Symantec Hosted Endpoint Protection – сервис для защиты клиентских ПК в корпоративных сетях
От
arh_lelik1
в Новости и события со всего мира
-
Похожий контент
-
От KL FC Bot
Когда вам предлагают войти в тот или иной онлайн-сервис, подтвердить свою личность или скачать документ по ссылке, обычно требуется ввести имя и пароль. Это привычная операция, и многие выполняют ее, не задумываясь. Но мошенники могут выманить ваш пароль от почты, сервисов госуслуг, банковских сервисов или соцсетей, сымитировав форму ввода логина-пароля известного сервиса на своем (постороннем) сайте. Не попадайтесь — пароль от почты может проверять только сам почтовый сервис и никто другой! То же касается госуслуг, банков и соцсетей.
Чтобы не стать жертвой обмана, каждый раз при вводе пароля нужно на секунду задуматься и проверить, куда именно вы входите и что за окошко требует вводить данные. Здесь есть три основных варианта: два безопасных и один мошеннический. Вот они.
Безопасные сценарии ввода пароля
Вы входите в свои почту, соцсеть или онлайн-сервис через их собственный сайт. Это самый простой вариант, но нужно убедиться, что вы действительно заходите на легитимный сайт и в его адресе нет никакой ошибки. Если вы заходите в онлайн-сервис, нажав на ссылку в присланном вам сообщении или перейдя по ссылке из результатов поиска, перед вводом пароля внимательно сверьте адрес сайта с названием требуемого сервиса. Почему так важно потратить лишнюю секунду на проверку? Создание фишинговых копий легитимных сайтов — любимый прием мошенников. Адрес фишингового сайта может быть очень похожим на оригинальный, но отличаться от него на одну или несколько букв в названии или располагаться в другой доменной зоне — например, в фишинговом адресе вместо буквы «i» может стоять «l».
А уж сделать ссылку, выводящую совсем не туда, куда написано, и вовсе несложно. Проверьте сами: вот эта ссылка якобы на наш блог kaspersky.ru/blog выводит на другой наш блог — securelist.ru.
На рисунке ниже — примеры оригинальных страниц входа на разные сервисы, на которых можно смело вводить имя и пароль от этого сервиса.
Примеры легитимных страниц входа на разные сервисы. Вводить имя и пароль на них безопасно
Вы входите на сайт при помощи вспомогательного сервиса. Это — вариант для удобного входа без создания лишних паролей: так часто заходят в программы для хранения файлов, совместной работы и так далее. В роли вспомогательного сервиса обычно выступают большие провайдеры почты, соцсетей или государственных услуг. Кнопка входа называется «Вход через Госуслуги», «Войти с VK ID», «Sign in with Google», «Continue with Apple» и так далее.
View the full article
-
От KL FC Bot
Ошибки в настройке IT-инфраструктуры регулярно встречаются в крупных организациях с большими и компетентными отделами IT и ИБ. Доказательство тому — еженедельно появляющиеся новости о взломах больших и солидных компаний, а также результаты аудитов безопасности, которые, правда, редко публикуются. Но проблема достаточно масштабна — это признают, в частности, американские регуляторы, такие как CISA и АНБ. В своем новом документе с рекомендациями, подготовленном «красной» и «синей» командами после множества аудитов и реагирования на инциденты, они отмечают, что «ошибки в конфигурации иллюстрируют системные слабости в крупных организациях, включая компании со зрелой ИБ». При этом в документе утверждается, что «команды сетевой безопасности при достаточном финансировании, подготовке и штатной численности могут нейтрализовать или смягчить эти слабости». Давайте посмотрим, какие ошибки коллеги считают наиболее опасными.
1. Конфигурация приложений по умолчанию
Любое устройство или приложение, будь то принтер, почтовый или файл-сервер, система конференц-связи, часто имеют механизм входа с использованием дефолтных реквизитов доступа, которые забывают отключать. Настройки этих устройств по умолчанию обычно мягкие, не очень безопасные, но их никто не меняет. Типичный пример — принтер, имеющий привилегированный сетевой доступ для удобства печати, а также веб-панель управления со стандартными реквизитами входа. Часто встречаются Windows-серверы, на которых не отключили старые версии SMB или других ретропротоколов. Весьма опасны стандартные настройки и шаблоны Active Directory Certificate Services, позволяющие выдать непривилегированному юзеру серверный сертификат, поднять права до администраторских или авторизоваться, получив Kerberos TGT.
Рекомендованные меры защиты:
Обязательная процедура служб IT перед началом эксплуатации IT-системы: отключить стандартные аккаунты (admin, guest и тому подобные) или как минимум сменить на них пароли. Сделать обязательным использование стойких паролей — минимум 15 случайных символов. Установить на устройстве или сервисе безопасные настройки, руководствуясь инструкциями производителя по улучшению стойкости (hardening), а также релевантными общими руководствами, например DISA STIG. Внедрить безопасную конфигурацию ADCS: по возможности отключить присоединение через веб, отключить NTLM на серверах ADCS, отключить альтернативные имена (SAN) для UPN. Перепроверить стандартные разрешения в шаблонах ADCS, удалить из шаблонов флаг CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT, забрать у низкопривилегированных пользователей свойства FullControl, WriteDacl и Write. Активировать подтверждение руководителем любых запрошенных сертификатов.
Посмотреть статью полностью
-
От KL FC Bot
Устройства на границе Интернета и внутренней сети компании, особенно ответственные за безопасность и управление сетевым трафиком, зачастую становятся приоритетной целью атакующих. Они не вызывают подозрений, отправляя большие объемы трафика вовне, но в то же время имеют доступ к ресурсам организации и значительной части внутреннего трафика. Немаловажен и тот факт, что логи сетевой активности нередко генерируются и хранятся прямо на этих устройствах, так что, скомпрометировав роутер, можно легко удалить из них следы вредоносной активности.
Именно поэтому компрометация роутеров стала «коронным номером» самых сложных киберугроз, таких как Slingshot, APT28 и Camaro Dragon. Но сегодня эта тактика доступна и атакующим попроще, особенно если в организации используются устаревшие, неофициально поддерживаемые или полубытовые модели маршрутизаторов.
Для атаки на маршрутизаторы и межсетевые экраны, как правило, используются уязвимости, благо они обнаруживаются с завидной регулярностью. Иногда эти уязвимости настолько серьезны и при этом настолько удобны атакующим, что некоторые эксперты ставят вопрос о намеренном внедрении бэкдоров в прошивку устройств. Однако даже при закрытых уязвимостях некоторые ошибки конфигурации и просто неустранимые особенности старых моделей роутеров могут привести к их заражению. Подробный анализ такой продвинутой атаки недавно опубликовали американские и японские агентства по кибербезопасности, сфокусировавшись на активностях группировки BlackTech (она же T-APT-03, Circuit Panda и Palmerworm). В анализе есть описание их TTP внутри зараженной сети, но мы сосредоточимся на самом интересном аспекте этого отчета — вредоносных прошивках.
Атака Black Tech на слабое звено в системе защиты компании
Атакующие начинают атаку на компанию с проникновения в один из региональных филиалов крупной компании-жертвы. Для этого используются классические тактики, от фишинга до эксплуатации уязвимостей, но атака на роутер еще не происходит. Преступники пользуются тем, что в филиалах часто используется более простая техника и хуже соблюдаются политики IT и ИБ.
Затем BlackTech расширяет присутствие в сети филиала и получает административные реквизиты доступа к роутеру или межсетевому экрану. С их помощью пограничное устройство обновляют вредоносной прошивкой и используют его статус доверенного для разворачивания атаки уже на штаб-квартиру.
Посмотреть статью полностью
-
Значительная задержка при подключении к сети из-за антивируса Kaspersky Endpoint Security 12.3.0.493От Сергей_1970
Здравствуйте! Возник такой вопрос... Имеется компьютер с установленными Windows 7 x64 и Kaspersky Endpoint Security 12.3.0.493. Этот компьютер входит в локальную сеть, не имеющую доступа к интернету. Kaspersky Endpoint Security 12.3.0.493 управляется Kaspersky Security Center 13.1. При загрузке Windows и авторизации пользователя сразу происходит попытка подключения к сети, что видно по значку сетевого подключения в системном трее. Затем значок сетевого подключения становится перечёркнутым красным крестиком, что соответствует отсутствию подключения к сети (сетевое подключение в это время действительно отсутствует, никакие сетевые ресурсы недоступны). Через некоторое, достаточно продолжительное, время вновь производится попытка подключения к сети и на этот раз подключение происходит, о чём говорит восклицательный знак в желтом треугольнике на значке сетевого подключения (восклицательный знак в желтом треугольнике - в данном случае это нормально, т.к. сеть не имеет доступа к интернету). Вопрос: как сделать, чтобы подключение к сети происходило сразу, без этого красного крестика на значке сетевого подключения? Описанная выше ситуация происходит именно из-за антивируса. Антивирус временно удалял, тогда подключение к сети происходит нормально (без задержки). Просто отключение защиты антивируса не помогает.
Ссылка на видео происходящего после загрузки Windоws и авторизации пользователя: https://www.youtube.com/watch?v=Vw53I0V0s-o
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти