透過主機入侵偵測來提高Hadoop安全性-1

多年來,Hadoop開發社群逐步地增加 Hadoop 和HBase 的功能,以提高運作的安全性。這些功能包括Kerberos使用者身份驗證,加密叢集節點間的資料傳輸,和HDFS檔案加密。趨勢科技在Hadoop的公開生態系內貢獻了數個安全性功能(參考我們之前的文章保護巨量資料和Hadoop以了解更多詳情)。

big data1

雖然這些安全功能都很重要,但它們主要集中在保護Hadoop資料。並沒有讓IT人員擁有他們Hadoop叢集內安全事件的能見度。這裡就是一個良好的主機入侵偵測系統可以發揮的地方。我們一直致力於運用OSSEC,我們的開放原始碼主機入侵偵測系統(HIDS)來提供巨量資料的安全性,為Hadoop和HBase系統加入安全監控能力。在這篇文章裡,我們會解析OSSEC的功能。

OSSEC概述

OSSEC提供許多重要的安全功能,包括文件完整性檢查、系統日誌分析和警報生成。OSSEC具備一個代理/伺服器架構。代理程式處理日誌、檔案和(Windows系統上)註冊碼的監控,然後用UDP將相關日誌以加密的形式送回伺服器。代理程式系統上的入侵通常可以透過檔案變動或是安全事件記錄而加以偵測。

圖一、用OSSEC保護Hadoop安全

(圖片來自https://vichargrave.com/securing-hadoop-with-ossec/

 

在伺服器上,日誌透過解碼器加以解析,並用內建規則加以解譯以產生安全警報。OSSEC內建了大量的解碼器和規則,可以支援廣泛種類的系統和事件。OSSEC的覆蓋率也可以透過自行定義的日誌解碼器及安全警報規則來加以擴展。

 

Hadoop的檔案完整性檢查

Hadoop和HBase系統依賴大量的設定檔案和Java檔案才能正常運作。任何對這些檔案未經授權的變更都會對叢集產生不好的影響。對Hadoop系統內的HDFS Namenode和HBase系統內的HMASTER節點尤其如此。前者控制HDFS的運作,後者則涉及HMASTER和地區伺服器間的I/O。

OSSEC可以偵測這些重要Hadoop檔案的變動。當OSSEC代理程式啟動時,它會遞迴地掃描使用者指定的目錄,計算每一個檔案的MD5和SHA1雜湊值。檔案名稱和雜湊值儲存在OSSEC伺服器的資料庫內。代理程式會根據使用者指定的時間間隔(通常每隔幾個小時)來重複此作業。當伺服器收到某一給定檔案的雜湊值和之前所儲存的不同,伺服器會生成一個安全警報。OSSEC伺服器會在自己的警報日誌檔中記錄每個安全警報。 繼續閱讀

孩子和你都該知道的網路犯罪份子出沒的四個地點

 

通常孩子們不是網路犯罪分子的主要目標,但駭客和身份竊賊在網路上佈陷阱時,他們也在網上。這裡有四種他們可能會落入這些陷阱的方式,以及如何能阻止這些攻擊的建議:

ISKF 網路份子出沒的四個地點

 

1.    熱門搜尋關鍵字:大新聞發生時, 滑鼠先移到熱門關鍵字搜尋結果連結上方檢查網址

在網路上使用Google這樣的搜尋引擎來找資料是最快的方式了。當有大新聞或有大事即將發生或剛剛發生時,孩子們可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。他們會注意有哪些焦點會聚集網路流量,並且加以利用。很多時候,他們會建立假網站以及連到這些網站的網址讓人們點擊、下載或開啟檔案,但實際上是騙人去下載惡意軟體,好來偷看你的上網習慣,或在你的電腦裡開後門,以及竊取個人資料。

建議:點入搜尋結果前要先想一想。滑鼠先移到連結上方以確定所顯示的網址是你認為的那一個。盡量去那些你已經知道的網站,並且避開你不大熟悉的網站。

 

2.    網路廣告:信賴網站也可能有惡意廣告,別被好康放送迷失了理智

孩子們可能會被網路上所提供的東西所吸引,像是流行的產品、電影、音樂、活動門票或遊戲,這些全都是由網路犯罪分子所偽造的。他們所提供的好康太過誘人,所以會讓他們點入、下載或輸入個人資料(自己或你的)來得到它。

有時這些精心設計的廣告會出現在本來值得信賴的網站上。然而,廣告可能來自和網站不同的來源,所以網路犯罪份子只需要針對廣告放置的地方,而不需要入侵網站代管的地方。

他們也可能會收到看似正常的電子郵件和包含連結的內容。如果點入,會將他們帶到一個看似正常的網站,要求他們輸入個人資料或下載一個檔案。最終他們可能會將資料交到駭客或身份竊賊之手。

建議:如果提供的好康好得太不真實,那通常就是假的。要去懷疑這些好康,並學會相信自己的直覺。不要點入或打開任何看起來奇怪的東西。將可疑郵件標記為垃圾郵件。

 

3.人氣應用程式:受歡迎的行動應用程式,可能是山寨版,下載前先做足功課

隨著行動應用程式驚人的普及,網路犯罪份子會想假造受歡迎的應用程式來進入智慧型手機也就不令人意外了。在應用程式商店上,有時很難分辨出哪些可能是假的,因為他們偽裝的如此之好。趨勢科技的研究人員發現過假版本的熱門應用程式,像是Instagram和Angry Birds Space憤怒鳥上太空星際版/太空版。這些假應用程式可以做很多事情,像是騙你輸入個人資料或下載惡意軟體到你的手機上以竊取你的資料。

建議:下載和開始使用應用程式前要先做好功課。選擇你確知來自原公司,而且已經很公開的版本,或在你下載前先到網路上找一找。
如果沒有特定理由,不要讓應用程式自動使用你的其他資料(像實體位置或聯絡人列表)。
考慮使用趨勢科技安全達人,它可以掃描應用程式,並在發現是偽造或會竊取它們所不該碰觸資料時發出警告。

 

4.    人氣文章:朋友按的讚未必是真的,高人氣推薦也可能是假的,請再三確認

網路犯罪分子有時會潛入社群網路,人們在那裏相互交流,會閱讀自己所認識和相信人們張貼的連結或內容。他們可以騙某人對一篇實際上是假的文章或連結按「讚」,他們也可能會去滲透那些我們越來越常在社群網頁上所看到的廣告內容。

建議:不要點入那些看起來可疑的連結,即使它似乎是你的朋友所張貼或以某種方式推薦的內容。用其他方式問問你的朋友,以確保他們在社群網路上對某東西按「讚」的真正意思。

網路犯罪分子有很多種方法在網路上偽裝自己,這裡是四種孩子們最有可能遇到的途徑。如果你教導孩子們可以對他們所看到、點入、下載和網路發表的一切都抱持著懷疑的態度,並且遵循著下列所介紹的技巧,那就可以在大多數情況下,讓網路犯罪分子無功而返。

 

除了以上意見外,這裡有更多可以遵循和教導孩子的技巧:

 

  1. 使用安全軟體最重要的第一步是在任何連接網路的設備上使用信譽可靠的安全軟體,並且保持更新。不過網路犯罪分子也會使用許多日新月異的攻擊手法,所以除了使用安全技術,也很重要的是要注意和教導相關的問題。
  2. 選擇讓人不容易猜中的網路密碼。選擇由字母、數字、符號、大小寫混合出來的密碼,讓它盡可能的強大。不要在不同的網站或服務使用相同的密碼。有一種方法是建立一個基本的密碼模式,然後針對每個網站或服務都加以變動1-2個字元來產生出獨特的密碼。 繼續閱讀

勒索軟體CryptoLocker,攻擊個案翻兩倍

過去的幾個星期以來,我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比,十月份可以確認的案例數量已經增加了幾乎兩倍。

CryptoLocker的受害者在不同地區都有出現,包括北美、歐洲、中東和亞太地區。在之前,我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅(勒索軟體)的進化。這樣的「改進」是趨勢科技2013年安全預測裡所提過的,網路犯罪分子會將重點放在改進現有的工具,而非創造全新的威脅。

勒索軟體CryptoLocker

我能做些什麼?

 

有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE(下載器),它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌,以及使用者如何去回應它。

 

讓我們從簡單的電腦安全實作開始(往往也最常被忽視)。想想看,當開啟帶有附件的郵件時,一般都要:

 

  • 確認電子郵件的寄件者身分。
    如果電子郵件號稱來自銀行,請與你的銀行確認這收到的郵件是否為真。如果來自一般聯絡人,確認他們是否有寄過這郵件。不要僅僅依賴於信任關係,因為你的朋友或家人也可能是垃圾郵件(SPAM)的受害者。
  • 仔細檢查郵件內容是否有與事實不符的地方。
    注意是否有明顯錯誤或和事實不符的地方:來自銀行或朋友的郵件聲稱他們有收到你的東西?試著找找你最近寄送的郵件來確認他們所說的事情。這樣的垃圾郵件也可能使用其他社交工程陷阱( Social Engineering)誘餌來說服使用者打開該郵件。
  • 避免點入電子郵件中的連結。
    在一般情況下,避免點入電子郵件中的連結。比較安全的做法是直接連到電子郵件內所提到的網站。如果你必須點入電子郵件裡的連結,確保你的瀏覽器透過網頁信譽評比技術檢查過該連結,或使用像趨勢科技Site Safety Center的免費服務。
  • 確保你的軟體都在最新狀態。
    目前沒有已知的CryptoLocker勒索軟體 Ransomware利用漏洞進行散播,但不能保證未來也不會。而且定期更新已安裝的軟體可以對許多攻擊提供另外一層的防護。
  • 備份重要資料。
    不幸的是,沒有任何已知工具可以解密被CryptoLocker加密的檔案。一種好的電腦安全實作是,確保你有正確的備份檔案。應該要做到3-2-1原則:三份備份、兩種不同的儲存媒體、一個分開獨立的儲存位置。Windows有個功能稱為磁區陰影複製(Volume Shadow Copy),可以讓你將檔案回復到之前的狀態,它是預設開啟的。雲端儲存服務(如SafeSync)也可以做為你備份策略內有效的一部分。

對於企業客戶,檢討有關電子郵件附件的相關政策。通過電子郵件發送可執行檔通常被認為是不好的行為。大多數組織也有嚴格的附件封鎖政策 – 如果你還沒有,現在是個很好的時機來考慮建立一個。

將設備設定為特定用途也是另一種減少感染Cryptolocker機會的作法。例如,如果使用者只需要使用Microsoft Word,那麼系統上具備有限權限的使用者帳號也就足夠。大多數企業可能已經有這樣的做法,但還可以用軟體白名單來加強,並且配合使用Windows的某些功能,像是AppLocker

為了補強組織的整體安全策略。使用者所需要的安全解決方案不僅是保護用戶於執行惡意檔案,還可以在惡意軟體到達你的系統前提供保護。

趨勢科技的電子郵件信譽評比服務可以阻止這些包含惡意附件的垃圾郵件。具體地說,真實檔案類型過濾功能可以在電子郵件附件有可能是惡意時提醒使用者:

勒索軟體 CryptoLocker

此外,趨勢科技的網頁信譽評比服務也會封鎖所有相關網址。安全解決方案的組合再加上確認允許執行的應用程式列表,讓電腦被攻擊的表面積大為減少。

結論

雖然沒有具備任何新的做法,CryptoLocker已經將之前勒索軟體 Ransomware假防毒軟體所用的恐嚇戰術有效地運用到新的境界。今日大多數使用者都依賴於良好的防毒軟體,但重要的是要注意,使用者教育、定期軟體更新、嚴格的電腦使用政策都是在防禦CryptoLocker和類似威脅上至關重要的。

由於現在的網路犯罪分子都會加強惡意軟體,電腦系統也必須同樣地加以強化以防禦這些攻擊。解決惡意軟體感染的全面性作法不僅是要降低感染率,還要提供深入的防禦戰略來涵蓋多層面的攻擊,以幫助打破惡意軟體感染鏈的整個週期。

使用OfficeScan(OSCE)和Worry-Free Business Security/Service(WFBS/WFBS-SVC)的趨勢科技用戶可以遵循這些最佳實作以防止勒索軟體感染

 

@原文出處:Defending Against CryptoLocker作者:Jay Yaneza(技術支援)

 

◎延伸閱讀

史上最狠毒勒索軟體: Crypto Locker SHOTODOR 後門程式

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

freeDownload_540x90

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

 

< APT 攻擊 >防護基礎設施 對抗目標攻擊重要的一步

最近針對 Internet Explorer 瀏覽器釋放後使用(use-after-free)漏洞的零時差攻擊強調了一件事:建立使用者設定檔時使用最小權限原則有多麼的重要。

apt

試想一下,如果大多數使用者帳號在端點都設定為管理者權限或root(這在舊作業系統上是驚人的常見,像是Windows XP)。一個簡單的社交工程技巧就可以讓攻擊者(或類似角色)利用這漏洞來取得跟目前使用者相同的使用者權限。這可能包括了修改系統檔案、安裝新程式或是管理其他設定。

網路管理員必須要盡最大的努力來防止攻擊者取得管理權限。再怎麼說,一個無法在系統上安裝和執行所下載程式的使用者設定檔就不會在我們所舉的例子裡造成太大的影響。這可能會對使用者和管理者帶來一些不便,但相較於安全性的提高還是值得的。因為攻擊者可能會取得權限提昇的風險,微軟最近介紹了Windows 8.1內的若干措施來防止這種情況發生,並且讓使用者可以更好地控制具有權限的帳號。

Jim Gogolinksi之前一篇「幫助企業對抗目標攻擊的建議」是非常具有建設性和必要的報告,讓人了解企業為何需要花時間來檢視他們的網路基礎設施是如何建立的。那篇報告關注在五件事情上:基礎設施、資料、事件回應團隊、威脅情報和進行滲透測試。

根據Gogolinski所說,安全的基礎設施在很大程度上依賴三個因素:正確和邏輯的網路分隔,日誌記錄和分析的能力,保護使用者個人設定檔和工作站的設定。無法奠定安全的基礎會成為企業的致命傷。趨勢科技最新的企業入門書「企業還擊:防護你的網路基礎設施以對抗目標攻擊」討論了因為沒有花時間和資源在這方面的努力上,而讓目標攻擊造成的安全影響。

原文出處:Securing the Network Infrastructure: An Important Step in the Fight Against Targeted Attacks作者:Macky Cruz

按<這裡>下載 2013台灣進階持續性威脅白皮書APT 攻擊

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

 

 

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

◎即刻加入趨勢科技社群網站,精彩不漏網

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

 

◎即刻加入趨勢科技社群網站,精彩不漏網

管理多個設備:跨平台威脅的綜合防禦

管理多個設備:跨平台威脅的綜合防禦

64%的企業可能在未來幾年內接受Mac電腦

–          Ellen Messmer

資料來源:Network World

Mac在企業環境成長

今天的企業內部有著多設備、跨平台的IT環境。儘管自帶設備 ( BYOD )趨勢和IT消費者化帶來了一些問題,但這些趨勢也加速了員工的工作效率,能夠遠端存取企業資料並且提升工作靈活度。註1

越來越多企業在以一般個人電腦為主的環境內開始使用Mac。在2012年,幾乎有一半企業讓部分員工使用Mac電腦。註2 根據專家預測,Apple將會在2014年賣出價值80億美元的Mac電腦給企業環境。註3

隨著不同種類的設備和作業系統進入工作環境,想維持IT控管和保護企業資料也變得更加複雜。而各種作業系統對於安全的獨特相容性需求也讓這任務更加困難。

多平台的業務風險和影響

多平台環境所帶來的影響可以從惡意軟體和漏洞攻擊,到資料外洩和擴大的程式修補問題。減少IT管控能力是個會對企業造成影響的問題。

跨平台的威脅和漏洞攻擊

惡意軟體和漏洞攻擊可能會針對跨平台的組織,並且洩漏企業機密資料。沒有安全軟體的端點可能會成為惡意軟體感染和發動攻擊的載體。

 

分散式端點管理

維護不同的設備可能代表著需要有不同主控台來分開管理Windows設備和Apple產品。這種建置不但會消耗時間和資源,也會降低IT管控能力和對資料安全的可見度。

以端點來說,Mac電腦在硬體、軟體、IT人員和管理上需要更多的預算。下表顯示出Mac在維護成本上要比一般個人電腦要來得昂貴。

 

平均成本 MAC PC
硬體和軟體 1,622美元 1,513美元
IT人員 781美元 636美元

資料來源: 「Apple滲透工作場合,解放Windows對企業的束縛」

https://appleinsider.com/articles/12/06/06/mac_workplace_penetration_loosens_windows_stranglehold_on_enterprise

 

除了預算問題,多平台建置所造成的設備碎片化也讓IT管理員更難去監控資料在網路流動的走向。這會增加企業資料外洩和遺失的風險。沒有集中式的安全部署,企業機密資料會暴露在危險中。

一個整合而專注於資料的安全方法

多平台業務建置不只需要端點解決方案所組成的防禦策略,還要加上員工的資料安全政策。通過這方式,防護技術可以藉由涵蓋人們從不同設備存取資料的主動式安全加以補全。這些政策應該要為給定的企業環境進行客製化以符合既有的IT架構。例如,IT管理員必須限制員工存取高度機密的企業資料,以防止資料外洩。

以下的安全技術必須要整合進精心打造的防禦計劃內 ,以改善管理和保護跨平台環境內的資料:

  • 集中式主控台:通過單一主控台可以對碎片化威脅和橫跨多種端點和基礎架構層的資料保護策略有所幫助。它也可以讓政策執行變得更加容易和一致。
  • 完整而基於信譽評比的威脅情報:要發現和封鎖企業網路內的新興惡意軟體和漏洞攻擊,組織需要智慧化關連技術和服務,以利用內部和外部資源來主動檢查和分析威脅環境。
  • 資料加密和資料遺失預防:整合完整的資料安全產品,加密所有進出企業網路的資料。這是為了維護關鍵企業資料跨越各閘道和端點時的隱私。也要確保這些解決方案滿足法律規定。  繼續閱讀