Ett ”Blended Threat” är e-post som skickas in till användaren, med det direkta syftet att användaren ska bli nyfiken och klicka på, eller gå till, den websida som mailet innehåller. Väl på sidan så laddas det ner en trojan och med det så är användaren infekterad och blir medlem i ett sk. bot-net eller utsatt för annan kriminell verksamhet. Lär dig mer om Blended Threats i denna video.

Förr var det ganska lätt att blockera sådan här verksamhet. Websidorna som sattes upp var ofta usla kopior och han oftast bli blockerade av URL filter innan någon skada var gjord.

Idag är det helt legitima websidor som hackas istället. Så du går till vad du tror är en helt okej websida. URL filtret som företaget använder sig av blockerar inte sidan, då den hittils alltid varit okej. Trojanen som användaren får hem är av en typ som alltid ändrar sig, så företagets signaturbaserade antivirus upptäcker den inte. Det är den hotbild företag slåss med idag. Allt som behövs är ett klick på en länk från en nyfiken användare.

För att skydda sig mot dagens hot behövs ett system som bland annat hittar web-baserade hot på ett annat sätt än genom Web Crawling. Ett system som klarar av att göra bedömningar utan att förlita sig på signaturfiler för malware och som kan undersöka alla e-post komponenter, inte bara bifogade filer.

M86 Security’s nya ”Blended Threat Module” är en säkerhetsprodukt som tagits fram just för att bekämpa dessa nya hot. Denna modul är kopplad mot en molntjänst som testkör länkarna från e-post, eller websidor, i en virtuel miljö, för att se ifall de exekverar någon elakartad kod. Med den här tekniken kan helt okända hot blockeras proaktivt.

David Karlsson, Produktspecialist.

It-chefen har en svår vardag. Han/hon måste brottas med ständigt krympande budget och ökade krav på mobilitet, flexibilitet och en ständigt växande hotbild såväl utifrån som internt på företaget. Men det vi måste förstå är att IT-chefen vill säga ja – inte nej, nej, NEJ! IT-chefen vill skapa sätt att understödja verksamheten med effektiva it-system, inte hindra användarna från att använda Iphones eller trådlös mobil inloggning till nätverket.

Hur kommer det sig då att IT-chefen måste säga nej så ofta? Jo, han/hon har inte bara verksamhetens it-system att tänka på, de måste också tänka på vilken risk som tas av att tillåta användarna dessa olika möjligheter och verktyg. Om risken inte kan överblickas eller snabbt utvärderas blir svaret ofta nej.

IT-säkerhet består av så många olika aspekter. Anti-virusprogram för klienter och servers, Spam och virusfiltrering av epost, skalskydd av webtrafik, hårddiskkryptering, krypterade lösttagbara minnesenheter, applikationskontroll, IPS, NAC, portkontroll, AV för Linux-servers, AV för Exchange eller Domino, patchhantering, informationsläckageskydd…

För de allra flesta IT-chefer så kommer en strid stöm med nya hot forsande varje år. Nya hot målas upp till den värsta farsoten som verksamheten ställts inför sedan begynnelsen. Vad skall prioriteras? Tyvärr blir följden av den minskade budgeten att helikopterperspektivet försvinner. För varje nytt år läggs nya prioriteringar och det som bedöms som högst prioriterat sätter man med full kraft tänderna i och implementerar den bästa lösningen som finns att få tag i. För varje nytt år läggs nya lösningar till de andra man redan har i verksamheten varpå man snart har ett lapptäcke av säkerhetslösningar.

Organiserad IT-brottslighet omsätter idag mer världen över än knarkhandeln. Straffsatserna på de flesta håll i världen är löjligt låga. Hoten som dyker upp blir mer och mer avancerade. Brottslingarna använder idag t.ex 256-bitars krypteringslösningar för att skydda kommunikationen mellan zombiedatorerna och uppdaterande servers i botnets. Sinnrik programmering används för att injicera elakartad kod på fullt legitima hemsidor, så att man kan utnyttja såväl ditstyrd trafik från spammail samt legitim trafik för spridning, sk. Drive by-downloads. Nya infekterade websidor hittas var femte sekund, dygnet runt.

Säkerhetsnivån för ett företag ligger inte längre i vilken separat lösning man har för respektive del av skyddet. Man kan ha investerat i state-of-the-art lösningar på enskilda områden som fortfarande står helt handfallna så länge de inte har förmågan att kommunicera snabbt och intelligent med resten av säkerhetslösningarna i verksamheten. Säkerheten ligger i helheten. Borta är argumentationen att den bästa säkerhetslösningen är den som består av skydd i flera skal delade på olika tillverkare för att på det sättet sprida riskerna. När hotbilden blir ett komplext nätverk av specialiserade brottsliga verksamheter ligger säkerheten i att ha en väl fungerade och sammansatt lösning som snabbt kommunicerar med de andra delarna av lösningen. Spamfiltret pratar med klientskyddet, NAC-lösningen, serverskyddet och webfiltret samtidigt för att skydda användarna på insidan. Även det bäst sydda lapptäcket i världen kommer aldrig att bli vattentätt.

Så min uppmaning till IT-chefen är att ta ett steg tillbaka, ta ett djupt andetag och förbered dig på att se över era befintliga skydd. Imorgon kommer ni att behöva ett helt täcke.

Vi publicerade en nyhet runt detta i augusti men jag tycker det är värt att ta upp detta till diskussion igen. Dr James Lyne från Sophos väckte denna fråga i en podcast där han beskriver skillnaden på säkerhet på fysiska servrar till skillnad från virtuella servrar och varför han rekommenderar att man krypterar informationen i den virtuella infrastrukturen.

Han ger några konkreta råd hur man kan skydda sin information:

- Se över åtkomstkontroll för lagringsinfrastrukturen för den virtuella plattformen. Alla som har tillgång till den här lagringsytan kan komma åt data i systemen oberoende av kontroller i den virtuella maskinen 
-  Kontrollera att du har en policy för hur man kan behålla segmentering i den virtuella världen
- Många av dessa virtuella system är utformade för att ge hög tillgänglighet, vilket ofta innebär replikering till en rad olika geografiska platser. Se till att dessa andra platser också följer din säkerhetspolicy 
- Affärsförfaranden för virtualiseringsinfrastrukturen tillämpas ofta med föga hänsyn till deras säkerhet. Se till att backupförfaranden inte är ett kryphål ur säkerhetssynpunkt, t.ex. flytta virtuella maskiner till osäkra backupband 
- Kryptera dina känsliga virtuella maskiner med full diskkryptering. Skulle den virtuella filen på hårddisken läcka ut kommer den inte vara tillgänglig, ungefär som en krypterad bärbar dator som hittas på ett tåg

Dr James Lyne sammanfattar: ”Genom att lämna uppgifter okrypterade på dessa virtuella system äventyrar organisationer säkerheten för känsliga och konfidentiella uppgifter och i de flesta fall är de ovetande om denna hotbild.”

Är virtualisering en ny kanal för informationsläckage?
Vi vill gärna ha era åsikter om hur ni ser på säkerheten i virtuella miljöer. Är faran överdriven eller instämmer ni med James Lyne?

Kommentera gärna med dina tankar i detta ämne.

October 22nd, 2009 was the official public launch of Microsoft Windows 7. Those of us in the software development, hardware, and large enterprise space have had access to it for a few months now. We have been working to put the final polish on our compatibility, look and feel, and quality assurance testing.

We officially support Windows 7 as part of Enterprise Security and Control 9, which was released to the public on October 14th. We also provide a Knowledgebase article with best practices regarding Windows 7 deployments.

In talking with the press there has been a lot of interest as to how secure Windows 7 is, what improvements there are, and what Microsoft might have missed.

One thing I have not mentioned here previously that I think Microsoft missed is the default behavior of hiding extensions in Windows Explorer and file selection dialogs. Microsoft has defended this decision as intentional and designed to simplify the Windows experience. They believe that legacy file extensions are confusing to the average customer.

I’m not sure about your users, but the PC users I know think of things as being a PDF, Doc, etc. They don’t pay much attention to things like the icon Windows presents to them. They have been taught not to open files with extensions like .exe, .scr, and .bat that are known to be potentially dangerous.

This leaves the door open for nasty malware to masquerade as .txt files in users’ email and dupes them into opening malicious files. In an enterprise environment, I would recommend using GPOs to change this setting to always show extensions.

I have posted several articles detailing changes made to security in Windows 7, which you can find listed below:

• Windows 7 security – 5 things you can do to secure XP mode
• Windows 7 security – Myths, by Wired.com
• Windows 7 security – Microsoft DirectAccess
• Windows 7 security – Close, but still room for improvement

Sophos CTO Richard Jacobs started a rather interesting debate with some representatives from Microsoft this August with his guest blog ”XP mode – demonstrating security is never Microsoft’s first priority”. This prompted a response from Microsoft’s Roger Halbheer pointing out the continued need for Windows XP compatibility. In reply Richard Jacobs provides more details concerning XP mode’s manageability and resource consumption.

James Lyne and Carole Theriault put Windows 7 in the security spotlight in their podcast at the end of August. I also published a more in-depth paper on Windows 7 security issues last month titled ”Windows 7 security: A great leap forward or business as usual?”

In summary, I would like to remind users of Windows 7 that, as for users who have chosen OS X, Linux, or even Blackberries, much of the risk on the internet today is not OS-targeted malware. Sure, there have been outbreaks of things like Conficker, Virtumundo, and JSRedir (Gumblar) that exploit flaws in Windows, but many attacks are focused on social engineering.

Many users have already decided to move away from Microsoft based on previous bad experiences. This is leading criminals to take new approaches to compromising your data, identity, and finances.

As Graham pointed out in his video, people readily share their personal details without having been compromised by viruses. Using multiple techniques, scammers were able to steal tens of thousands of Hotmail and other online service passwords through fake websites, malware, and possibly other nefarious techniques.

Microsoft has closed and locked the windows. You must educate your users, Windows 7 or not, because your data, identity, and money are up for grabs.