По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
По статистике, в данный момент более 90% всех заражений происходят по электронной почте. Цифра кажется безумной только на первый взгляд, но, я уверен, вы также открывали множество ссылок и писем просто на полном автомате, или же даже по причине любопытства.
Давайте сначала разберем возможные способы атаки через электронную почту, а затем рассмотрим способы борьбы со злоумышленниками.
Способы и средства атаки
В общем и целом, атаки на электронную почту можно условно разделить на целевые (spear-phishing) и на атаки массового поражения.
В первом случае письмо приходит вам от доверенного человека, чаще всего даже вашего начальника и родственника, и там используется какой-либо посыл для того, чтобы вы открыли файл или же перешли по ссылке. Очевидно, что 99,99% людей попадутся на этот крючок, т.к такие письма ничем не вызывают подозрения - ни доменом, ни смыслом написанного, ни типом вложения. Все выглядит ровно так, как в тысяче других уже открытых прежде вами писем. Но есть нюанс - чаще всего для повышения открываемости таких писем используются психологические приемы. К числу таких приемов относятся призывы к срочности, помощи или жажде наживы, так что если письмо отличается от большинства прочих письма от вашего знакомого/начальника - будьте внимательны.
Во втором случае злоумышленники просто массово рассылают письмо с вредоносной ссылкой или вредоносным файлом, причем зачастую это выглядит как запароленный архив и сам пароль в тексте письма. С такими письмами бороться не в пример проще программно-аппаратными методами, но и ложными фишинговыми рассылками по вашей компании, чтобы бы сразу стал понятен список пользователей, которые склонны открывать такие письма.
По сути, отдельно также можно упомянуть обычный спам, который, казалось бы, совершенно безопасен. Но давайте обратимся к обычной математике: в день сотрудник тратит 30 секунд на удаление/прочтение спам-писем, а в компании 5000 сотрудников. Это значит, что сотрудники тратят в день практически 42 часа на борьбу со спамом. Нехило, да?
Способы и средства защиты
Давайте попробуем проанализировать сказанное выше и подумать, как можно защититься от такого добра, и для анализа возьмем второй сценарий с массовым фишингом.
Для начала нужно проверить домен на его наличие в различным репутационных списках
Оценить домен с помощью Защита вашего e-mail происходит с помощью специальной многоуровневой фильтрации, которая уже выполняет проверку отправляющего сервера на основе представленных данных SPF, DMARC, DKIM;
Оценить вложения на предмет их "злокачественности", то есть прогнать через антивирусные движки и при необходимости "обезвредить" - то есть преобразовать файлы с макросами в pdf формат и пометить письмо как подозрительное;
Отправить вложения в песочницу, если они поступили из странного источника и не отдавать письмо пользователю до получения вердикта;
Проверить ссылки в письме и открыть их через прокси-сервер, для определения точного сайта;
Оценить изображения в письме на предмет спама/вредоносов;
Сравнить содержимое письма с теми шаблонами вредоносных рассылок, которые происходят в мире в данный момент;
SPF - представлен в роли расширения для протокола SMTP. С помощью него возможно проверить подлинность домена отправителя; DMARC - является технической спецификацией, предназначенной для защиты электронной почты от спама и фишинговых писем; DKIM - цифровая подпись. Письмо отправленной из обслуживаемого домена присваивает себе такую подпись;
Использование этих технологий позволяет вам быть уверенным в двух вещах: ваш почтовый домен никто не спуфит, и что отправитель - это легитимный товарищ;
К сожалению, даже эти 7 шагов не являются панацеей, хотя их и можно выполнять автоматически с помощью специализированных решений, вроде Barracuda, Cisco ESA, FortiMail и пр. Касперских.
Кроме того, нужно быть уверенным, что:
Учетные записи не были скомпрометированы;
Ваша почтовый сервер не упадет от DDoS атаки;
Ваши сотрудники используют VPN для доступа к вашему почтовому серверу;
У всех сотрудников установлен антивирус на рабочих станциях;
Вы используете надежное и современное решение по защите почты, а именно - почтовую прокси, к примеру одну из перечисленных выше;
Вы постоянно проводите обучение ваших сотрудников азам ИБ и возможных типов атак с помощью электронной почты;
Вы шифруете исходящую и входящую почту с помощью PGP-ключей;
Обсудим некоторые особенности защиты E-mail от Google, Yandex, Mail.ru
Когда вы используете корпоративную почту от одного из известных IT-гигантов, вы уже оказываетесь защищены многослойной системой безопасностью. Но есть большое "но" - а именно тот факт, что вы не можете тюнинговать эту защиту именно под специфику вашей организации (если не говорить про защиту O365 от Microsoft).
Кроме того, двухфакторная аутентификация также является важной функцией, и все значимые представители облачных почтовых служб дают вам такой функционал. К примеру, Яндекс.Почта имеет двухэтапную систему аутентификации пользователей, а сервис Gmail обеспечивает защиту с помощью токен-ключа. Это может означать только одно, если же вы потеряли свой пароль, то злоумышленник никак не сможет получить доступ к вашей электронной почте без специального кода, пришедшего вам на SMS.
Основной причиной серьезных атак является предоставление доступа к таким активам, которые не должен быть открыты для всех.
Одной из цифровых инфраструктур, где часто встречаются проблемы с безопасностью является Kubernetes. "Облачное" программное обеспечение, развернутое на устаревших центрах обработки данных, требует от конечных пользователей и администраторов своевременного обнаружения и устранения некорректных настроек, в виде предоставление привилегий высокого уровня программам и людям, которым они вовсе не нужны.
IBM Study пришла к выводу, что в 95% случаям нарушения безопасности, которые они исследовали, содействовали или были вызваны человеческими ошибками, в том числе и разработчиками программного обеспечения. Остальные же были, главным образом, из-за технической оплошности.
В последующих исследованиях, касающихся нарушений безопасности, также приводились аналогичные выводы с цифровыми инструментами всех видов.
В Kubernetes привилегии часто предоставляются с помощью ролевых средств управления доступом. Он может ошибочно разрешить административные разрешения для всего кластера, даже если это не требуется. Тот факт, что Kubernetes может включать крупномасштабные и автоматизированные разрешения на инфраструктуру, также создает почву для атаки на контейнеры, приложения и злоупотребления разрешениями.
Проблемы также включают множество встроенных функций безопасности, но не все они включены в инструменте по умолчанию. Поскольку Kubernetes способствует быстрому развертыванию и разработке приложений, управление может помешать быстрому развертыванию инфраструктуры.
После окончательного развертывания приложений, делая их доступными для пользователей, неверно сделанные конфигурации безопасности увеличивают возможные риски.
Стратегии безопасности для облачных инструментов
Для защиты облачных средств с помощью контейнеров необходима другая стратегия, отличная от стратегии, используемой для устаревших инфраструктурных систем. С ростом внедрения облачных инструментов существуют два подхода к обеспечению безопасности, главным образом, Kubernetes-ориентированный и контейнерный.
В ориентированном на контейнеры подходе к обеспечению безопасности основное внимание уделяется обеспечению безопасности среды выполнения контейнеров и образов. Для управления связью между контейнерами используются такие методы управления, как shim специально написанный интерфейс и встроенные прокси-серверы.
С другой стороны, подход, ориентированный на Kubernetes, использует встроенную масштабируемость и гибкость Kubernetes. Она работает на уровнях Kubernetes и продвигает свои принудительные политики. Следовательно, вы должны позволить ему контролировать как вашу инфраструктуру, так и безопасность.
Что делает встроенное средство безопасности Kubernetes?
Характеристики, которые делают средство безопасности Kubernetes-ориентированным или Kubernetes-native, представляют собой сочетание того, что они выполняют и как. Во-первых, необходимо интегрировать инфраструктуру и рабочие нагрузки с API Kubernetes и оценить уязвимости.
Убедитесь, что функции безопасности основаны на ресурсах Kubernetes, включая службы, развертывания, модули и пространства имен. Также необходимо использовать встроенные функции безопасности Kubernetes. Такая глубокая интеграция охватывает все аспекты среды Kubernetes, включая управление уязвимостями, управление конфигурацией, сегментацию сети, реагирование на инциденты, соответствие нормативным требованиям и обнаружение угроз.
Почему инструменты, ориентированные на Kubernetes, превосходят контейнеры?
Платформы безопасности, ориентированные на Kubernetes, считаются превосходными, если вы работаете с контейнерами. Причину можно сформулировать тремя способами.
Во-первых, они обеспечивают лучшую защиту с помощью богатого понимания принципов работы контейнеров и самого Kubernetes. Они также используют декларативные данные для контекстуализации рисков и информирования о них.
Во-вторых, платформы безопасности Kubernetes обеспечивают повышенную операционную эффективность, что позволяет быстро обнаруживать угрозы, а также оценивать риски на приоритетном уровне. Он позволяет всем членам вашей команды находиться на одной странице для устранения неполадок и более быстрой работы.
В-третьих, ваш операционный риск может быть снижен с помощью встроенных средств управления Kubernetes, облегчающих масштабируемость и адаптируемость. Кроме того, между оркестратором и внешними элементами управления не может возникнуть никакого конфликта.
Таким образом, собственные возможности Kubernetes в области безопасности могут лучше защитить контейнерные экосистемы. Если вашим специалистам по безопасности инфраструктуры и DevOps удается использовать весь потенциал этих инструментов, вы можете продолжать обнаруживать угрозы и останавливать их, когда у вас есть время.
Port Forwarding – или проброс портов, который также иногда называемый перенаправлением портов или туннелированием – это процесс пересылки трафика, адресованного конкретному сетевому порту с одного сетевого узла на другой. Этот метод позволяет внешнему пользователю достичь порта на частном IPv4-адресе (внутри локальной сети) извне, через маршрутизатор с поддержкой NAT.
Обычно peer-to-peer (p2p) программы и операции обмена файлами, такие как веб-сервер и FTP, требуют, чтобы порты маршрутизаторов были перенаправлены или открыты, чтобы позволить этим приложениям работать.
Поскольку NAT скрывает внутренние адреса, p2p работает только в ситуации где соединение идет изнутри наружу, где NAT может сопоставлять исходящие запросы с входящими ответами.
Проблема в том, что NAT не разрешает запросы, инициированные извне, но эту ситуацию можно решить с помощью перенаправления портов. Проброс портов может быть настроен для определенных портов, которые могут быть перенаправлены внутренним хостам.
Напомним, что программные приложения в интернете взаимодействуют с пользовательскими портами, которые должны быть открыты или доступны для этих приложений. В различных приложениях используются разные порты. Например, HTTP работает через well-known порт 80. Когда кто-то набирает адрес wiki.merionet.ru то браузер отображает главную страницу нашей базы знаний. Обратите внимание, что им не нужно указывать номер порта HTTP для запроса страницы, потому что приложение принимает порт 80. Если требуется другой номер порта, его можно добавить к URL-адресу, разделенному двоеточием (:). Например, если веб-сервер слушает порт 8080, пользователь вводит http://www.example.com:8080.
Проброс портов позволяет пользователям в интернете получать доступ к внутренним серверам с помощью адреса порта WAN маршрутизатора и соответствующего номера внешнего порта. Внутренние серверы обычно конфигурируются с частными адресами IPv4 и когда запрос отправляется на адрес порта WAN через Интернет, маршрутизатор перенаправляет запрос на соответствующий сервер в локальной сети. По соображениям безопасности широкополосные маршрутизаторы по умолчанию не разрешают перенаправление любого внешнего сетевого запроса на внутренний хост.
Пример с ”домашним” роутером
На схеме показан пример, когда проброс портов выполнятся при помощи домашнего SOHO (small office/home office) роутера. Переадресация портов может быть включена для приложений при помощи указания внутреннего локального адреса. Пользователь в интернете вводит адрес //wiki.merionet.ru, который соответствует внешнему адресу 212.193.249.136 и пакет попадает на маршрутизатор, который перенаправляет HTTP-запрос на внутренний веб-сервер по адресу IPv4 192.168.1.10, используя номер порта по умолчанию 80.
Можно указать порт, отличный от порта 80 по умолчанию. Тем не менее, внешний пользователь должен знать конкретный номер порта для использования. Подход, используемый для настройки перенаправления портов, зависит от марки и модели маршрутизатора.
Настройка проброса порта
Реализация перенаправления (проброса) портов с помощью команд IOS аналогична командам, используемым для настройки статического NAT. Переадресация портов - это, по существу, статическая трансляция NAT с указанным номером TCP или UDP-порта.
В общем виде основная команда выглядит так:
ip nat inside source {static{tcp | udp local-ip local-port global-ip global-port} [extendable]
где:
tcp или udp – указывает это tcp или udp порт;
local-ip – это ip адрес присвоенный хосту внутри сети;
local-port – устанавливает локальный tcp/udp порт в диапазоне от 1 до 65535. Это номер порта, который слушает сервер;
global-ip – это уникальный глобальный IP адрес внутреннего хоста, по которому клиенты в интернете будут связываться с ним;
global-port – устанавливает глобальный tcp/udp порт в диапазоне от 1 до 65535. Это номер порта снаружи, по которому будут связываться клиенты;
extendable – эта опция применяется автоматически. Она разрешает пользователю настраивать двойственные статические трансляции, если они идут на один и тот же адрес;
Пример настройки:
Router(config)#Ip nat inside source static tcp 192.168.1.10 80 212.193.249.136:8080
Router(config)# interface serial0/0/0
Router(config-if)# ip nat outside
Router(config)# interface serial0/0/1
Router(config-if)# ip nat inside
Показана настройка для данной схемы, где 192.168.1.10 - внутренний локальный адрес IPv4 веб-сервера, прослушивающий порт 80. Пользователи получат доступ к этому внутреннему веб-серверу, используя глобальный IP-адрес 212.193.249.136:, глобальный уникальный публичный IPv4-адрес. В этом случае это адрес интерфейса Serial 0/0/1. Глобальный порт настроен как 8080. Это будет порт назначения, вместе с глобальным адресом 212.193.249.136 для доступа к внутреннему веб-серверу. Как и другие типы NAT, перенаправление портов требует конфигурации как внутренних, так и внешних NAT-интерфейсов.
Подобно статическому NAT, команда show ip nat translations может использоваться для проверки переадресации портов.
Router# show ip nat translations
Pro Inside Global Inside Local Outside local Outside global
tcp 212.193.249.136:8080 192.168.1.10:80 212.193.249.17:46088 212.193.249.17:46088
tcp 212.193.249.136:8080 192.168.1.10:80 --- ---