Palo Alto Networks – oręż w walce z nowymi zagrożeniami

Katalog zagrożeń, z którymi muszą się liczyć administratorzy systemów informatycznych zmienił się w ostatnich latach znacząco. Wektory ataków, przed którymi do pewnego momentu można się było zabezpieczyć przy użyciu tradycyjnego firewalla oraz ochrony antywirusowej stacji roboczych przeszły znaczącą transformację. Przestępcy dosyć szybko nauczyli się omijać tradycyjne zabezpieczenia i wypracowali techniki, dzięki którym przejęcie i inwigilacja systemu informatycznego odbywa się często w sposób niezauważony. Zagrożenia typu APT (advanced persistent threat) stały się bardzo realne. Znane i głośne przypadki ataków tego typ wykrywane zostają nieraz po miesiącach, a nieraz po latach, gdy już przestępcy wyciągną z systemów wszystkie dane.

Obrona przed tego typu zagrożeniami przy użyciu tradycyjnych narzędzi mało, że nieskuteczna, powoduje złudne poczucie bezpieczeństwa, przez co intruzi mogą prowadzić swoje działania z pełną swobodą. Brak odpowiednich alertów z systemów bezpieczeństwa powoduje, że wszystkim wydaje się, iż sieć jest bezpieczna i nie ma potrzeby przyglądać się jej dokładniej. Większość poważnych incydentów bezpieczeństwa ma miejsce nie w środowiskach, w których brak jest zabezpieczeń, a w środowiskach, gdzie istnieją nieskuteczne zabezpieczenia. Często w ramach obsługi incydentu bezpieczeństwa uruchamiane są nowe narzędzia, które momentalnie wykrywają całą gamę zagrożeń i generują dużą ilość alertów, podczas gdy obecne w sieci tradycyjne systemy antywirusowe i firewalle niczego nie widzą.

Czytaj dalej

Czy zagrażają nam cyberataki?

O cyberbezpieczeństwie, hackerach, zagrożeniach i podatnościach mówi się ostatnio coraz częściej. Pierwszą falę wzmożonego zainteresowania zagadnieniami analizy ryzyka, identyfikacji podatności i minimalizacji zagrożeń wywołało wejście w życie przepisów RODO. Od tego czasu minął już prawie rok, a bezpieczeństwo w dalszym ciągu wydaje się być jednym z popularniejszych zagadnień w branży IT. Pod koniec ubiegłego roku kolejną falę zainteresowania wzbudziła tzw. „cyberustawa”, czyli Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nie wzbudza ona co prawda takich emocji jak RODO, ponieważ obejmuje swoim zakresem jedynie dostawców usług krytycznych z punktu widzenia państwa, jednak w sektorach gospodarki związanych z energetyką, transportem czy ochroną zdrowia jest to jeden z gorętszych tematów. Warto też przypomnieć, że od 2015 roku w dalszym ciągu sektor finansów publicznych objęty jest rozporządzeniem o Krajowych Ramach Interoperacyjności, w którym to kwestiom bezpieczeństwa również poświęcono dosyć spory fragment.

Wszystkie wspomniane powyżej przepisy mówią o konieczności wdrażania systemów zarządzania bezpieczeństwem informacji, których zadaniem jest identyfikacja podatności i zagrożeń, analiza ryzyka z nimi związanego i wdrożenie planów postępowania mających na celu minimalizację owego ryzyka do akceptowalnego poziomu.

Czy zagrożenie atakami ze strony cyberprzestępców lub cyberterrorystów rzeczywiście jest tak poważne? Niestety wszystko wskazuje na to, że tak. Już jakiś czas temu NATO uznało cyberprzestrzeń za jeden z obszarów prowadzenia działań bojowych, do którego obrony Czytaj dalej

Gdy zabraknie admina, czyli co z Twoją ciągłością biznesową

Zachowanie ciągłości biznesowej, czyli zdolności do niezakłóconego realizowania głównych procesów przynoszących dochód firmie jest jednym z zadań, które często ceduje się na przedstawicieli działu IT. Ze względu na duże zaangażowanie technologi informatycznej w procesy biznesowe to dział IT wydaje się komórką najlepiej przygotowaną do tego, aby obsłużyć wszelkie nieprzewidziane sytuacje w postaci awarii sprzętu, błędów użytkownika czy świadomych działań ze strony intruzów. Czy jest to założenie słuszne? Niestety nie do końca.

Technologia jest rzeczywiście jednym z głównych czynników, które mają największy wpływ na działanie każdej organizacji i jednocześnie czynnikiem, który stosunkowo często okazuje się zawodzić. Dlatego gdy myślimy o ciągłości biznesowej w pierwszej kolejności weryfikacji podlegają rozwiązania mające na celu zapewnić działanie w przypadku awarii. Ograniczają się one najczęściej do redundancji, czyli nadmiarowości pozwalającej na nieprzerwaną pracę na wypadek uszkodzenia jednego z komponentów systemu. Kolejną kategorię zabezpieczeń stanowią systemy do backupu, które mają uodpornić środowisko na sytuacje związane z utratą danych w wyniku awarii, błędu użytkownika lub świadomego działania na naszą szkodę. Zarówno systemy do backupu, jak i rozwiązania zapewniające wysoką dostępność (HA) są czymś, bez czego dział IT nie potrafiłby spełnić swojej funkcji względem biznesu. Gdyby ich bowiem zabrakło, pierwsza lepsza awaria zakończyła by się poważnymi konsekwencjami dla osób odpowiedzialnych za utrzymanie środowiska teleinformatycznego. Czytaj dalej

Incydent bezpieczeństwa w ochronie danych osobowych

Incydent naruszenia danych osobowych – jak go obsłużyć?

Mija właśnie piąty miesiąc od wejścia w życie nowych przepisów dotyczących ochrony danych osobowych. Okres burzy medialnej związanej z RODO mamy już chyba za sobą. Powoli wszyscy przystosowali się do nowych przepisów, uzupełnili dokumentację, wdrożyli odpowiednie procedury i z mniejszym lub większym zaangażowaniem starają się je realizować. Jednym z najczęściej pojawiających się dylematów związanych z ochroną danych osobowych pozostaje jednak kwestia obsługi incydentów naruszenia ich bezpieczeństwa.

Skąd pomysł na obsługę incydentów?

Zarówno w starej Ustawie o Ochronie Danych Osobowych, jak i w nowych przepisach RODO mowa jest o konieczności prowadzenia rejestru incydentów i wdrożenia procesu prawidłowej ich obsługi. Skąd biorą się takie wymogi? Jest to zapewne pochodna norm ISO, gdzie rejestr taki pełni funkcję kontrolną pozwalającą monitorować i oceniać skuteczność systemu zarządzania bezpieczeństwem informacji. Ilość i częstotliwość pojawiania się incydentów bezpieczeństwa świadczy bowiem o tym, czy nasz system ochrony danych jest skuteczny. Pozwala też zweryfikować czy wprowadzane przez nas zabezpieczenia odnoszą skutek, czyli czy powodują, że liczba incydentów maleje. Czytaj dalej

Wymogi dla systemów informatycznych przetwarzających dane osobowe

Niewiele ponad dwa tygodnie pozostały nam do wejścia w życie nowych przepisów o ochronie danych osobowych. Przyjęte przez Parlament Europejski w kwietniu 2016 r. Ogólne Rozporządzenie o Ochronie Danych zwane u nas Rozporządzeniem o Ochronie Danych Osobowych (RODO) zacznie obowiązywać z dniem 25 maja 2018 roku.
Prawnicy aktywnie wspierają swoich klientów w dostosowaniu wymogów formalnych do nowych przepisów. Przygotowanie odpowiednich wzorów klauzul informacyjnych, pytań o zgody na przetwarzanie danych osobowych oraz umów powierzenia bądź udostępnienia danych to jednak nie wszystko. Istotne bowiem jest, aby wraz z działaniami formalno-prawnymi dostosować do nowych realiów infrastrukturę techniczną. I tutaj często pojawia się pytanie, na które prawnicy nie potrafią odpowiedzieć: „jakie wymogi musi spełniać infrastruktura IT, aby uznać ją za zgodną z zapisami RODO”? Problem ten wynika z faktu, iż w przeciwieństwie do „starej” Ustawy o Ochronie Danych Osobowych nowe regulacje nie wskazują konkretnych wymogów technicznych. W całym Rozporządzeniu pojawiają się jedynie ogólne przesłanki dotyczące bezpieczeństwa infrastruktury. Jak się zatem do nich dostosować? Postaramy się pomóc Państwu znaleźć odpowiedź na to pytanie.

Jakie zatem są te ogólne wymagania? Najwięcej na ten temat mówi Artykuł 32 RODO, w którym określono, iż administrator danych osobowych wdraża odpowiednie środki techniczne aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Zwraca się m.in. uwagę na rozwiązania takie jak:

  • Szyfrowanie danych osobowych
  • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania

Czytaj dalej

RODO, prawo do bycia zapomnianym a systemy backupu

Jak już Państwo zapewne doskonale wiecie, w dniu 25 maja 2018r. wchodzą w życie nowe przepisy o ochronie danych osobowych – tzw. RODO. Jedną ze zdefiniowanych w rozporządzeniu nowości jest przysługujące osobom, których dane przetwarzamy prawo do „bycia zapomnianym”. Definiuje je artykuł 17 RODO, którego treść jest następująca:

Artykuł 17

Prawo do usunięcia danych („prawo do bycia zapomnianym”)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Żądanie klienta, które z pozoru wydaje się proste do zrealizowania budzi jednak pewne wątpliwości. Administratorzy systemów backupu zwracają bowiem uwagę na fakt, że usunięcie pojedynczego rekordu danych osobowych z kopii archiwalnej, która jest przechowywana na zewnętrznym nośniku, czasem w zewnętrznej lokalizacji i z Czytaj dalej

Aktualizacja Palo Alto – jak i dlaczego warto ją wykonać

Systemy wdrażane do ochrony infrastruktury IT, jak każde inne podatne mogą być na różnego rodzaju zagrożenia. Znane jest wiele przypadków zagrożeń związanych np. z oprogramowaniem antywirusowym. Przytoczyć tutaj możemy chociażby niedawne krytyczne błędy klasy RCE (zdalne wykonanie kodu) w usłudze Windows Defender. W samym 2017 roku zidentyfikowanych zostało 6 podatności oszacowanych na poziomie 9.3 w 10 stopniowej skali CVE.

Podobnie ma się sprawa w przypadku urządzeń typu firewall, UTM, NG firewall. Z głośniejszych wpadek przytoczyć możemy dziurę w usłudze IPsec urządzeń Cisco ASA (wersje 7.2-9.5). Oceniona na 10 w skali CVE podatność typu przepełnienie bufora prowadzić mogła w konsekwencji do zdalnego wykonania kodu.

Końcówka ubiegłego roku to z kolei równie krytyczny błąd w produktach Palo Alto Networks. Wersje PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5 oraz wcześniejsze okazały się być podatne na zdalne wykonanie kodu na prawach roota bez konieczności uwierzytelniania się. W 2017 roku zidentyfikowane zostały też dwie inne krytyczne podatności w systemach PAN-OS.

Biorąc pod uwagę powyższe informacje warto zatroszczyć się o regularne aktualizacje swoich systemów bezpieczeństwa. Poniżej prezentujemy firm instruktażowy pokazujący w jaki sposób skonfigurować aktualizacje systemu PAN-OS firmy Palo Alto Networks.

 

 

Od zainfekowanej witryny do poważnego incydentu bezpieczeństwa – studium przypadku

Poważne wycieki danych i incydenty bezpieczeństwa niekoniecznie muszą być efektem świadomego działania intruzów wymierzonego w konkretny cel. Nie zawsze też są od razu zauważone przez ofiary ataku. Często do poważnego naruszenia bezpieczeństwa dochodzi w wyniku splotu kilku zdarzeń a jego wykrycie może być efektem dociekliwości przypadkowej osoby. Poniżej przedstawiamy zapis ciekawego dochodzenia, w wyniku którego odkryliśmy bardzo poważne zagrożenie dla danych klientów dużej firmy hostingowej.

UWAGA:
W poniższym opisie zawarte są linki do stron internetowych, które padły ofiarą ataków lub są utrzymywane przez organizacje o podejrzanej reputacji. Ich otwarcie może się wiązać z zagrożeniem.

Studium przypadku

Na jednej ze stron Internetowych utrzymywanych w AZ.pl (firma hostingowa należąca do Home.pl obsługująca w Polsce największą ilość domen wg http://top100.wht.pl/) zauważyłem podejrzane zachowanie: wpisanie adresu strony w przeglądarce powodowało przekierowanie na adres http://semanticore.com.pl/admin/dropbox/proposal/, pod którym otwierała się strona udająca Dropboxa i prosząca o zalogowanie się – klasyczny phishing. Pierwsze co mi przyszło do głowy, to że przegapiłem odnowienie domeny i ktoś ją przejął. Ale nie, domena opłacona. Loguję się więc do panelu hostingowego i sprawdzam pliki strony. Kilka z nich posiada dzisiejszą datę modyfikacji, mimo iż żadnych zmian w dniu dzisiejszym nie wprowadzałem. Strona została więc zmodyfikowana w sposób nieautoryzowany. Szybka analiza możliwych wektorów ataku: Czytaj dalej

Czy pacjenci mogą czuć się bezpiecznie? Systemy IT w służbie zdrowia celem ataków cyber-przestępców.

Służba zdrowia musi niezwłocznie wdrożyć profesjonalne rozwiązania zapewnienia bezpieczeństwa IT.

Zgodnie z obecnie obowiązującym stanem prawnym od dnia 1 sierpnia 2017 (czyli za niewiele więcej niż rok) dokumentacja medyczna będzie musiała być prowadzona wyłącznie w firmie elektronicznej.

Choć termin wejścia w życie zapisów dotyczących elektronicznych danych medycznych „Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” był już nieraz przesuwany, i tak może być i tym razem, musimy jednak liczyć się z tym, że ten moment nieuchronnie się zbliża i w końcu nastąpi.

Niewątpliwie wprowadzenie w życie postanowień Ustawy i rozporządzeń kolejnych Ministrów  Zdrowia dotyczących elektronicznej dokumentacji medycznej narzuca na cały system opieki zdrowotnej gigantyczne i bardzo odpowiedzialne zadanie wdrożeniowe. Bardzo liczę na to, że całe przedsięwzięcie zakończy się sukcesem. Konsekwencją uruchomienia systemów elektronicznej informacji medycznej będą zwiększone wymagania w zakresie bezpieczeństwa systemów informatycznych w szpitalach, przychodniach i innych placówkach związanych ochroną zdrowia.

Można wymienić kilka istotnych miejsc w medycznych systemach informatycznych, które mogą być podatne i wrażliwe na cyber-zagrożenia:

  • Bazy danych osobowych,
  • Bazy danych dotyczące stanu zdrowia pacjentów,
  • Systemy podtrzymywania życia i monitorowania stanu pacjentów,
  • Systemy HIS (Health Information Systems) w części medycznej i administracyjnej,
  • Urządzenia medyczne,
  • Pozostałe systemy, które mogą mieć wpływ na realizację kluczowych procesów.

Ottawa-Hospital

W styczniu 2016 rzecznik prasowy Szpitala w Ottawie poinformował, że 4 spośród prawie 10 tysięcy komputerów w szpitalu zostało zaatakowanych z użyciem oprogramowania ransomware. Ten typ złośliwego oprogramowania po kliknięciu na załącznik w przesyłce email, w łącze w emailu lub na stronie internetowej blokuje pliki na infekowanym komputerze. Po zapłaceniu okupu ofiara ataku otrzymuje klucz, który umożliwia ponowne otwarcie zaszyfrowanych plików. W przypadku tego ataku szpital nie zapłacił okupu, a służby informatyczne wyczyściły zawartość dysków i odtworzyły dane z użyciem kopii zapasowych. Szpital poinformował, że dane pacjentów nie były zagrożone.

Czytaj dalej

Robi się ciekawie: Brocade Communications – kolejny silny gracz na rynku rozwiązań sieciowych?

Brocade+RuckusW poniedziałek, 4 kwietnia Brocade Communications Systems ogłosił zamiar przejęcia za kwotę 1,5 miliarda dolarów firmy Ruckus Wireless. Wydaje się, że na naszych oczach powstaje kolejny silny gracz na rynku rozwiązań sieciowych, zdolny do konkurencji z takimi potęgami jak HPE i Cisco.

Widać wyraźnie, że przejęcie Aruby przez HP, o czym pisaliśmy w marcu 2015, spowodowało zmianę lidera rynku technologii sieciowych. Wskazuje na to opublikowany we wrześniu 2015 raport Gartnera, który skomentowaliśmy niedawno na naszym blogu. Oprócz czołowej pozycji HPE zwraca uwagę silne osłabienie pozycji Cisco oraz zgrupowanie wielu firm na środku wykresu w wymiarze kompletności wizji rozwiązań. W głównej grupie znajdują się też Brocade i Ruckus.

Gartner_networking_09_2015_big

W tym miejscu trzeba jednak zaznaczyć, że od pewnego czasu Gartner traktuje ofertę rozwiązań w zakresie sieci przewodowych i bezprzewodowych jako całość. Takie podejście umożliwia obiektywną ocenę kompleksowej oferty w zakresie sieci i jednocześnie osłabia pozycję producentów posiadających tylko rozwiązania LAN lub tylko rozwiązania WLAN. W tym kontekście, w najbliższym czasie należy się spodziewać silnego przesunięcia na prawo oferty Brocade-Ruckus. Jest to tym bardziej prawdopodobne, że obie firmy cechują się elastycznością i możliwościami adaptacyjnymi, które nie są właściwe dla bardzo dużych korporacji takich jak HPE lub Cisco.

O Brocade Communications
Firma Brocade została założona w 1995 roku przez Setha Neimana – byłego menedżera w Sun Microsystems oraz zawodowego kierowcy wyścigowego (!), Kumara Malavii – współautora specyfikacji protokołu Fibre Channel oraz Paula R. Bondersona menedżera z Intela i Sun Microsystems.

Obecnie Brocade Communications Systems w środowiskach IT kojarzony jest przede wszystkim z wysokiej jakości, wydajnymi rozwiązaniami dla sieci SAN. Jako lider w obszarze implementacji protokołu Fibre Channel firma sprzedaje swoje produkty zarówno poprzez własną sieć partnerów, jak też w ramach umów OEM  z głównymi dostawcami rozwiązań informatycznych takimi jak HPE, Dell, EMC, NetApp, Fujitsu, Hitachi, Huawei, IBM, Lenovo czy Oracle.
Począwszy od 2008 roku, po zakupie Foundry Networks, Brocade oferuje również szeroką gamę urządzeń dla sieci LAN i WAN. Wśród tego typu produktów można wymienić ultraszybkie przełączniki dla centrów danych, przełączniki i routery klasy enterprise, load balancery. Należy wspomnieć, że Brocade aktywnie wspiera rozwiązania wirtualizacji sieci oraz SDN (Software Defined Networking) poprzez oferowanie własnych produktów oraz uczestnictwo w Open Networking Foundation i wkład w prace nad protokołem OpenFlow.

Zapraszamy przy okazji do zapoznania się z artykułem na naszej stronie internetowej poświęconym rodzinie produktów Brocade FCS Fabric dedykowanej dla centrów danych.

O Ruckus Wireless

Ruckus jest innowacyjnym przedsiębiorstwem założonym w 2004 roku przez Williama Kisha oraz Victora Shtroma. Od momentu swojego powstania koncentruje się na dostarczaniu wewnętrznych i zewnętrznych produktów bezprzewodowych z rodziny „Smart WiFi” dla dostawców Internetu oraz przedsiębiorstw.

Jako właściciel wielu patentów w dziedzinie bezprzewodowej transmisji głosu, obrazu i danych Ruckus wniósł istotny wkład w rozwój technologii WLAN. Dzięki zastosowaniu adaptywnych matrycowych anten udało się zwiększyć zasięg i prędkość transmisji danych, ograniczyć efekty interferencyjne i przez to umożliwić transmisję wrażliwych na opóźnienia danych i usług multimedialnych z użyciem standardowego protokołu 802.11.
To właśnie Ruckus wynalazł i zaprojektował technologię matrycowych anten BeamFlex, a następnie sprzedał innym producentom licencje na używanie technologii formowania wiązki (beam forming). Technologie formowania wiązki są obecnie dostępne w punktach dostępowych wielu producentów takich jak Aruba, Cisco, Meru i innych.

W 2015 roku Ruckus był pierwszym producentem, który na długo przed innymi, zaimplementował standard 802.11ac Wave 2 w swoim punkcie dostępowym – był nim Ruckus  ZoneFlex R710. Wg danych Ruckus Wireless to urządzenie zapewnia transmisję z prędkości 800Mbps na częstotliwości 2.4GHz oraz 1733Mbps przy częstotliwości 5GHz.

Oj, będzie się działo!!!