Tematskim događajem pod nazivom „Symantec Knights“, upriličenim 16. maja 2019. u hotelu „Holliday Inn“ u Beogradu, kompanija Net++ Technology je na živopisan način opisala pejzaž savremenih pretnji ali i delotvornost security rešenja kompanije Symantec, čiji partner je još od 2003. godine.
Odeveni u odežde srednjovekovnih vitezova, čije vrednosti kao boraca na strani časti, etičnosti i zaštite slabijih, kako kažu, i sami dele kada je reč o IT bezbednosti, predstavnici ove dve kompanije su kroz predavanja podeljena u četiri tematske celine prikazali anatomiju napada na sistem (ovde simbolično nazvan zamkom), od izviđanja i inicijalnih pokušaja upada, preko samog upada, do “krađe blaga”, odnosno izvlačenja podataka ili kriptovanja, da bi priča bila zaokružena “lovom na uljeza”.
Ova savremena “IT bajka” počela je upoznavanjem sa kompanijama Net++, kojuje predstavio njen direktor Vladimir Vučinić, i Symantec, čiji je razvojni put do lidera u Gartnerovom kvadrantnu u pet kategorija prezentovao Davor Kodrnja, regionalni sales manager za Adrijatik.
Predstavnik Symanteca je ukazao na brojne bezbednosne izazove sa kojima se suočavaju današnja preduzeća, pri čemu su ona mala i srednja postala glavne žrtve. Osim veb napada, tu su i formjacking (formdžaking), ransomware, cryptojacking (kriptodžaking), supplay chain napadi i mnogi drugi. Nove napade doneo je Internet of Things, a posebnu bezbednost zahteva i cloud. Srećom po korisnike, Symantec kroz svoja rešenja pruža naprednu prevenciju i efikasnu zaštitu od opasnosti koje dolaze sa krajnjih tačaka, emaila, veba, cloud aplikacija…
Kako je danas skoro svaki “zamak pod opsadom”, odnosno svi su izloženi brojnim pretnjama, Vladimir Vučinić je u svojoj prezentaciji ukazao na važnost znanja ko su napadači, šta im je motiv (špijunaža, sabotaža, finansijska korist, politički ciljevi), koje ranjivosti postoje i koji su eksploiti, ali i na potrebu da se zna stanje u vlastitoj kompaniji: gde se nalazi koja oprema, koji softver se koristi, šta je sve na mreži, ko joj pristupa i kako. Bitno je i testiranje ranjivosti i penetracije, kao i procena znanja zaposlenih i njihova bezbednosna svesnost.
Samom napadu prethode izviđanje i inicijalni pokušaji upada. U fazi izviđanja, u cilju skeniranja ranjivosti, napadači prikupljaju podatake o žrtvi bez direktnog kontakta sa njom, ali i koristeći socijalni inženjering. Onda sledi pokušaj upada preko zaraženog emaila, fišinga ili socijalnog inženjeringa, pri čemu je email označen kao današnji vektor pretnje broj jedan. Ovde se kao odbrana od pokušaja upada nude Symantec Emial Security servis i Symantec Messaging Gateway.
Krađa kredencijala je prvi korak ka ulasku u sistem, za šta se obično koriste brutal force i password spraying napadi, gde su faktor rizika često korišćene lozinke, poput one “123456”. U ovom segmentu Net++ pruža pomoć svojim projektom Upecajme koji omogućava testiranje izloženosti preduzeća fišingu, a i na blogu IT Klinika redovno ukazuju na šta bi trebalo obratiti pažnju kako se ne bi postalo žrtvom fišinga.
Uljez u zamku U nastavku, Dimitrije Veličanin, Solution Consultant,
Net++ technology, je opisao sâm ulazak napadača u sistem, preuzimanje malvera i njegovu instalaciju, a onda dao savete za odbranu.
Kako su maliciozni emailovi veliki faktor rizika, pri čemu je Srbija peta u svetu po broju malicioznih emailova, podsetio je da priloge od nepoznatih pošiljalaca ne treba otvarati, da emailove treba skenirati kvalitetnim email security rešenjem, blokirati priloge određenih ekstenzija i pečovati sistem. U ovom segmentu zaštitu će pružiti rešenje Symantec Email Security.cloud koje zaustavlja ransomware i druge nove pretnje i Symantec Messaging Gateway koji štiti od malicioznih priloga.
Kada su u pitanju veb sajtovi kao vektor ulaska napadača u sistem, tu su Symantec ProxySG i Advanced Secure Gateway koji štite od sofisticiranih veb pretnji, a kada je potrebno zaštititi se od infekcije USB drajvovima, predlaže se Symantec Endpoint Protection. Za sprečavanje preuzimanja malvera i njegove instalacije Symantec nudi zaštitu bez obzira na to koji je endpoint napadnut u vidu rešenja Symantec Endpoint Detection and Response.
Kada je reč o fazi ovde slikovati nazvanoj “osmatranje i kretanje unutar zidina”, primarni resurs koji se koristi za napad je aktivni direktorijum, ali tu na scenu stupa Symantecov Endpoint Threat Defense for Active Directory.
U fazi kada “blago nestaje iz zamka i uljezi traže otkup”, odnosno kada počne izvlačenje podataka ili nanošenje štete sistemu, napadači to rade na različite načine – uz pomoć ransomwarea ili drugih vrsta malvera, kroz sesije privilegovanih korisnika, stenografiju (skrivanje malicioznig detoteka u slikama ili video i audio zapisima) i curenje podataka. Detaljno objasnivši kako se odvija svaki od ovih načina,Vladimir Vučinić je ukazao na rešenja koja predstavljaju odbranu od njih.
Davor Perat, Senior Technology Consultant u Symantecu, u fokus svog predavanja stavio je Symantecova Data Loss Prevention (DLP) rešenja koja pružaju široku pokrivenost kanala i scenarija gubljenja osetljivih podataka i omogućavaju detekciju i odgovor na pretnje.
“Lov na uljeza”, odnosno šta se dešava kada se preuzme maliciozni fajl i šta se u tim slučajevima može uraditi, opisao je Siniša Stojanović, Solution Consultant, Net++ Technology. On je detaljnije objanio kako radi Symantec Endpoint Detection i Response, gde se napredne pretnje “razotkrivaju preciznim mašinskim učenjem, a globalno izveštavanje o pretnjama minimizira lažno pozitivne rezultate i pomaže da se osigura visok nivo produktivnosti za bezbednosne timove”.
Ideja organizatora da se na zanimljiv način ispriča ozbiljna priča i složena tematika IT bezbednosti približi onima koji su zaduženi za nju u svojim kompanijama bila je više nego dobra. Tome svedoči i veliko interesovanje otelotvoreno u broju prisutnih ovom skupu za koji se na kraju tražila “stolica više”.
