BLOG

20. August 2019 - Bei unserem 1-tägigen Workshop Hacking and Hardening Hybrid Environment lernen Sie von der IT-Sicherheitsexpertin Paula Januszkiewicz einige Tricks und Vorgehensweisen eines Hackers kennen, um Ihre Sicherheitsumgebung in Ihrem Unternehmen besser zu konfigurieren und zu schützen.

Ein Tag als Hacker mit Paula Januszkiewicz - Tipps einer Security-Expertin die Zugriff auf den Quellcode von Windows hat!

Details

• Datum: Dienstag, 24. März 2020

• Zeit: 09.00 - 17.00 Uhr

• Ort: Omicron AG, Wallisellen

• Sprache: Englisch

• Zielgruppe: Netzwerkadministratoren, Infrastrukturarchitekten, Sicherheitsexperten, Systemingenieure, IT-Experten, Sicherheitsberater sowie Personen, die für die Implementierung von Netzwerk- und Sicherheitstools verantwortlich sind.

Weitere Details und die Agenda finden Sie hier.

14. August 2019 - Eine bekannte IT-Sicherheitsfirma fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht europäischen Bankhäusern. Der Schaden geht dabei in die Millionen. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.

Einem Blogeintrag eines russischen Herstellers von Sicherheitssoftware zufolge sind mehrere Banken in Osteuropa aktuell Opfer ausgeklügelter Hackangriffe geworden. Anstatt über das Internet in die Netze der Geldhäuser einzubrechen, gelang es den Angreifern demnach, ihre eigene Hardware in deren Büros zu installieren und damit lokalen Netzwerkzugriff zu erlangen.

Für die Attacke mit dem Namen „Dark Vishnya“ schmuggelten die Täter infizierte Laptops, Raspberry Pis oder Bash Bunnys in die Büros und verbanden sie über frei zugängliche Ethernet- oder USB-Anschlüsse mit dem internen Netz der entsprechenden Bank. Bash Bunnys sind Minicomputer in Form eines USB-Sticks, die zum Beispiel von Penetration-Testern genutzt werden.

Infiltration durch Postboten, Exfiltration per 3G/4G
Die Geräte seien möglicherweise von Personen in die Gebäude geschmuggelt worden, die als Postboten, Jobbewerber oder Kundenvertreter getarnt waren. Ethernet-Buchsen sind in vielen Büros in allgemein zugänglichen Bereichen wie Fluren, Konferenzräumen oder im Eingangsbereich installiert und somit leicht für getarnte Angreifer zugänglich. Geräte von der Grösse eines Raspi lassen sich ohne Probleme unbemerkt unter dem Kopierer oder dem Sofa im Wartebereich verstecken.

"Je grösser die Büros eines Unternehmens sind, desto besser. Es ist viel einfacher, ein bösartiges Gerät in einem grossen Büro zu verstecken - und besonders effektiv, wenn eine Firma mehrere Büros weltweit an dasselbe Netzwerk angeschlossen hat." Das Risiko für diese Form des digitalen Angriffs dürfte also genauso auch für Unternehmen aus anderen Sektoren bestehen.

Die Angreifer statteten die bösartigen Geräte mit GPRS/3G/LTE-Modems aus und stellten so den Fernzugriff auf das Netzwerk sicher. Anschliessend scannten sie das lokale Netzwerk nach Zugriffsmöglichkeiten auf geteilte Ordner, Webserver oder Workstations, mit denen Zahlungen ausgeführt werden. "Gleichzeitig versuchten die Angreifer, Login-Daten für diese Maschinen abzugreifen oder per Brute-Force zu erlangen", schreibt der russische Malware-Spezialist. "Um Firewall-Beschränkungen zu umgehen, platzierten sie Shellcodes mit lokalen TCP-Servern" und "wenn eine Firewall den Zugriff von einem Netzwerksegment auf ein andere blockiert, aber eine Reverse Connection erlaubt, nutzten die Angreifer eine angepasste Payload, um einen Tunnel zu öffnen."

Schutz vor Angriffen von innen
Diese Form des Hardware-basierten Angriffs ist besonders schwierig zu bekämpfen, weil der Ursprung der Attacke schwer auszumachen ist. Wenn der genaue Standort des angreifenden Geräts oder selbst dessen Existenz unbekannt sind, müssen im schlimmsten Fall sämtliche Büroräume und Gebäude physisch durchsucht werden, um einen Angreifer unschädlich zu machen.

Quelle: Golem.de

Mehr erfahren?
Besuchen Sie unsere Network Access Control Veranstaltung in Wallisellen.

Network Access Control (NAC) macht Fremdgeräte sichtbar und blockiert Zugriffe schnell und effizient

Um sich zu schützen, wird Unternehmen empfohlen, vor allem darauf zu achten, Ethernet- und USB-Anschlüsse in frei zugänglichen Bereichen zu deaktivieren oder diese zumindest in einem separaten Netzwerksegment laufen zu lassen. Auch das Installieren einer Videoüberwachung in Risikobereichen könne abschreckende Wirkung haben und die Aufnahmen im Falle eines Angriffs der Aufklärung dienen.

Ausserdem wird sensitiven Unternehmen empfohlen, eine Network Access Control (NAC) Lösung in Betracht zu ziehen. Diese sichert physische Netzwerkzugänge zusätzlich und zuverlässig vor fremden Zugriffen wie oben beschrieben ab.

Interessiert am Thema? Erfahren Sie mehr dazu an unserer Veranstaltung "Network Access Control" am 30. Oktober 2019 in Wallisellen.

Details und Anmeldung finden Sie hier.

8. August 2019 - Vom 12. bis 13. Februar 2020 finden die Swiss Cyber Security Days in Fribourg statt. Wir sind das erste Mal auch mit einem Stand vertreten. Merken Sie sich das Datum vor und besuchen Sie uns!

Mehr Informationen zu den Swiss Cyber Security Days finden Sie hier.

31. Juli 2019 - In den vergangenen Wochen wurden Schweizer Unternehmen Ziel einer neuen Art von Angriffen, mit der unbekannte Angreifer Unternehmensnetzwerke erfolgreich infiltrieren und deren Daten mittels einem Verschlüsselungstrojaner grossflächig verschlüsseln. Auch diverse namhafte Schweizer Unternehmen sind von den Angriffen betroffen.

Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge wie zum Beispiel "Cobalt Strike" oder "Metasploit", um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware (wie z.B. "Ryuk", "LockerGoga", "MegaCortex", etc.) auf den Systemen platziert welche die Daten vollständig verschlüsselt.

Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt MELANI Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen.

Erfahren Sie alles zu den empfohlenen Massnahmen und lesen Sie den ganzen Artikel hier.

Quelle: Medienmitteilung - Melde- und Analysestelle Informationssicherung MELANI

30. Juli 2019 - Produktions- und Geschäftsprozesse sind in zunehmendem Masse abhängig von Informatik- und Telekommunikationssystemen (IKT). Ein Ausfall dieser Systeme gefährdet die Geschäftstätigkeit von Unternehmen und die Versorgung der Schweiz mit kritischen Gütern und Dienstleistungen. Zum Schutz gegen diese Risiken und zur Sicherstellung der Versorgung der Bevölkerung mit Nahrungsmitteln, hat das Bundesamt für wirtschaftliche Landesversorgung (BWL) den "Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie in der Lebensmittelversorgung" publiziert.

Lesen Sie die ganze Medienmitteilung zum "Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie in der Lebensmittelversorgung" hier.

Weitere Details: Minimalstandard für die Sicherheit der IKT in der Lebensmittelversorgung

Quelle: Medienmitteilung - Der Bundesrat - Das Portal der Schweizer Regierung - admin.ch

29. Juli 2019 - Die Umfragedaten von Palo Alto Networks zeigen, dass SOC-Analysten nur 14% der von Sicherheitstools generierten Warnungen verarbeiten können. Wenn Sie IDC-Daten berücksichtigen, aus denen hervorgeht, dass die meisten Warnungen "false positives" sind, sind die Ergebnisse vorhersehbar: Warnungen werden ignoriert, Analysten verlieren Zeit damit, falschen Meldungen nachzujagen und tatsächliche Bedrohungen werden dabei oftmals sogar übersehen.

Über die anfängliche Prävention hinaus erfüllen die meisten Sicherheitstools eine Schlüsselfunktion: Erstellen von und Reagieren auf Warnungen. Server erstellen Warnungen. Router erstellen Warnungen. Firewalls erstellen Warnmeldungen. Antivirus-Tools erstellen Warnungen. Sicherheitsteams richten für potenziell riskante Prozesse, die das Unternehmen regelmässig verwendet, häufig nur Richtlinien mit Warnmeldungen ein, anstatt Richtlinien zu verwenden welche wirklich auch blockieren.

Die hoffnungsvolle Annahme ist, dass Security-Fachleute verdächtige Verhaltensweisen auf der Grundlage dieser Warnungen überprüfen und aufspüren können. Diese Strategie bricht jedoch schnell zusammen, wenn Analysten täglich Tausende von Low-Fidelity-Warnungen erhalten. Noch schlimmer ist, dass diese Warnungen von isolierten Sicherheitstools stammen, die praktisch keinen bis wenig Kontext zu den tatsächlichen Vorgängen bieten.

Checkliste zur Reduzierung von Ermüdungserscheinungen

Wenn wir alarmgebende Sensoren und Systeme eliminieren, schaffen wir Sicherheitslücken - und doch sind zu viele Informationen fast so schlecht wie gar keine Informationen. Wir müssen Technologie intelligenter einsetzen, um Probleme zu lösen, ohne neue zu schaffen. Wir benötigen weiterhin Warnmeldungen, benötigen jedoch genauere Warnmeldungen. Dies bedeutet, dass Sie die folgenden Konzepte berücksichtigen, wenn Sie Ihre Tools und Prozesse evaluieren:

1. Automatisierung

Erstens können Unternehmen ihren Alert-Triage-Prozess mithilfe der Automatisierung erheblich verbessern. Palo Alto Networks ist der Ansicht, dass alle Sicherheitsvorgänge der Stufe 1 (Alert Triage) mithilfe von SOAR-Technologien automatisiert werden können und sollten, bei denen vordefinierte Wiedergabebücher zur Automatisierung von Reaktionsaktionen verwendet werden. Bei der Alarmanalyse umfassen diese Aktionen das Analysieren eines Alarms, das Aktualisieren eines Falls, wenn es sich um ein bekanntes Problem handelt, das Öffnen eines Falls, wenn es sich nicht um ein bekanntes Problem handelt, und das Testen des Alarmschweregrads, um ihn an einen Analysten zu senden. Durch die Automatisierung dieses Prozesses wird die Anzahl der Warnungen, auf die Analysten reagieren müssen, erheblich reduziert, sodass Analysten ihre wertvolle Zeit damit verbringen können, Probleme zu untersuchen, anstatt auf Protokolle zu starren.

2. Daten zusammenfügen

Zweitens müssen Sicherheitsteams damit beginnen, integrierte Tools vor isolierten Tools zu priorisieren, wenn sie die Sichtbarkeit verbessern möchten. Wenn Sie über sieben verschiedene Tools verfügen, die jeweils einen bestimmten Teil Ihrer Sicherheitsinfrastruktur betrachten, ohne miteinander zu kommunizieren, können diese Tools keinen Kontext bereitstellen, der bei der Bedrohungssuche und -ermittlung hilfreich ist. Sie wissen nicht, ob eine Reihe von Aktionen, die für sich genommen harmlos erscheinen, tatsächlich in einer Reihenfolge ausgeführt werden, die möglicherweise darauf hinweist, dass sich ein Gegner in Ihrem System befindet. Alternativ können Sie eine Stunde damit verbringen, ein Teil der Malware zu verfolgen, das sich an Ihrem EPP vorbei geschlichen hat, um festzustellen, dass es von Ihrer Firewall blockiert wurde.

Eine Sicherheitsplattform mit integrierten Funktionen ermöglicht einen viel umfassenderen Einblick. Cortex Data Lake verbindet beispielsweise Endpunkt-, Cloud- und Netzwerkdaten miteinander. Diese Integration von Sicherheitskomponenten bietet Cortex XDR den Vorteil besserer Telemetriedaten (für schnellere Ermittlungen und Bedrohungssuche) und manipulierter Warnungen (zum Blockieren von Aktionen, die mit böswilligem Verhalten in der Vergangenheit in Zusammenhang stehen).

3. Maschinelles Lernen

Schliesslich sollte ein EDR-Tool über maschinelles Lernen verfügen, das es ihm ermöglicht, Muster zu erkennen, damit es lernen und sich verbessern kann. Ihr EDR sollte sich auf Ihre (hoffentlich integrierten!) Datenquellen stützen, um seine Algorithmen weiter zu verfeinern und präzise, priorisierte Warnmeldungen mit hoher Wiedergabetreue zu generieren.

Cortex XDR bietet intelligentere Erkennungsmöglichkeiten

Cortex XDR bietet nachweislich die höchste Kombination von High-Fidelity-Warnmeldungen, die sich am besten zur Erkennung von Bedrohungen eignen, sowie angereicherte, korrelierte Telemetrieprotokolle für Ermittlungen und die Suche nach Bedrohungen. Diese Art von Warnmeldungen kann Unternehmen dabei helfen, die Flut von Fehlalarmen einzudämmen, damit sich ihre Analysten auf die Untersuchung realer Bedrohungen konzentrieren können.

Ein Test von EDR-Tools unter Verwendung realistischer Angriffsemulationen der APT 3-Gruppe durch MITRE ATT&CK ergab kürzlich, dass Cortex XDR und Traps die meisten Angriffstechniken gegenüber 10 anderen EDR-Anbietern erkannt haben. Diese Bewertung lieferte eine der ersten offenen und objektiven Bewertungen der Branche für die tatsächlichen Funktionen und Leistungen des EDR-Marktes.

Mit seiner Standardkonfiguration während des MITRE-Tests generierte Cortex XDR 20 Echtzeit-Warnmeldungen und 82 erweiterte Telemetrieprotokolle. In einer realen Implementierung können Kunden Cortex XDR noch besser in das Verhalten potenzieller Bedrohungsakteure einbeziehen, indem sie zusätzliche Netzwerk- und Cloud-Sensoren im Cortex Data Lake einbinden. Dadurch werden Fehlalarme weiter reduziert und das Erkennen von böswilligem Verhalten verbessert.

Lesen Sie hier mehr über die MITRE-Ergebnisse von Cortex XDR und Traps von Palo Alto Networks.

Sie wollen mehr erfahren?

Selbstverständlich zeigen wir Ihnen die Vorteile von Cortex XDR und Traps auch gerne bei Ihnen vor Ort, rufen Sie uns an.

26. Juli 2019 - MyDoom ist ein berüchtigter Computerwurm, der zum ersten Mal Anfang 2004 entdeckt wurde. Diese Malware wurde in den Top-Ten-Listen der zerstörerischsten Computerviren aufgeführt und richtete schätzungsweise 38 Milliarden US-Dollar an Schaden an. Obwohl MyDoom's beste Jahre längst vorbei sind, ist MyDoom in der Cyber-Bedrohungslandschaft weiterhin präsent.

Obwohl MyDoom nicht so bekannt ist wie andere Malware-Familien, ist es in den letzten Jahren relativ konsistent geblieben und macht durchschnittlich 1,1 Prozent aller E-Mails mit Malware-Anhängen aus. Palo Alto Networks nimmt weiterhin jeden Monat Zehntausende von MyDoom-Samples auf. Die überwiegende Mehrheit der MyDoom-E-Mails stammt von in China registrierten IP-Adressen, wobei die USA an zweiter Stelle liegen. Diese E-Mails werden an Empfänger auf der ganzen Welt gesendet und richten sich hauptsächlich an High-Tech-, Grosshandels-, Einzelhandels-, Gesundheits-, Bildungs- und Fertigungsunternehmen.

Mehr Informationen:

Der Blog von Palo Alto Networks verfolgt die Aktivitäten von MyDoom in den letzten Jahren und konzentriert sich auf die Trends in den ersten sechs Monaten des Jahres 2019.

22. Juli 2019 - NSS Labs hat seinen Firewall-Testbericht für das Jahr 2019 veröffentlicht. Wir sind stolz darauf, die höchste Punktzahl für Sicherheitseffektivität und eine Empfehlungsbewertung - die höchste Bewertung von NSS Labs - erhalten zu haben.

Der Test verglich Sicherheit, Leistung, Funktionalität und Kosten unter den führenden Firewalls der nächsten Generation. Wir glauben, dass diese Ergebnisse bestätigen, was 60'000 Kunden auf der ganzen Welt bereits wissen: dass wir der vertrauenswürdige Netzwerksicherheitspartner der Wahl sind.

Mit der Next-Generation-Firewall-Plattform von Palo Alto Networks können Sie Ihre Sicherheit durch eine vorbeugungsorientierte Architektur vereinfachen und stärken, die einfach bereitzustellen und zu betreiben ist. Die integrierte Automatisierung reduziert den manuellen Aufwand, sodass Sie sich auf hochwertige Aktivitäten konzentrieren können.

Erfahren Sie mehr zum NSS Labs Next Generation Firewall Test 2019: 

• NSS Labs Next Generation Firewall-Testbericht
• Vergleich - Firewall-Bericht der nächsten Generation von NSS Labs
• Firewall Security Value Map™ der nächsten Generation

Bei Fragen oder weiteren Informationen stehen wir von Omicron, dem Palo Alto Networks Platinum Partner in der Schweiz, gerne mit Rat und Tat zur Seite.

17. Juli 2019 - Um auf die Bedürfnisse unser PRTG-Kunden und Kursteilnehmer der "PRTG Produkteschulung" noch tiefer einzugehen, ist es uns eine Freude, den neuen Kurs "PRTG Next Level Training & Workshop" ankündigen und vorstellen zu dürfen. Steigen Sie noch weiter in die Welt von PRTG ein und vertiefen Sie Ihr Knowhow im Umgang mit der Netzwerkmonitoringlösung PRTG von Paessler.

Der Kurs "PRTG Next Level Training & Workshop" ist ausgelegt für fortgeschrittene Anwender, Administratoren sowie Teilnehmer unserer "PRTG Produkteschulung". Sollten Sie noch über keine tieferen PRTG Kenntnisse verfügen, besuchen Sie doch vorgängig die "PRTG Produkteschulung" bei uns.

Folgende Highlights und Inhalte erwarten Sie in diesem neuen Kurs "PRTG Next Level Training & Workshop":

Sie lernen, wie Sie mithilfe der API Abläufe in PRTG automatisieren. Im Handumdrehen lassen sich grosse Mengen an neuen Objekten einpflegen oder verwalten. Auch können über die API Daten aus PRTG an externe Tools wie Reporterstellung oder Ticketsystem übergeben werden.  Restful API-Sensoren dienen dazu, über die API von Fremdsystemen Werte abzurufen, die über die bekannten Protokolle wie z.B. SNMP nicht zur Verfügung stehen. Hiervon betroffen sind häufig Telefonanlagen oder Lösungen wie Datacore. Via Script lassen sich standardisierte Werte als XML-Ergebnis in PRTG einbinden, analysieren oder weiterverwenden. Machen Sie sich XML/JSON zunutze, um z. B. Sensor, Klima- oder Wetterdaten aus dem Internet als wichtige Faktoren in Ihrem Monitoring Umfeld einzubinden. Viele Abfragen sind Out of the Box durch die mehr als 250 vorgefertigten Sensoren möglich. Diese decken aber bei Weitem nicht alle Bedürfnisse der IT- und Non-IT-Überwachung ab. PRTG bietet daher allen Benutzern die Möglichkeit, eigene Sensoren einzubinden. Mit selbst erstellten Scripten lässt sich heutzutage fast alles überwachen, was von Bedeutung ist. Die Grenzen sind hierbei schier grenzenlos. Egal, was für Sie wichtig ist -  ob es Zertifikate sind, deren Werte überwacht werden müssen, oder Anwendungen wie Microsoft Office 365 oder Docker Systeme.

Zum Kursinhalt "PRTG Next Level Training & Workshop":

Part 1 - Intro

• Spezifizierung der genannten Teilnehmer-Themen
• Vorhandenes Know-How der Teilnehmer angleichen
• Refresh von Grundfunktionalitäten (z.B. Business Sensoren oder Bibliotheken im Zusammenhang mit Benachrichtigungen)

Part 2 - PRTG API

• Was ist die API und wozu dient sie?
• Einsatzmöglichkeiten und Beispiele zur API

Part 3 - XML/JSON Sensoren

• Wozu dienen sie?
• Einsatzmöglichkeiten und Beispiele zu XML/JSON

Part 4 - Script-Sensoren

• Was ist ein Script?
• Behandlung von Scriptsprachen, vorwiegend MS Powershell
• Einsatzmöglichkeiten und Beispiele anhand einfacher Script-Erstellung

Part 5 - Themen der Teilnehmer

• Eingehen auf die Themen der Teilnehmer
• Allgemeine Frage- und Antwortrunde

Weitere Informationen und die Anmeldung finden Sie hier.

Bei Fragen oder Hilfe im Umgang mit dem PRTG Network Monitor stehen wir Ihnen natürlich ebenfalls mit Rat und Tat zur Seite.

09. Juli 2019 - Palo Alto Networks stellt mit Cortex XDR™ eine wichtige Innovation vor, welche die integrierte KI-basierte Plattform für Continuous-Security der Zukunft vereint. Profitieren Sie von radikaler Vereinfachung und verbessern Sie Ihre Sicherheitsergebnisse durch Automatisierung und beispiellose Genauigkeit.

Durch Automatisierung Angriffe stoppen! Lassen Sie sich die Vorteile von Cortex XDR™ aufzeigen:

• Erkennung automatisieren
  Cortex XDR™ zeigt jeden Schritt eines Angriffs, indem maschinelles Lernen auf umfangreiche Netzwerk-, Endpunkt- und Cloud-Daten angewendet wird.
  
  
• Untersuchungen beschleunigen
  Cortex XDR™ deckt automatisch die Grundursache und die Abfolge von Ereignissen auf, die mit einer Bedrohung verbunden sind. Suchwerkzeuge machen die Bedrohungssuche zum Kinderspiel und sorgen für Visibilität.
  
  
• Bedrohungen schnell beseitigen
  Ihr Sicherheitsteam kann Bedrohungen sofort über die Cortex XDR-Konsole abwehren. Die Vereinfachung der Abläufe und die kontinuierliche Reduzierung Ihrer Angriffsfläche schützt damit Ihre vorhandenen Sicherheitsinvestitionen.