Obsah je klíčový, ale je také dveřmi pro šíření škodlivého softwaru

Aktualizace: kvě 6


Od počátku současné krize ve zdravotnictví je mnoho systémů napjatých. Většina služeb, od platforem pro vzdálenou práci až po software pro spolupráci, byla ovlivněna velkým provozem a nutností vyhovět velkému počtu uživatelů.


Žádný systém však nebyl postižen více než obsahové platformy. Od sítí pro doručování obsahu (CDN) až po cloudová úložiště, sdílení a systémy pro správu podnikového obsahu (ECM) - každá platforma byla nucena pracovat s maximální efektivitou. Podniky jsou na ní závislé.


Efektivita však vždy ponechává prostor pro chyby a první, kdo z takových "příležitostí" profitoval, byli jako vždy kyberzločinci.



Vaše zranitelnost je zranitelností vašich klientů


Útoky související s obsahem jsou obvykle méně medializovány, ale to neznamená, že jsou méně závažné. Obsahové služby se netýkají pouze ukládání a správy souborů: zahrnují také přenosové protokoly, distribuci, přístup a zálohování. Některé platformy, například webové systémy pro správu obsahu (CMS), pokrývají také způsob zobrazení obsahu. Každá z těchto funkcí přináší nové zranitelnosti.


Nedávným příkladem je narušení bezpečnosti společnosti Accellion*. Společnost Accellion, velký poskytovatel privátních cloudových řešení, používala pro přenosy velkých souborů 20 let starý souborový systém s názvem FTA. Zneužitím zranitelnosti zero-day se kyberzločinci dostali nejen k datům uloženým společností Accellion, ale také k datům mnoha jejich klientů. V posledních dvou měsících se seznam obětí rozšířil o zvučná jména jako Kroger, CSX, Flagstar Bank, The Reserve Bank of New Zealand a dokonce Harvard**.


To ukazuje, proč mají útoky související s obsahem pro kyberzločince tak cennou nálož - mohou vést k potenciálnímu pokladu klientských dat. Ta mohou zahrnovat vše od databází pověření až po soubory s omezeným přístupem. Kromě toho lze obsahové sítě a platformy snadno využít jako vektory útoku. Proto útočníci při jejich napadení často používají méně obvyklé techniky, jako např:


Útoky typu Man-in-the-Middle (MITM)

V tomto případě útočník zachytí internetový provoz nebo data mezi dvěma stranami, aby získal přístup do systému nebo spáchal podvod. Zatímco původně se útoky MITM soustředily na krádeže plateb nebo pověření, nyní se začaly zaměřovat na sítě CDN. Jako vektory útoku se při těchto operacích často používají sady zneužití, protože jsou lépe přizpůsobitelné složitým systémům.


Ransomware

Tyto útoky se často zaměřují na systémy cloudového obsahu, protože jejich "úspěch" závisí na hodnotě získaných dat. Jedna věc je zákeřně zašifrovat obsah jednoho počítače, úplně jiná věc je zmocnit se serverů velkého poskytovatele. Vzhledem k tomu, že těchto útoků v posledních letech přibývá, dostal tento fenomén název RansomCloud.


Nasazení APT

Pokročilé trvalé hrozby (APT) jsou neustále využívány k útokům na různé systémy pro doručování a správu obsahu. APT jsou ideálními kandidáty na "monitorování" sdíleného obsahu, protože mohou snadno splynout s hustým síťovým provozem.


Stahování z internetu prostřednictvím aplikace Drive-by

Tato technika se často zaměřuje na úložiště obsahu, protože pro uživatele je obtížnější všimnout si škodlivého kódu, který se sám instaluje, pokud již stahují nebo instalují něco jiného.


Vkládání SQL a cross-site skriptování

Tyto techniky se obvykle zaměřují na systémy pro správu webového obsahu, jako je Wordpress, Joomla nebo Drupal. Vzhledem k tomu, že tyto platformy dnes stojí za většinou obsahu webových stránek na světě, má mnoho implementací staré nebo zastaralé zabezpečení. Vkládání SQL využívají tyto zranitelnosti k odesílání příkazů do hlavní databáze webových stránek, zatímco cross-site scripting dodává návštěvníkům legitimních webových stránek při konzumaci obsahu užitečné soubory třetích stran.


Útoky založené na CDN

Tyto útoky vycházejí z toho, že většina poskytovatelů (podnikové nebo spotřebitelské sféry) nemůže blokovat provoz přicházející z IP adresy CDN. To z nich činí ideální cíle pro útočníky. Útoky založené na sítích CDN jsou obvykle způsobeny kyberzločinci, kteří se vydávají za legitimní uživatele a kompromitují obsah procházející těmito sítěmi.


I když se jedná o specializované útoky, lze tvrdit, že většina kybernetických útoků je "založena na obsahu", protože buď chtějí získat přístup k určitému obsahu, nebo jej chtějí kompromitovat. Například útoky DDoS založené na protokolu SSL a útoky na dynamický obsah jednoduše blokují sítě CDN nebo servery, na které se zaměřují, a znemožňují tak přístup legitimním uživatelům.


Od sítí pro správu obsahu se bohužel neustále požaduje nízká latence, okamžitá škálovatelnost a okamžitý přístup. To je činí velmi zranitelnými a vzhledem k vysokému objemu provozu, který generují, obtížněji skenovatelnými. Jak tedy takový systém ochránit?



Filtrování obsahu: univerzální řešení


Filtrování obsahu je detekce a odstranění potenciálně škodlivého nebo nevhodného obsahu předtím, než k němu uživatelé získají přístup nebo než je zpracován systémem. Ačkoli se tato definice může zdát obecná, pravdou je, že účinné filtrování obsahu má mnoho společného. Patří sem např:


  • Filtrování webu, které se neomezuje pouze na detekci škodlivých IP adres a adres URL, ale může také analyzovat obsah celých webových stránek nebo cloudových úložišť.

  • Filtrování e-mailů, které zahrnuje vše od běžného spamu a malwaru až po různé techniky phishingu a škodlivé přílohy.

  • Skenování souborů, které prověřuje škodlivé soubory jak v online úložištích obsahu, tak i ve vlastní podnikové síti s obsahem


V závislosti na složitosti vaší firmy nebo firmy vašeho klienta a způsobu správy nebo distribuce obsahu, může být nutné filtrovat všechny tři oblasti současně.


Takový systém bude muset také využívat širokou škálu metod skenování, od detekce založené na signaturách až po heuristickou analýzu a analýzu chování. Je to proto, že složitější hrozby, jako jsou APT nebo polymorfní malware, je obtížné zachytit tradičními metodami.


V neposlední řadě by filtrování obsahu mělo být neustálým procesem v reálném čase, nikoli jen příležitostným skenováním systémů. Správa obsahu je koneckonců permanentní proces.


To znamená, že k rozšíření technik filtrování můžete často potřebovat pomoc specializovaných řešení kybernetické bezpečnosti.



Why Bitdefender?

Společnost Bitdefender nabízí oceňované technologie ochrany se 100% úspěšností při odhalování zero-day malwaru i rozšířeného malwaru. Naše řešení lze integrovat přímo do vašich stávajících platforem, ať už pro interní použití, nebo pro ochranu obsahových systémů vašich klientů.


Naši špičkovou technologii Bitdefender Antimalware SDK lze implementovat v jakékoli možné konfiguraci: koncový bod, síť, perimetr, brána nebo cloudové platformy. Její systémově agnostický přístup navíc umožňuje chránit širokou škálu mobilních a stolních zařízení.


Naše sada SDK zajišťuje dokonalou přesnost detekce zahrnující jak známé vzorky malwaru prostřednictvím detekce založené na signaturách, tak i neznámé vzorky prostřednictvím generické detekce. Poskytujeme proaktivní ochranu prostřednictvím heuristické analýzy i ochranu typu zero-day prostřednictvím pokročilé behaviorální analýzy.


Naše flexibilní licenční modely a přizpůsobivá architektura zajistí, že Bitdefender Antimalware SDK dokonale zapadne do vašeho stávajícího obchodního modelu. Bez ohledu na to, jak vy a vaši klienti nakládáte s obsahem, vaše systémy budou chráněny. Proč plánovat obnovu, když se můžete zaměřit na prevenci? Kontaktujte naše bezpečnostní experty ještě dnes!


Reference:


* https://www.cpomagazine.com/cyber-security/accellion-cyber-attacks-explode-as-criminals-exploit-multiple-fta-vulnerabilities/

** https://www.wired.com/story/accellion-breach-victims-extortion/

7 zobrazení0 komentář

Nejnovější příspěvky

Zobrazit vše