Katalog zagrożeń, z którymi muszą się liczyć administratorzy systemów informatycznych zmienił się w ostatnich latach znacząco. Wektory ataków, przed którymi do pewnego momentu można się było zabezpieczyć przy użyciu tradycyjnego firewalla oraz ochrony antywirusowej stacji roboczych przeszły znaczącą transformację. Przestępcy dosyć szybko nauczyli się omijać tradycyjne zabezpieczenia i wypracowali techniki, dzięki którym przejęcie i inwigilacja systemu informatycznego odbywa się często w sposób niezauważony. Zagrożenia typu APT (advanced persistent threat) stały się bardzo realne. Znane i głośne przypadki ataków tego typ wykrywane zostają nieraz po miesiącach, a nieraz po latach, gdy już przestępcy wyciągną z systemów wszystkie dane.

Obrona przed tego typu zagrożeniami przy użyciu tradycyjnych narzędzi mało, że nieskuteczna, powoduje złudne poczucie bezpieczeństwa, przez co intruzi mogą prowadzić swoje działania z pełną swobodą. Brak odpowiednich alertów z systemów bezpieczeństwa powoduje, że wszystkim wydaje się, iż sieć jest bezpieczna i nie ma potrzeby przyglądać się jej dokładniej. Większość poważnych incydentów bezpieczeństwa ma miejsce nie w środowiskach, w których brak jest zabezpieczeń, a w środowiskach, gdzie istnieją nieskuteczne zabezpieczenia. Często w ramach obsługi incydentu bezpieczeństwa uruchamiane są nowe narzędzia, które momentalnie wykrywają całą gamę zagrożeń i generują dużą ilość alertów, podczas gdy obecne w sieci tradycyjne systemy antywirusowe i firewalle niczego nie widzą.

Continue…

Systemy wdrażane do ochrony infrastruktury IT, jak każde inne podatne mogą być na różnego rodzaju zagrożenia. Znane jest wiele przypadków zagrożeń związanych np. z oprogramowaniem antywirusowym. Przytoczyć tutaj możemy chociażby niedawne krytyczne błędy klasy RCE (zdalne wykonanie kodu) w usłudze Windows Defender. W samym 2017 roku zidentyfikowanych zostało 6 podatności oszacowanych na poziomie 9.3 w 10 stopniowej skali CVE.

Podobnie ma się sprawa w przypadku urządzeń typu firewall, UTM, NG firewall. Z głośniejszych wpadek przytoczyć możemy dziurę w usłudze IPsec urządzeń Cisco ASA (wersje 7.2-9.5). Oceniona na 10 w skali CVE podatność typu przepełnienie bufora prowadzić mogła w konsekwencji do zdalnego wykonania kodu.

Końcówka ubiegłego roku to z kolei równie krytyczny błąd w produktach Palo Alto Networks. Wersje PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5 oraz wcześniejsze okazały się być podatne na zdalne wykonanie kodu na prawach roota bez konieczności uwierzytelniania się. W 2017 roku zidentyfikowane zostały też dwie inne krytyczne podatności w systemach PAN-OS.

Biorąc pod uwagę powyższe informacje warto zatroszczyć się o regularne aktualizacje swoich systemów bezpieczeństwa. Poniżej prezentujemy firm instruktażowy pokazujący w jaki sposób skonfigurować aktualizacje systemu PAN-OS firmy Palo Alto Networks.