A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette Az izraeli felsőoktatási és technológiai szektorokat célozták meg a pusztító jellegű kibertámadások, amelyek 2023 januárjában kezdődtek azzal a szándékkal, hogy ismeretlen törlő kártevőket telepítsenek. A Palo Alto Networks Unit 42 a három kampányt 2023 augusztusában az ellenséges kollektívának tulajdonította, elsősorban a Dél-Csendes-óceáni szervezeteket megcélzó kampányokra összpontosítva. “A kampányok legitim szoftvereket használtak fel, többek között a Solid PDF Creator-t és a SmadavProtect-et (egy indonéz alapú antivírus megoldást), hogy rosszindulatú fájlokat töltsenek fel,” mondta a cég. “A fenyegetés szerzői kreatívan konfigurálták a kártékony szoftvert, hogy az legitim Microsoft forgalmat szimuláljon a parancs-és-vezérlés (C2) kapcsolatokhoz.” A Mustang Panda, amelyet Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven is követnek, egy kínai fejlett állandó fenyegetést (APT) jelent, amely legalább 2012 óta aktív, kiberspionázs kampányokat szervez nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen Észak-Amerikában, Európában és Ázsiában. 2023 szeptemberének végén a Unit 42 szintén az említett fenyegető szereplőt tette felelőssé egy név nélküli délkelet-ázsiai kormány ellen irányuló támadásokért, amelyek a TONESHELL nevű hátsó ajtó egy változatát terjesztették. A legújabb kampányok dárda-phishing e-maileket használnak rosszindulatú ZIP archívum fájl szállítására, amely egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaz, amelyet egy DLL oldalbetöltési technikával indítanak el. A DLL ezután kapcsolatot létesít egy távoli szerverrel. Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitás valószínűleg egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között került kompromittálásra. A SmadavProtect használata ismert taktika, amelyet a Mustang Panda az elmúlt hónapokban alkalmazott, kifejezetten a biztonsági megoldás kijátszására tervezett kártékony szoftvereket telepítve. “Állami Taurus továbbra is bizonyítja képességét az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók. “Ezek a műveletek globálisan különböző entitásokat céloznak meg, amelyek összhangban vannak a kínai kormány geopolitikai érdeklődési körével.” A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, a Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg, ismert szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül, mint például az OpenVPN. “Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. “A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli Fenyegető Szereplő (TA) felé.” Iránból indult pusztító kibertámadások sújtották az izraeli technológiai és oktatási szektort” Az izraeli felsőoktatási és technológiai szektorok egy sor pusztító kibertámadás célpontjaivá váltak, amelyek 2023 januárjában kezdődtek, céljuk pedig az volt, hogy eddig ismeretlen törlő vírusokat telepítsenek. Az októberben felfedezett behatolások egy iráni állami hackercsoport művei, amelyet Agonizing Serpensként azonosítottak; ismert még Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven is.
“A támadások fő jellemzője a személyazonosító információk (PII) és szellemi tulajdonok ellopásának kísérlete volt,” közölte a Palo Alto Networks Unit 42 egy friss, a The Hacker News-szal megosztott jelentésében. “A támadók az információk megszerzése után többféle törlő szoftvert telepítettek annak érdekében, hogy eltüntessék a nyomokat és használhatatlanná tegyék a fertőzött végpontokat.”
Ezek közé tartozik három különböző, újszerű törlő program: a MultiLayer, a PartialWasher és a BFG Agonizer, valamint a Sqlextractor nevű egyedi eszköz, amelyet adatbázis-szerverek adatainak kinyerésére fejlesztettek. Az 2020 decemberében aktív Agonizing Serpens csoportot izraeli célpontok elleni törlő vírusokkal végrehajtott támadásokkal hozták kapcsolatba. Májusban a Check Point részletezte, hogy a támadók a Moneybird nevű zsarolóvírust használták az ország elleni támadásaik során. A legfrissebb támadássorozat során a hackerek az internetre kapcsolt sebezhető webszervereket használták fel az elsődleges hozzáférési pontként, webhéjak telepítésére, a célhálózat feltérképezésére és olyan felhasználók hitelesítő adatainak megszerzésére, akik rendszergazdai jogosultságokkal bírtak. Ezt követően oldalirányú mozgást végezve exfiltrálták az adatokat különféle nyilvános és egyedi eszközökkel, mint például a Sqlextractor, a WinSCP és a PuTTY segítségével, majd telepítették a törlő vírusokat. A MultiLayer egy .NET alapú vírus, amely fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, így nehezítve meg a helyreállítást, és a rendszerindító szektor törlésével használhatatlanná teszi a rendszert. A PartialWasher egy C++ alapú vírus, amely merevlemezeket vizsgál és bizonyos mappákat, valamint azok almappáit törli. A BFG Agonizer egy olyan vírus, amely egy CRYLINE-v5.0 nevű nyílt forráskódú projektre támaszkodik. Az Agrius és további kártevőcsaládok közötti kód átfedések arra utalnak, hogy a csoport az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is alkalmazta korábban.
“Úgy tűnik, az Agonizing Serpens APT csoport nemrég fokozta képességeit és jelentős erőfeszítéseket, illetve forrásokat fordított az EDR és egyéb biztonsági intézkedések kijátszására,” állítják a Unit 42 kutatói. “E célból váltakozva használtak különböző, jól ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű eszközöket.”
Forrás: www.thehackernews.com Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

 

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat. Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott. A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is. Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben. Forrás: telex.hu A WinRAR-nak nincs automatikus frissítési funkciója, amely különösen kedvez a látszólag állami támogatású hackereknek, mert egy ismert hibát tudnak kihasználni ebben a népszerű programban. Sok felhasználó nem telepíti a szükséges javításokat, ami a program egy konkrét sérülékenységének terjedéséhez vezet – állapította meg a Google. A vállalat most figyelmezteti a felhasználókat, hogy “számos állami támogatású hackercsoport” ezt a CVE-2023-3883 kódnevű hibát használja malware terjesztésre. “A WinRAR hibájának széles körű kihasználása rámutat arra, hogy még akkor is gyakran érik támadások az ismert sebezhetőségeket, ha létezik rá javítás” – írja a Google blogbejegyzésében. Habár a WinRAR a hibát már javította augusztus 2-án a 6.23-as verziójában, a hackerek április óta kihasználják. Mivel nincs automatikus frissítési lehetőség, a felhasználóknak maguknak kell letölteniük és telepíteniük a frissítéseket a WinRAR weboldaláról. “A javítás elérhető, de még sok felhasználó marad sebezhető” – hangsúlyozza a Google. A vállalat rávilágított, hogy több állami támogatású hackercsoport, köztük az orosz “Sandworm”, kihasználja a hibát. A Google egy olyan phishing e-mailt is azonosított, amely úgy tűnt, mintha egy ukrán drónháborús képző iskolától érkezett volna, és kifejezetten ukrán felhasználókat célozott meg. Az e-mail egy linket tartalmazott a fex[.]net nevű fájlmegosztóhoz, melyben egy álcázott PDF dokumentum és egy rosszindulatú ZIP fájl volt, amely a CVE-2023-3883 hibát használta ki – tette hozzá a Google. Egy dokumentum megnyitása a ZIP fájlon belül egy “infostealer” nevű kártevőt aktivál, amely képes ellopni a bejelentkezési adatokat. Egy másik esetben egy “Fancy Bear” nevű orosz hackercsoport phishing oldalt hozott létre, hogy rávegye az ukrán felhasználókat egy ZIP fájl letöltésére, ami szintén a WinRAR hibát használja ki. “Az álcázott dokumentum egy meghívó volt a Razumkov Központ eseményére, egy közpolitikai gondolkodó műhelyből Ukrajnában” – említi a Google. Kínai hackerek is élték a hibával. Egy APT40 nevű csoport indított egy phishing támadást Pápua Új-Guinea felhasználói ellen. “Az e-mailekben egy Dropbox link volt egy ZIP archívumhoz, mely a CVE-2023-3883 kihasználást, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmazott” – tájékoztat a Google. Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat. “Ezek a támadások, melyek a WinRAR hibáját célozzák meg, rámutatnak a frissítések jelentőségére és arra, hogy még sok a teendő a felhasználók számára, hogy szoftvereiket naprakészen és biztonságosan tartsák” – állítja. Megkerestük a WinRAR-t annak érdekében, hogy kiderítsük, terveznek-e automatikus frissítési funkciót bevezetni, és frissíteni fogjuk a cikket, ha választ kapunk. Addig is érdemes megemlíteni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.   Norvégia betiltaná a Facebook viselkedésalapú reklámozását Európában Mielőtt a Meta belekezdhetett volna a felhasználók engedélyének kérésébe, Norvégia az Európai Adatvédelmi Testülethez (EDPB) fordult azzal a javaslattal, hogy tiltsák be a Meta felhasználói adatok gyűjtését a Facebookon és az Instagramon reklámozás céljából. A cél az, hogy ez a tilalom egész Európában érvényesüljön. A skandináv ország Adatvédelmi Hatósága, a Datatilsynet, eddig megakadályozta a Facebook anyavállalatát, a Metát az állampolgáraik adatainak gyűjtésében, fenyegetve őket napi egymillió koronás (körülbelül 94 000 dollár) bírsággal, amennyiben nem tesznek eleget a követelményeknek. Augusztusban közölték, hogy a Meta nem működik együtt, ezért napi bírságokat róttak ki rájuk. A korlátozást, amelyet júliusban vezettek be és mely büntetést eredményezett, november 3-án vonják vissza. Ebből ered Norvégia “kötelező döntés” iránti kérésének indoka. A júliusi korlátozást az Európai Unió Bíróságának az azt megelőző hónapban hozott ítélete alapján vezették be. Ebben az ítéletben kifejtették, hogy a Meta adatfeldolgozási tevékenysége során védett adatokat is gyűjtött, amikor viselkedésalapú hirdetéseket készített. Bár Norvégia nem EU-tag, az európai egységes piacnak részese. Az EU legfelsőbb bíróságának, a CJEU-nak a feladata az európai szerződéseknek megfelelő jogalkalmazás és értelmezés biztosítása, beleértve a Norvégiára vonatkozó rendelkezéseket, valamint az EU által elfogadott jogszabályok egységes alkalmazásának garantálása. A Datatilsynet szerint az amerikai cég által végzett adatfeldolgozás a GDPR-ral ellentétes. A Meta korábban azt állította, hogy rendelkeznek a felhasználók hozzájárulásával a célzott hirdetésekhez, mivel a felhasználók elfogadták az ÁSZF-et regisztráláskor. Azonban a CJEU ezt az érvet elutasította. Ezen a héten a Datatilsynet így nyilatkozott: „Úgy gondoljuk, hogy ideiglenes tilalmunkat állandóvá kellene tenni. Emellett úgy véljük, hogy a GDPR-t egységesen kell értelmezni az EU/EGT területén, és kérjük, hogy a tilalom az egész kontinensen legyen érvényes.” A Meta vitatja az ügyet és az EDPB-hez való benyújtását. A Datatilsynet szerint a vállalat többek között úgy véli, hogy a norvég DPA döntése érvénytelen és nincs jogalapja egy kötelező döntés kérésére az EDPB-től. A Meta már évek óta szembenéz GDPR-rel kapcsolatos perekkel Európában és az Egyesült Királyságban. Múlt hónapban bejelentették, hogy kifejezett hozzájárulást kérnek az EU, az EGT és Svájc polgáraitól, mielőtt adataikat személyre szabott hirdetésekhez használnák. A Facebook anyavállalatának szóvivője elmondta, hogy “meglepetten” értesült a norvég hatóság intézkedéseiről, tekintettel arra, hogy a Meta már elköteleződött az EU/EGT területén történő reklámozás jogalapjának módosítása mellett. Hozzátette: “Folyamatosan egyeztetünk a releváns adatvédelmi hatóságokkal az Írországi Adatvédelmi Bizottság révén, és hamarosan további információkat közlünk.” Az Egyesült Királyság hiányzik a listáról, ahol a Meta a “hozzájárulás” alapján működik, annak ellenére, hogy az előírások nagyjából megegyeznek az UK GDPR-rel. A brit kormány éppen azon dolgozik, hogy helyettesítse az EU jogszabályt – mely még mindig az Egyesült Királyság jogrendjének része az Adatvédelmi Törvény alapján – az Adatvédelmi és Digitális Információ törvényével. A norvég Datatilsynet szóvivője elmondta, hogy sürgősen várnak a Meta által ígért módosításokra, de egyelőre nem kaptak részletes tájékoztatást ezekről a változtatásokról. Forrás: www.theregister.com

Mit jelent valójában a “valós idejű” az adatelemzésben?

A valós idejű adatelemzés rejtélyének megfejtése: Az értelmezések, kategóriák és stratégiák megértése az adatvezérelt kor rejtett értékeinek feltárásához. Vajon egy elemzési válasz, mely 300 ezredmásodpercen belül érkezik az előző napon generált adatokra, valós idejűnek számít-e? A mai gyorsan változó digitális világban a valós idejű adatelemzés fogalma egyre elterjedtebb és elengedhetetlen az üzleti siker érdekében. Viszont sok a félreértés a “valós idejű” kifejezés valódi jelentését illetően. A valós idejű adatelemzésről szóló beszélgetések során az értelmezések megértése létfontosságú annak érdekében, hogy kiaknázzuk a valós idejű elemzés adta lehetőségeket az adatvezérelt korban. Javaslatom a következő: szükség van a teljes körű valós idejű adatelemzés és az előkészített adatok gyors válaszreakciójának elkülönítésére. A válaszlatencia az az idő, amely alatt egy rendszer feldolgozza a kérést vagy lekérdezést, és válaszol rá. A teljes körű valós idejű adatelemzés adataink generálásától az elemzésig tartó időt foglalja magában, amely az adatok szállítására, transzformálására és előkészítésére is kiterjed.

Alacsony késleltetésű valós idejű adatelemzés

Ez a kategória a válaszlatenciát az alábbiak szerint határozza meg:

Teljes körű valós idejű adatelemzés

Ez a kategória az adatok forrásból történő feldolgozását foglalja magában, nem csak egy már előkészített adatra adott választ: Forrás: insidebigdata.com

5 adatbiztonsági trend, amire 2023-ban és utána figyelünk

Ahogy a technológia folyamatosan fejlődik, úgy nőnek az adatbiztonsági fenyegetések is. 2023-ban a szervezeteknek előre aktívan meg kell védeniük érzékeny adataikat és navigálniuk kell a növekvő kiberbiztonsági kockázatok között. Mint vezető ITAD-szolgáltató, az adatbiztonság a legfőbb prioritásunk. Öt trendet tekintünk át az adatbiztonság terén 2023-ra, amelyek túlmennek az alapvető szoftverfrissítéseken, az elavult rendszerek naplemente előtti leállításán és a hardverek frissítésén.

Mesterséges Intelligencia és Gépi Tanulás

A fejlett mesterséges intelligencia (AI) és gépi tanulási algoritmusok képesek a kiberbiztonság javítására a gyanús viselkedések és minták észlelésével, valamint potenciális kockázatok előrejelzésével. A prediktív technológiák alkalmazásával az AI megtanulja felismerni a viselkedéseket, hogy eldöntse, jelentenek-e fenyegetést, és megtévő lépéseket vagy értesíti az érintett feleket.

Biometrikus Azonosítás Növekvő Használata

A biometrikus azonosítási módszerek, mint az arcfelismerés és az ujjlenyomat-szkennelés, egyre népszerűbbek az emberek azonosításához hardveres és szoftveres bejelentkezéskor. A biometriák magasabb biztonsági szintet kínálnak a hagyományos jelszavaknál, amelyeket könnyen ki lehet találni vagy el lehet lopni. A biometrikus módszerek a felhasználók számára is kényelmesebbek, így nem kell emlékezniük bonyolult jelszavakra vagy foglalkozniuk a kétfaktoros hitelesítéssel, ha az 2FA eszközt elvesztik vagy ellopják.

Több Szabályozás és Megfelelőségi Követelmény

Ahogy az adatszivárgások egyre gyakoribbá válnak, a szabályozói testületek világszerte szigorúbb szabályozásokat és megfelelőségi követelményeket érvényesítenek. A vállalatoknak erős adatbiztonsági intézkedésekbe kell befektetniük, beleértve az ITAD szolgáltatásokat, hogy megfeleljenek ezeknek a szabályozásoknak és elkerüljék a büntetéseket és bírságokat. Különös figyelmet kell fordítani a nemzetközi üzleti tranzakciókra, különösen azokban az országokban, ahol az adatbiztonság veszélyben lehet a kormányzati megfigyelés miatt.

Dolgozói Képzés és Tudatosság Középpontban

A dolgozók gyakran az adatbiztonság leggyengébb láncszemét képezik, mivel az emberi hiba adatszivárgáshoz vezethet. A dolgozói tudatosság és képzés növelése az adatbiztonságban és az IT-eszközkezelés legjobb gyakorlataiban jelentősen csökkentheti a kockázatokat, drága hardveres vagy szoftveres beruházások nélkül.

Felhőbiztonság

Bár a vállalatok visszatérnek a helyszíni munkavégzéshez, a felhőbiztonság még mindig előtérben van. Győződjön meg arról, hogy vállalatának erős biztonsági protokolljai vannak a felhőalapú alkalmazásokhoz és szolgáltatásokhoz való hozzáférés kezelésében. Kövesse nyomon az összes vállalati eszközt, amelyek érzékeny információkat tárolhatnak vagy felhőalapú rendszerekhez csatlakozhatnak, beleértve a táblagépeket, laptopokat és okostelefonokat. Vegye fontolóra az adatok titkosítását, hozzáférési ellenőrzéseit és rendszeres biztonsági felülvizsgálatokat, hogy megvédje felhőben tárolt adatait. A legjobb biztonsági megoldások értesítést küldenek a releváns munkatársaknak, ha valami gond merül fel.

Adatbiztonsági szolgáltatások

Az ITAD szolgáltatások és az adatbiztonsági szolgáltatások egymástól elválaszthatatlanok. Az ITAD szolgáltatók segítséget nyújtanak a vállalatoknak az adatbiztonsági követelmények betartásában, az eszközök nyomon követésében és az érzékeny információk megfelelő módon történő kezelésében. 2023-ban az adatbiztonsági kihívások továbbra is változnak és fejlődnek. A szervezeteknek előre kell gondolkodniuk és alkalmazkodniuk kell a változó környezethez. Az ITAD és adatbiztonsági szolgáltatások nagyban hozzájárulnak a vállalatok adatbiztonságának javításához. Forrás: itsupplysolutions.com  

Biztonsági figyelmeztetés a felhőben: orosz hackerek Microsoft Teams segítségével adathalászatot végeznek

A Microsoft szerint egy az orosz kormányhoz köthető hackercsoport a Microsoft Teams csevegő alkalmazást használja adathalászati célokra különböző szervezeteknél.

Microsoft Jelentés

A szoftvercég, Microsoft, szerda hajnalban adott ki közleményt egy orosz kormánnyal kapcsolatban álló, ismert hackercsoport tevékenységéről, amely a Microsoft Teams alkalmazást használja felhasználói adatok lopására. A redmondi Fenyegetések Intelligencia Csapat kutatási jelentése szerint a hackercsoport az orosz Külügyi Hírszerző Szolgálatához (SVR-ként is ismert) köthető. A csoportot kormányzati és civil szervezetek, IT szolgáltatók, technológiai vállalatok, gyártók és médiaházak elleni támadásokkal vádolják.

Éjféli Hóvihar Támadásai

A Microsoft ezt a csoportot ‘Éjféli Hóvihar’ (korábban Nobelium néven ismert) néven azonosította, és figyelmeztetett arra, hogy a csoport már fertőzött Microsoft 365 felhasználói fiókokat használ kisvállalkozásoktól új domainek létrehozására, amelyek technikai támogató entitásoknak látszanak. Ezen domainekkel a kutatók a Microsoft Teams üzeneteit használták felhasználói adatok lopására, amelyek a felhasználók interakcióját és többlépéses hitelesítési folyamatokat (MFA) céloztak meg. A vállalat azt állítja, hogy a támadásokat kevesebb mint 40 globális szervezetnél azonosították, ami arra utal, hogy ez USA-ban és Európában egy célzott, precíz kiberkémkedési akcióról van szó.

További Részletek a Támadásról

A Microsoft kutatói a legújabb adathalász támadások technikai dokumentációját is elkészítették, amely a csalétek céljából használt biztonsági domainnevekre vonatkozik.
 “A támadások megkönnyítése érdekében a csoport korábban megfertőzött kisvállalkozások Microsoft 365 fiókjait használta. A csoport átnevezi a fertőzött fiókot, hozzáad egy új ‘onmicrosoft.com’ aldomaint, és létrehoz egy új felhasználót ezen a domainen, amelyről üzenetet küld a célpont fiókhoz.”
Ha a támadás sikeres, a támadók hozzáférnek a célpont Microsoft 365 fiókjához és a kapcsolódó szolgáltatásokhoz, és befejezik a hitelesítési folyamatot. Amikor a támadás megtörténik, a támadók eltulajdoníthatják a felhasználói információkat, és hozzáférhetnek más Microsoft 365 szolgáltatásokhoz, mint például az Azure.

Védelem és Utóhatások

A Microsoft azt állítja, hogy észlelte a támadás utáni tevékenységeket és az információk eltulajdonítását. Bizonyos esetekben az aktor megpróbált hozzáadni eszközöket a szervezethez, amelyeket a Microsoft Entra ID kezel. Ez a támadó számára lehetővé teszi, hogy megkerülje azokat a feltételes hozzáférési szabályokat, amelyek csak kezelt eszközökkel működnek. A Microsoft folyamatosan dolgozik azon, hogy felismerje és blokkolja ezen támadási vektorokat, és azt javasolja a felhasználóknak, hogy legyenek óvatosak minden ismeretlen forrásból érkező üzenettel és felszólítással kapcsolatban. Forrás: www.securityweek.com  

A technológia előrehaladtával

A technológia előrehaladtával egyre több hangsúlyt fektetünk a routerek, switchek és access pointok tanúsított adatmentesítésére, tekintettel arra, hogy ezek az eszközök nemcsak a hálózati csatlakozásokért felelősek, de adattárolási funkcióval is rendelkeznek. A technológiai fejlődés következtében a hálózat minden egyes részében egyre több intelligens megoldás jelenik meg. A hálózati forgalom felügyelete, a biztonság, az eszközök kezelése és más funkciók terjesztett szolgáltatásokká alakultak. Ennek következtében a standard hálózati eszközök – mint a routerek és switchek – egyre összetettebbé és drágábbá váltak.

A hálózati eszközök evolúciójának egyik aspektusa

A hálózati eszközök evolúciójának egyik aspektusa az, hogy jelentős helyi adattárolási képességet biztosítunk számukra. Konfigurációs adatokat, log adatokat és más információkat tárolnak a hálózati topológiáról, IP címekről, hálózati hovatartozásról. Ezek az adatok többnyire érzékenyek, különösen a kiberbiztonsági szempontból. Semmi garancia arra, hogy egy rendszergazda milyen adatokat őriz a hálózati eszközök helyi adattárolójában, ezek projekt kapcsolódó jegyzetek vagy jelszó listák is lehetnek. Kétségtelen, hogy ezeket az adatokat ugyanolyan szintű védelemmel kell ellátni, mint a vállalati szervereken tárolt adatokat.

Mire figyeljünk?

A gyári visszaállítás nem ad garanciát arra, hogy a tárolt információkat teljesen és visszaállíthatatlanul töröltük. Továbbá, ez a folyamat meglehetősen munkaigényes. Az alternatív megoldás, az eszköz fizikai megsemmisítése sem praktikus, mivel nincs eszköz, amit az adatok teljes tanúsított törlése után tovább tudnánk adni. A hálózati eszközök költségesek, üzleti szempontból előnyös, ha újra el tudjuk őket adni. Egyes szervezetek előírásai szerint a hálózati eszközök adattárolójának sterilizálása szükséges, még akkor is, ha a szervezeten belül újrahasznosítják őket.

A hálózati eszközök adattörlési kihívásai

Amikor egy rack szerver eléri élettartamának végét, minden egyes szervert külön-külön vonnak ki a szolgálatból, és ezzel együtt a rack tetején lévő switchet is. Egy teljes hálózati switch ledarálni nem megvalósítható, az eszköz fizikai megsemmisítése pedig jelentős manuális munkát igényel: a szakember egyesével bontja szét az eszközöket, kézzel szedi szét az adathordozókat, legyen az merevlemez vagy SSD. Az adattárolók azonosításához komoly technikai ismeretekre van szükség. Sok esetben az SSD vagy merevlemez az alaplaphoz van forrasztva, ezeket csak hosszas munkával lehet eltávolítani – a folyamat végén az eszköz használhatatlanná válik. Tehát a hálózati eszközök megsemmisítése költség szempontjából nem gazdaságos. És még nem is beszéltünk a környezetvédelmi szempontokról, amikor az eszközök felújítása és újrahasznosítása jelentős társadalmi és környezeti előnyökkel jár.

Automatizált, menedzselhető

A Blancco Network Device Eraser megoldása hatékony és biztonságos alternatíva a kézi feldolgozáshoz és a fizikai megsemmisítéshez egyaránt. Nem destruktív módon, de véglegesen és tanúsítottan törli a switcheket, routereket és access pointokat az NIST 800-88 előírásai szerint. Könnyen integrálható a WMS, AMS és más meglévő rendszerekkel az automatizált munkafolyamat és rugalmasság érdekében. A Blanco Management Console segítségével központi helyre gyűjti össze a digitálisan aláírt adattörlési jelentéseket, így az adattörlési folyamat tanúsított, a jelentések könnyen hozzáférhető.   Forrás: blancco.hu

Az SSD-k helytelen törlése során elkövetett 5 gyakori hiba, amit érdemes kerülni

Az utóbbi években a szilárdtest-meghajtók (SSD-k) váltak a számítógépek és mobiltelefonok leginkább használt tárolási technológiájává. Mindazonáltal, ha nem megfelelően töröljük őket, kockázatot jelenthet az adataink biztonságára. Az SSD-k számos előnnyel bírnak: gyorsabbak a hagyományos merevlemezeknél, kevésbé hajlamosak a hibákra, és energetikailag is hatékonyak. Míg áruk csökken, elterjedésük széleskörűvé válik, azonban a használatuk utáni megsemmisítés során néhány fontos szempontot figyelembe kell venni.

Az 5 leggyakoribb hiba

  1. Fájlok és mappák törlése, formázás és gyári beállítások visszaállítása: az SSD-k hagyományos törlési vagy formázási módszerekkel történő törlése veszélyes, mivel ezek a technikák csak az adatokra mutató „hivatkozásokat” (indexelést) törlik el, nem pedig az adatokat magukat. Egy ingyenes visszaállító (recovery) szoftver valószínűleg képes visszaállítani a törölt mappákat és fájlokat, vagy a gyorsformázással törlt SSD teljes tartalmát.
  2. Partíció vagy kötet törlése az SSD-n: egy másik gyakran előforduló hiba, hogy az SSD-n található partíciót vagy kötetet törlik, hogy megszabaduljanak az ott tárolt adatoktól. Számos professzionális eszköz van, amelyek képesek könnyedén visszaállítani az elveszett partíciókat, ami ezen módszer megbízhatatlanságát eredményezi.
  3. A natív törlési parancs használata: néhány SSD rendelkezik beépített törlési paranccsal, ami felülírja az egész SSD-t. Azonban általában nehéz bizonyítani, hogy az adatok végérvényesen eltűntek a rejtett szektorokból, mivel nincs bizonyíték a megsemmisülésről. Továbbá, ezt a funkciót csak néhány gyártó biztosítja, és a natív törlési parancsból hiányzik a transzparencia, nincs mód az adatok törlésének ellenőrzésére.
  4. Ingyenes szoftver használat az SSD-k törléséhez: egy másik gyakori hiba, amit az emberek elkövetnek az SSD meghajtók törlésekor, hogy olyan ingyenes szoftvert használnak, amelyet hagyományos meghajtók, és nem SSD-k törlésére terveztek. Ezek a szoftverek általában nem készítenek jegyzőkönyvet, és nem garantált, hogy a helyes törlési algoritmust alkalmazzák.
  5. Többszörös felülírás használata: az SSD-k írási ciklusai korlátozottak, ezért azok többszöri felülírása olyan algoritmusokkal, mint a DoD-3-pass vagy DoD-7-pass, rontja az adattároló élettartamát, és nem javasolt az SSD meghajtók törléséhez. A NIST SP 800-88 Rev 1 szerint az SSD-k törlésének két elfogadott módja a NIST Clear és a NIST Purge; ezen kívül a kriptográfiai törlést is lehet alkalmazni a titkosítást támogató SSD-ken.

Az ideális adattörlő szoftver

Az ideális adattörlő szoftver támogatja a modern törlési algoritmusokat (például NIST Clear és NIST Purge), és dokumentációt (jegyzőkönyvet) készít a törlés folyamatáról, melyben fel van tüntetve a törlés részletei és eredménye. A Blancco Driver Eraser azonfelül, hogy ellenőrzi a törlés eredményét és folyamatát, a folyamat végén mintát vesz a lemez különböző területeiről, a Blancco Management Console pedig garantálja a jegyzőkönyv hitelességét azáltal, hogy hitelesíti az elektronikus aláírást. Az adathordozók törlésének jegyzőkönyvezése jogszabályi kötelezettség, erről bővebben útmutatónkban olvashat. Forrás:www.blancco.hu  

Új macOS kártevő, amely könnyedén ellophatja a kripto pénztárcádat, a Realst.

Egy új Mac kártevő, melyet “Realst”-ként neveztek el, hatalmas kampány keretében célozza meg az Apple számítógépeket. Legújabb variánsai közül néhány támogatja a még fejlesztés alatt álló macOS 14 Sonoma-t. Az iamdeadlyz biztonsági kutató által először felfedezett kártevő hamis blockchain játékok formájában terjed Windows és macOS felhasználók számára, olyan nevekkel, mint a Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles és SaintLegend. Ezeket a játékokat közösségi médiában népszerűsítik, a fenyegető szereplők közvetlen üzenetekben osztják meg a hamis játék kliens letöltéséhez szükséges hozzáférési kódokat az összekötött weboldalakról. A hozzáférési kódok lehetővé teszik a fenyegető szereplők számára, hogy kiválasszák azokat, akiket meg akarnak célozni, és elkerüljék a biztonsági kutatókat, akik a kártékony viselkedést szeretnék feltárni.

A Realst Mac kártevő

Amikor a hamis játékot letöltik a fenyegető szereplő oldaláról, vagy Windows vagy macOS kártevőt kínálnak nekik, attól függően, milyen operációs rendszert használnak. A Windows kártevő általában a RedLine Stealer, de néha más kártevő is, mint például a Raccoon Stealer és az AsyncRAT. A Mac felhasználók számára az oldalak a Realst információlopó kártevőt terjesztik, amely PKG telepítőként vagy DMG lemezként célzott Mac eszközökre, tartalmazva a káros Mach-O fájlokat, de valódi játékokat vagy más csali szoftvereket nem. A “game.py” fájl egy cross-platform Firefox infostealer és az “installer.py” egy “chainbreaker”, amely egy nyílt forráskódú macOS kulcsadatbázis jelszó-, kulcs- és tanúsítványkivonó. A SentinelOne azt találta, hogy néhány minta kódszerkesztéssel rendelkezik érvényes (most visszavont) Apple Fejlesztői ID-k segítségével, vagy ad-hoc aláírásokkal, hogy elkerülje a biztonsági eszközök észlelését.

A változatok

A SentinelOne által elemzett 16 különböző Realst változat meglehetősen hasonló formában és funkcióban, bár eltérő API híváskészleteket használnak. Minden esetben a kártevő a Firefox, Chrome, Opera, Brave, Vivaldi, és a Telegram alkalmazást célozza, de egyik elemzett Realst minta sem célozza a Safarit.

Elkerülés és felismerés

A felhasználóknak mindig óvatosnak kell lenniük a közösségi médiában kapott üzenetekkel, és csak olyan forrásokból kell letölteniük a szoftvereket, amelyek megbízhatónak tekinthetők. A nem hivatalos forrásokból származó játékok és szoftverek letöltése könnyen megfertőzheti a számítógépet kártékony szoftverekkel. Az Apple felhasználóknak javasolt engedélyezni a SIP és a Gatekeeper funkciókat, hogy további védelmet nyújtsanak a kártékony szoftverek ellen. A SentinelOne új yara szabályokat adott ki a Realst kártevő azonosítására, amelyek a kutatási jelentésben megtalálhatók. Összefoglalva, a Realst egy nagyon aktív és gyorsan fejlődő kártevő, amelynek különböző változatai többféle módon próbálják ellopni a felhasználók érzékeny adatait. A felhasználóknak óvatosnak kell lenni, és csak megbízható forrásból származó szoftvereket kell letölteniük, továbbá biztosítaniuk kell, hogy számítógépeik biztonsági mechanizmusai be vannak kapcsolva, hogy megvédjék őket a Realst és más kártevők ellen.   Forrás: www.bleepingcomputer.com

2022 és 2023 Ransomware támadások elemzése

2022-ben a ransomware támadások száma csökkent, reményt keltve, hogy megfordul a trend a mögöttük álló bűnözői bandákkal szemben. Aztán a helyzet hirtelen rosszabbra fordult. A globális jogi erőfeszítések ellenére, melyek a ransomware támadások visszaszorítására irányultak, a hackereknek fizetett váltságdíjak és a támadások száma is csökkent 2022-ben. Azonban ez a trend nem látszik megállni 2023-ban, sőt, a támadások száma ismét megugrott. A Chainalysis kriptopénz-nyomozó cég adatai szerint az áldozatok az év első hat hónapjában már 449,1 millió dollárt fizettek a ransomware csoportoknak. Ez a szám 2022-ben még csak alig érte el az 500 millió dollárt. Ha az idei fizetési ütem folytatódik, a cég adatai szerint, 2023-ban a teljes összeg elérheti a 898,6 millió dollárt. Ez 2023-at a ransomware bevételek második legnagyobb évévé tenné 2021 után, amikor a Chainalysis becslése szerint a támadók 939,9 millió dollárt csikartak ki az áldozatokból. Az adatok összhangban vannak más kutatók megfigyeléseivel, miszerint a támadások száma idén megugrott. A ransomware csoportok egyre agresszívabbak és meggondolatlanabbak az érzékeny és potenciálisan káros információk közzétételével kapcsolatban. A Manchesteri Egyetem elleni legutóbbi támadásban a hackerek közvetlenül az egyetem hallgatóinak küldtek e-mailt, melyben közölték, hogy hét terabyte adatot loptak el, és fenyegetőztek, hogy “személyes információkat és kutatási adatokat” hoznak nyilvánosságra, ha az egyetem nem fizet váltságdíjat.
„Úgy gondoljuk, hogy a 2022-es költségvetési hiányok miatt láttunk ilyen extrém zsarolási technikákat, amelyekkel tovább csavarják a kést” – mondja Jackie Burns Koven, a Chainalysis kiberfenyegetés-intelligencia részlegének vezetője. „2022-ben nagyon meglepődtünk, amikor a csökkenést tapasztaltuk. Majd beszéltünk külső partnerekkel – válságkezelő cégek, biztosítók – és mindannyian azt mondták, igen, kevesebbet fizetünk, és kevesebb támadást is látunk.”
A Chainalysis és más szervezetek a 2022-es visszaesést több tényezőnek tudják be. Szerepet játszottak a bővített biztonsági védelmi intézkedések és a felkészültség, valamint a dekódoló eszközök elérhetősége, amelyeket magánvállalatok és az FBI kínált a ransomware áldozatainak, hogy azok visszaszerezhessék adataikat anélkül, hogy váltságdíjat fizetnének a támadóknak. A Chainalysis úgy véli, hogy Oroszország ukrajnai inváziója befolyásolta számos kiemelkedő ransomware csoport napi műveleteit, amelyek elsősorban Oroszországban vannak székelve. A potenciális áldozatok védelmi módszereinek javítása és a kormányzati elrettentő kezdeményezések 2023-ban sem csökkentek. De a Chainalysis kutatói úgy gondolják, hogy Oroszország ukrajnai háborújának alakulása meg kell magyaráznia az idei növekvő ransomware tevékenységet, vagy legalábbis szerepet kell játszania benne. A Chainalysis a kriptopénz-ellenőrzésben és -követésben specializálódott, így a cég kutatói jól felkészültek a ransomware fizetések mértékének és nagyságának megfigyelésére. A cég azt mondja, hogy konzervatív megközelítést alkalmaz, és alaposan folytatja a korábbi tranzakciókról szóló új adatok fényében a visszamenőleges éves összesítések és más számok frissítését. Általában azonban a kutatók hangsúlyozzák, hogy a ransomware támadások vagy a fizetések tényleges összegeit szinte lehetetlen megbecsülni a rendelkezésre álló információk alapján, és hogy a Chainalysis vagy a kormányzati nyomon követés adatait csak a trendek nagy vonalainak jellemzésére lehet használni.
“Még mindig nagyon kevés betekintésünk van a tényleges támadások számába” – mondja Pia Huesch, a brit védelmi és biztonságpolitikai gondolkodócsoport, a RUSI szakértője. “Azt hiszem, a legnagyobb kihívás, amellyel jelenleg szembesülünk, az a támadások áldozatainak jelentéseinek hiánya és a váltságdíj-fizetések átláthatósága.”
Sokan úgy gondolják, hogy a jelenlegi ransomware-helyzet komolyan megköveteli a kormányzati beavatkozást és a közös nemzetközi erőfeszítéseket a támadások ellen. A múltbeli erőfeszítések ellenére a ransomware fenyegetése továbbra is fennáll, és fontos, hogy a kormányok továbbra is együttműködjenek és készüljenek fel a jövőbeli támadásokra. Forrás: www.wired.com

Kiberbanda fenyegette meg a Redditet: 80 GB-nyi adatot szerztek meg

Az ALPHV nevű cyberbűnözői csoport 4,5 millió dolláros váltságdíj megfizetését követeli meg a Reddittől, arra sürgetve a közösségi platformot, hogy hagyjon fel az API hozzáférési díjainak bevezetésével. Ellenkező esetben az eltulajdonított adatokat nyilvánosságra hozzák.

A Reddit Támadás Alatt és a Várható Következmények

Úgy néz ki, a Reddit februári támadása során egy cyberbűnözői csoport sikerrel ellopott 80 GB-nyi adatot a közösségi hálózatról. Ezt az információt az ALPHV/Blackcat néven ismert ransomware csoport hozta nyilvánosságra, azzal a szándékkal, hogy a Redditet váltságdíj fizetésére bírja. “Kétszer is megkerestük a Redditet emailben, először április 13-án, majd újra június 16-án,” állítja a csoport. “Nem tették meg a szükséges lépéseket annak megértésére, hogy milyen adatokat szereztünk meg.”

Az ALPHV Feltételei és a Reddit Válasza

Az Oroszországban működő ALPHV csoport most azzal a követeléssel áll elő, hogy a Reddit fizessen 4,5 millió dollárt, ellenkező esetben a csoport a Dark Weben keresztül publikálja az adatokat. Azonban a ransomware csoport bejegyzése szerint úgy tűnik, a Reddit nem hajlandó eleget tenni a követelésnek. Reagálva a Reddit legfrissebb híreire, a csoport felveti, hogy a vállalat szembe néz a felhasználói tiltakozásokkal, mivel a Reddit tervezi API hozzáférési díjainak bevezetését, ami számos harmadik féltől származó alkalmazást fenyeget meg.

A Reddit Válasza

A Reddit nem kívánta kommentálni a zsarolási követelést. Azonban a közösségi média platform hangsúlyozta, hogy a támadók csak “néhány belső dokumentumhoz, kódhoz és néhány belső üzleti rendszerhez” jutottak hozzáféréshez. Felhasználói fiókok vagy jelszavak nem kerültek veszélybe. A Redditet olyan támadás érte, amelyben a hackerek sikeresen megtámadtak egy cég alkalmazottját phishing üzenet segítségével. Forrás: www.pcmag.com

Tanulmány az igazgatói szintű CISO-k kvalifikációiról

Az IANS Research, az Artico Search és a The CAP Group közös tanulmányt készített a Russell 1000 Index (R1000) főinformációbiztonsági tiszteként (CISO) dolgozó szakemberek képesítéséről. A tanulmány szerint ezeknek a CISO-knak csak 14%-a rendelkezik azzal a szükséges képességgel, ami ahhoz kell, hogy a kiberbiztonsági területen igazgatói pozícióban dolgozhassanak.

Fontos tulajdonságok az igazgatói pozícióhoz

Nick Kakolowski, az IANS Research kutatási igazgatója a VentureBeat-nek elmondta: „Azonosítottunk öt tulajdonságot: információbiztonsági munkaviszony, széleskörű tapasztalat, skála, magas szintű oktatás és sokszínűség — ezek a CISO-k számára a különbségtétel jelenthetik a kiberbiztonsági szakértői pozíciókban.”

Az igazgatói szintű CISO-k kiválasztása

Kakolowski szerint a kibervédelmi szakemberek, akik az igazgatói pozícióra törekednek, milyen mértékben képesek vállalni a CISO szerepben jelentkező kihívásokat, különösen akkor, ha a vállalatnak kell szembenéznie egy kiberbiztonsági incidenssel. “Nem csak a technikai készségek, hanem az a képesség, hogy érdemben hozzájáruljon a vállalatirányításhoz és a kockázatkezeléshez, ami különösen fontos a CISO-k számára, akik igazgatói szerepet kívánnak betölteni,” -tette hozzá Kakolowski.

Kiberbiztonsági tehetséghiány és a közelgő változások

A nyilvánosan működő cégek felkészülnek az értékpapír- és tőzsdebizottság (SEC) közelgő szabályváltozásaira, amelyek megkövetelik tőlük, hogy hivatalosan is közöljék a vezető testületükben lévő kiberbiztonsági szakértelmet. Az új szabályozás fényében a tanulmány rámutat a kibervédelmi ismeretek súlyos hiányára a testületek többségében. Az IANS Research azt állítja, hogy ezt a kutatást azért kezdeményezte, mert jelentések szerint a testületeknek nehézséget okoz az olyan igazgatói pozíciókra alkalmas kibervédelmi szakértők azonosítása és toborzása, akik rendelkeznek a szükséges üzleti és technikai tapasztalattal.

A megfelelő CISO-k azonosítása kibervédelmi igazgatói pozíciókra

Amikor az öt kulcsfontosságú tulajdonságokról beszél, Kakolowski az IANS Research-ből kiemelte, hogy a keresztfunkcionális szakértelem és a nagyméretű szervezetekben szerzett tapasztalat rednkívül fontos. “A CISO-k, akik rendelkeznek ezekkel a tulajdonságokkal, valószínűleg olyan lehetőségekkel szembesültek, amelyek késztették őket a szükséges soft skillek és az üzleti érzék fejlesztésére az igazgatói szerepekhez. Ugyanakkor azt mondani, hogy bármely tulajdonság ezüstgolyó lenne, vagy súlyos gyengeség, félrevezető lenne,” magyarázta Kakolowski.

Stratégiák a megfelelő CISO-k igazgatói pozícióba történő kiválasztására

A jelentés alapján különböző stratégiákat javasolnak a CISO-k igazgatói pozícióba történő azonosítására. Ezek között szerepel a teljes körű keresés, a sokféleség előtérbe helyezése, az igazgatói minősítések figyelembevétele, alternatív opciók vizsgálata olyan személyek által, akik rendelkeznek biztonsági tapasztalattal, de nem feltétlenül CISO címmel, és azoknak a jelölteknek az azonosítása, akik rendelkeznek a kívánt “valami extrával”.

Az “it” faktor meghatározása

“A határvonalat az öt igazgatói tulajdonság hárommal való rendelkezésénél húztuk meg – vagyis úgy gondoljuk, hogy a hátterük hiteles lenne egy igazgatói kontextusban,” mondta Kakolowski. “De ez csak a kiindulási pont; azt javasoljuk, hogy az igazgatók vessenek széles hálót a keresés során, hogy azonosítsanak olyan személyeket, akiknek sokszínű tapasztalatai és egyedi minőségei vannak, amelyek belső értéket képviselnek az igazgatói szerepekben.”

CISO-k a jövőbeni kibervédelmi kihívások kezelésére

Kakolowski szerint a jelenlegi tehetséghiány és képzettségi különbségek elsősorban a kitettség hiányának köszönhetők. Hozzátette, hogy az igazgatótanács értéke nagyban abban rejlik, hogy külső tapasztalatokat integrál a döntéshozatali folyamatba. A széleskörű tapasztalat lehetővé teszi a szélesebb körű informált döntéshozatalt, amely meghaladja a saját területükre szakosodott szakértő képességeit. “A vállalatok hagyományosan a tech silóban tartották a CISO-kat, korlátozva a hozzáférésüket a kifinomult üzleti kockázati beszélgetésekhez,” mondta. “Ez változik, de a CISO-knak, akik reménykednek a testületi szerepekbe való átlépésben, befektetniük kell soft skillek fejlesztésébe, keresztfunkcionális projektekben való munkába, és diverzifikálniuk kell önéletrajzukat, hogy szerezzenek olyan vezetői szintű tapasztalatokat, amelyek kiemelkedő jelöltekké teszik őket.”

Soft skillek fejlesztése

A soft skillek, mint például a kommunikációs képességek és a vezetői képességek, kiemelt szerepet játszanak egy sikeres CISO pályafutásában, különösen az igazgatói szerepekben. Ennek fejlesztése hozzájárul ahhoz, hogy a CISO-k jobban tudjanak kommunikálni a vállalat többi részlegével, és hatékonyabban tudjanak működni a vezetői szerepekben.

Változatosság a tapasztalatokban

A változatosság a tapasztalatokban – beleértve a különböző iparágakban és a különböző szerepkörökben szerzett tapasztalatokat – növeli a CISO-k esélyeit a vezetői szerepekben történő elhelyezkedésre. A széles körű tapasztalatok lehetővé teszik a CISO-k számára, hogy szélesebb látókörrel rendelkezzenek a kiberbiztonsági kihívásokkal kapcsolatban, és jobban alkalmazkodjanak a változó körülményekhez.

Átfogó keresés

Az igazgatótanácsi szerepekkel kapcsolatban a jelöltkeresés során nem szabad korlátozni a keresést csak a CISO címmel rendelkező személyekre. A jelöltek között érdemes figyelembe venni olyan személyeket is, akik rendelkeznek a szükséges biztonsági tapasztalattal, de nem rendelkeznek a CISO címmel.

Az “it” faktor

Az “it” faktor a CISO-kban egy olyan minőség, amely kiemeli őket a többi jelölt közül. Ez lehet egyedi tapasztalat, szakértelem vagy képesség, amely hozzáadott értéket jelent a vállalat számára. A jelöltek ezen minőségének azonosítása fontos szerepet játszhat a megfelelő CISO kiválasztásában.   Forrás: www.venturebeat.com

Ukrán hackercsoport támadása az Infotel ellen

Csütörtökön egy ukrán hackercsoport vállalta az Infotel JSC elleni támadást, amely egy olyan cég, amely létfontosságú infrastruktúrát biztosít az orosz bankrendszer számára. Az Infotel szolgáltatásai közé tartozik többek között az Orosz Központi Bank és más banki intézmények, online kereskedések és hitelintézetek hozzáférése.

A támadás következményei

A friss támadás következtében több nagy orosz bank nem tudott hozzáférni a nemzeti bankrendszerhez, ami miatt az online tranzakcióik meghiúsultak. Erről először az ukrán Economichna Pravda hírportál számolt be. Az Infotel hivatalosan is megerősítette az incidens létezését, és közölte, hogy jelenleg a “súlyos” támadás okozta károk helyreállításán dolgoznak. “Az Infotel JSC hálózatát intenzív hackertámadás érte, aminek következtében néhány hálózati eszköz károsodott” – írta az orosz cég. “A helyreállítási munkálatok folyamatban vannak, a befejezés várható időpontjáról később adunk tájékoztatást. Köszönjük a megértésüket és a további együttműködésüket.”

A helyreállítási folyamat

Az Orosz Központi Bank internetes szolgáltatása június 8-án, helyi idő szerint 11:00-kor vált elérhetetlenné. Az IODA megerősítette, hogy az Infotel folyamatban lévő helyreállítási munkálatokat végez, és 34 órával a leállás után még mindig nem volt elérhető.

Hacker bejelentés

“Teljes infrastruktúránk összeomlott, semmi sem maradt érintetlenül” – közölték az ukrán hackerek a Telegram csatornájukon, amikor bejelentették a támadást.

Az Infotel ügyfelei

Az Infotelnek összesen mintegy négyszáz ügyfele van, közülük a negyed része bankok, a többiek pedig hitelintézetek és autókereskedők.

Bizonyíték a támadásról

A támadásuk bizonyítékaként a hackerek képernyőképeket tettek közzé, amelyeken állítólag az Infotel hálózatához való hozzáférésük látható, beleértve egy hálózati diagramot és egy feltört e-mail fiókot. Ez egy ismétlődő mintázat a Cyber.Anarchy.Squad ukrán hacker csoport számára, amely azóta támad más orosz vállalatokat, mióta Oroszország megszállta Ukrajnát.

A hackercsoport korábbi tevékenysége

Fontos megjegyezni, hogy a csoport tavaly online közzétette egy orosz kiskereskedő és egy ékszerész gyártó által ellopott adatbázisokat. Az adatbázisok milliókat tartalmaztak a vállalatok alkalmazottjai és ügyfelei adataival, valamint belső céges e-mailekkel.    

Csaknem fél milliárd androidos készülékre juthatott el egy kémprogram

A Doctor Web fedezett fel egy kémprogramot, amely csaknem fél milliárd androidos készülékre juthatott el. A kártevő, amit ‘SpinOk’ néven azonosítottak, képes ellopni a felhasználók eszközein tárolt privát adatokat és továbbítani egy távoli szerverre. Az antivírus vállalat, a Doctor Web biztonsági kutatói figyelmeztetnek, hogy a SpinOk látszólag legális működést mutat, mini játékokat használva, amelyek “napi jutalmakhoz” vezetnek, hogy felkeltsék a felhasználók érdeklődését. Azonban a SpinOk háttérben futó trójai SDK-ja ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megbizonyosodjon arról, hogy nem fut homokozott környezetben, amelyet gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzéséhez. Az alkalmazás kapcsolódik egy távoli szerverhez, hogy letöltse a mini játékokhoz szükséges URL-listát. Miközben a mini játékok a felhasználók által várt módon jelenínek meg, az SDK további káros funkciókat is végrehajthat, beleértve a könyvtárakban található fájlok felsorolását, különleges fájlok keresését, fájlok feltöltését az eszközről, valamint a vágólap tartalmának másolását és cseréjét. Ezenkívül aggasztó a fájlok kifacsarásának képessége, amely lehetővé teszi a privát képek, videók és dokumentumok kiszivárogtatását. Emellett a vágólap módosítási funkciója lehetővé teszi az SDK operátorainak, hogy ellopják a fiókjelszavakat és hitelkártyaadatokat, vagy átirányítsák a kriptovaluta fizetéseket a saját kriptovaluta pénztárcájukra. A Dr. Web szerint ez a kártevő 101 alkalmazásban található, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Play áruházból. A legtöbbet letöltött alkalmazások között szerepelnek: A fenti alkalmazások közül csak egy maradt fenn a Google Play áruházban, ami azt sugallja, hogy a Google értesítéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtanak be tiszta verziót. A Dr. Web weboldalán megtalálható az összes SDK-t használó alkalmazás teljes listája. Ha valamelyik felsorolt alkalmazást használja, ajánlott frissíteni a legújabb verzióra, amely elérhető a Google Play áruházból, és amelynek tiszta állapotúnak kell lennie. Ha az alkalmazás nem elérhető az Android hivatalos alkalmazásboltjában, azonnal javasolt eltávolítani és átvizsgálni a készüléket egy mobil antivírus szoftverrel, hogy biztosan eltávolítsák a kémprogram maradványait. A BleepingComputer megkereste a Google-t, hogy nyilatkozatot tegyen erről a nagy fertőzési bázisról, de a kiadás idején nem állt rendelkezésre nyilvános nyilatkozat.   Magyarországon gyakran előfordul, hogy az emberek új okostelefont vásárolnak, és ennek kapcsán megszabadulnak régi készülékeiktől. Sokan közülük az új telefonba történő beszámítást vagy az elajándékozást választják, amikor telefoncserére kerül sor. Sajnos azonban vannak olyanok is, akik egyszerűen kidobják a szemétbe a régi készüléket. Mindezek ellenére viszonylag kevés figyelmet fordítanak arra, hogy megfelelően töröljék az adatokat a régi telefonról. Egy friss felmérés eredményei szerint a felhasználók nagyrészével korábban már előfordult, hogy értékesítette (10%), ajándékba adta (15%), kidobta a szemétbe (3%), vagy újrahasznosításra adta le (10%) az eddig használt mobiltelefonját. Évente több százezer használt mobiltelefon kerül a GSM boltokba, és ezeken a készülékeken gyakran maradnak otthoni, privát fotók és fontos céges dokumentumok is. Ma már minden okostelefon rendelkezik kamerával, így ezek az eszközök alkalmasak lehetnek akár vállalati levelezésre is, még akkor is, ha nem mindenki él ezzel a lehetőséggel. Ezért nem meglepő, hogy a média egyre gyakrabban foglalkozik azzal a kérdéssel, hogy milyen privát adatok maradnak a leselejtezett okostelefonokon. Akik váltottak már telefont legalább egyszer, azok közül a legtöbben névjegyeket, fényképeket és SMS-üzeneteket tároltak a készüléken, mielőtt azt értékesítették vagy ajándékba adták. Néhányan naptárbejegyzéseket, egy kisebb része az embereknek pedig e-maileket is megtartott rajta. Bár a megkérdezettek egyrésze azt állította, hogy nem tárolt semmilyen adatot a korábbi mobiltelefonján, ez a magas arány részben annak köszönhető, hogy a megkérdezettek egy része nem tekinti a névjegyeket és üzeneteket, valamint a szinkronizált postafiókot a telefonon tárolt adatoknak. Közülük a legtöbbet egyesével törlik az adatokat. A férfiak és a nők körében is ez a leggyakoribb módszer a telefon “takarítására”. A felhasználók nagyrésze alkalmazza a készülék gyári visszaállítását, ami a második leggyakoribb módszer, különösen a fiatalabb generációk körében. Azonban fontos megjegyezni, hogy a gyári visszaállítás sem törli véglegesen az adatokat. A felhasználók tévesen hiszik azt, hogy a gyári adatok helyreállítása (“factory reset”) megoldást jelent az adatbiztonsági problémákra. Nem hibáztathatjuk őket, mert sok biztonságtechnikai szakember is úgy gondolja, hogy a gyári visszaállítás minden adatot töröl a telefon belső memóriájából. Az is téves feltételezés, hogy az egyszerű gyári visszaállítás után csak speciális szakértelemmel és költséges felszereléssel lehet hozzáférni a készüléken maradt adatokhoz. Az Android alapú telefonok esetében, amelyek több mint 79% -át teszik ki a globális piacon, elegendő egy rövid YouTube videó megtekintése, hogy megtudjuk, hogyan állíthatjuk vissza az adatokat, például azzal, hogy a telefont lemezmeghajtóként csatlakoztatjuk egy asztali számítógéphez. Tehát azok, akik csak a gyári visszaállítást végzik el az újraértékesítés előtt, csupán hamis biztonságérzetet keltnek magukban. A minősített adattörléssel foglalkozó Blancco magyarországi képviselői meglátogattak több hazai használt GSM boltot, és mindenhol azt tapasztalták, hogy az eladott telefonokon gyakran találhatók személyes képek, családi fotók és egyéb dokumentumok. A cég hangsúlyozta, hogy különösen veszélyeztetettek az Android alapú készülékek, amelyek külső memóriakártyát használnak, mivel a rendszer-visszaállítás csak a kártyán tárolt adatokhoz vezető utakat törli, de maguk az adatok megmaradnak. Ezért a fényképek és dokumentumok könnyen visszaállíthatók ingyenes programok segítségével. A Blancco ezért arra figyelmeztet, hogy jobb megtartani a régi memóriakártyákat, vagy teljesen felülírni azok tartalmát, mielőtt azokat eladjuk. Ti hogyan törlitek az adatokat a már nem használt telefonotokról?

Vállalati környezetben nagyon nehéz eldönteni, hogy hogyan is kezeljük az adatokat. Mikor töröljünk? Mit töröljünk? Ehhez adunk rövid útmutatót összefoglalónkban.

Nem egyszerű eldönteni vállalati környezetben, hogy milyen adatot mikor érdemes törölni. Vannak vállalatok, akik biztosra mennek és minden adatot – és annak másolatait is – tárolják. Ezzel nemcsak költséges adattárolási szolgáltatást tartanak fenn, hanem a hatóságok szigorú büntetéseit is kockáztatják.

Takarítás, takarítás

Mint ahogy évente tartunk nagytakarítást házunkban, úgy érdemes az adatok között is körülnézni válogatni – és törölni. A személyes adatok esetében Maria Kondo japán tanácsadó és rendszerező tanácsait érdemes követni: ha valamihez több mint egy évig nem nyúltunk hozzá és érzelmi töltete sincs neki, akkor megköszönjük, hogy segített bennünket és töröljük.

A vállalati adatok esetében azonban az érzelmi és praktikus megfontolások mellett egy sor iparági törvény, szabályozás és előírás határozza meg, hogy az adatokat – jellegüknél fogva – hogyan kezeljük, meddig tároljuk és mikor semmisítsük meg pontosan őket.

Még mielőtt tippjeinket felsoroljuk, érdemes körülnézni, hogy egy szervezet életében milyen jellegű adatokat találunk.

Milyen adatokat tárol a vállalat?

Általában vállalati berkekben három féle vállalati adatot különböztet meg. Persze, a vállalat tevékenységétől függően ezen adatok köre tovább bővülhet. Az ügyféladatok tartalmazzák a GDPR hatálya alá eső személyes adatok döntő többségét, mint neveket, címeket, számlaszámokat, pénzügyi adatokat, rendelési tételeket – vagyis mindent, amit ügyfelünkről tudhatunk. A személyes adatok közé tartoznak az egészségügyi adatok is, de ezek csak az egészségügyi szolgáltatóknál jelennek meg.

A második kategóriába esnek az alkalmazottakra vonatkozó adatok, amely a személyes adatok mellett tartalmazza a fizetésre és a teljesítményre vonatkozó információkat is. Egyes cégeknél egészségügyi adatokat is tárolnak, de ez egészen ritka.

A harmadik kategória a vállalati adat, ami a know-how-t, a különböző kutatási és fejlesztési információkat, terveket, marketing és értékesítési stratégiát tartalmazza, de kiterjed az ügyféllistákra is, pénzügyi eredményeket tartalmaz, belső kommunikációt is bele kell érteni. Az utóbbi időben egyre növekvő mértékben az IoT adat is a vállalati adat része: az érzékelőkből, szenzorokból származó nyers adatokról van szó, legyen szó az ellátási láncról, ipari berendezésekről vagy más tevékenységekről.

Ezek az adatok mind-mind egy adatszivárogtatás célpontjai, legyen a kiszivárogtató egy belső alkalmazott, külső partner vagy a hálózatunkba beférkőző hacker. De nem kell feltétlenül csak a rosszra gondolni, hanem elég például egy átvilágításra, auditra: minél több a feleslegesen tárolt adat, annál lassabb ez a folyamat és annál nagyobb a kockázata, hogy nem felelünk meg egy adott előírásnak, szabványnak.

Mikor kell törölni az adatokat?

Érdemes már keletkezésükkor kategorizálni az adatokat, dokumentumoka, hogy később könnyen lehessen őket rendszerezni. Ám de sok esetben erre nincs lehetőség, főként az emailben, alkalomszerűen érkező adatokra és megkeresésekre gondolva. A kategorizálás, az adatbázisba kezelés, a vállalati adatvagyon ismerete sokban segít az adatok megsemmisítésekor is.

Év elején érdemes átvizsgálni, hogy melyek azok az számlák, kimutatások, melyeket már nem kell tárolnunk. A számlákat – az éves beszámolót vagy a könyvelés dokumentumait – 8 évig olvasható formában kell megőriznünk. Azonban az üzleti évről készült beszámoló és az ehhez tartozó főkönyvi kivonatot, leltárt és értékelést már 10 évig kell tárolnunk.

Ezekből a dokumentumoknak egy része papír alapú, nagyobb része elektronikus – nyugodtan töröljük őket a törvényi határidő lejárta után. A GDPR határozza meg vállalat által tárolt, személyes adatok megőrzési idejét – ez nagyjából mindaddig kell, míg a szerződéses viszony fel nem áll az adott emberrel. A szerződéses viszony megszűnése után azonban törölni kell.

Töröljünk, ha erre kérnek

A marketing jellegű adatokat többnyire az adott marketing akció céljának lejártáig kell megőrizni, azután törölni kell. Akkor is törölni kell az adatokat, ha a személy erre külön megkér. A szervezetnek képes kell lennie feltárnia és összesítenie minden, adott személyről tárolt adatot.

Egészségügyi adatok estében az adott ország előírásai határozzák meg, hogy az adatokat törölni kell vagy lehet egyáltalán – egy adott páciens kórelőzményére például sok ideig szükség lehet, ezt nem feltétlenül kell törölni.

A vállalati know-how-t minden szervezet igyekszik jól és erősen őrizni, ezt nagy valószínűséggel nem is szeretné senki sem törölni. A vállalati know-how-hoz adatokat szolgáltató IoT adatok esetében pedig érdemes a feldolgozott adatokat tárolni, a nyers forrás adatokat pedig időközönként felülvizsgálni és törölni.

A vállalatok gyakran találják magukat abban a helyzetben, amikor az adattörlés és adattárolás között kell választaniuk. Költségoldalról a minősített törlés egyszeri kiadást jelent, a tárolás nagyságrendekkel nagyobb, évente ismétlődő összeget jelent. De nem csak ezért javasoljuk az  adattörlést…

   

Amikor a vállalati adatvagyonról van szó, akkor a cégek lazán kezelik a dolgokat. Nem törődnek, hogy valóban szükség van az extra terabájtnyi tárhelyre, nem vizsgálják meg, hogy az értékes vállalati adatok foglalnak el olyan sok helyet, vagy az alkalmazottak személyes fotói, a letöltött filmek tárolására fizettünk elő újból az adattárolási szolgáltatásra.

Kritikus, RET és a sötét adat

Pedig nagyon kifizetődő lenne alaposan átvizsgálni, hogy pontosan milyen adatokat is tárolunk a vállalat által bérelt tárhelyen. A Veritas által készített elemzés szerint a vállalati adatoknak három típusát különböztetjük meg: üzletileg kritikus adat, redundáns, elavult és triviális adat, illetve sötét adat.

Az üzleti szempontból kritikus adatok a napi üzletmenet szempontjából és a vállalati siker biztosításához kellenek, ezeket kiemeltem védeni kell, menedzseljük őket proaktívan.

A redundáns, elavult és triviális adat vagyis a RET adat több helyen egyszerre is fellelhető, duplikátumok léteznek belőle. A triviális adatoknak nagyon pici az értéke vagy egyáltalán semmilyen üzleti értéket nem képviselnek számunkra. A RET adatok mennyiségét proaktívan csökkenteni kell, vagyis őket rendszeresen vizsgáljuk őket felül, minősített megoldások vagy szolgáltatók segítségével töröljük.

A harmadik kategóriába tartoznak a sötét vagyis struktúrálatlan adatok, melyek értékét még nem sikerült megállapítani, nem tudjuk, pontosan mit is tartalmaznak, lehet üzletileg kritikus adat is közöttük, ahogy használhatatlan RET adat. Megfelelőség szempontjából ez a kategória nagyon veszélyes, mert olyan információk is megtalálhatók közötte, melyeket nem is lennénk jogosultak kezelni (ha személyes adatok vannak közöttük, a GDPR ezekre is kiterjedhet).

A rossz adatok mennyisége nő

Arányaiban a sötét adatokból van a legtöbb egy vállalaton belül, az adatok több mint felét nem ismerjük (52 százalék), a RET adatok az információk 33 százalékát teszik ki, míg csupán 15 százalékuk pontosan azonosított, strukturált üzletileg kritikus adat.

A vállalatok viselkedése a RET és sötét adatok arányának növekedését segítik elő. Mert a cégek nem érték, hanem mennyiség alapján terveznek az adattárolással, az alkalmazottak sincsenek tisztában azzal, hogy az üzleti tárhely nem személyes használatra való. A felhő alapú technológiák gyorsan terjednek, és az a hamis érzetünk keletkezhet, hogy a tárolás ingyen van – holott a szolgáltatásban főleg ezt árazzák be.

Kifizetődő törölni az adatokat

És ha mindeddig senki sem győződött meg arról, hogy a RET adatokat érdemes rendszeresen, minősített szolgáltató segítségével törölni, akkor a költséget hozzuk fel utolsó érvként.  Az MIT tanulmánya szerint a rossz adatok a vállalat költségvetésének 15-25 százalékát is elvihetik. A Blancco költségkalkulátorával kiszámíthatjuk az általunk tárolt adatmennyiség ismeretében, mennyit spórolhatunk az adatok minősített törlésével. Hogy konkrét példa is legyen: 10 terabájt esetén három évnyi tárolással számolva 1,2 millió forint a megtakarítás.

Telephely: 1111 Budapest, Krusper utca 3.

Telefon: +36 70 625 5100

Email: info@dataclear.hu

2021 Dataclear Service Kft. Biztonságos adatmegsemmisítés - Adattorlés - Használt Informatikai eszközök felvásárlása - Adatvagyon femérése