Nowe Technologie

Jak zidentyfikować klientów ze złośliwym IP

Ostatnia aktualizacja: 31.05.2013 10:55
Identyfikacja nieprawidłowego zachowania urządzeń podłączonych do sieci to kluczowe zadanie dla każdego przedsiębiorstwa, które chce się zabezpieczyć przed zaawansowanymi zagrożeniami o długotrwałym działaniu (ang. Advanced Persistent Threats – APT).
APT security
APT security

W obliczu dynamicznie zmieniającego się spektrum ataków przy użyciu złośliwego oprogramowania ukierunkowanego na konkretne cele, FORTINET opracował listę pięciu kategorii, w których oceniana jest możliwość potencjalnej infekcji urządzenia.

1.     Nieudane próby nawiązania połączenia

Typowe zachowania złośliwego oprogramowania często obejmują próby nawiązania połączenia z hostami, które nie istnieją w Internecie. Mimo że niektóre nieudane próby połączeń mogą wynikać z błędu użytkownika lub transmisji na łączach, seria nieudanych połączeń może oznaczać infekcję złośliwym oprogramowaniem.

2.     Wybór aplikacji

Host instalujący aplikację do wymiany plików między użytkownikami (P2P) okazuje się bardziej niebezpieczny od hosta instalującego grę. Niektóre przedsiębiorstwa mylnie stawiają oba te ryzykowne działania na równi. Właściwa ewaluacja zagrożeń pozwala na sklasyfikowanie ryzyka w odpowiedni sposób.

3.     Położenie geograficzne

Za ryzykowne należy uznać połączenia z hostami zlokalizowanymi w określonych krajach, szczególnie jeśli obserwowany jest przy tym wzmożony ruch w sieci. Przy ocenie takiego zachowania należy uwzględnić tzw. „białą listę”, na której znajdują się zaufane serwisy internetowe z poszczególnych krajów.

4.     Informacje o sesji

Jeśli urządzenie rozpoczyna nasłuch na porcie, umożliwiający odebranie połączenia zewnętrznego, ale nie inicjuje połączenia, przyczyną takiego zachowania może być infekcja typu APT (Advanced Persistent Threat).

5.     Kategoria lokalizacji docelowej

Wizyty w określonego typu serwisach internetowych, takich jak serwisy dla hazardzistów, pornograficzne lub inne zawierające złośliwy kod, również narażają na potencjalną infekcję APT.

„Identyfikacja ryzykownego zachowania użytkowników i aplikacji stanowi kolejny krok na drodze do ochrony przed zaawansowanymi zagrożeniami o długotrwałym działaniu. Ochrona oparta na sygnaturach już nie wystarcza. Bardzo istotna jest budowa kompletnego, ewoluującego i aktualnego obrazu zachowania klientów sieciowych” — wyjaśnia Mariusz Rzepka, Territory Manager na Polskę, Ukrainę i Białoruś. „Reputacja klientów i ich klasyfikacja stanowi kluczowy element procesu strukturyzacji i identyfikacji ogromnych ilości informacji o zabezpieczeniach dostępnych w każdym przedsiębiorstwie. Poza tym pozwala wykorzystać te informacje do utworzenia dynamicznych zabezpieczeń ukierunkowanych na konkretne zagrożenia”.

  • Te i inne powiązane problemy zostały szczegółowo omówione w nowym artykule przeglądowym firmy FORTINET: “Detecting What’s Flying Under the Radar: The Importance of Client Reputation in Defending Against Advanced Threats” (Wykrywanie zagrożeń w martwym polu radaru: rola reputacji klienta w walce z zaawansowanymi zagrożeniami). Wyjątkowa funkcja dostępna w ramach rozwiązań firmy FORTINET, czyli zarządzanie reputacją klientów, która oczekuje na pozytywne rozpatrzenie wniosku patentowego, jest jedną ze sztandarowych funkcji najnowszego systemu operacyjnego FortiOS 5.

 

 



autor: Mariola Czapkiewicz

Czytaj także

Internet rzeczy a bezpieczeństwo sieci korporacyjnej

Ostatnia aktualizacja: 30.04.2013 00:00
Kilka dni temu portal NetworkWorld.com opublikował listę 25 najdziwniejszych rzeczy łączących się z Internetem. Znalazła się na niej m.in. psia obroża oraz dziecięca pieluszka wysyłająca rodzicom wiadomości sms.
rozwiń zwiń
Czytaj także

DAN - czyli platforma łączności sieciowej

Ostatnia aktualizacja: 16.05.2013 10:30
Rosnąca popularność osobistych urządzeń mobilnych (takich jak smartfony i tablety) sprawia, że organizacje mają problemy z zarządzaniem różnymi urządzeniami, które uzyskują dostęp do ich sieci i jej zasobów.
rozwiń zwiń
Czytaj także

Więcej niebezpiecznych incydentów

Ostatnia aktualizacja: 20.05.2013 12:08
CERT Polska alarmuje, że po raz pierwszy od 2005 r. wzrosła ilość najpoważniejszych incydentów w internecie, które wymagały ręcznej interwencji pracowników.
rozwiń zwiń
Czytaj także

Firma nieświadoma cyberataków

Ostatnia aktualizacja: 23.05.2013 08:18
Zdaniem ekspertów Deloitte firmy, jeżeli chcą podjąć skuteczną walkę z cyberprzestępczością, muszą przede wszystkim zidentyfikować słabe punkty w swoich systemach IT oraz aktywnie przygotowywać się na odparcie cyberataków.
rozwiń zwiń