HTTP-verkeer gevaarlijker dan SMTP
Dit jaar zullen er meer dan een miljoen nieuwe virussen en Trojaanse paarden verschijnen, zo voorspelt het Finse anti-virusbedrijf F-Secure en de meeste van die malware wordt verspreid via HTTP. Elke dag ontvangt het viruslaboratorium van de Finnen 25.000 nieuwe exemplaren, toch krijgt de virusbestrijder steeds minder meldingen van gevonden malware. Een van de redenen hiervoor is dat internetgebruikers op andere manieren worden besmet dan voorheen. Twee jaar geleden was e-mail nog de voornaamste bron van infecties. Inmiddels worden gevaarlijke bijlagen zoals .exe bestanden automatisch gefilterd.
Drive-by downloads zijn daardoor de manier voor computercriminelen om internetgebruikers te infecteren. Via het gebruik van e-mailberichten wordt gebruikers gevraagd een link te openen. Een andere manier is het aanmaken van duizenden kwaadaardige pagina's en die te laten indexeren door zoekmachines. De derde methode, eentje die steeds vaker voorkomt, is het hacken van legitieme websites en voorzien van iframes die naar allerlei exploits wijzen. De laatste manier is het verspreiden van kwaadaardige banners of het hacken van advertentienetwerken, iets wat al meerdere keren is voorgekomen.
"Het is belangrijk om van deze verandering van SMTP naar HTTP infecties bewust te zijn, omdat criminelen die op verschillende manieren kunnen gebruiken. Bedrijven kijken vaak naar het aantal gestopte bijlagen op hun e-mail gateway als graadmeter voor het risico dat ze op een infectie lopen. Die aantallen dalen, maar dat kan niet worden gezegd van het risico om geinfecteerd te raken," zegt Mikko Hyppönen.
Behalve een goede content filter op je e-mail heb je er natuurlijk ook 1 voor
web verkeer.
Behalve een goede content filter op je e-mail heb je er
natuurlijk ook 1 voor
web verkeer.
filter?
Search&Destroy heeft ook faciliteiten. ;)
Behalve een goede content filter op je e-mail heb je er natuurlijk ook 1 voor web verkeer.
Als (web) proxy server (voor een Windows netwerk) is/was ISA erg prettig in het gebruik. Vooral voor authenticatie/autorisatie. Ik zou 't alleen nooit als firewall inzetten. Netscape proxy is wat aan de langzame kant maar doet daarin tegen wel het scannen op basis van store-and-forward. Let er overigens wel op dat je alleen HTTP(S) proxied, SOCKS is vragen om ellende.
En als algemeen antwoord, een goede content scanner kijkt bijv. niet alleen naar extensies of mime-types. Het controleert echt het bestand zelf en kun je aan de hand van het gevonden bestandstype een keuze maken om het wel of niet door te laten. Uiteraard alles mbv policies. Zo hoeft bijv. een typemiep op de salaris afdeling geen executables te kunnen downloaden maar iemand die zorg moet dragen voor de distributie van software binnen je bedrijf weer wel.
de verwijzing naar authenticatie/autorisatie.
Ik wordt er steeds meer van overtuigd dat filtering op basis van de identificatie
van data source de sleutel is tot "prettig" filteren, en dan maakt het niet uit of
het om asynchrone berichtuitwisseling (zoals mail) gaat, of om real time
interactions.
Controle proberen te krijgen over de inhoud van berichten verkeer is volgens
mij een a priori verloren strijd.
Oh ja, en de invulling van sociale rollen is inderdaad ook zwaar onderbelicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!