W naszych rozmowach, prezentacjach, webinarach często pojawią się specyficzne słowa i zwroty, codziennie stosowane przez ludzi pracujących i interesujących się branżą bezpieczeństwa IT. Język branżowy nie jest niczym szczególnym. W każdej dziedzinie zawodowej tak jest, nie tylko w IT. Często zapominamy jednak, że naszymi odbiorcami są ludzie, którzy niekoniecznie dobrze czują się z daną terminologią. Dzisiaj zajmiemy się RANSOMWARE.

 

– „Panie Krzysztofie, chciałbym kupić od Was SOPHOS Intercept X, PILNIE” Jakiś czas temu tak rozpoczął rozmowę telefoniczną jeden z naszych klientów.

Oczywiście zapytałem, dlaczego tak pilnie klient potrzebuje rozwiązania specjalizującego się w zabezpieczeniu przed ransomware. Takiej odpowiedzi się nie spodziewałem.

– „Właśnie okazało się, że mamy zaszyfrowany serwer Windows 8 SE przez jakiś ransomware i chcemy go odszyfrować, codziennie w naszej klinice tracimy 10 tysięcy zł, ponieważ nie możemy pracować”.

W tym miejscu warto przypomnieć czym jest ransmoware.

Ransomware, często nazywany CryptoLocker, CryptoDefense lub CryptoWall, to rodzina złośliwego oprogramowania, która ogranicza lub nawet całkowicie blokuje użytkownikom pełny dostęp do ich komputerów. Zwykle blokuje ekran komputera lub szyfruje pliki. Najnowsze rodzaje oprogramowania ransomware, zwane crypto-ransomware, wymagają od użytkowników zapłaty określonej kwoty, aby uzyskać klucz odblokowujący.

Obecnie dominująca rodzina oprogramowania ransomware może mieć także formę fałszywego oprogramowania antywirusowego, poprzez warianty „Locker” i w końcu dostęp do powszechnie stosowanych systemowych wariantów szyfrowania plików. Każda odrębna kategoria ransomware ma wspólny cel, jakim jest wyłudzanie pieniędzy od ofiar poprzez socjotechnikę i bezpośrednie zastraszanie. Wyłudzanie pieniędzy od ofiar wykorzystuje płatności kryptowalutami, które są najbezpieczniejszą formą finansowania dla cyberprzestępców.

Wracając jeszcze do naszego klienta, który chciał wykorzystać oprogramowanie zabezpieczające przed ransomware firmy SOPHOS, czyli Intercept X do odszyfrowania serwera. Niestety, w tym momencie wspomniane rozwiązanie mogło jedynie i aż skutecznie zabezpieczyć serwery klienta przed KOLEJNYMI atakami ransomware. W przypadku już zainfekowanej maszyny możemy liczyć jedynie na to, że posiadamy skuteczny backup danych, lub o ile jest to możliwe, zapłacić okup w bitcoin’ach – co jest obarczone ryzykiem utraty danych i pieniędzy.

Jak więc zabezpieczyć się przed ransomware?

– aktualizuj systemy operacyjne i używaj oprogramowania zabezpieczającego przed szyfrowaniem, np. SOPHOS Intercept X;

– wykonuj skuteczny backup danych;

– dwa razy pomyśl w co klikasz i jakie zasoby udostępniasz innym.

 

Sophos Managed Threat Rresponse (MTR) to nowa usługa, oferowana przez SOPHOS, która oferuje skanowanie infrastuktury, w celu wyszukiwania zagrożeń bezpieczeństwa, połączone ze wsparciem zespołu inżynierów SOPHOS, którzy są w gotowości 24 godziny na dobę, 7 dni w tygodniu.

Usługa Sophos MTR oferuje to, na co z reguły firmy nie są sobie w stanie pozwolić, w ramach swojego stałego zespołu, zajmującego się infrastrukturą IT:

• proaktywne wyszukiwanie i sprawdzanie potencjalnych zagrożeń i incydentów w sieci klienta;
• wykorzystanie wszystkich dostępnych informacji, w celu określenia skali oraz poziomu zagrożenia;
• zastosowanie właściwych działań biznesowych w odniesieniu do potwierdzonych zagrożeń;
• inicjowanie akcji, mających na celu zdalne przerwanie, powstrzymanie i neutralizację zagrożeń;
• dostarczenie dodatkowych informacji na temat źródłowej przyczyny zagrożeń i wydarzeń towarzyszących.

W oparciu o technologię zastosowaną w rozwiązaniu Intercept X Advanced z EDR, Sophos MTR łączy technologię uczenia maszynowego z analizą ekspertów. Pozwala to na szybsze wykrycie zagrożeń, pogłębioną analizę alertów i dokładnie zaplanowane zadania, które pozwalają oczyścić sieć szybko i precyzyjnie. Połączenie bardzo wysoko ocenianej ochrony stacji roboczych oraz mechanizmu EDR razem ze światowej klasy ekspertami pozwoliło stworzyć coś, co nazywamy „odpowiedzią inżynierów wspomaganą uczeniem maszynowym i sztuczną inteligencją”.

Korzystając z Sophos MTR, to Ty podejmujesz decyzje i kontrolujesz jak i kiedy potencjalne incydenty są eskalowane, jakie akcje (jeśli w ogóle) zespół inżynierów powinien podjąć oraz kto powinien być poinformowany i ujęty w komunikacji.

Sophos MTR składa się z 3 modułów odpowiedzi, co pozwala Ci wybrać odpowiedni sposób postępowania z potencjalnymi zagrożeniami:

 Informowanie: informujemy o wykryciu zagrożenia i dostarczamy szczegółowych informacji w celu ustalenia priorytetu w działaniu i odpowiedzi;

Współpraca: współpracujemy z Twoim zespołem w celu określenia zewnętrznych punktów kontaktowych, aby prawidłowo odpowiedzieć na zagrożenie;

Autoryzacja: zajmujemy się neutralizacją zagrożenia i ochroną sieci, informując jednocześnie  o akcjach, które zostały podjęte.

Sophos MTR oferuje dwa poziomy usług (Standard oraz Advanced), w celu zapewnienia poziomu zarówno dla małych, jak i dużych firm i instytucji:

Sophos MTR Standard

• Potwierdzone naruszenia bezpieczeństwa lub podejrzane aktywności są blokowane, wyszukiwanie zagrożeń opiera się na analizie regularnych zdarzeń i procesów, w celu znalezienia nowych wskaźników ataku (IoA) oraz wskaźników narażenia systemu na szkody (IoC), które wcześniej nie mogły zostać wykryte;
• regularne sprawdzanie bezpieczeństwa składowych części systemu wraz z rekomendacjami dotyczącymi poprawy działania;
• raportowanie aktywności pozwala zorientować się kiedy wystąpiły szkodliwe zdarzenia, kto był ich autorem i jakie działania podjęto;
• sprawdzanie akcji, zweryfikowanych jako prawidłowe dla aplikacji systemowych – zespół inżynierów sprawdza poprawność akcji, które zostały zdiagnozowane jako prawidłowe, a mogą być tylko przykrywką do działania szkodliwego oprogramowania;

Sophos MTR Advanced

• wyszukiwanie zagrożeń odbywa się w oparciu o profil biznesowy firmy, wykorzystując dane maszynowe połączone z danymi statycznymi, profilowani są użytkownicy o wysokim zagrożeniu dla firmy;
• wykrywanie zagrożeń jest poszerzone o szczegółową telemetrię z innych rozwiązań Sophos
• proaktywne zapobieganie włamaniom i atakom wskazujące na błędy w konfiguracji sieci oraz jej architekturze;
• w przypadku potwierdzenia zagrożenia, generowany jest pojedynczy lead, który ułatwia śledzenie danego zagrożenia i sprawdzanie jego statusu;
• masz możliwość bezpośredniego telefonicznego połączenia z inżynierami Sophos, o dowolnej porze, korzystając z Security Operations Center (SOC)
• Dzięki informacjom o zasobach w sieci, obejmujących wersje systemu operacyjnego, aplikacji i podatności z nimi związane, dostarczamy cennych informacji, wykorzystywanych podczas oceny sieci oraz wskazówek dotyczących proaktywnej postawy i rekomendacji rzeczy do poprawy.

Dobre wieści płyną od producenta SOPHOS – technologia EDR (Endpoint Detection and Response), która stanowi źródło wiedzy na temat stanu infrastruktury IT (gromadzi dane z endpointów i serwerów), a w szczególności potencjalnych incydentów zagrażających jej bezpieczeństwu, została połączona z jej rozszerzoną wersją, czyli XDR (Extended Detection and Response).

Od maja br. firma Sophos ma w swojej ofercie kilka rozwiązań, które w połączeniu dają pogłębione możliwości analizy stanu poszczególnych części danej infrastruktury IT. Właśnie po to udoskonalono technologię Endpoint Detection and Response (EDR), premierę miały również Sophos Data Lake oraz Extended Detection and Response (XDR) zintegrowane z produktami firewall oraz email. Te funkcjonalności pozwalają użytkownikom na badanie historycznych zdarzeń, nawet gdy urządzenie jest w trybie offline, wykorzystywanie informacji o podejrzanej aktywności sieciowej z firewall’a do badania wątpliwych hostów, a także sprawdzanie prób ataków phishingowych. Wszystko to sprawia, że czas wykrycia potencjalnego zagrożenia przez dedykowane do tego osoby może być krótszy niż dotychczas.

Z połącznia technologii EDR z XDR oraz Sophos Data Lake skorzystają wszyscy – obecni oraz nowi użytkownicy. Od teraz Intercept X Advanced z EDR zamienia się w Intercept X Advanced z XDR, natomiast Intercept X Advanced for Servers z EDR zmieni się w Intercept X Advanced for Servers z XDR. Użytkownicy usługi Sophos MTR (Managed Threat Response) również skorzystają na tej zmianie bez dodatkowych opłat.

Wszyscy dotychczasowi użytkownicy EDR automatycznie otrzymają funkcjonalność XDR. Także standardowy czas przechowywania danych historycznych w Sophos Data Lake zostanie zwiększony z 7 do 30 dni. Klienci korzystający z EDR, którzy posiadają też Sophos Firewall lub Sophos Email będą od teraz mogli skorzystać z widoczności między produktami. To wszystko producent oferuje bez ponoszenia przez klienta dodatkowych kosztów!

 

Żródło: https://news.sophos.com/en-us/2021/07/07/integrating-sophos-edr-and-sophos-xdr-in-a-single-offering/

Artykuł dotyczy danych klienckich i ich przetwarzania w produktach SOPHOS Central, o które często pytają nas klienci. Na podstawie informacji udostępnionych przez producenta postaram się opisać jak Sophos zbiera i przetwarzają dane osobowe w oferowanych produktach Central Endpoint i Server, w tym gromadzenia, wykorzystywania i przechowywania danych osobowych.

PODSUMOWANIE PRODUKTU
Agent Sophos Central Endpoint i Server zapewnia kompleksową ochronę punktów końcowych i serwerów zarządzanych w chmurze, a także oferuje opcje wydajnego wykrywania punktów końcowych i reagowania na nie. Informacja dotyczy prywatności produktów:

Stacje robocze: Intercept X Essentials, Intercept X Advanced, Intercept X Advanced z XDR,

Servery: Intercept X Essentials for Server, Intercept X Advanced for Server oraz Intercept X Advanced for Server + XDR.

INFORMACJE PRZETWARZANE PRZEZ SOPHOS Central EndPoint i Server
Sophos przetwarza następujące typy informacji w Sophos Central i Sophos Data Lake (dostępne tylko dla klientów z modułem XDR mechanizm służy do analizy i śledzenia przypadków zagrożeń w celu odnalezienia ich źródła):

– Nazwy użytkowników
– Adresy IP
– Adresy MAC
– Szczegóły procesu i wykonane polecenia (gdzie przechwytywane są wiersze poleceń, które mogą zawierać nazwy użytkowników, hasła, klucze API i poświadczenia)
– Aplikacje
– Dodatki do przeglądarki
– Skróty plików
– Ścieżki plików
– Nazwy hostów
– Porty
– Zdarzenia i dzienniki systemowe
– adresy URL
– Adresy e-mail
Korzystając z różnych poziomów dostępu opartych na rolach, klienci mogą definiować administratorów, którzy mają dostęp do różnych funkcji i danych.

Klienci mogą kontrolować, czy przypadki zagrożeń i powiązane z nimi dane są tworzone i przechowywane w Sophos Central.

Klienci Intercept X Advanced z XDR Endpoint i Server mają możliwość włączenia przesyłania danych do Sophos Data Lake i mają elastyczność w definiowaniu dowolnego punktu końcowego i/lub urządzeń serwerowych, które powinny być wyłączone z wysyłania danych do Sophos Data Lake.

CEL PRZETWARZANIA INFORMACJI
Dane przechowywane w Sophos Central i Sophos Data Lake (dla klientów XDR) mogą być analizowane i przetwarzane przez Sophos z korzyścią dla klienta, co skutkuje wykrywaniem i reagowaniem na zagrożenia oraz zabezpieczania się przed przyszłymi próbami ataków.

Sophos przetwarza informacje określone powyżej w celu świadczenia usług na rzecz użytkownika zgodnie z Umową o świadczenie usług Sophos.

MIEJSCE PRZETWARZANIA DANYCH
Dane przetwarzane przez Sophos Central i Sophos Data Lake są hostowane w centrach danych AWS w regionie (regionach) wybranym przez klienta podczas tworzenia konta Sophos Central. W przypadku klientów z Polski wskazywane są lokalizacje w ramach Unii Europejskiej, my preferujemy serwery hostowane w Niemczech.

RETENCJA
Sophos stosuje zasady retencji aby usunąć i wyczyścić dane, które nie są już potrzebne w prowadzonych politykach bezpieczeństwa, dla którego dane osobowe zostały pierwotnie zebrane.

Dane przechowywane w Sophos Central będą przechowywane przez 90 dni, jak określono w arkuszu danych dotyczących prywatności Sophos Central.

Dane w Sophos Data Lake będą ograniczone do ostatnich 30 dni analizy danych (dostępne tylko dla klientów Intercept X Endpoint i Server XDR).

Wszystkie dane klienta znikną z systemu po zakończeniu świadczenia usługi. Po tym okresie dane zostaną trwale usunięte i nie będzie można ich odzyskać.

BEZPIECZEŃSTWO
Sophos zabezpiecza informacje o klientach, uwierzytelniając dostęp za pomocą nazwy użytkownika i hasła w oparciu o uprawnienia udostępnione z Active Directory w połączeniu z uwierzytelnianiem wieloskładnikowym.

Sophos Central i Sophos Data Lake uzyskały certyfikat SOC2 Type II oraz atest PCI DSS v3.2 w celu wykazania silnych praktyk bezpieczeństwa, zasad i środowiska kontroli wewnętrznej.

ZOBOWIĄZANIE DO PRYWATNOŚCI
Sophos zobowiązuje się do przestrzegania zasad ochrony danych i ochrony danych osobowych przetwarzanych przez Sophos Central Endpoint and Server. Sophos będzie uzyskiwać dostęp do danych w celu ulepszenia funkcji i usług, które przyniosą korzyści klientowi, a także dla innowacji w zakresie badań i rozwoju przyszłych możliwości.

DOSTĘP DO DANYCH
Dane przechowywane w Sophos Central i Sophos Data Lake są dostępne dla administratorów, którzy uzyskali dostęp do Sophos Central lub mają dostęp do interfejsów API Sophos Central.

DOSTĘP OD STRONY PRDUCENTA – SOPHOS

Inżynierowie SOPHOS monitorujący dostęp i telemetrię Sophos Central i Data Lake w celu planowania przyszłej strategii i wymagań dotyczących przewidywania, rozwoju i ulepszania produktów, rozwiązywania problemów oraz generowania statystyk i raportów.

Sophos Labs lub zespoły Sophos AI mogą uzyskiwać dostęp do danych w celu badania zagrożeń i poprawy zdolności do wykrywania nowych zagrożeń. Wyjątkiem jest przesyłanie podejrzanych plików, które mogą zawierać dane osobowe. Jeśli te pliki zostaną uznane za złośliwe, będą traktowane jako złośliwe oprogramowanie i będą blokowane globalnie w przyszłości. Jeśli te pliki nie zostaną skazane i zostaną wyczyszczone, zostaną trwale usunięte w ciągu 30 dni.

ZASTRZEŻENIE
Informacje zawarte w artykule przygotowane są na podstawie danych dostępnych przez producenta SOPHOS, mogą ulec zmianie w dowolnym momencie i służą jedynie ogólnej świadomości. Artykuł nie stanowi porady prawnej, gwarancji przydatności do określonego celu ani zgodności z wszelkimi obowiązującymi przepisami.

więcej:

https://www.sophos.com/en-us/legal/product-privacy-info.aspx#SophosCentralEndpoint

W naszych rozmowach, prezentacjach, webinarach często pojawią się specyficzne słowa i zwroty, codziennie stosowane przez ludzi pracujących i interesujących się branżą bezpieczeństwa IT. Język branżowy nie jest niczym szczególnym. W każdej dziedzinie zawodowej tak jest, nie tylko w IT. Często zapominamy jednak, że naszymi odbiorcami przekazów są ludzie, którzy niekoniecznie dobrze czują się z daną terminologią.

– „Panie Krzyśku, co to za zwierzątko ten malware?”. W trakcie jednej z ostatnich rozmów padło pytanie od uczestnika spotkania.

Dlatego postanowiliśmy uruchomić na blogu coś w rodzaju poradnika. Będziemy próbowali się zmierzyć z wyzwaniem i tłumaczyć teoretycznie dla nas oczywiste rzeczy na język bardziej zrozumiały.

Zacznijmy więc od pytania o „MALWARE”
– „Co to za zwierzątko?”  Pytanie powinno brzmieć: „Co to za rodzina zwierząt?”

Bo malware jest określeniem dla szeregu różnych grup i rodzajów oprogramowania złośliwego i szkodliwego. Określenie malware to ogólny termin dla tego typu zagrożeń, które występują w środowisku informatycznym: komputery, serwery, aparaty telefoniczne z systemami operacyjnymi – smartfony. Terminu malware często używamy do opisania wszelkich zagrożeń komputerowych, w tym trojanów, robaków i wirusów komputerowych.

Podsumowując – słowo „malware” to słowo typu „wytrych” do określenia złośliwego oprogramowania.

Skutecznym rozwiązaniem do walki z tego typu zagrożeniami są systemy antywirusowe. W chwili obecnej najbardziej popularne rozwiązania klasy EndPoint oferują szereg narzędzi do zapobiegania i eliminacji zagrożeń. Zawsze pamiętaj o stosowaniu odpowiednich zabezpieczeń, aktualizacji systemów i oprogramowania oraz zdrowym rozsądku.

Czy znasz jakiś zwrot z branży bezpieczeństwa IT, którego nie rozumiesz i chciałbyś znaleźć tutaj odpowiedź?

Jeśli tak, to napisz w komentarzu na naszym profilu na Facebooku :)

Wraz z producentem rozwiązania do tworzenia kopii zapasowych NAKIVO zachęcamy do zgłaszania chęci udziału w dedykowanym live demo produktu. Oprócz szczegółowej wiedzy na temat produktu, otrzymasz voucher o wartości $25 do wykorzystania w Amazon. Akcja potrwa do 30 czerwca 2021 r.

Ilość voucherów jest ograniczona, dlatego nie zwlekaj z umówieniem wspólnej sesji demonstracyjnej z Sun Capital oraz przedstawicielem NAKIVO – dopasujemy się do Ciebie. W czasie sesji dowiesz się, co NAKIVO Backup & Replication może zrobić dla Twojego biznesu i ochrony danych.

Podczas 30-minutowej BEZPŁATNEJ sesji demonstracyjnej możesz:

• zobaczyć możliwości NAKIVO Backup & Replication w akcji;
• dowiedzieć się, jak rozwiązanie radzi sobie z obecnymi wyzwaniami biznesowymi i pojawiającymi się zagrożeniami;
• dowiedzieć się, dlaczego NAKIVO Backup & Replication jest odpowiedni dla Twojej firmy;
• dowiedzieć się wszystkiego o specjalnych możliwościach wymiany;
• poprosić o bezpłatną pomoc inżyniera NAKIVO przy wdrożeniu i konfiguracji rozwiązania;
• zadać pytania dot. produktu ekspertowi NAKIVO.

WYBIERZ TERMIN TUTAJ tylko do 30.06.2021 r.

Zapraszamy!