Dlaczego zapory i antywirusy nie są wystarczające
Jak cyberprzestępcy tworzą ataki? Dlaczego często wydaje nam się, że nasza sieć jest doskonale zabezpieczona, a tak naprawdę pojawiają się w niej luki? Czym jest firewall? Przekonaj się.
Zrozum anatomię ataków i bądź zawsze o krok do przodu – firewall
Oto szczegółowo przedstawiony przebieg ataku:
- Zwiad (Reacon): wykonywanie wielu czynności rozpoznawczych, by zyskać jak najwięcej wiedzy na temat ofiary.
- Przygotowywanie scenerii (Stage): Wielokrotnie wykorzystywany (masowy) lub niestandardowy kod zostaje użyty do budowy ładunków. Wielorakie sieci i systemy są wystawiane jako gospodarze (dystrybutorzy) początkowych ładunków, „rozsyłacze” malware’ów czy stają się częścią sieci botnetowej.
- Uruchomienie (Launch): Różne strony internetowe i techniki e-mailowe zostają wykorzystane do rozpoczęcia ataku.
- Wykorzystanie (Exploit): Zarówno ataki zero-day, jak i znajomość słabych punktów użytkownika jest wykorzystywane do uśpienia jego czujności – oszukania go.
- Instalacja (Install): Zazwyczaj “początkowy ładunek” łączy się z innym hostem, aby zainstalować konkretny malware.
- Komunikacja (Callback): Praktycznie za każdym razem zaatakowany system komunikuje się z serwerem botnetu.
- Trwanie (Persist): Ostatecznie – wiele technik stosuje powtarzalność etapów od 4 do 7.
Słowa mądrości:
Twoje wyzwanie: Istniejące zabezpieczenia nie mogą zablokować wszystkich ataków.

Jeśli nie wiemy, które części są narażone na ataki, włam staje się unikalny i odizolowany od miejsc, które są skompromitowane, a więc które przepuściły atak.
- Zapora sieciowa wie, czy IP połączenia sieciowego należy do czarnej listy lub reputacji. Następnie proponujemy wstrzymać się ze zbieraniem i analizą kopii ruchu, do momentu aż atak się zacznie. Wtedy uzyskujemy wiedzę, jak infrastruktura wygląda podczas próby ataku.
- Rozwiązania antywirusowe wiedzą, czy “hash” pasuje do bazy sygnatur lub heurystyki. Jednak należy poczekać, aż system zostanie wykorzystany do zebrania i przeanalizowania próbki kodu. Wtedy operator/użytkownik zyska wiedzę na temat ładunku, który został użyty do ataku.
Nasze rozwiązanie

- Widzimy, że prefiksy IP (4.2.55.0/24, 23.88.2.0/28, 32.13.31.0/26) trzech ataków są, dotyczą infrastruktury internetowej (AS32442).
- Przekierowania sieci lub łącza e-mail używają domen (facebookpic.com, asdfaa.com), które mają rekordy DNS mapowania – z powrotem do wyżej wspomnianych prefiksów IP.
- Wiele połączeń zwrotnych używa domen (123.btt.com, 321.btt.com, 222.btt.com), które mają rekordy DNS mapowania z powrotem do wyżej wspomnianych prefiksów IP
- Ale inne używają połączeń zwrotnych w ruchu (sdfil.ru, y53s.cn, er2ds.us, gmmal.ru, …), który generuje się przez wspólny algorytm. To jest odkryta przez obserwację współpraca w krótkich odstępach czasowych, dopasowywania autorytatywnych nazw serverów lub WHOIS information.used
Twoje wyzwanie:
O OpenDNS
Twoje rozwiązanie:
- Strony oparte na licencji Microsoft uprawniają klientów do zabezpieczeń opartych na sygnaturach bez dodatkowych kosztów. Microsoft nie może być numerem jeden w rankingu produktów, ale oferuje dobrą ochronę przed znanymi zagrożeniami. OpenDNS chroni przed znanymi i nowymi zagrożeniami.
- NSS Labs informuje, że dekodowanie SSL pogarsza wydajność sieci o 80%. OpenDNS blokuje złośliwe połączenia HTTPS skierowane na dowolny port lub protokół. Unikając deszyfrowania, przedłuża żywotność urządzenia.
Terminarz
Lista najbliższych webinariów
Zobacz inne wpisy
Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.
Produkty powiązane
WatchGuard FireboxV
WatchGuard FireboxV to wirtualny firewall NGFW zapewniający ochronę sieci, kontrolę ruchu, VPN oraz zaawansowane zabezpieczenia IT.
Nowość
WatchGuard Firebox T115-W
WatchGuard Firebox T115-W to wydajny firewall z Wi-Fi, VPN i zaawansowaną ochroną sieci. Zapewnia bezpieczeństwo danych, kontrolę dostępu oraz niezawodną ochronę dla małych firm i biur.
ESET Mobile Threat Defense
Ochrona Android i iOS + MDM w ESET PROTECT. Anti‑phishing, kontrola aplikacji, zdalne zarządzanie i integracja z ABM, Intune, Workspace ONE