CYBER NEWS

Predicare la Breccia: CVE e Incident Response

Vulnerabilità, fornitori e imprese. Le tre parole spesso si incontrano, per l'orrore di tutti i siti interessati. Le imprese spesso non hanno sufficiente politica di gestione delle patch e gruppi di risposta agli incidenti, o ignorare l'importanza di un'adeguata formazione su argomenti legati alla sicurezza. Così, la frequenza di zero-day e attacchi di spear phishing (tra gli altri) sembra inevitabile solo.

Le vulnerabilità sono come porte aperte che lasciano il malware in un sistema, programma, Browser, ea volte giochi. I fornitori di software di solito emettere un avviso di sicurezza e patch di una volta alla vulnerabilità viene divulgata. Tuttavia, i criminali informatici spesso hanno abbastanza tempo per sfruttare queste debolezze prima che il venditore scopre cosa sta succedendo, o prima la patch necessaria viene rilasciato.

Impara di più riguardo Exploit Kit Attacchi

In molti casi, settimane o mesi prima che le vulnerabilità sono trovati passaggio da, lasciando una porta aperta per sfruttamento che può continuare da alcune ore a diversi mesi. Software largamente diffusa come i browser, il browser plug-in e prodotti Java / Adobe Flash sono spesso soggetti a vulnerabilità e il loro sfruttamento dannoso.

CVE-sensorstechforum

Se si segue la porzione giornaliera di notizie di sicurezza IT, si sa esattamente che cosa si intende. In teoria, qualsiasi organizzazione (sia dal settore pubblico e privato) può diventare una vittima di un incidente di sicurezza. In pratica, c'è molto da imparare e tenere a mente per risparmiare se stessi e la vostra organizzazione da violazioni della sicurezza, o per minimizzare i danni di tale.

Cominciamo dall'inizio..

CVE 101 – Common Vulnerabilities and Exposures

La buona notizia è che ci sono diversi grandi database che si concentrano sulla ricerca e la segnalazione CVE. Uno di questi è https://www.cvedetails.com.

Prima di tutto, cerchiamo di spiegare che cosa è un CVE. La sigla sta per Common Vulnerabilities and Exposures.

Fondamentalmente, un CVE può essere definito come ad un catalogo di minacce alla sicurezza note. Come visibile dal nome, le minacce sono generalmente divisi in due grandi sottocategorie:

Vulnerabilità.
Così, come facciamo a capire le vulnerabilità? Fondamentalmente, la vulnerabilità non è altro che un errore software che consente un cattivo attore per attaccare un sistema o di una rete accedendo direttamente esso. Le vulnerabilità possono consentire a un utente malintenzionato di agire come un super-utente o anche un amministratore di sistema e concedendogli privilegi di accesso completo.

Esposizioni.
L'esposizione è diverso da quello della vulnerabilità. Esso fornisce un attore malevolo con accesso indiretto a un sistema o una rete. Un'esposizione potrebbe consentire a un hacker di raccogliere informazioni sensibili in maniera occulta.

La definizione CVE catalogo

CVE servono per standardizzare il modo in cui divulgate vulnerabilità e le esposizioni sono identificati; un processo che è molto importante per gli amministratori della sicurezza. Grazie alla standardizzazione, essi potrebbero accedere dettagli tecnici specifici sulle minacce attivi attraverso le fonti di informazioni CVE.

Il database CVE è sponsorizzato dal US Department of Homeland Security e US-CERT. L'organizzazione non-profit MITRE CVE mantiene il catalogo e il sito web che è a disposizione del pubblico. MITRE gestisce anche il Programma CVE compatibilità che promuove l'uso di identificatori CVE standard, da parte delle autorità numerazione autorizzati CVE.

MITRE-non-profit-CVE

Ecco un elenco dei produttori di software che stanno partecipando come Autorità CVE Numerazione:

  • Adobe Systems Incorporated (Soltanto questioni di Adobe)
  • Apple Inc. (Soltanto questioni di Apple)
  • Attachmate (Soltanto questioni Attachmate / Novell / SUSE / NetIQ)
  • Mora (Soltanto questioni BlackBerry)
  • Cisco Systems, Inc. (Soltanto questioni Cisco)
  • Debian GNU / Linux (Soltanto questioni di Linux)
  • EMC Corporation (Soltanto questioni EMC)
  • FreeBSD (solo in primo luogo le questioni FreeBSD)
  • Google Inc. (Cromo, Chrome OS, solo e problemi di progetto Android Open Source)
  • Hewlett-Packard Development Company, L.P. (Soltanto questioni HP)
  • IBM Corporation (Soltanto questioni di IBM)
  • Microsoft Corporation (Solo problemi di Microsoft)
  • Mozilla Corporation (Soltanto questioni di Mozilla)
  • Oracolo (Soltanto questioni Oracle)
  • Red Hat, Inc. (Soltanto questioni di Linux)
  • Silicon Graphics, Inc. (Soltanto questioni SGI)
  • Symantec Corporation (Soltanto questioni Symantec)
  • Ubuntu Linux (Soltanto questioni di Linux)

Non ogni azienda può partecipare come CNA. Ci sono diversi requisiti che devono essere soddisfatti:

Prima di tutto, un CNA dovrebbe essere un importante fornitore di software con una base di utenti significativo e una capacità di advisory particolare titolo. L'altra opzione per diventare un CNA è in corso un terzo stabilito che agisce come un neutrale collaborazione tra ricercatori e fornitori.

Inoltre, come sottolineato da MITRE, la CNA deve essere un punto di distribuzione optato per divulgazioni di vulnerabilità per la prima volta.

Seguendo il requisito CVE per identificare le questioni pubbliche, CNA deve assegnare solo CVE-ID per problemi di sicurezza che saranno resi pubblici. Infine, deve seguire le pratiche annuncio passivi che sono ampiamente accettate in comunità di sicurezza. Tutti questi requisiti servono per assicurarsi che non gli sbagli possono capitare.

Link importanti da seguire:
https://web.nvd.nist.gov/view/vuln/search

Database Exploit

Un altro database che dovrebbe essere 'onorato' è Exploit Database sostenuta da Sicurezza offensivo.

sfruttare database

Database Exploit è un CVE archivio compiacente di exploit pubblici e relativo software vulnerabili, sviluppato per l'uso da penetration tester e ricercatori di vulnerabilità. Il nostro obiettivo è quello di servire la più completa raccolta di exploit raccolti attraverso osservazioni dirette, mailing list, così come altre fonti pubbliche, e presentarli in un liberamente disponibile e facile da navigare banca dati. Exploit Database è un archivio di exploit e proof-of-concetti, piuttosto che avvisi, che lo rende una risorsa preziosa per chi ha bisogno di dati fruibili subito.

Il DB Exploit può essere utilizzato per la presentazione dei campioni. Tuttavia, diverse regole devono essere seguite in modo che la squadra di accettare il conferimento. Altro https://www.exploit-db.com/submit/.

Perché sono CVE Basi di dati importanti e ciò che è Incident Response

A novembre 2013, FireEye ha sottolineato il crescente volume di attacchi mirati. Oggi, Statistiche del settore ancora rivelano una percentuale impressionante di siti web che hanno diverse vulnerabilità. Le cose stanno ancora peggio, perché in 2015 stiamo vedendo criminalità informatica sia più iniziativa che mai, e criminali informatici lavorazione soluzioni innovative per raggiungere i loro obiettivi di violazione. Per esempio, nel gennaio KrebsOnSecurity ha pubblicato un articolo in cui è stato rivelato un forum sotterraneo chiamato Enigma. E 'solo uno di una crescente comunità di forum criminalità informatica privata, che hanno ridefinito il significato di attacchi mirati. L'offerta-e-ask forum, come Enigma collegare truffatori che sono alla ricerca per l'accesso ai dati specifici, risorse o sistemi con programmatori malintenzionati capaci e motivate.

Nonostante il fatto che gli attacchi di phishing lancia sono attualmente popolare e molte persone sono disposte a pagare per l'acquisizione di informazioni sensibili in questo modo, exploit zero-day non devono essere sottovalutati e. Proprio alla fine, come visibile dall'immagine esemplare sopra, attacchi di phishing possono essere puntato a sfruttare una particolare vulnerabilità nota. Il sindaco vulnerabilità di cross-site scripting in Internet Explorer da gennaio di quest'anno potrebbe aprire la porta ad attacchi di phishing e illustrato come questo tipo di minacce informatiche mettono a repentaglio gli utenti.

Un altro attacco zero-day che non è passata inosservata in questione Adobe. Nel mese di ottobre è stato confermato che una particolare vulnerabilità colpita versione Flash 19.0.0.207. La vulnerabilità è stata poi catalogato come CVE-2.015-7.645. Questa è la descrizione del vulnerabilità dal database di MITRE:

Adobe Flash Player 18.x attraverso 18.0.0.252 e 19.x attraverso 19.0.0.207 su Windows e OS X e 11.x attraverso 11.2.202.535 su Linux consente agli aggressori remoti di eseguire codice arbitrario attraverso un file SWF artigianale, come sfruttati in natura nel mese di ottobre 2015.

CVE-zero-day-attacco
Ecco come un attacco è effettuata. L'immagine è esemplare. Image Source: RSA / CNET

Quello che era molto particolare di questo attacco è stato che una vulnerabilità precedentemente sconosciuta in versioni completamente modificate di Adobe Flash Player è stato sfruttato. Sfruttando lo, attaccanti potrebbero installare malware sugli utenti finali’ Macchine. Questi attacchi sono stati segnalati per colpire solo le agenzie governative come parte di una campagna di spionaggio a lungo termine iniziata da un gruppo conosciuto come Pegno Tempesta.

Dal momento che tali attacchi sono un evento quotidiano in numerose organizzazioni, risposta agli incidenti è un must.

Risposta agli incidenti è un approccio organizzato per affrontare e gestire gli effetti di una violazione della sicurezza. L'obiettivo di IR è di trattare la breccia nel miglior modo possibile limitare i danni e riducendo i costi di recupero. Un buon piano di risposta agli incidenti contiene un criterio che definisce ciò che un incidente è e amministra un tutorial passo-passo che dovrebbe essere seguita rigorosamente quando un attacco si svolge.

Il SANS Institute ha compilato sei passaggi a che fare con un incidente aka. un attacco in modo più sufficiente:

  • Preparazione. Le imprese devono educare i loro dipendenti e personale IT l'importanza delle misure di sicurezza aggiornati e addestrarli per rispondere alle informatica e di sicurezza di rete incidenti in modo rapido e adeguato.
  • Identificazione. Il team di risposta viene segnalato ogni volta che una possibile violazione ha luogo, e dovrebbe decidere se si tratta di un incidente di sicurezza o qualcos'altro. Il team è spesso consigliato di contattare il CERT Coordination Center, che tiene traccia e registra le attività di sicurezza Internet e raccoglie le informazioni più recenti sui virus e worm.
  • Contenimento. Il team di risposta decide la gravità e la durata del problema. Scollegare tutti i sistemi e dispositivi interessati per evitare ulteriori danni è applicato anche.
  • Eradicazione. Il ricavato del team di risposta con l'inchiesta di rivelare l'origine dell'attacco. La causa principale del problema e tutti gli avanzi codici maligni sono sradicate.
  • Recupero. I dati e il software vengono ripristinati dal file di backup puliti, facendo in modo che nessuna vulnerabilità sono lasciati. I sistemi sono monitorati per qualsiasi segno di predisposizione a un difetto.
  • Lezioni imparate. Il team di risposta analizza l'attacco e il modo in cui è stata trattata, e prepara raccomandazioni per una migliore risposta futuro e per il bene della prevenzione degli incidenti.
  • Riferimenti

    https://cve.mitre.org/
    https://www.offensive-security.com/
    https://www.sans.org/
    https://krebsonsecurity.com/
    https://www.fireye.com/

    donload_now_250
    Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter

    Milena Dimitrova

    Milena Dimitrova

    Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

    Altri messaggi

    Seguimi:
    Cinguettio

    Lascio un commento

    Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

    Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...