を失う危険性があまりに大きくなりすぎたため、悪質な事件が発生するまで受身でいることはできません。起きそうなことに対しては、売上や評判に悪影響が出るよりはるか以前から備えている必要があります。MSSP は、あなたの会社の外で起きていること――業界のことかもしれませんし、地域のことかもしれません――も詳しく知っています。その知識の根源は、全世界の何百万というエンドポイントを利用する膨大な情報収集ネットワークです。そこからのアウトプットにより、同類の組織でこれまでに発生した IoC(侵害指標)や攻撃に関する最新の情報が次々ともたらされるため、人材と技術を配置して、切迫した脅威に対処することができます。

    • 今日のサイバー脅威に対抗するうえで、人間の知性に代わるものはありません。被害が確認されている脅威を特定し、ネットワークやサーバー、エンドポイントで明らかになった IP アドレス、ドメイン、ハッシュに技術的な指標を関連付けてくれるのは、テクノロジです。しかし、熟練のセキュリティアナリストによる人的なインプットに由来する、豊富なコンテキスト情報の代わりになるものはありません。そうしたアナリストは、脅威の検出、GIAC(Global Information AssuranceCertification)の詳細と認定、あるいは政府またはインテリジェンス団体の詳細やトレーニングに特化しているからです。MSSP は、全世界に複数の SOC を有し、各地の言語でサポートに当たるとともに、企業や業種、地理に関する知識を備えたアナリストやサービスチームを擁しています。各企業に固有の技術と文脈とを結び付けるには、こうした種類のサービスが欠かせません。

    詳しい情報: Symantec™ Managed Security Services(MSS)は、企業のセキュリティ運用チームの延長として機能します。シマンテックは、Gartner レポートの MSSP カテゴリで 12 年間連続して、業界リーダーと認められています。シマンテックは、お客様が戦略的な重要事項に専念できるように、お客様と一緒になって現在のチームをサポートし、サイバーセキュリティサービスを通じて、サイバーセキュリティ上の幅広い難題に対処します。シマンテックの製品スイートには、DeepSight による脅威インテリジェンス、マネージドセキュリティサービス、インシデントレスポンス、サイバースキル開発がそろっています。

    [1] ISACA, CyberSecurity Nexus

    【参考訳】


    0 0

    Our latest intelligence reveals nearly a 30 percentage point drop in web attacks using Angler and a 20 percentage point increase in Manual Sharing social media scams.

    続きを読む

    0 0

    Symantec's Scott Parker shares insights into CISSP certification and the reward of volunteering

    20160513-CISSP-Scott.jpg

    Certified Information Systems Security Professional (CISSP) is an independent information security certification governed by the International Information Systems Security Certification Consortium (ISC2). CISSP was the first credential in the field of information security to meet the stringent requirements of ISO/IEC Standard 17024. Not only is the CISSP an objective measure of excellence, but also a globally recognized standard of achievement.

    Symantec continues to encourage our employees to achieve CISSP certification and ISSA membership/fellowship as they demonstrate to our customers that we are committed and qualified to advise them on their information security programs.

    It’s been 15 years since I took the CISSP test and I continue to see new CISSP achievers recognized within Symantec. This is great to see. As a global leader in information security, at Symantec we must ensure we are continually developing our skills to offer the best in information security to our customers.

    This new knowledge and professional accreditation is extremely valuable beyond our company walls. For example, as an information security professional I find huge fulfillment in leveraging my CISSP certification to contribute to the InfoSec community.

    There are numerous ways to do this  – giving back to the public or mentoring those just beginning their InfoSec journeys.

    For example, national and local security associations such as ISSA and (ISC)2 need active members and volunteers.  Don’t just join – participate – attend meetings, present at meetings and network with your peers. Be proud of your certification and know that people will listen to your knowledge and insights.  

    You may also consider joining the Board of Directors of your local information security association (e.g. ISSA, ISC2, others). Thought leaders are also needed and sought after. ISSA has a Fellow Program that recognizes sustained membership and contributions to the profession. This is beneficial for all as you also become recognized as an industry thought leader, building people's knowledge and building your personal credentials.

    Mentoring is another great example that is very much needed and one that I have personally found very rewarding. The InfoSec leaders of tomorrow are starting at a younger age and are hungry for guidance.

    This is not to say you must be CISSP-certified to make a difference in the InfoSec community. For example, at Symantec we have a multitude of options for employees to give back. For example, we have virtual mentoring programs through Career Village, and our Online Safety in the Community program provides instant lessons to Symantec employees who wish to visit classrooms in their community to help kids and parents become safe cyber citizens. Additionally, through our Dollars for Doers program, employees who volunteer may qualify grants and Symantec will donate $15 for every hour of volunteer service up to $1,000 per employee each calendar year.

    As the largest and greatest security company we must do our part to support the information security community and make an impact in the communities of our customers.

    In closing a congratulations to all CISSPs within and outside of Symantec. I urge you think beyond your certification, about how this new achievement can be further applied to support others in the InfoSec community – current professionals or future ones. 

    Please contact me if you would like to know more about CISSP or how you can make a difference in the security arena.

    Scott Parker is Symantec’s Principal Systems Engineer and ISSA Distinguished Fellow


    0 0

    シマンテックの最新インテリジェンスによると、Angler を使う Web 攻撃の比率が 30 ポイント近く減少し、人の手による共有を利用するソーシャルメディア詐欺が 20 ポイント上昇しました。

    続きを読む

    0 0
  • 07/10/16--17:46: 2016年6月最新情报
  • 我们的最新情报表明, 使用Angler的网络攻击将近下降了三十个百分点,而人工共享型社交媒体诈骗则增长了二十个百分点。

    続きを読む

    0 0

    增强安全状态的六个最佳方法
    Blog Feature Image: 

    Symantec_ShortageOfProfessionals_Blog.png

    在这个不断演化的网络环境中,网络攻击者资金充足,其攻击速度变得更快,攻击方式也变得更为专业,而我们检测所用之时间却变得越来越长。而且,我们还面临着预算受限和资源匮乏的问题。此外,86%的公司声称没有足够的专业人士以满足日益增长的网络安全需要。[1]随着这些问题成为焦点,首席信息安全官(CISO)们正试图寻找问题所在及正确答案。

    在这十多年中,赛门铁克一直协助公司高管们填补相关网络安全操作知识上的空缺。通过在全球范围内的工作,我们正改变着网络安全市场,并必定对您今后的网络安全规划带来一定影响。以下是您在加强安全状态时应考虑的六个事项。

    • 随着网络环境之威胁愈演愈烈,相关法规的遵守变得越加复杂。技术发展和爆发性网络威胁使现有法规的遵守变得越来越具有挑战性。无论是PCI DSS、 ISO 27001,SOX,还是很多其它规范,均要求统一监督和报告标准。您需要寻找时间、资源和资金以满足这些不断变化的需求,这个工作可能即费时费力又纷繁复杂。因此,获取专业性帮助对于您来说至关重要。安全管理服务供应商(MSSP)可帮助您简化程序,管理合规细节,获取相关认证的最新信息,比如ISO 27001认证(PCI 服务供应商遵守之规则),SSAE16/SOC1 类型 II(公司内部和外部审计师一年对认证进行多次报告和证实)。  

    • IT系统迁移到云架构将花费大量资金。因此,网络安全规划应保持一致。不要将您在近几年中获得的坚固的网络安全基础设施毁于一旦。无论您的数据和应用程序寄是否储存在您的数据中心,您都应确保对其采用相同等级之保护。安全管理服务供应商应有能力为您的云系统和本地应用基础设施提供相同级别的安全检测服务。

    • 先进的检测技术科阻止新风险。一些威胁留下的踪迹可能是假相,但这可能实际上代表着一种偶发事件。很多网络安全产品检测威胁之能力有限,仅检测部分而漏掉全局,而未能检测到威胁。您的安全管理服务供应商务必拥有先进的分析能力(如机器学习),从而识别检查点所漏掉的潜在偶发事件。因此,安全管理服务供应商的SOC人员应努力了解业界情况,从而结合实际环境以查看危险警报,掌握机构所面临的潜在影响,并对新事件进行调查。

    • 您现有的网络安全设施仍具有价值。在过去的几年中,您可能利用大部分预算搭建网络安全基础设施,从而为你的业务提供支持。但是,网络威胁日益增长,而相关人才却非常稀缺。您需要帮助!您的安全管理服务供应商应花时间去了解您的运行框架,并与您一道弥补相关的关键差距。您的安全管理服务供应商应能够帮助您制定安全检测规划,将此规划整合如您现有的工作流程之中,从而补充资产并强化网络安全水准。

    • 积极主动才能有备无患。察觉威胁所需之时间越来越长,修补所需之费用也越来越高。因此,威胁给公司业务带来的影响也随之增大。光识别相关违约或破坏问题就可一劳永逸的日子已一去不返。恶意事件非常可能导致数据或资金丢失。您必须在资金或声誉受影响之前对可能发生的事件做好准备。您的安全管理服务供应商应深度了解公司外(行业或地区内)所发生的事情。  这种知识应来自于庞大的信息收集网络,而该网络从全世界数百万的端点收集相关信息。您可持续在信息收集网络获取有关类似机构所发生的输入/输出控制和网络攻击的情报。这样,您便可部署人员和技术以处理任何即将到来的网络威胁。

    • 在当今对抗网络威胁的战争中,人类智能无可代替。相关技术可通过隐藏在网络、服务器或端点中的IP地址、域或散列,以帮助我们识别网络中的威胁和相关技术指标。但是,经验丰富的网络安全分析师(专门寻找网络威胁,通过GIAC y和z认证或GIAC z认证,或接收过政府或情报机构的培训)人工提供的内容丰富的网络环境信息无可取代。您的安全管理服务供应商应拥有多个国际安全运营中心(SOC),并配有分析师和服务团队。上述人员应能够提供本地语言支持,以及机构、行业和地理情况上的专有知识。若想针对您的业务在技术和网络环境间搭建桥梁,则完成上述之工作至关重要。

    了解更多相关信息:  赛门铁克™ 安全管理服务(MSS)可扩展网络安全运营团队的能力。总所周知,我们作为业界领袖连续12年在高德纳安全管理服务商排行榜中独占首位。我们愿与您共同合作,对您当前网络安全运营团队之能力进行扩展和补充。这样,您便可以将重心转移至有关战略日程的重要事项。通过我们的网络安全服务,我们可帮助您解决各种网络安全问题。我们的服务套餐包括威胁情报深入分析、安全管理服务,事件响应和网络技能发展。

    [1]来自于国际信息系统审计协会( ISACA)编写的《 网络安全关系》


    0 0

    組織のサイバー攻撃耐性を強化し、闘いに備えるための 7 つのベストプラクティスをご紹介します。
    Blog Feature Image: 

    「敵を知り己(おのれ)を知れば百戦殆(あや)うからず。彼を知らずして己を知るは一勝一負す。敵を知らず己を知らざれば戦う毎に殆うし」―孫子

    孫子の言葉は、現代でもそのまま当てはまります。敵を知ったうえで、おのれの強みと弱点を自覚できる組織こそが、これからのサイバーセキュリティ戦争を高い確率で勝ち抜くことになります。攻撃されるのを座して待つことなくセキュリティ体制を強化し、攻撃者に対して先手を取りましょう。

    組織のサイバー攻撃耐性を強化し、闘いに備えるには、どんな対策があるのでしょうか。シマンテックは、2016 年版『インターネットセキュリティ脅威レポート』(ISTR)に掲載されたベストプラクティスに基づいて、サイバーセキュリティ戦術のチェックリストを作成しました。ISTR は、世界的なマルウェアの活動について概要と解析をご報告している年次レポートです。 

    ccs-checklist1-JA.png

    1. 社内ネットワークで許可されるデバイスすべてについて、適切なセキュリティ保護を確保する。
      アクティブな監視と設定管理で、企業ネットワークに接続されるデバイスのインベントリを常に最新に保ちます。該当するのは、サーバー、ワークステーション、ラップトップ、リモートデバイスなどです。
       
    2. リムーバブルメディアに関するポリシーを導入する。
      現実的であれば、外付けのポータブルハードディスクその他のリムーバブルメディアなど、許可されていないデバイスを制限します。こうしたデバイスは、故意か不慮かにかかわらず、マルウェアの侵入や知的財産の漏えいの原因になるからです。外部メディアデバイスを許可する場合は、ネットワークに接続する際に自動的にウイルススキャンを実行してください。また、暗号化されていない外部ストレージデバイスに機密データがコピーされないように、データ漏えい防止(DLP)のソリューションを使った監視と制限を行いましょう。
       
    3. アップデートとパッチの適用を積極的に行う。
      安全でなくなった古いバージョンのブラウザやそのプラグイン、アプリケーションをアップデートし、パッチを適用します。これはオペレーティングシステム(OS)についても当てはまりますが、コンピュータの OS だけではなくモバイル、ICS、IoT デバイスの OS でも同様です。ウイルス定義と侵入防止定義も、ベンダーの自動アップデート機能を使って、常に最新の状態に保ちます。ソフトウェアベンダーの多くは、悪用されるソフトウェア脆弱性に対してこまめにパッチを開発していますが、せっかくのパッチも現場で採用されなければ意味がありません。可能であれば、組織全体で脆弱性に備えるために、パッチの配備を自動化しましょう。
       
    4. 実効的なパスワードポリシーを実施する。
      8 ~ 10 文字以上の英字と数字を組み合わせた強力なパスワードを使いましょう。複数の Web サイトで同じパスワードを使い回さないようユーザーに注意を喚起し、他のユーザーとパスワードを共有することは禁止します。パスワードは定期的に(少なくとも 90 日ごとに)変更すべきです。
       
    5. 定期的なバックアップを利用できるようにする。
      エンドポイントなど重要なシステムについては、定期的にバックアップを作成し管理します。セキュリティあるいはデータに緊急事態が発生したとき、サービスが停止したり従業員の生産性が低下したりする時間を最小限に抑えるために、バックアップはすぐに利用できる必要があります。
       
    6. メール添付を制限する。
      ウイルスの拡散に利用されやすいファイルが添付されているメールを遮断または削除するように、メールサーバーを設定します。たとえば、.VBS、.BAT、.EXE、.PIF、.SCR などのファイルです。メールに添付を許可される PDF については、ポリシーを徹底的に吟味する必要があります。メールサーバーがセキュリティソフトウェアによって適切に保護され、メールが完全にスキャンされることを確認してください。
       
    7. 感染とインシデントに対する対応措置を確実に実施する。
    • セキュリティベンダーの連絡先情報は常に手元に置き、担当者は誰か、万一システムが感染した場合にはどんな手順をとるか把握しておきます。
    • 実際に攻撃が確認された場合や、壊滅的なデータの損失が発生した場合に、失われた、または危殆化したデータを復元できるように、バックアップと復元のソリューションを必ず導入します。
    • Web ゲートウェイによる感染後の検出機能、エンドポイントのセキュリティソリューション、およびファイアウォールを利用して、感染したシステムを特定します。
    • 感染したコンピュータを隔離して、社内で感染が広がるリスクを防ぐとともに、信頼できるバックアップメディアを使って復元します。
    • ネットワークサービスが悪質なコードその他の脅威によって悪用された場合は、パッチを適用するまでそのサービスへのアクセスを無効化するか、遮断します。

    以上のベストプラクティスを 1 つずつチェックしたら、あとはひたすらテストを繰り返します。セキュリティソリューションは常に更新されていますか。データ侵害が発生した場合に、チームがとるべき対応はわかっていますか。脅威の先手を取るには、セキュリティのテクノロジだけでなく、ソリューションを運用するチームについても常に確認を怠らないことが重要です。

    【参考訳】


    0 0
  • 07/11/16--00:43: 战术网络安全检查表
  • 机构网络提高适应能力及抵抗能力的七种最佳方法
    Blog Feature Image: 

    “知己知彼,百战不殆; 不知彼而知己,一胜一负; 不知彼,不知己,每战必殆。” 孙子(中国古代军事家)。

    孙子的话在今日仍能够使我们产生共鸣。 机构只有了解敌人和自己优缺点才能在持续不断的网络安全之战中站稳脚跟。 切勿在机构受到网络攻击后才提高对网络安全重要性的认知。 我们应对网络攻击者进行抵抗。 

    确保机构网络提高适应能力及抵抗能力的几种方法 我们的年度报告对年度全球网络威胁进行了调查和分析,因此我们依据2016 互联网安全威胁报告 (ISTR)创建了以下的战术网络安全检查表。 

    ccs-checklist1-SC.png

    1. 确保公司网络上所有设备受到充足保护。
      使用积极的监控和配置管理方式,及时更新企业网络连接设备之目录。 这些设备包括服务器、工作站、笔记本电脑和远程设备。
       
    2. 实施移动媒介使用政策。
      在可行情况下,应对未经授权之设备进行限制,比如外部便携式硬盘和其它可移动媒介。 这种设备可有意或无意地引入恶意软件,使网络攻击者能够更轻易地侵犯知识产权。 如果系统允许使用外部媒介设备,则应在设备连至网络前对其进行自动扫描,并使用数据丢失防护(DLP) 方案监控和限制他人将机密数据复制到未加密的外部存储设备之上。
       
    3. 积极更新和修补相关程序。
      更新,修补和移除过时的危险浏览器、应用程序和浏览器插件。 这种方法也适用于操作系统,且不仅适用于计算机的操,还适用于手机、因特网连接共享(ICS)和物联网(IoT)设备的操作系统。 使用供应商提供的自动升级功能,对病毒和入侵预防的定义进行及时更新。 大多数软件供应商均积极修补软件漏洞;然而,只有实地安装补丁才能起到效果。 在可行情况下,应选择自动下载补丁,从而保护机构网络免遭漏洞攻击。
       
    4. 执行有效的密码政策。
      确保密码足够强大,且至少由8-10个字母和数字混合的字符组成。 鼓励用户避免在多个网站上使用相同密码,禁止用户与他人风险密码。 应定期更改密码 — 至少每90天更改一次。
       
    5. 确保定期备份。
      定期为重要系统和各终端创建备份并进行维护。 若出现安全或数据紧急事件,则应能够轻松进行备份,从而尽可能减少服务中断时间和员工停工时间。
       
    6. 限制接收电邮附件。
      配置邮件服务器,以阻挡或删除内含常用以散布病毒的电邮附件,如.VBS、.BAT、 .EXE、 .PIF,和 .SCR文件。 企业应调查允许PDF文件作为邮件附件发送的相关政策。 使用安全软件并完全对邮件进行扫描,从而确保邮件服务器得到充分保护。
       
    7. 确保采取适当的防感染和事故响应程序。​​
    • 使自己能够轻松获取安全服务供应商的联系信息。在一个或多个系统受感染后,应知道联系哪个人及执行哪些步骤。
    • 确保实施一个适当的备份与恢复解决方案,从而在网络攻击得逞或数据灾难性丢失后对丢失或破坏的数据进行恢复。
    • 利用网络网关、终端安全解决方案和防火墙的感染后检测能力来确认受感染系统。
    • 隔离受感染计算机,防止机构网络进一步感染,之后使用受信任的备份媒介对计算机进行恢复。
    • 如果网络服务受恶意代码或其它某种恶意软件之利用,则应在补丁发布前禁用或阻止这些服务。

    执行完上述这些最佳方法后,还一定要测试、测试,再测试。 您有定期更新安全解决方案吗? 您知道您的团队在数据泄露时将如何做出响应吗? 为了防范于未然,您不仅应不断测试相关的安全技术,还应对解决方案管理团队进行考核。


    0 0

    分布式拒绝服务(DDoS)攻击和如何防止机构受此攻击的基本知识
    Blog Feature Image: 

    DDoS攻击是什么,为何担心这种攻击?

    分布式拒绝服务(DDoS)攻击使目标任务溢满,造成网络无法正常登陆。 换而言之,浏览银行、娱乐公司、报纸和电子商务门户网站的速度将放缓,或者造成系统崩溃,甚至会影响到Xbox Live(微软游戏器网络服务)。

    自2000年起,DDos攻击受到了广泛报道,其规模、数量和强度每年呈递增态势。 时间证明,这种攻击几乎无法预防,使用成本低,却能够带来持久的毁灭性后果。

    DDoS_twitter_SC.png

    《抓手腕和DDos攻击》一书中Gino Grieco 给出了这样的描述:

    “现代DDos攻击利用所谓的僵尸网络以产生大量的网络流量..……这是一种受恶意软件感染的计算机网络,黑客可利用恶意软件对其进行远程劫持。 这些受感染的计算机大部分时间表现得完全正常,除非黑客下命令让其攻击指定目标。 一旦接受命令,僵尸网络中的每台计算机将开始在指定目标处发送特定类型的互联网流量。 黑客团伙搭建僵尸网络后可更简单地利用DDoS服务进行攻击,而我们则几乎无法抵抗这种攻击。”

    虽然没有完全防止此类攻击的方法,但适当的战略计划可缓解这种影响。 因此,我们务必采用适当的行动计划,并为迎接不可避免之影响而做好准备。

    如果您认为DDoS与公司无关,或您正受到DDos攻击,或希望做出最佳知情选择以制定预防DDoS的计划,那么这篇文章很适合您。

    DDoS攻击对于谁最危险?

    像往常一样,网络攻击者出于破坏业务之目的,将目标瞄准政府、机构,甚至个人。 其动机包括黑客主义(政治抗议)、勒索、骚扰、寻求关注/炫耀和竞争优势(特别是网络游戏)。

    依据《Neustar 2015 DDoS攻击和保护报告》, 受访者表示:

    40%

    DDoS攻击对他们机构的威胁越来越大。

    32%

    每小时收入损失10万美元

    33%

    客户服务中心曾是受DDoS攻击影响的一号区域。

    85%

    多次攻击。有30%每年攻击超出10次。

    26%

    遭受失去消费者信任和品牌受损之苦。

    不同类型的DDoS

    赛门铁克全球情报网络所观察到的前五名DDoS 攻击流量

    DDoS 攻击属于ICMP洪水攻击。在这些攻击中,通常来自多个来源的大量“ping”请求同时攻击目标,直到目标过载且不再能够处理合理流量。 这些攻击常通过僵尸网络执行。

    2015年的攻击(按类型区分)

    85.7%

    通用型ICMP洪水攻击

    6.4%

    通用型TCP Syn Flood 拒绝服务攻击

    2.1%

    通用型Ping 广播 (Smurf)拒绝服务攻击

    2.0%

    通用型Teardrop/Land 拒绝服务攻击

    0.6%

    RFProwl 拒绝服务攻击

    来源: 《2016年互联网安全威胁报告》

    常见的DDoS 攻击
    最为常见的DDoS 攻击可分为三类:

    • 基于容量的攻击- 使用各种方法将带宽饱和,从而使网络流量放缓至停止,最终使服务器崩溃。 在2015年DDoS 攻击中,ICMP Flood位居首位。 其它类型的DDoS 攻击包括UDP和其它基于欺骗性数据包的洪水攻击。
    • 协议攻击 - 协议攻击目标将目标瞄准资源带宽,并能够使防火墙和负载均衡器过载。 常见的攻击方法有 SYN floods死亡之pingSmurf DDoS和分散数据包型攻击。 在2015年DDoS 攻击中,协议攻击约占8.5%。
    • 应用层攻击- 应用层攻击向服务发送“合理”请求,导致服务器崩溃。 和其它利用漏洞的攻击相比,这种攻击使用的资源较少。 这种攻击常见的攻击类型包括 DDoS 攻击、Slowloris,以及 针对Apache,、OpenBSD和Windows已知漏洞的攻击。 

    租用型僵尸网络
    据赛门铁克合作伙伴Incapsula声称,在2015年第二季度,约有40%的DDoS网络层攻击使用了租用型僵尸网络。 虽然网络罪犯可以努力感染多个易受攻击的设备以搭建自己的僵尸网络,从而执行DDos攻击,但是租用已有僵尸网络可能更为简单。

    简单有效
    ISTR 21 报告声称 ,DDoS攻击“易于搭建且难于阻止,非常有效。” DDoS攻击经常对实际目标附近的公司带来附带伤害。 一旦带宽被占满,任何由相同供应商托管的站点均可能无法访问互联网。 因此,尽管这些站点不是直接目标,但仍可能面临停机。

    DDoS最近高调攻击的几个目标有哪些?

    • 索尼 Ps游戏机常受到攻击, 索尼全球工作室总裁吉田修平说道: “实际上,每天都会发生一次攻击。 可以说天天都有。 有时攻击规模较大,有时较小。 有时黑客们设计出新的攻击方法— 这就好比猫鼠游戏一样。
    • 微软Xbox游戏机自2014年圣诞节开始被黑客多次击溃。 一小伙自称为Lizard Squad的黑客们对2014年DDoS攻击负有责任。这次攻击影响了1.6亿 Xbox和PSN用户。 另一个名为“New World Hacking”的黑客团伙对2016年2月的攻击负有责任,他们声称: “我们攻击了Xbox ,再次测试了我们的能力。 我们计划在下个月干掉ISIS的几个主要网络通道。 因此,这个时候进行测试再合适不过了。”
    • 一名黑客行为主义者在2015年新年前夜击溃了BBC 网站bbc.co.uk的所有数字化服务,包括新闻网站、应用程序和视频直播服务。 New World Hacking声称对此次目前规模最大的DDoS 攻击负责。 这个黑客团伙是一个反ISIS的黑客团伙。这次攻击是为了测试他们的攻击能力,对BBC没有任何特殊恶意。 据报道, 这次DDoS的攻击强度达到了峰值602 Gbps,且“无意地”持续了将近四个小时。 然而,这种DDoS攻击非常具有恶意。 其不只击溃了一台顶尖的DDoS缓解器,还导致数据大量泄漏。 在故障期间,Staminus客户证书、服务记录、信用卡号码和其它敏感数据等信息均被传到网上。 一个黑客团伙声称已能够控制大多数或所有Staminus的互联网路由器,并可将这些设备重置为出厂设置。
    • 汇丰银行 在2016年1月29日遭到了DDoS 大型攻击。 BBC科技新闻记者Rory Cellan-Jones在推特上说道:“汇丰银行和英国其它银行在本周遭到一系列DDoS攻击,黑客们使用了在暗网上购买的“简单但具有破坏性”的黑客工具。” 土耳其汇丰银行在2015年11月就曾受到DDoS攻击。

    DDoS后的动机是什么?

    黑客主义
    Anonymous可能是最专业和最知名的黑客团伙。 他们甚至 曾经向白宫请愿: “请将分布式拒绝服务(DDoS)定为合法的抗议手段 ,” 他们将DDoS描述为, “相当于在网页上重复按下刷新按钮 ...... 不是一群人站在建筑外来占据这个区域,而是使用其计算机占据一个网站,从而在短时间内放慢(或拒绝)特定网站的服务。”

    Anonymous 发起多次高调性攻击,唐纳德·特朗普便是该黑客团伙最近的目标。 Adam G. Klein在其文章《The Anonymous大战唐纳德·特朗普》中说道: “大多数黑客活动均有一个清晰的任务宗旨......其战术反映了社会变化的驱动力。 记者Andres Jauregui 将Anonymous的攻击方法DDoS比作是二十世纪六十年代学生运动者所采用的非暴力反抗策略: 即使用足够的人‘阻挡政府机构的过道,这种方法可有效地中断政府机构工作;使用足够流量堵塞网站也能获取相同效果。’ ”

    Anonymous 已向政府、团体、企业和机构发起具有极大破坏性的DDoS 攻击,包括:

    敲诈勒索
    黑客使用DDoS可攻击控制相关站点,从而获取大量资金。 由于租用 booter或stresser每天只需几美元,胆大妄为的网络罪犯们高调发起攻击,威胁受害者其将重复关闭其网络。

    FBI网络和反情报计划的Joseph Bonavolonta建议网络攻击受害者支付赎金,因此不法分子受到鼓舞,其甚至在他们的勒索邮件中引用这位FBI代表的建议。

    动机转移
    Arbor Networks 公司安全技术主管Gary Sockrider成, “从过往记录上看, ‘意识形态之黑客主义’通常是DDoS攻击的首要动机, 在去年才由‘虚无主义/ 故意毁坏主义’代替。 然而,今年的形势发生了改变。 越来越多的调查对象声称黑客们用DDoS攻击作为幌子,以进行恶意软件渗透及泄露数据。”

    在臭名昭著的索尼数据泄露案中,黑客在实际泄露数据以获取网络情报前的三年中就使用了DDoS攻击,同时转移资源使其免遭检测及停止渗透。 

    有竞争力的优势/炫耀权
    网络游戏是 DDoS 攻击的主要战场。 据赛门铁克的Candid Wueest声称,在网络游戏竞技期间租用几分钟DDoS攻击可创造巨大利益。

    Incapsula公司的Igal Zeifman强调炫耀权和投资回报率均是黑客的主要动机,他说: “就Lizard Squad在去年圣诞节对 PlayStation 和 Xbox 在线平台的攻击而言: 在24小时的期间内,该团伙仅在推特上就提及此事10万次以上。 随着病毒性影响散去,这些攻击像‘江南 Style’这首歌一样一夜成名。这对于所有希望通过一次DDoS爆发性攻击就能吸引注意力的网络罪犯来说是最好的投资回报。

    发起DDoS攻击的成本是多少?

    发起DDoS攻击的成本非常低,但造成的损失非常高。

    《Incapsula公司调查: DDoS 攻击究竟给企业带来怎样损失》描述,企业预计损失为每小时4万美元
    很多公司还产生了非财政类损失和无形损失,如:

    • 失去客户信任
    • 知识产权流失
    • 病毒/恶意软件感染
    • 硬件更换
    • 在DDoS为幌子的情况下发生的数据泄露及客户信息被盗。             

    发起DDoS攻击的成本到底有多便宜?

    非常便宜 — 在一天10至1,000美元之间。 攻击成本依据攻击时间,有时还依据带宽。这种攻击可轻松在网上购买。 您可以在网购平台购买看似合法的‘stresser’,这种软件本用来测试自己网站的承载能力。

    一个名为‘Foceful’的俄罗斯网络犯罪团伙对外出售 DDoS 服务

    • 每天费用 — 60美元
    • 每周费用 — 400美元
    • 500美元以上之订单价格优惠10%。
    • 1000美元以上之订单价格优惠15%。

    考虑花费这么点钱就可以造成如此大之损坏,攻击者们便更肆无忌惮了。此外,这种攻击的投资回报率非常可观。 Arbor Network公司 全球基础设施安全报告(WISR)称受害者平均损失在每分钟500美元左右,而攻击者每次攻击的平均成本才只有66美元。

    怎样规划预防DDoS攻击?

    赛门铁克研究员Candid Wueest认为很多公司或个人觉得DDoS攻击与自己无关: “攻击Sony、Xbox、 BBC News 和唐纳德·特朗普可上新闻头条,这解释得通,但是这种攻击不会发生在我的公司。”

    但事实上,如果你拥有任何规模之对外公司,或你是一名游戏发烧友,或甚至是你惹恼了不该惹的人,或信奉之观念与某人不同,那么无论你在世界任何位置,你都有可能成为攻击目标。

    做好准备: 这可能会发生在你的身上

    1. 不要指望这种攻击不会发生在自己的身上, 因为这种机会非常大。

    2. 准备预防DDoS 攻击的全盘计划

    • 考虑基础设施的情况,评估相关弱点并酌情作出相应计划。 比如,如果你拥有ISP服务器,那么可能承受的攻击时间要比自行维护服务器所承受的攻击时间要短。
    • 因此,最好与 缓解服务供应商签订一份协议。 否则,你应至少提前收集相关资料,并清楚受攻击后找谁处理问题。
    • 确保您的网站安全软件拥有提供DDoS 缓解功能。 例如赛门铁克的Complete Website Security软件添加了 Imperva Incapsula 服务。该服务提供企业级的web应用程序安全防护、DDoS 缓解、性能优化和负载均衡功能。

    3. 创建一份DDoS手册,该手册应包括以下内容:

    • ISP和缓解服务商的联系人姓名及电话。
    • 了解出现问题时如何询问ISP,以及ISP处理DDoS攻击所采用的方案。
    • 因为攻击可能持续几小时至几天,因此您应制定有关如何通知客户的沟通策略。 良好的沟通可减轻您在声誉上的损失。

    4. 购买网络保险

    • 确保您的保险能够缓解和转移网络攻击事件所带来的风险。
    • 确保您的保险能够对信息安全保护之努力做以补充

    DDoS未来发展趋势如何?

    Candid Wueest的白皮书《DDoS 攻击的持续上升》就有关环境和防止DDoS攻击的方法提出了一个综合性的观点。 他在被问及未来发展趋势时指出:

    最重要的是网络犯罪已成了一种新常态。 所报道程度的攻击或漏洞利用之成本很低,但其却能够暴露您的数据并给您带来压倒性的伤害。 您的数据肯定会因此泄露。 因此,最佳策略是对不可避免之攻击做好准备,并缓解DDoS攻击所带来的影响。

    Candid Wueest总结道: “若不做好相应准备,则请不要加快基础建设。”


    0 0

    分散サービス拒否(DDoS)攻撃の基本と、自社を保護する対策
    Blog Feature Image: 

    DDoS 攻撃とは何か、なぜ脅威なのか

    分散サービス拒否(DDoS)攻撃は、標的に膨大な量の処理を要求し、正規のトラフィックで Web サイトにアクセスできないようにする攻撃です。その結果、取引先の銀行、エンタテインメント企業、新聞、電子商取引ポータルなど、さらには Xbox Live を楽しんでいるインターネット回線までが、異常に遅くなったりクラッシュしたりします。

    DDoS 攻撃は、2000 年から広く報告されていますが、年とともに規模も数もふくらみ、手強くなっています。長年の風雪に耐えてきただけあって防止はほぼ不可能であり、安価なレンタルが可能なうえ、その影響は破壊的で長く続きます。

    DDoS_twitter_JA.png

    Wrist Grabs and DDoS Attacks(強引な DDoS 攻撃)」と題する記事で、Gino Grieco 氏は次のように解説しています。

    「最近の DDoS 攻撃は、いわゆるボットネットを利用して膨大な量のネットワークトラフィックを発生させます。ボットネットとは、悪質なソフトウェアに感染したコンピュータのネットワークのことで、ハッカーはリモートでそのコンピュータを乗っ取ることができます。感染したコンピュータは、ほとんどの時間まったく正常に動作し、通常と異なる動作をするのは、スパム送信のコマンドを受け取ったときだけです。ひとたびコマンドを受信すると、ボットネットの各コンピュータは指定された標的に対して、指定された種類のインターネットトラフィックを送信し始めます。ボットネットを構築すると、ハッカーグループがサービスに DDoS 攻撃を仕掛けるのはずっと容易になり、それを防ぐことはほぼ不可能になるのです」

    攻撃を完全に防ぐ手段はありませんが、戦略的な計画を立てれば影響を抑えることはできます。アクションプラン(実行計画)を定め、避けようのない事態に備えておくことが重要です。

    DDoS 攻撃が自社には無縁とお考えでも、あるいは今まさに DDoS 攻撃を受けて苦慮している場合や、十分な情報に基づく判断で DDoS 対策を実施したいと検討中の場合でも、今回の記事がお役に立つはずです。

    DDoS 攻撃のリスクを受けるのは誰か

    政府、企業、さらには個人も、通常の業務を阻害しようという意図の標的になります。動機は、ハックティビズム(政治的な主張)、脅迫、嫌がらせ、目立ちたがり/自慢、競争での優位(特にオンラインゲームの世界で)などです。

    Neustar 2015 DDoS Attacks and Protection Report(Neustar 社、DDoS 攻撃と保護に関するレポート、2015 年版)によると、回答は以下のとおりでした。

    40%

    自社にとって DDoS 攻撃の脅威は深刻化している

    32%

    収益の損失は 1 時間ごとに 10 万ドル以上に及ぶ

    33%

    DDoS 攻撃で影響を受ける部門のトップはカスタマーサポート

    85%

    攻撃を複数回受けた。1 年間に 10 回以上という回答も 30%

    26%

    顧客の信頼とブランドイメージが損なわれた

    DDoS の種類

    シマンテックの Global Intelligence Network(GIN)で確認された DDoS 攻撃トラフィックの上位 5 つ

    DDoS 攻撃の大多数は ICMP フラッド攻撃です。複数のソースから送られる大量の(通常は)ping 要求によって同時に 1 つの標的を攻撃し、正規のトラフィックを処理できなくなるほどの過負荷状態に至らせます。こうした攻撃が、ボットネットを通じて実行されることもよくあります。

    2015 年に見られた攻撃の種類

    85.7%

    一般的な ICMP フラッド攻撃

    6.4%

    一般的な TCP SYN フラッドサービス拒否全般

    2.1%

    一般的な Ping ブロードキャスト(Smurf)サービス拒否攻撃

    2.0%

    一般的な Teardrop/Land サービス拒否攻撃

    0.6%

    RFProwl サービス拒否攻撃

    出典:  2016年版『インターネットセキュリティ脅威レポート』

    最も一般的な DDoS 攻撃
    一般的な DDoS 攻撃は、以下の 3 つのカテゴリに分類されます。

    • ボリュームベースの攻撃 - さまざまな手段で帯域幅を飽和させ、停止するほどトラフィックを低速にして、最終的にはサーバーをクラッシュさせます。2015 年には ICMP フラッド攻撃が優勢でしたが、そのほかに、UDPその他のパケット詐称フラッド攻撃などがあります。
    • プロトコル攻撃 - 帯域幅ではなくリソースを標的にする攻撃で、ファイアウォールやロードバランサを過負荷の状態にします。これに利用される手口が SYN フラッドPing of DeathSmurf DDoS、そして断片化パケット攻撃です。プロトコル攻撃は、2015 年に確認された攻撃のうちおよそ 8.5% を占めました。
    • アプリケーション層攻撃 - アプリケーション層攻撃は、「正規の」要求を送信してサーバーをクラッシュさせます。利用するリソースは他の悪用より少なく、一般的なタイプとしては、DDoS 攻撃、Slowlorisのほか、Apache、OpenBSD、Windows の既知の脆弱性を標的とする攻撃があります。

    ボットネット貸し出し
    シマンテックのパートナーである Incapsula によれば、2015 年の第 2 四半期には、すべてのネットワーク層 DDoS 攻撃のほぼ40% にボットネット貸し出しサービスが利用されていました脆弱な複数のデバイスを感染させ、独自のボットネットを構築して DDoS 攻撃を仕掛けることもできますが、たいていは出来合いのボットネットを時間単位で借りるほうがはるかに簡単だからです。

    簡単だが効果的
    『インターネットセキュリティ脅威レポート』第 21 号によると、DDoS 攻撃は「セットアップが簡単で、阻止するのが難しく、非常に効果的」です。DDoS 攻撃は、実際の標的に近い企業にも巻き添えの被害を与えることが少なくありません。いったん帯域幅がいっぱいになってしまうと、同じプロバイダによってホストされているサイトも、インターネット上でアクセスできなくなるからです。そのため、直接は狙われていないにもかかわらず、他のサイトも停止に追い込まれる可能性があります。

    最近の目立った DDoS 攻撃

    • Sony Playstation は頻繁に標的になっている、として SCE ワールドライドスタジオのプレジデント、吉田修平氏は次のように語っています。「実のところ、攻撃は毎日起こっています。文字どおり、毎日です。日によって、件数の多い少ないはありますし、新しい手口が続くこともありますが、いたちごっこのようなものです」
    • Microsoft Xboxの Xbox Live は、2014 年のクリスマス以来たびたび停止に追い込まれています。2014 年の DDoS 攻撃では、Xbox と PSN のユーザーが最大で 1 億 6,000 万人も影響を受け、Lizard Squadと自称する小規模なハッカー集団が関与を認めました。2016 年 2 月の攻撃では、New World Hacking という別のグループが声明を出し、こう述べています。「我々は、実力のほどを見せるために再度 Xbox を攻撃した。来月には、ISIS(イスラム国)の主要なチャネルをいくつか停止させることを計画している。腕試しにはかっこうのタイミングだったようだ」
    • BBCは、2015 年の 12 月 31 日にハックティビストの攻撃を受け、ニュース、Web サイト、アプリ、ライブストリーミングなど bbc.co.uk のデジタルサービスがすべて停止しました。この DDoS 攻撃は史上最大となり、反 ISIS を掲げる New World Hackingが犯行声明を出します。自分たちの能力を試すために攻撃を仕掛けたもので、BBC に対して何らかの悪意があったわけではない、という主張でした。このときの DDoS は、ピーク時には 602 Gbps に達したと言われており、攻撃は「誤って」4 時間近くも続きました。この DDoS は特に悪質で、主要な DDoS 緩和機構が停止しただけではなく、大々的なデータ侵害も発生しています。サービスの停止中に、Staminus 社の顧客の資格情報、サポートチケット、クレジットカード番号といった重要データがオンラインに投稿されたのです。同グループは、Staminus 社のインターネットルーターをほとんど、または完全に制圧し、デバイスを工場出荷時の設定にリセットしたと声明しました。
    • HSBC は、2016 年 1 月 29 日に大規模な DDoS 攻撃を受けました。「消息筋によると、HSBC をはじめとする英国の銀行に対して今週、ダークウェブで購入された『粗雑だが破壊力の高い』ツールを使って、一連の DDoS 攻撃が発生した」と、BBC のテクノロジ担当記者 Rory Cellan-Jones 氏がツイートしています。HSBC Turkey は、これより前の 2015 年 11 月にもすでに DDoS 攻撃を受けていました。

    DDoS 攻撃を支える動機

    ハックティビズム
    最も高度に進化し、最も知名度の高いハックティビストグループといえば、おそらくアノニマスでしょう。アノニマスは、「分散サービス拒否(DDoS)を、合法的な抗議活動の一種として認めよ」という請願書までホワイトハウスに提出しています。DDoS は「Web ページで更新ボタンを何度も何度も押すことに等しい。(中略)屋外に集まった群衆が、特定の場所を占拠するのと同じように、コンピュータを使って Web サイトを占拠し、その Web サイトのサービスを短期間だけ遅くする(あるいは拒否する)だけなのだ」というわけです。

    アノニマスは、注目を引く攻撃を次々と繰り出しており、ごく最近ではドナルド・トランプ氏を標的にしています。「How Anonymous Hacked Donald Trump(アノニマスはいかにしてドナルド・トランプにハッキングを仕掛けたか)」と題する最近の記事で、Adam G. Klein 氏は、次のように述べています。「ハックティビストによる『攻撃活動』のほとんどは、明確な綱領によって裏付けられている。(中略)社会変革をめざす彼らの方向性が、その戦術に反映されている。ジャーナリストの Andres Jauregui 氏は、アノニマスが用いる手口のひとつである DDoS 攻撃を、1960 年代の学生活動家がとった市民的不服従の戦略になぞらえている。『一定以上たくさんの人で官庁の廊下をぎゅう詰めにすれば、確実に機能停止に追い込むことができる。一定以上のトラフィックを Web サイトに仕向けても、同じことが起きる』というのである」

    以下に挙げる事例のように、アノニマスは政府、グループ、企業、組織に対して壊滅的な DDoS 攻撃を仕掛け続けています。

    脅迫
    DDoS 攻撃でサイトを人質にとるのは、相当いい稼ぎになります。ブーターやストレッサーを 1 日数ドル程度でレンタルできる果敢な攻撃者は、シャットダウンを繰り返すと脅迫して、特に儲けの大きい攻撃を実行します。

    FBI の「Cyber and Counterintelligence Program(サイバーおよび対防諜プログラム)」担当、Joseph Bonavolonta 氏が、身代金を支払うよう被害者に勧めたことも、攻撃者にとっては追い風になっています。あげくには、身代金要求のメールで Bonavolonta 氏のこの助言を引用する始末です。

    注意をそらす陽動
    Arbor Networks で主任セキュリティテクノロジストを務める Gary Sockrider 氏によると、「歴史的には、『イデオロギー的なハックティビズム』が(DDoS 攻撃の)動機としては最多を占めるのが普通だったが、昨年はついに『虚無主義/破壊行為』が取って代わった。だが、今年に入ってさらに状況が変わっている。DDoS 攻撃は、マルウェアが侵入したりデータを盗み出したりするための陽動として使われているという回答が増えつつある」

    ソニーで起きた甚大なデータ侵害では、情報を入手してネットワークに実際に侵入する 3 年も前に、DDoS 攻撃が使われました。その間、リソースは注意をそらされ続けていたため、侵入を検出・阻止できませんでした。

    競争での優位/自慢のタネ
    DDoS 攻撃は、オンラインゲームの世界でも顕著です。シマンテックの Candid Wueestによると、DDoS 攻撃をわずか数分間でもレンタルすれば、オンラインゲームでの勝敗で圧倒的に有利になるということです。

    Incapsula の Igal Zeifmanは、強力な動機として「自慢のタネ」と ROI(投資利益率)を強調しています。「たとえば、昨年のクリスマスに PlayStation と Xbox のネットワークを襲った Lizard Squad の攻撃を見てみよう。その日の 24 時間で、このグループは Twitter だけでも 10 万回以上言及された。口コミの影響が広がると、この攻撃は YouTube で記録的にヒットした曲「江南スタイル」並みの知名度を獲得する。目立ちたがりの犯人が、たった 1 回の DDoS 攻撃で望みうるかぎり最大の投資利益率となったのである」

    DDoS 攻撃のコスト

    DDoS 攻撃のコストは、仕掛ける側にはごく低い一方、受ける側にとっては非常に高くつきます。

    Incapsula Survey: What DDoS Attacks Really Cost Businesses(Incapsula によるアンケート調査: DDoS 攻撃が企業に及ぼす真のコスト)」によると、そのコストは推定で 1 時間あたり 40,000 ドルです。
    直接的な金銭以外に、企業の多くは形に表れないコストも被っています。たとえば、以下のような被害です。

    • 顧客の信頼を失う
    • 知的財産を失う
    • ウイルス/マルウェアへの感染
    • ハードウェアの交換
    • DDoS 攻撃に隠れて発生するデータ侵害と顧客情報の漏えい

    DDoS 攻撃を仕掛けるのは、どのくらい安価か

    1 日あたり 10 ドルから 1,000 ドル程度と、驚くほど安価です。価格は、期間と、場合によっては帯域幅に基づいて決まり、オンラインで簡単に購入できます。オンラインの市場では、合法的と思われる「ストレッサー」も買うことができます。これは、自分たちの Web サイトの耐性をテストするためのツールです。

    ロシアの犯罪集団 Forceful は、以下の条件で DDoS サービスをレンタルしていました。

    • 1 日あたり - 60 ドル
    • 1 週間あたり - 400 ドル
    • 500 ドルの注文で 10 % のディスカウント
    • 1,000 ドルの注文で 15% のディスカウント

    これほど格安に引き起こせるダメージの大きさを考えると、攻撃者が参入する障壁はないも同然であり、大きい ROI を期待できます。Arbor Network の「Worldwide Infrastructure Security Report(WISR)(ワールドワイドインフラストラクチャセキュリティレポート)」によると、被害者が要するコストは平均で 1 分あたり 500 ドルですが、攻撃者に必要なコストは 1 回の攻撃あたり、わずか 66 ドルです。

    DDoS 攻撃にどう備えるか

    シマンテックの研究者 Candid Wueestの主張によると、企業は――そして個人ユーザーも――、DDoS 攻撃を他人事のように考えているといいます。「ソニー、Xbox、BBC News、ドナルド・トランプ――そういった標的なら、ニュースの見出しとして注目されるのは当然だが、うちの会社にそんなことは起こるまい」ということです。

    しかし実際には、規模を問わず一般ユーザーと接する企業であれば、あるいはオンラインゲームのファンというだけでも、当然のように標的になります。間違った人を怒らせたり、世界のどこかにいる誰かと違う意見を支持したりしても同様です。

    自分にも起きるものとして、常に警戒を

    1. 自分の身には起きないという考えは捨てましょう。DDoS 攻撃に狙われる可能性は十分にあります。

    2. DDoS 攻撃は起きるものという前提で、徹底的な対策を立てておきます

    • 現在のインフラストラクチャを検討して、脆弱性を評価し、それに応じて計画を立てます。たとえば、ISP ホスティングでサーバーを利用している場合には、自社でサーバーを運用している場合より、攻撃に耐えられる時間が短くなります。
    • 何らかの DDoS :緩和サービスの契約を利用できれば理想的です。利用できない場合には、前もって聞き取り調査を行い、攻撃が発生した場合の連絡先を確認しておきます。
    • Web サイトのセキュリティソフトウェアに DDoS 緩和の機能があるかどうか確認します。たとえば Symantec Complete Website Securityは、Imperva Incapsula のサービスを追加し、エンタープライズクラスの Web アプリケーションセキュリティ、DDoS 緩和、パフォーマンス最適化、ロードバランシングを実現しています。

    3. DDoS 対策計画書を作成します。以下の内容を盛り込んでください。

    • ISP と DDoS 緩和サービスの担当者名および電話番号。
    • DDoS 攻撃が発生した場合に ISP に確認する事項と、ISP が用意しているプロトコル。
    • 顧客への通知方法に関するコミュニケーション戦略。攻撃は数時間から、数日続くこともあるため、良好なコミュニケーションを保つことで、評判の失墜をとどめることができます。

    4. サイバー保険を契約します。

    • サイバー事故が発生した場合に受けるリスクの低減と転移が、保証内容に含まれていることを確認してください。
    • 情報セキュリティ保護の業務を補填する保証内容があることを確認してください。

    DDoS 攻撃のこれから

    Candid Wueest によるホワイトペーパー「The Continued Rise of DDoS Attacks(増加の一途をたどる DDoS 攻撃)」には、現在の DDoS 攻撃の詳しい状況と、DDoS 攻撃を防ぐためにできる対策が記されています。今後の予測について、Wueest は以下のように述べています。

    • 次に悪用の標的になるのは、モノのインターネット(IoT)と考えられる。インターネットに接続されるデバイスの数は 2020 年までに 200 億に達すると予測されているからである。
    • Linux を搭載し、BusyBox ツールキットが実行されている CCTV 監視カメラが、世界的な DDoS 攻撃によって乗っ取られ、ボットネット化された。これは新たな傾向である。乗っ取られたデバイスの多くは、パスワードがデフォルト設定のままで、完全に無防備だった。
    • ルーターを乗っ取ってゾンビ化させるのも常套手段。Linux ベースの家庭用ルーターが、KTN-Remastered という新しいワームの標的になっている。KTN-Remastered は、Telnet で弱いパスワードが使われている場合に、そこを狙って組み込みシステムに感染するワーム。

    結論として、サイバー犯罪は今や常態化したと言えます。報告される攻撃の規模も、脆弱性や、被害を受けた場合のコスト、無防備さ、被害の大きさも、今や圧倒的です。自分も DDoS 攻撃を受けることは、ほぼ間違いありません。避けようのない事態に備え、DDoS 攻撃の影響を低減することがベストプラクティスです。

    Candid Wueest は、こう要約しています。「備えがなければ、速度を武器にすることはできない」

    【参考訳】


    0 0

    Overview of Business Email Compromise

    BEC scams, also known as “whaling’ or “CEO fraud”, involve crafted emails sent to recipients by fraudsters pretending to be senior executives. These emails leverage social engineering and urgent requests to get employees to carry out large wire transfers or send over sensitive information such as W2 forms.

    BEC emails are typically characterized by:

    • Impersonation of a high-level executive of your company
    • Email domains similar to yours (Typosquatting)
    • Prominent use of freeweb mail service providers (Gmail, Yahoo etc.)
    • Emails that do not contain URLs, phone numbers, or attachments

    The FBI has reinforced the growth and criticality of Business Email Compromise (BEC) with their latest Public Service Announcement, which found that BEC increased by 1,300% since 2015 and is responsible for more than $3 billion in exposed losses. This announcement also added a fifth BEC scenario of "Data Theft".

    The FBI PSA outlined five scenarios of Business Email Compromise:

    1. Business Working With a Foreign Supplier
    2. Business [Executive] Receiving or Initiating a Request for a Wire Transfer
    3. Business Contacts Receiving Fraudulent Correspondence through Compromised E-mail
    4. Business Executive and Attorney Impersonation
    5. Data Theft

    In addition, learn more about W2 (tax return) related BEC fraud to better understand the recent updates from the FBI PSA about the Data Theft scenario we observed earlier this year during U.S. tax season.

    While the financial damage of BEC scenarios 1-4 can be quantified and covered by a company or their cyber insurance, the new Data Theft scenario raises new challenges about how to quantify damage from personally identifiable information (PII), such as seen in the tax return fraud (W2) attempts, or even intellectual property loss. Therefore, it is even more important to view BEC as a serious threat to your organization.

    Key Characteristics of Business Email Compromise

    We wanted to highlight a few more email characteristics that can help identify a BEC attack:

    • Common keywords in From and Reply-to Header (when reply-to is present)
    (ceo,cto,cfo,coo,office,work,dir,director,executive,exec,chief,central,chairman,president,vp,vice,private,official,md,managing,managed,chief,accountant,admin,workmail,gmo,personal,home,personal)
    • Common keywords in message body
    (Transfer|Request|response|Verification|Payment|Update|Wire|Initiate|Instructions|Bank detail|international|finance department|urgent|remit|remittance|Attention|Attached|Outstanding|confidential|desk|office)
    • Subject lines are between 1-3 words long (46% have 1 Word, 31% have 2 Words and 19% have 3 Words)
    • Common used body parts are TXT/HTML with over 60%. TXT only based BEC are 23% and HTML only is used in about 15%.
    • Between 1,500 and 8,000 bytes email size
      • 58% of BEC email have a size between 1,500 and 8,000 bytes
      • 30% of BEC email have a size between 8,000 and 10,000 bytes

    The difficulty with BEC email is that you have a very limited set of features (i.e. checking attachments, URLs or common bad senders) you can leverage to detect such messages. Also, although the characteristics discussed above can help you detect BEC emails, this needs to be handled with care due to the risk of false positives. For instance, a financial institution that was to detect messages generically from a free mail account containing a keyword such as ‘transfer’ or ‘outstanding’ might accidently block both BEC and legitimate emails.

    Symantec is Focused on Stopping BEC Attacks

    Earlier this year, Symantec focused on typosquat domains to gather additional intelligence that is used to improve detection for these email attacks. Specific heuristic rules generated based on our research have shown success, stopping over 16.1 million emails since beginning of this year. Symantec Email Security contains many more detection technologies that stop attacks or unwanted mail such as phishing, spam, and unsolicited emails, and we are constantly working to stay ahead of attackers by making improvements to rulesets in our Email Security solutions to detect BEC emails for our customers -  without the need to purchase additional features or to use a specific product version.

    How Symantec Protects Against Business Email Compromise

    Symantec will continue to invest in creating specific BEC detection to target this attack. This type of attack due its limited set of features and individual company specific focus may also require a complementary set of solutions that Symantec is also in a position to provide.

    • SymantecEmail Security.cloud Data Protection provides granular control to identify suspicious messages based on various indicators, which also helps raise end-user awareness.
      • Use the common header and body keywords we mentioned earlier to detect and block/flag suspicious messages. See these KB entries on how to use Data Protection as additional protection from BEC attacks:
        http://www.symantec.com/docs/HOWTO124383
        http://www.symantec.com/docs/HOWTO124423
      • Data Protection can also help flag messages that are coming from outside the organization to raise end-user awareness of BEC emails. For example, when a message requiring immediate attention seems to come from a CEO but is coming from Internet-facing email gateways instead of the internal systems, the user is immediately informed.
    • Symantec Data Loss Prevention helps combat the Data Theft BEC scenario by seamlessly integrating with our Email Security solutions to detect emails containing sensitive information such as PII that should not leave the organization. When combined with Symantec’s Policy Based Encryption Service, you can even ensure that this information is encrypted in case it’s accidently shared with the wrong person.
    • Usage of Digital Signatures prove the authenticity of an email sender. Have your i.e. Executives like CEO use certificates to sign messages and to ensure that recipients question emails appearing to come from their CEO when they are not digitally signed.
    • Conduct End-User Awareness training to raise overall awareness of BEC scams. Leverage Symantec Cyber Security Services to simulate and train employees on phishing by getting end-users to be more suspicious of emails and to empower them to recognize and report attacks.

    Best Practices for Addressing BEC

    In addition to these Symantec solutions, you should also leverage the following best practices for the most effective way to protect your organization from BEC attacks:

    • Submit BEC samples to help improve protection against these scams, as sharing information allows organizations to quickly detect and stop these attacks
    • Question any emails requesting actions that seem unusual or aren’t following normal procedures
    • Users shouldn’t reply to any emails that seem suspicious. Obtain the sender’s address from the corporate address book and ask them about the message
    • Use two-factor authentication for initiating wire transfers

    For more information, see the latest research done by the Symantec Security Response team about Billion-dollar scams: The numbers behind BEC fraud.

    To learn more about BEC check out these resources:


    0 0

    More than 400 companies are targeted with BEC scams every day. Find out more and learn how to stay protected.

    続きを読む

    0 0

    This month the vendor is releasing 11 bulletins, five of which are rated Critical.

    続きを読む

older | 1 | .... | 198 | 199 | (Page 200) | 201 | 202 | .... | 254 | newer